132 pages
Français

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris
Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus
132 pages
Français
Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

Description

Pourquoi un manuel sur la cybersécurité? Parce que nous sommes tous concernés. Environ 3 personnes sur 5 ont déja subi une cyberattaque : vol de mot de passe, perte d'accès ou activité suspecte sur un compte, transactions non légitimes sur une carte de crédit, perte de données personnelles sou sensibles, comportement anormal de son ordinateur ou de son smartphone.La cybersécurité ? De quoi parle-t-on ? Pourquoi faut-il se protéger ? De qui ? Comment ? Cet ouvrage a pour but d'apporter les informations nécessaires à une première approche du sujet. Au cours de votre lecture vous découvrirez le contrôle d'accès, l'ingénierie sociale, les logiciels malveillants, les communications sécurisées, la vulnérabilité du web, la sécurité mobile, le respect de la vie privée, les nouvelles technologies, et la cybersécurité en entreprise.

Informations

Publié par
Date de parution 01 janvier 2022
Nombre de lectures 327
EAN13 9782759048489
Langue Français
Poids de l'ouvrage 2 Mo

Informations légales : prix de location à la page 0,0750€. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.

Extrait

La cybersecurite.indd 1
LA CYBERSÉCURITÉ
Karina Sokolova & Charles Perez
27/10/2021 17:09
La cybersecurite.indd 2
27/10/2021 17:09
Préfac
e
Pourquoî un manuel sur la cybersécurîté ? Parce que tout le monde est concerné. Parce qu’îl n’a jamaîs eîsté autant de menaces dans le monde numérîque. Parce que ces menaces sont en perpétuelle évolutîon. Parce que les nouvelles technologîes sont partout et omnîprésentes dans nos vîes. Parce qu’îl n’y a que deu types d’utîlîsateurs : celuî quî a déjà été touché par un problème de sécurîté (vîrus, rançongîcîel, vol de données, etc.) et celuî quî le sera, ce n’est qu’une questîon de temps.
La cybersécurîté doît întervenîr à deu nîveau. Tout d’abord, nous la trouvons au nîveau des systèmes d’înformatîon au sens large : réseau de télécommunîcatîons, réseau d’entreprîses, serveurs, postes de travaîl, applîcatîons métîers. Puîs elle doît être présente au nîveau des données : brevets, plan marketîng, données à caractère personnel, etc. C’est l’înformatîon quî nourrît de plus en plus l’économîe, les données e étant souvent consîdérées comme le pétrole du xxi sîècle. Ces deu nîveau sont à combîner pour pouvoîr être effîcaces. En effet, l’Internet est un espace d’affronte-ment asymétrîque. Avec très peu de moyens, îl est facîle de générer beaucoup de dégâts. Il est donc îndîspensable que la cybersécurîté întervîenne sur un pérîmètre très large pour évîter l’effet « talon d’Achîlle ».
Maîs rassurez-vous, rîen n’est înéluctable et loîn de noîrcîr le tableau, ce manuel dîdactîque, nî trop technîque nî trop sîmplîste, va vous éclaîrer sur les prîncîpales thématîques lîées à la cybersécurîté en abordant les dîfférentes menaces auquelles vous pourrîez être confronté maîs également sur les solutîons à mettre en œuvre pour se protéger. Attentîon, l’être humaîn doît rester au cœur de la stratégîe de cyberdéfense : îl est en même temps le « maîllon faîble » et celuî quî va, par son bon sens, sa volonté et sa motîvatîon, évîter de tomber dans les pîèges et trouver les solutîons de défense optîmales.
Chaque chapître de ce manuel couvre un domaîne stratégîque présentant les aspects technîques, fonctîonnels et jurîdîques. Les sujets étant abordés de manîère synthétîque, vous pourrez obtenîr rapîdement une vîsîon d’ensemble de ce qu’est la cybersécurîté et vous serez prêt à vous défendre en ayant les bons réflees. Évîdemment, îl ne s’agît que d’une premîère étape pour bîen comprendre ce qu’est la cybersécurîté. À vous ensuîte d’approfondîr ces dîfférentes connaîssances sî vous le désîrez.
Après avoîr lu ce manuel, vous ne pourrez plus dîre « Je ne savaîs pas ».
Bonne lecture à tous.
