Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

La sécurité informatique Fabrice Prigent Université Toulouse 1 Capitole Droit d

La sécurité informatique Fabrice Prigent Université Toulouse 1 Capitole Droit du numérique Lundi 21 décembre 2019 Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 1 / 304 Petit test Un papier Un crayon 5 secondes pour répondre Vous êtes prêts ? Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 2 / 304 Petit test Une raquette et une balle de tennis de table valent au total 1,10 €. La raquette vaut un euro de plus que la balle. Combien coûte la balle ? Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 3 / 304 Petit test : résultat Réﬂéchissez à votre résultat. Faites vous-mieux que les étudiants de Princeton, Cambridge ou autres ? (50% d’erreurs) http://ecopsycho.gretha.cnrs.fr ou plus "hype" Daniel Kahneman "Thinking fast and slow" Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 4 / 304 Des maths et des courbes elliptiques La sécurité informatique c’est du chiﬀrement par courbes elliptiques : Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 5 / 304 Du quantique Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 6 / 304 De la logique Paradoxe de Simpson Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 7 / 304 De la psychologie Argument d’autorité Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 8 / 304 De l’électronique Détection audio Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 9 / 304 Du droit Aﬀaire "Escota / Lycos, Lucent Technologies, Nicolas B." Elle impute à la société Lucent Technologies les fautes commises par son préposé, créateur originel du site litigieux. Il y a donc lieu de constater que la faute de Nicolas B., a été commise dans le cadre des fonctions auxquelles il était employé et de déclarer la société Lucent Technologies responsable sur le fondement de l’article 1384 alinéa 5 du code civil. Déclare la société Lucent Technologies responsable en sa qualité de commettant des agissements de Nicolas B. retenus comme fautifs en matière de contrefaçon de marque. Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 10 / 304 Et de l’informatique Homographe et UTF-8 Vous voulez ma clé USB ? Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 11 / 304 Plus lointain Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 12 / 304 Pour résumer La sécurité informatique est un domaine très trans-disciplinaire Personne ne peut se vanter de le comprendre entièrement. Mais tout le monde peut, dans son domaine, y amener son expertise. Et surtout, avoir simplement une vague connaissance des autres domaines, est fondamental. Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 13 / 304 Déﬁnition Protéger l’entreprise Y compris sa version non informatique Par des moyens informatiques Si vous n’en êtes pas convaincus, essayez d’en convaincre vos interlocuteurs. Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 14 / 304 Autre angle de déﬁnition Autre angle de déﬁnition Assurer la conﬁdentialité l’intégrité la disponibilité et si possible leur imputabilité des informations Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 15 / 304 Évaluer Les diﬃcultés Le contexte Quels sont les risques ? Quelles sont les menaces ? La sécurité se mesure-t-elle ? Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 16 / 304 Les diﬃcultés Génère des désagréments L’empêcheur de surfer en rond. Beaucoup de travail Nécessite de fortes compétences en réseau, en système, en droit, et une remise à niveau permanente Coûte de l’argent et ne rapporte rien Pas de reconnaissance Si ça marche : "A quoi ça sert ?" Sinon : "Vous êtes nul !" Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 17 / 304 Le contexte : Internet Historique Connexion de bout en bout Réseau ouvert Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 18 / 304 Historique 1962 : Réseau militaire 1968 : Premiers tests réseau à paquets 1 Octobre 1969 Arpanet(RFC,UNIX) Septembre 1978 : IPv4 1991 : Création de WWW par Tim Lee Werners 1992 : Découverte d’Internet par le grand public Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 19 / 304 Connexion de bout en bout les RFC 1122 et 1123 déﬁnissent les règles pour les machines Accessibilité totale On fait ce que l’on dit, et l’on dit ce que l’on fait Signaler quand cela ne marche pas Signaler pourquoi Système ouvert Finger Rexec Sendmail Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 20 / 304 Réseau ouvert Entraide : prêt de ressources Sendmail →relayage de spams DNS →saturation de serveurs distants Assistance au débogage EXPN et VRFY de sendmail →collecte d’informations XFER DNS →cartographie de réseaux Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 21 / 304 Les risques Destruction de données Perte de marchés Perte de temps et donc d’argent Risques juridiques Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 22 / 304 Destruction de données Comptabilité Données clients R & D, Conception, Production Les PME meurent dans les 3 mois. Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 23 / 304 Perte de marché Vol ou divulgation d’information Recherche et développement Fichier client Dégradation de l’image Modiﬁcation du site web Divulgation d’informations Perte de conﬁance Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 24 / 304 Pertes ﬁnancière et boursière Exemple de Yahoo Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 25 / 304 Pertes ﬁnancière et boursière Mais ce n’est pas toujours le cas Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 26 / 304 Pertes ﬁnancière et boursière Cause ou conséquence ? http://riskbasedsecurity.com Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 27 / 304 Perte de temps et donc d’argent Arrêt de la production Recherche des causes Remise en état Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 28 / 304 Risques juridiques Lois françaises Échanges illégaux (terrorisme/pédopornographie/P2P), Attaques par rebond, Conﬁdentialité des données personnelles (Article 226-17 et Article 226-34), GDPR / RGPD (Règlement européen : 25 Mai 2018). 2 à 4% du chiﬀre d’aﬀaire mondial 10-20 Mepour les administrations Contrats Disponibilité Lois internationales Loi Sarbanes-Oxley (US) Réglementation Bâle II Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 29 / 304 Les menaces : attaques Historique Niveau des attaques Types d’attaque Déroulement d’une attaque Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 30 / 304 Les attaques : pré-historique 1975 : Jon Postel pressent le SPAM →1983 : blagues de potaches 1983 : Wargames Août 1986 : Cukoo’s egg (1989) Cliﬀord Stoll : 1er Honeypot. (0.75$) 2 Novembre 1988 : Ver de Morris 10% du parc mondial (6000 sur 60000) Création du CERT Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 31 / 304 Les attaques : historique 2001 : Code Rouge 24 janvier 2003 : Slammer (376 octets) doublait toutes les 2,5 secondes 90% des hôtes vulnérables infectés en 10 minutes 2004 : Location de zombies 2008 : Les Anonymous commencent leurs attaques Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 32 / 304 Les attaques : contemporain 2009 : Conﬁcker (7%, Militaire, 250 K$, MD6).. 50 PC par semaine sur Renater. 2010 : Opération Aurora, Mariposa (13 M), Comodo, Stuxnet, etc. 2011 : Aﬀaire DigiNoTar (certiﬁcat *.google.com), 2012 : Pacemakers, Piratage de l’Élysée, 2013 : PRISM (Snowden), Backdoor DLink 2014 : Cryptolocker, Shellshock(98), Sony, FIN4, Failles SSL (Poodle, Heartbleed) 2015 : Cyberdjihadisme, Hacking Team, Full HTTPS, Ashley Madison, Backdoor Cisco 2016 : DNC, Méga DDos, IoT, Shadow Brokers 2017 : Cryptominers, Equifax, Accenture, AWS public bucket, Wannacry 2018 : Meltdown et consorts, les bibliothèques (event-stream), memcached et DDoS Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 33 / 304 Ashley Madison Site d’adultère, 36 millions d’utilisateurs Piraté le 15 juillet 2015 par Impact Team Wikipédia 300 Go de données (nom, mail (pro souvent), mot de passe, adresse, paiements eﬀectués) 11 millions de mots de passe chiﬀrés avec un salted MD5 5,5 millions de femmes. 70529 bots féminins (43 bots masculins) Pour plus d’information sur le système Ashley-Madison Thomas Ryan et l’expérience Robin Sage (25 ans et 10 ans d’expérience). Fabrice Prigent La sécurité informatique/ Droit du numérique Lundi 21 décembre 2019 34 / 304 Les attaques et événements : 2019 Airbus et Altran (AD, cryptolocker + 1 M$ de rançon) se font pirater 15 webstressers conﬁsqués, et 250 utilisateurs poursuivis. VFEmail fournisseur de mail sécurisé depuis 2001 voit son infrastructure détruite. Vulnérabilité RunC permet de sortir des conteneurs. La Russie contrôle son accès Internet, et la uploads/Science et Technologie/ cours-droit-informatique-pdf.pdf