Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

sécurité sec-ess L'essentiel de la sécurité informatique Paternité - Pas d'Util

sécurité sec-ess L'essentiel de la sécurité informatique Paternité - Pas d'Utilisation Commerciale - Partage des Conditions Initiales à l'Identique : http://creativecommons.org/licenses/by-nc-sa/2.0/fr/ 23/11/2014 Version 0.3 Légende  Entrée du glossaire  Abréviation  Référence Bibliographique  Référence générale Table des matières Objectifs 5 I - Avertissement concernant la licence de ce document 7 II - Note de version 11 III - Définitions, notions et vocabulaire 13 A. Introduction à la sécurité.............................................................................13 1. Définition générale de la sécurité.......................................................................................13 2. Limites de la sécurité.......................................................................................................14 3. Particularités des systèmes d'information...........................................................................15 4. Les domaines de la SSI....................................................................................................16 B. Les enjeux de la SSI....................................................................................17 1. Points essentiels.............................................................................................................17 C. Démarche générale.....................................................................................20 D. Intelligence gathering..................................................................................21 1. Renseignement...............................................................................................................21 2. Footprinting....................................................................................................................22 IV - Sécurité offensive : savoir attaquer pour mieux se défendre 25 A. Pourquoi appendre la sécurité offensive ?.......................................................25 B. Mise en place d'un laboratoire de pentesting...................................................26 1. Premiers pas avec Kali Linux.............................................................................................26 2. Machines vulnérables.......................................................................................................27 C. Fondamentaux............................................................................................29 1. Le vocabulaire du hacking................................................................................................29 2. Comment attaquer ? Méthodologie du cracking...................................................................30 D. Footprinting................................................................................................31 1. Internet footprinting........................................................................................................31 2. Internet Footprinting : mise en pratique.............................................................................33 3. Scanning........................................................................................................................35 4. Fingerprinting.................................................................................................................37 5. Comment contrer le footprinting ?.....................................................................................38 E. Ingénierie sociale : cracker sans ordinateur....................................................40 1. Méthodologie..................................................................................................................40 2. Quelques techniques d'ingénierie sociale............................................................................40 3. Contre-mesures..............................................................................................................41 Noël Macé (noelmace.com) 3 4. Pour aller plus loin...........................................................................................................42 F. Les principales attaques à connaître...............................................................42 1. Password cracking...........................................................................................................42 2. Rappels sur les protocoles réseaux et transport...................................................................45 3. Déni de service...............................................................................................................49 4. Attaques de l'homme du milieu.........................................................................................54 5. Injection de données dans un site web...............................................................................56 G. Challenges.................................................................................................58 1. Pour débuter..................................................................................................................58 2. Pour s'amuser.................................................................................................................59 3. Pour confirmer................................................................................................................59 V - Sécurité opérationnelle 61 A. Fondamentaux............................................................................................61 1. Introduction à la sécurité opérationnelle.............................................................................61 2. Méthodologie de l'OPSEC..................................................................................................62 3. Quelques exemples de contextes pour l'OPSEC...................................................................63 4. Cas pratique de mise en œuvre de l'OPSEC.........................................................................64 B. Confidentialité des données..........................................................................65 1. Chiffrement....................................................................................................................65 2. Persistance des données après suppression........................................................................69 C. Sécurisation des échanges...........................................................................72 1. IPsec.............................................................................................................................72 2. VPN...............................................................................................................................75 3. SSL/TLS.........................................................................................................................77 4. SSH..............................................................................................................................78 5. Mix Networking...............................................................................................................82 VI - Sécurité défensive 85 A. Architectures et solutions pour la sécurité des réseaux.....................................85 1. Réseaux privés et translation d'adresses............................................................................85 2. Zone démilitarisée...........................................................................................................87 3. Proxy.............................................................................................................................88 4. Firewalling......................................................................................................................91 5. Conception d'une architecture réseaux pour la