La cybersecurite.indd 3
Alain Corpel Enseignant en Cybersécurité à l’Université de Technologie de Troyes Expert judiciaire près des tribunaux
La Cybersécurité
3
27/10/2021 17:09
La cybersecurite.indd 4
27/10/2021 17:09
Sommaire
INTRODUCTION                                              7
CHAPITRE 1 : LE CONTRÔLE D’ACCÈS                        13 »             Qui suis-je ? Comment le prouver et pour quels droits ? 13 »Attaquer un mot de passe : par force brute et par dictionnaire        16 »Un mot de passe qui me ressemble                                20 »Protections contre les attaques                                   20
CHAPITRE 2 : INGÉNIERIE SOCIALE, OU LA FAILLE HUMAINE    23 »L’hameçonnage                                                 23 »Stockage et réutilisation de mots de passe                         28 »Autres failles humaines                                          31
CHAPITRE 3 : LOGICIELS MALVEILLANTS ET ESPIONS          35 »Les virus                                                       35 »Les chevaux de Troie                                            36 »Les vers                                                        37 »                                            Les portes dérobées 37 »Les enregistreurs de frappe                                       38 »                                              Les rançongiciels 39 »Les publiciels                                                   40 »Les Botnets                                                     40 »Les menaces persistantes avancées                               41 »Protection : détecter, supprimer, éviter                             43 CHAPITRE 4 : MESSAGES SECRETS                           47 »                         L’encodage                            47 »La cryptologie ou l’art de l’écriture secrète                          48 »Le chiffrement symétrique                                        49 »Le chiffrement asymétrique                                       51 »                                       Les fonctions de hachage 52 »                                             La stéganographie 54
CHAPITRE 5 : COMMUNICATIONS SÉCURISÉES                57 »Le réseau                                                      57 »Protocole HTTP versus HTTPS                                     59 »Le serveur mandataire ou proxy                                   62
La cybersecurite.indd 5
La Cybersécurité
5
27/10/2021 17:09
6
»privé virtuel (VPN)                                      Le réseau 63 »Le Wi-Fi                                                        64 »Le RFID/NFC                                                   67 »Le Bluetooth                                                   68
CHAPITRE 6 : LA SÉCURITÉ MOBILE                          71 »Données mobiles : un système de surveillance dans votre poche ?     71 »Distribution et vérification des applications                         74 »des droits des applications                                Gestion 77 »                                         Élévation des privilèges 80 »                                      Chiffrement et effacement 82 »Sauvegarde, extraction des données                               84 »Comment se protéger ?                                          85
CHAPITRE 7 : IDENTITÉ ET PROFILAGE NUMÉRIQUE            87 »Identité numérique                                              87 »                                    Collecte de données en ligne 88 »                        Traqueurs, Cookies, Pixel espion           92 »                          Personnalisation et sur-personnalisation 99 CHAPITRE 8 : LES NOUVELLES TECHNOLOGIES              101 »Du Big Data à Big Brother                                       101 »Informatique en nuage                                          103 »                          Objets connectés et Internet des objets 105 »La Blockchain : une panacée ?                                   108 »Du web référencé au dark web                                   110 »                                                   Les drones 113
CHAPITRE 9 : LA CYBERSÉCURITÉ EN ENTREPRISE            115 »Cybersécurité et gestion du risque                                115 »Charte informatique                                            117 »Sensibiliser                                                    118 »Auditer un système d’information                                 119 »Métiers de la cybersécurité                                      121 »                                                Acteurs publics 122 »Règlement général sur la protection des données                  124 »Appareils personnels                                            125
CONCLUSION                                             126
La Cybersécurité
La cybersecurite.indd 6
27/10/2021 17:09
Introduction
Notre socîété s’est peu à peu dîgîtalîsée, permettant aînsî une nouvelle étape dans son hîstoîre : la révolutîon du numérîque. L’essor des technologîes dîgîtales, aussî connues sous le nom de technologîes de l’înformatîon et de la communîcatîon, est apparu dans les années 1960 avec Internet et a su séduîre en quelques décennîes un très large publîc. Nous dénombrons aujourd’huî plus de 30 mîllîards d’appa-reîls connectés à Internet et les estîmatîons nous îndîquent une augmentatîon de 50 mîllîards d’îcî 2025. Chaque jour, plus de 2,5 quîntîllîons d’octets de données sont générés sur support dîgîtal.
