Вы находитесь на странице: 1из 33

Sécurité des systèmes d'information

• Introduction aux attaques

 Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque.
Les attaques: en temps réel
http://cybermap.kaspersky.com http://map.norsecorp.com/
Attaques des états
Menaces informatiques
Les pirates ont des techniques d'attaques variées et voici quelques exemples :
 Les écoutes (sniffing)

• Solution:

• Utiliser des communications


chiffrée (HTTPS ou un VPN) ;
 Le "cracking"
 L'attaque par dictionnaire

 L'attaque hybride

 L'attaque brute-force

Solution

o Utiliser des mots de passe puissants (chiffres et lettres, majuscule et minuscule, et caractères
spéciaux)

 Dans le cas d’une connexion sur un site web, utiliser double authentification, par exemple ;

o recevoir des codes par texto (SMS) sur votre téléphone mobile ;

o obtenir des codes de sécurité avec un Générateur de code (exemple Google Authenticator) ;
 Hijacking

• Vole le cookie du navigateur

 Solution

- Utiliser un firewall ;

- Utiliser des connections sécurisées


(HTTPS ou VPN) ;

- Ne clique pas sur n’importe quel lien ;


 Phishing

Solution

- Lors du paiement en ligne d'un achat, vérifiez que


vous êtes sur un site web sécurisé dont l'adresse
commence par https

- si un courriel vous semble douteux, ne cliquez jamais


sur les pièces jointes ni sur les liens qu'il contient

- ne communiquez jamais votre mot de passe à personne

- vérifiez que votre antivirus est à jour.

- dans vos mails ne cliquez pas trop vite sur les liens, même
s'ils vous paraissent familiers.
Keylogging

 Pour vous protéger contre ce type d’attaque ;

- rester vigilant et limiter l’accès des


personnes a votre PC
Stealer's

• Près de 80% des personnes utilisent des


mots de passe stockés dans leur navigateur

Solution

- Eviter l’enregistrement des mots de


passes sur les navigateurs !
Phone Hacking
Pour vous protéger contre ce type d’attaque ;

• Eviter l’accès physique des personnes à votre téléphone ;

• Télécharger des applications depuis des sources officielles,

• et éviter de cliquer sur les liens (réseaux sociaux ou reçus


par e-mail) !
USB Hacking (La clé USB piégée) :

Solution

 ne pas la connecter n’importe USB à


votre ordinateur.
L’ingénierie sociale

Pour vous protéger contre ce type d’attaque ;

 rester vigilant !
Le faux réseau wifi

Solution

• Ne vous connectez jamais à des sites web bancaires ou


importants (boîte de réception, documents personnels
stockés en ligne…) en utilisant l'un de ces réseaux
publics.

• N'achetez jamais quelque chose en ligne non plus.


Attendez d'être sur un réseau fiable pour faire vos
achats.

• N'installez jamais de mise à jour à partir de l'un de


ces réseaux.
 Scanner l’adresse IP

Solution

• Mettre à jour les logiciels installés sur


Windows ;

• Mettre à jours Windows ;

• Activer firewall ;

• Ne clique pas sur n’importe quel liens


• Mesures Techniques

o Règles indispensables

 Avoir une version de Windows originale, je répète originale pour bénéficier des mise à jours ;

 Activer les mises à jour automatiques de sécurité avec Windows Update ;

 Installez un antivirus ;

 Effectuer des sauvegardes régulières ;

 Changer user et mot de passe par défaut (Admin, Password ) du Box (Modem)
Antivirus
 Activer le firewall
 Quel pare-feu ?

 Pare-feu de Windows (bien sur si la version de


Windows est originale) !

 Pare-feu de l’antivirus (dans le cas de


l’antivirus Kaspersky, il désactive
automatiquement le firewall de Windows est
active son propre firewall) !

 Acheter un pare-feu (logiciel ou matériel)


Autres règles
 Mettre à jour vos applications

 Chiffrer vos données (en cas de perte ou de vol) ;

 Ne téléchargez vos logiciels que depuis des sites;

 Apprenez à reconnaître un site fiable à son adresse (URL).

