Introduction à la sécurité informatique – Pourquoi il faut en parler ? – Mais comment ils font ?

View Github Repository Open presentation in a new window

PierreZ

See all presentation from PierreZ

Introduction à la sécurité informatique – Pourquoi il faut en parler ? – Mais comment ils font ?

0 1

intro-secu-isen

A small presentation given at ISEN to introduce ITSec to students

On Github PierreZ / intro-secu-isen

Introduction à la sécurité informatique

ISEN Brest - 2015

Par Pierre Zemb

+Me

Pierre Zemb

  • Etudiant en Génie Logiciel
  • Alternant à OVH Brest

https://pierrezemb.fr @PierreZ

Avant de commencer

Ceci n'est pas:

  • Un cours de crypto
  • Un cours pour pirater le Wi-Fi du voisin ou son compte Facebook
  • Un cours qui va vous transformer en hommes des cavernes

C'est une sensibilisation

Pourquoi il faut en parler ?

Toutes les entreprises sont des entreprises logicielles

"Vous, développeurs, avez une grande responsabilité car les portes d'entrée de la surveillance sont des bugs!" Eric Filiol à #DevoxxFR

— Alain Buzzacaro (@abuzzacaro) 9 Avril 2015

Un logiciel est jamais infaillible

Uber Customer Account Credentials for Sale on the Dark Web http://t.co/29oFXKfXeT #uber #infosec #security

— Norse (@NorseCorp) 31 Mars 2015

Un logiciel est jamais infaillible

160,000 Facebook Accounts are Compromised Per Day http://t.co/t0C1Pb7nVr Via @facecrooks pic.twitter.com/ReFUueDQQ1

— Cyber Streetwise (@cyberstreetwise) 10 Mars 2015

Un logiciel est jamais infaillible

39,890 MongoDB databases openly available on the Internet

Un logiciel est jamais infaillible

La vérité effrayante sur vos mots de passe: Analyse de la fuite Gmail

Un logiciel est jamais infaillible

Hackers stole 5.6 million fingerprints from the US government http://t.co/LeDd1wM6BS pic.twitter.com/0rCKN2lWAW

— Business Insider (@businessinsider) 2 Octobre 2015

Une entreprise est jamais infaillibe

Mais comment ils font ?

Vecteurs d'attaques

L'interface CC

m'en fous, on n'héberge pas de données sensibles…

La solution ?

Chiffrer

Les enjeux

  • guerre de l'information
  • tracking et recroisement
  • identité numérique

Les méthodes de chiffrement

  • Hachage
  • Chiffrement symétrique
  • Chiffrement asymétrique

Hachage

  • calcul d'une empreinte identifiant la source
  • non-réversible
  • MD5 / SHA / BCrypt

Ce qu'il ne faut pas faire !


user account plain text password
john@hotmail.com password
betty@gmail.com password123
...
...

Les bases de la sécurité pour l'ingénieur logiciel

							
Les fonctions de hash

							

user account sha1(password)
john@hotmail.com 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8
pohn@hotmail.com d7a8fbb307d7809469ca9abcb0082e4f8d5651e4
betty@gmail.com cbfdac6008f9cab4083784cbd1874f76618d2a97
...
...

Si un pirate accède à votre base de données avec un million d'utilisateurs, ils seront en mesure d'obtenir la majorité des mots de passe des utilisateurs avec 1 cpu-hour !

						
Les bases de la sécurité pour l'ingénieur logiciel

							
Les fonctions de hash avec salt fixe

							
								

user account sha1("salt123456789" + password)
john@hotmail.com b467b644150eb350bbc1c8b44b21b08af99268aa
betty@gmail.com 31aa70fd38fee6f1f8b3142942ba9613920dfea0
...
...

Ajouter un salt fixe n'est toujours pas assez sécurisé

						
Les bases de la sécurité pour l'ingénieur logiciel

							
Les fonctions de hash avec salt/user

							
								

user account salt sha1(salt + password)
john@hotmail.com 2dc7fcc... 1a74404cb136dd60041dbf694e5c2ec0e7d15b42
betty@gmail.com afadb2f... e33ab75f29a9cf3f70d3fd14a7f47cd752e9c550
...
...
...

  • Le pirate ne peut pas attaquer tous les mots de passe de vos utilisateurs en même temps !
    • 
								
  • Ils ont besoin d'un million de cpu-hours, au lieu d'une heure !
    • 
							
chiffrement symétrique

							
  • clé unique pour toutes les opérations
    • 
								
  • rapide
    • 
								
  • sensible sur la clé
    • 
								
  • DES/AES
    • 
							
chiffrement asymétrique

							
  • Une clé privée et une publique
    • 
								
  • plus lent
    • 
								
  • RSA
    • 
							
Chiffrement asymétrique

							
Chiffrement asymétrique

							
Signature

							
  • asymétrique inversée
    • 
								
  • pas de sécurisation ; identification
    • 
							
Certificats

							
  • authentifie un client auprès d'un tiers de confiance
    • 
								
  • assure la révocation
    • 
								
  • Let's Encrypt
    • 
							
le réseau

							
  • 
									SSL / TLS
								
    • 
								
Et pour le commun des mortels ?

							

						
La gestion des mots de passes

							
						
Et pour les utilisateurs ?

							
Gestion des mots de passes

							
  • KeePassX
    • 
								
  • LastPass
    • 
								
  • 1Password
    • 
								
  • ...
    • 
							
Activer l'authentification 2-facteurs !

							
La solution hype du moment: Yubikeys

							
Quelques extensions pour navigateur

							
  • HTTPS Everywhere
    • 
								
  • SSleuth
    • 
								
  • Self-Destructing cookies
    • 
								
  • uBlock Origin
    • 
							
Pour chiffrer

							
  • Les données: PGP
    • 
								
  • Son disque: dm-crypt/Apple FileVault/BitLocker Drive Encryption for Windows
    • 
								
  • Traffic: HTTPS/VPN
    • 
							
Mettre à jour ses machines!

							
Surveiller les sites internets

							
So much end

						


			

















































































































					Introduction à la sécurité informatique
						ISEN Brest - 2015
						Par Pierre Zemb