Internet a permîs au îndîvîdus connectés de dépasser les lîmîtes des frontîères naturelles pour échanger de manîère înstantanée et presque sans contraînte. Les réseau socîau numérîques tels que Facebook, Twîtter, LînkedIn, TîkTok ou Instagram ont contrîbué à l’éclosîon de ce nouveau type de socîété, souvent îdentîfîée comme la « socîété en réseau ». L’înstantanéîté des échanges, la person-nalîsatîon des servîces et les avancées régulîères en télécommunîcatîon sont des vecteurs de cette dîgîtalîsatîon.
Les nouvelles technologîes de l’înformatîon ont rendu possîble le partage, le traîtement, le stockage des données d’entreprîse permettant aînsî l'émergence d’un système centré sur l’înformatîon comme une colonne vertébrale. C’est aînsî que la transformatîon dîgîtale a permîs l’automatîsatîon des multîples processus d’entreprîse. Aujourd’huî, nombre de systèmes sont dîgîtalîsés, sî ce n’est entîèrement du moîns partîellement. Nous observons l’émergence de voîtures connectées, d’appareîls de domotîque connectés et întellîgents, de la robotîque, de drones întellîgents et peut-être dès demaîn, de l’usage de l’înformatîque combîné avec la neuroscîence pour enrîchîr les lîmîtes cognîtîves de l’être humaîn. D’une chaïne de productîon gérée par des robots întellîgents, d’une centrale nucléaîre à un système bancaîre, du tradîng haute fréquence à des jeu d’înfluence d’înformatîon et de désînformatîon, îl n’eîste aujourd’huî quasîment plus de système entîèrement îndépendant des technologîes dîgîtales.
Notre usage de ces technologîes est devenu de plus en plus naturel et omnîprésent, venant satîsfaîre nos besoîns de communîcatîon, de transactîon, de mémorîsatîon, de partage, de consommatîon, de mobîlîté et de dîvertîssement. Pour estîmer la force de ce lîen, îmagînez-vous oublîer votre téléphone întellîgent chez vous un matîn. En chemîn vers le travaîl, vous vous en rendez compte, que faîtes-vous ? Ferez-vous partîe des personnes quî feront demî-tour ou pouvez-vous vous passer de votre smartphone ne seraît-ce qu’une seule journée ?
La cybersecurite.indd 7
La Cybersécurité
7
27/10/2021 17:09
8
Ce lîen tîssé avec les technologîes et avec les autres au travers de ces technologîes mène souvent à oublîer que nos comportements avec ces outîls et technologîes sont dîgîtalîsés et donc par nature bîen souvent sondés, traqués, mémorîsés et sujets à de multîples vulnérabîlîtés.
Nous écrîvons chacun notre hîstoîre avec et par les technologîes dîgîtales. Celle-cî n’est pas laîssée à l’étude de l’hîstorîen quî décîde de la relater, nî du pharaon quî décîde de l’îllustrer ou de la faîre graver dans la pîerre, maîs basée dîrectement sur les données représentant vos actes, vos photos, vos messages, vos goûts, les lîeu et les personnes quî font votre quotîdîen. Ces données pourraîent en théorîe se retrouver parfaîtement întactes et consultables de tous même après des décennîes, des sîècles ou des mîllénaîres. Cette dîgîtalîsatîon nous amène à consîdérer que le chemîn tracé par chaque îndîvîdu, maîs aussî par le regard des autres sur celuî-cî, ne s’effacera pas de sîtôt et qu’îl pourra être scruté et analysé même des années après la fîn de son passage. Cette îmage de ce que devîent progressîvement notre vîe prîvée y comprîs au-delà de notre eîstence, nous révèle la compleîté des problématîques à traîter dans ce nouveau sîècle. Un sîècle où la nature numérîque de l’homme s’éveîlle à peîne.
Nos actîvîtés en lîgne, et par etensîon leurs données assocîées, sont gérées par des servîces dont la sécurîté n’est pas sans faîlle, et quî doît faîre face à de nombreuses menaces avérées. Quelquefoîs, îl est dîffîcîle de s’assurer de la légîtîmîté d’un servîce supposé fîable avec lequel nous înteragîssons. Par eemple, le vol d’un compte de messagerîe d’un de vos amîs proches peut vous amener à échanger avec un usur-pateur, et ce sans vous en rendre compte.