 Apprenez à reconnaitre les extensions de fichiers potentiellement dangereux (.exe, .pif,


.scr, .bat, .dll, ...). Dans le doute ne cliquer jamais dessus ou supprimer le Fichier ;
 Utiliser sa messagerie avec vigilance

 Séparer les usages personnels et professionnels

 Être prudent sur Internet : Réseaux sociaux, forums, formulaires, … :


veillez limiter la diffusion de vos informations personnelles via Internet ;

 Soyez vigilant lors d’un paiement sur Internet ;

 Sécuriser l’accès Wi-Fi ;

 Evitez de donner votre adresse de courrier électronique "n'importe où" et à n’importe qui ;
 Utiliser VPN / Proxy : (réseau privé virtuel) :

o Proxy ; Change juste l’adresse IP ;

o VPN ; Change l’adresse IP + chiffre les données ;

N.B. Eviter les serveurs gratuits


 Utiliser des services gratuits sur le net pour vérifier les liens et les fichiers reçus comme
https://www.virustotal.com/fr/ : il contienne plus de 30 antivirus pour scanner les liens et les fichiers en ligne
 L’importance des certificats SSL/TLS dans le web !

 HTTPS : protocoles réseaux permettant de sécuriser les accès distants par chiffrement des
données transmises. A l’aide d’un certificat !

• Qui délivre les certificats SSL ?

GlobalSign,
 Symantec,

 Geotrust,

 …
 Les certificats SSL
 En surfant sur différents sites Internet, vous avez sans doute remarqué que l’affichage des adresses
peut changer suivant les sites consultés. Cela est dû aux certificats utilisés : (à gauche de L’URL)

 Les trois grands types de certificats SSL

 Pour simplifier, on peut dire qu’il existe 3 grandes catégories de certificats :

1. le certificat de domaine

2. le certificat à validation d’organisation

3. le certificat à validation étendue.


 Le certificat SSL de domaine (DV)

Si vous voulez un certificat simple pour que


votre site utilise du https, vous devez être le
propriétaire du nom de domaine (la vérification
ne prendra que quelques minutes).

 Attention, ce genre de certificats ne garantit en


rien l’identité de l’entreprise ou de la personne
qui gère le site !
 Le certificat SSL à validation d’organisation (OV)

 Le certificat à validation d’organisation va plus loin car le


demandeur doit être le propriétaire de l’entreprise. Donc,
pour délivrer le certificat à validation d’organisation, le
fournisseur de certificat va vérifier le propriétaire de
l’entreprise, il va essayer de contacter l’entreprise par
d’autres moyens (téléphone, courrier postal, …) en
lui demandant de répondre. Pour cela, il prendra l’adresse
et le numéro de téléphone de l’entreprise sur des annuaires
ou sur des sites tels que l’Insee, Infogreffe, etc… Et dans
les navigateurs la connexion sur votre site s’affichera
comme ça :

 N.B. Vous pouvez constater qu’il n’y a pas de


différence entre les certificats de domaine (DV) et
certificat de validation d’organisation(OV) .
Le certificat SSL à validation étendue (EV)

 Le certificat à validation étendue (certificat SSL EV)


ressemble beaucoup au certificat à validation
d’organisation (OV), mais il offre le plus haut niveau de
certification.
 Comme pour le certificat à validation d’organisation
l’entreprise demandeuse va être contrôlée avant de
pouvoir obtenir ce type de certificat, mais les contrôles
seront plus poussés. Les contrôles porteront par exemple,
sur l’existence légale de l’entreprise, sur la véracité de
l’ensemble des informations fournies.
 Ce type de certificat est surtout utilisé par les sites
permettant les transactions bancaires (banques,
administration, …)
 Ce certificat se portant garant de l’entreprise permet
l’affichage du nom de l’entreprise dans la barre d’adresse
du navigateur, comme on peut le voir ci-dessous :
 Un exemple (certificat) : je suis un pirate !

 Prenons un exemple simple : Je suis un pirate et je veux me faire passer pour une banque
car je veux « pigeonner » les internautes pour récupérer les codes d’accès à leurs comptes
bancaires.
 Je vais donc faire un superbe site, qui ressemble en tout point à celui d’une banque. Je vais
m’arranger pour que les utilisateurs se connectent sur mon site en envoyant un mail de
phishing. Mais, il y aura quelque chose qui va clocher, et si les internautes sont un peu
vigilants, ils verront tout de suite la supercherie. Car n’étant pas propriétaire du domaine,
je ne peux pas posséder le certificat qui garantit le site et plus encore, je ne peux même pas
justifier que je suis le propriétaire de la banque : donc pas d’affichage en vert dans la barre
d’adresse du navigateur.