sécurité........................................................92 B. Supervision : anticiper, détecter et résoudre les incidents.................................93 1. Veille technologique.........................................................................................................93 2. Détection d'intrusions et de vulnérabilités...........................................................................94 Solution des exercices 97 Crédit des ressources 99 Noël Macé (noelmace.com) 4 Objectifs L'objectif de ce cours est de vous présenter un rapide tour d’horizon de la sécurité des systèmes d'information. Il ne se veut ni exhaustif, ni complet, et n'a pour but que de vous donner un aperçu le plus large possible de la sécurité informatique, sujet vaste et complexe si il en est, et ainsi de vous donner les bases nécessaires à un approfondissement futur, ou au moins à la compréhension des enjeux de ce domaines. Il consiste en une rapide introduction du vocabulaire et des notions fondamentales, puis se compose en trois parties :  sécurité offensive : où nous ferrons un tour d’horizon de différentes menaces pouvant être rencontrées, et des méthodologies mises en œuvres  sécurité opérationnelle : où nous verrons comment se prémunir contre la fuite d'informations sensibles  sécurité défensive : où nous verrons, enfin, la méthodologie et les techniques mises en place pour se prémunir des différents risques Pré-requis : notions fondamentales d'informatique (réseau, systèmes d'exploitation, langages, etc ...) Durée : une semaine (35h environs) Noël Macé (noelmace.com) 5 I - Avertissement concernant la licence de ce document I Attention : A l'attention du lecteur Si vous utilisez ou voyez présenté ce document contre contrepartie financière, ou dans le cadre d'un événement (conférence ou formation) ayant donné lieu à contrepartie financière, ceci a sans doute été fait de manière illégale. Merci donc de le signaler immédiatement à l'auteur, Noël Macé, par mail : contact (at) noelmace.com. Ce document, ainsi que, sauf mention contraire, tous ceux contenus dans celui-ci, sont placés sous licence creative common BY-NC-SA1. Attention Tout usage de ce document (présentation, publication, reproduction, travail dérivé ...) amenant, directement ou indirectement, à une contrepartie financière, est strictement interdit par cette license . Tout contrevenant (physique ou moral) sans autorisation préalable écrite et explicite de l'auteur, Noël Macé, s'expose à des poursuites judiciaires. 1 - https://creativecommons.org/licenses/by-nc-sa/2.0/fr/ Noël Macé (noelmace.com) 7 II - Note de version II Version 0.2 Après une refonte pour donner une orientation plus "pratique" de ce cours, cette version reste incomplète, et nécessite encore l'ajout des points suivants :  malwares  sécurité système  authentification (LDAP, pam, double authentification, stockage des mots de passe, etc ...) Vous trouverez plus d'information concernant le version de mes supports sur mon site personnel : http://www.noelmace.com2 Pour suivre l'avancement de plusieurs de mes supports (et pourquoi pas, participer à leur amélioration), je vous invite à vous rendre sur le dépôt Github dédié : https://github.com/noelmace/Scenari_course_materials3 Enfin, pour me communiquer la moindre remarque, merci de me contacter par mail : contact (at) noelmace.com 2 - http://www.noelmace.com 3 - https://github.com/noelmace/Scenari_course_materials Noël Macé (noelmace.com) 9 III - Définitions, notions et vocabulaire III Introduction à la sécurité 13 Les enjeux de la SSI 17 Démarche générale 20 Intelligence gathering 21 A. Introduction à la sécurité 1. Définition générale de la sécurité Définition : Sécurité « Confiance, tranquillité d'esprit qui résulte de l'opinion, bien ou mal fondée, qu'on n'a pas à craindre de danger. » - Wikitionnaire4 La sécurité, au sens général du terme, consiste donc à se "protéger du danger". Il existe bien des domaine d'application de la sécurité : sécurité des personnes, sécurité nationale, internationale ou civile, sécurité juridique, économique, alimentaire, des transports, etc ... Tous ont ce point commun le "sentiment de sécurité", par définition subjectif, toute sécurité ne pouvant jamais être absolue. Sécuriser un système, c'est avant tout définir un "cadre d'utilisation" prévu, c'est à dire définir ce qui pourra (devra) ou ne pourra pas être fais, et mettre en place les solutions pour appliquer cette politique. « La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu » - JF Pillou 4 - https://fr.wiktionary.org/wiki/s%C3%A9curit%C3%A9 Noël Macé (noelmace.com) 11 2. Limites de la sécurité Sécurité et liberté « Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux. » - Benjamin Franklin Quelque soit le domaine d'application, la sécurité est toujours à opposer à la liberté, dans leurs définitions première. En effet, la politique de sécurité établi les comportements acceptables ou non pour prémunir du danger, et définie donc des comportements "interdits". Bien entendu, certaines libertés n'ont plus de sens dans le cadre d'une politique de sécurité (la liberté de chacun de s'endormir sur une voie ferrée n'a pas de mesure face au danger encouru). Cependant, un responsable en sécurité doit toujours garder à l'esprit les libertés de l'usager, et éviter tout comportement excessif, alors perçu comme une entrave abusive. Exemple : Vie privée Une politique de sécurité établissant le traçage de toutes les activités de chaque employé au sain d'une entreprise, bien que permettant une garantie supplémentaire de sécurité, serait vite perçue comme excessive, et contournée. Acceptation et éducation Conséquence direct du point précédent, une politique de sécurité se doit d'être comprise et acceptée. Sans cela, tout usager peu alors sortir des comportements prévus, volontairement ou non, et ainsi compromettre la sécurité du système. 3. Particularités des systèmes d'information Définition : Systèmes d'information « Ensemble organisé de ressources (matériels, logiciels, personnel, données et procédures) qui permet de collecter, regrouper, classifier, traiter et diffuser de l'information dans un environnement donné » - De Courcy R. Les NTIC Aujourd'hui, quand nous parlons de "systèmes d'information", nous pensons bien entendu avant tout aux Nouvelle Technologies de l'Information et de la Communication, c'est à dire, pour faire simple, l'informatique. Il faut cependant garder à l'esprit, surtout quand nous parlons de sécurité, que l'informatique n'est toujours que l'un des aspects de la communication. En effet, la parole, le courrier, et bien d'autres solutions demeurent des systèmes d'information, par lesquels la confidentialité de vos donné peu être corrompu. Sécurité des systèmes d'information La SSI consiste donc à protéger les informations manipulées informatiquement (mais pas seulement). Gardez toujours à l'esprit que la "sécurité informatique" ne consiste jamais à protéger notre système, mais ce à quoi ce système donne accès, c'est à dire de l'information et des outils. Protéger le système informatique ne peu être une fin en soit ! Définitions, notions et vocabulaire Noël Macé (noelmace.com) 12 4. Les domaines de la SSI Sécurité offensive La sécurité offensive, comme son nom l'indique, consiste à "attaquer". Même si de nombreuses personnes apprennent ces méthodes (généralement de manière autodidacte) dans un but peu louable, nous enseignons généralement ces techniques soit dans le cadre de l'ethical hacking, permettant de déterminer les failles d'un système de manière légale grâce aux techniques offensives, soit dans le cadre d'un préalable indispensable à la sécurité défensive ("connaitre ses ennemis pour mieux se défendre"). Sécurité opérationnelle La sécurité opérationnelle (ou OPSEC) consiste à la mise en œuvre de techniques, comportement et méthode permettant la protection uploads/Ingenierie_Lourd/ crack-de-cle-wpa-en-quelques-heures-faille-wps.pdf