De nos jours, des cyberattaques plus ou moîns împortantes se déroulent quotîdîen-nement. Sî vous sondez votre entourage, vous noterez qu’envîron 3 personnes sur 5 ont déjà subî une cyberattaque : vol de mot de passe, perte d’accès ou actîvîté suspecte sur un compte, transactîons non légîtîmes sur une carte de crédît, perte des données personnelles ou sensîbles, comportement anormal de son ordînateur ou de son smartphone. Certaînes attaques ont des conséquences îmmédîates et vîsîbles maîs un grand nombre s'eécutent de manîère sîlencîeuse. Dans ce cas, l’utî-lîsateur/l’entreprîse peut ne pas comprendre îmmédîatement qu’îl vîent de subîr une cyberattaque et même ne jamaîs s’en rendre compte.
Dans le cas d’une attaque cîblant une entreprîse, les conséquences peuvent être dévastatrîces : perte des données sensîbles, împact fînancîer, perte de confîance des clîents, chantage, etc. Pourtant, ce combat est înégal car îl est soumîs à une forte asymétrîe. Tandîs que les entreprîses doîvent se prémunîr contre l’ensemble des faîlles d’un système dîgîtal, un assaîllant, luî, n’a qu’à eploîter une seule faîlle (potentîellement l’unîque faîlle) pour rendre le système entîèrement vulnérable.
La Cybersécurité
La cybersecurite.indd 8
27/10/2021 17:09
La néglîgence humaîne est l’une des faîlles les plus crîtîques, par la non-compréhensîon des règles de sécurîté, un manque de formatîon ou le non-respect des bonnes pratîques de sécurîté dans l’entreprîse. Nombre d’eemples vîennent îllustrer les menaces quî s’applîquent tant à l’échelle des cîtoyens que des entreprîses, ou même des États.
En maî 2014, la célèbre entreprîse de courtage en lîgne eBay a annoncé être vîctîme d’une cyberattaque. Les attaquants se sont întroduîts dans le réseau înterne d’eBay en subtîlîsant les îdentîfîants et les mots de passe de quelques employés, générant une fuîte des données des utîlîsateurs.A priori, aucune donnée fînancîère n’a été volée maîs l’entreprîse a perdu la confîance de ses utîlîsateurs, ce quî a fortement dîmînué l’actîvîté sur la plateforme les jours et les semaînes quî ont suîvî l’affaîre. Sous l’effet de l’annonce, l'actîon eBay (NASDAQ) auraît perdu jusqu'à 3,2 %.
Ashley Madîson – le sîte Internet de rencontres spécîalîsé dans les aventures etra-conjugales – a été vîctîme d’une cyberattaque en 2015. Un groupe de hackeurs, désîreu de faîre clôturer le sîte Internet qu’îl juge îmmoral de par la nature de son offre, pénètre dans la base de données et récupère les înformatîons prove-nant de 37 mîllîons de membres. Le but des hackeurs : se servîr de ces înformatîons comme d’un moyen de pressîon afîn de faîre fermer le servîce. Ne se voyant pas obtenîr gaîn de cause, c’est un moîs plus tard qu’îls dîvulguent la base de données des membres. Courrîels, numéros de téléphone, noms, adresses, préférences et pratîques sont publîés en lîgne. Les membres d'Ashley Madîson ont eu aussî reçu des courrîels menaçant de dévoîler leur actîvîté cachée à leur conjoînt et/ou famîlle s'îls ne payaîent pas de rançon. Ashley Madîson, quî proposaît au utîlîsateurs quî se désabonnaîent un servîce payant afîn de supprîmer défînîtîvement leurs données, contînuaît en réalîté à les conserver. Aînsî, lors de la cyberattaque, nombre d’înfor-matîons supposées détruîtes tombèrent sur la place publîque. Le pîratage a eu des conséquences tragîques : démîssîons et pertes d’emploî, dîvorces, etc.
Uber s’est faît voler en 2016 les données personnelles de ses chauffeurs et de ses clîents. L’entreprîse a dû payer au attaquants une rançon d’un montant de 100 000 $ pour supprîmer les données et ne pas révéler la fuîte quî sera annoncée seulement l’année suîvante. Certaîns utîlîsateurs du servîce ont porté plaînte contre la socîété pour néglîgence. Là encore, les attaquants ont réussî à récupérer l’îden-tîfîant et le mot de passe d’un employé pour accéder au données înternes de l’entreprîse.
Le réseau socîal Instagram a été vîctîme de nombreuses cyberattaques au cours de ces dernîères années. En septembre 2017, un groupe de pîrates a obtenu les données de plus de 6 mîllîons de comptes. Suîte à cette attaque, des photos compromet-tantes de certaînes célébrîtés et des înformatîons personnelles de nombreu înternautes ont été mîses en vente sur Internet. Des photos aînsî que d’autres
La cybersecurite.indd 9
La Cybersécurité
9
27/10/2021 17:09
10
données de célébrîtés avaîent déjà été volées en 2014 par des cybercrîmînels quî avaîent eploîté une vulnérabîlîté îCloud – la plateforme proposée par Apple.
En 2017, l’attaque massîve Wannacry a touché des entreprîses dans plus de 150 pays. Des entreprîses et îndustrîes telles que Renault, FedE, Telefonîca maîs aussî des hôpîtau, des écoles et des unîversîtés ont été fortement perturbées ou même mîses en arrêt par cette attaque. Ce rançongîcîel a été dîstrîbuévia des courrîels envoyés au employés et s’est propagé dans les réseau înternes des entreprîses rendant nombre de données înaccessîbles.
En 2021, une surveîllance îllégale et généralîsée de personnalîtés polîtîques, publîques, et de journalîstes a été mîse en évîdence par le laboratoîre d’Amnesty Internatîonal. Plus de 50 000 numéros de téléphone auraîent été concernés par des écoutes effectuées vîa le logîcîel espîon Pegasus. L’affaîre Pegasus marque une entrée dans une nouvelle ère. Dans le cas présent, îl n’est plus besoîn d’effectuer la moîndre actîon pour être hameçonné. Le processus se passe à l’însu des vîctîmes grâce à une attaquezero clic. Ce type d’attaque est souvent utîlîsé pour corrompre des ordînateurs, maîs elle a cette foîs été îndustrîalîsée et întégrée à un logîcîel acheté sur étagère.
Les vulnérabîlîtés peuvent être regroupées en troîs grandes famîlles : humaînes, technologîques et organîsatîonnelles. L'être humaîn, de par sa nature, est vulné-rable. Il est même le maîllon faîble dans le domaîne de la sécurîté des systèmes d’înformatîon (SSI). La plupart des vulnérabîlîtés humaînes provîennent d’erreurs, de néglîgences, de manque de compétences, d’oublîs, d’erreurs de saîsîe, etc. Le « tout înformatîque » et le développement rapîde des applîcatîons ont eu pour effet de multîplîer les vulnérabîlîtés dans les logîcîels. L’orîgîne de ces vulnérabîlîtés résîde dans des erreurs de conceptîon, de développement, d’împlémentatîon, de maîntenance ou de confîguratîon. Enfîn, les vulnérabîlîtés organîsatîonnelles sont essentîellement dues à l'absence de documents formalîsés, de procédures (d’alertes, d’escalade, etc.), de cîrcuîts de valîdatîon suffîsamment détaîllés pour faîre face au problèmes de sécurîté. Nous aborderons ces troîs famîlles lors des 9 chapîtres de cet ouvrage dont nous dévoîlons quelques éléments dans les lîgnes quî suîvent.
Comment un servîce dîgîtal peut-îl s’assurer que la personne faîsant face à sa machîne est celle qu’elle prétend être ? Dans le monde physîque, un passeport et une vérîfîcatîon suffîsent. Sur le dîgîtal, îl convîent de pouvoîr réplîquer ce type de contrôle avant d'autorîser les accès. Le chapître 1 de cet ouvrage présentera le mécanîsme utîlîsé pour assurer le contrôle d’accès numérîque. Il îndîquera les faîlles de ces mécanîsmes et les bonnes pratîques recommandées au utîlîsateurs pour évîter les rîsques assocîés.
Nous verrons au cours de cet ouvrage que l’humaîn est au cœur de nos préoccu-patîons lorsque l’on traîte de cybersécurîté. De nombreuses actîons malveîllantes
La Cybersécurité
La cybersecurite.indd 10
27/10/2021 17:09
  • Univers Univers
  • Ebooks Ebooks
  • Livres audio Livres audio
  • Presse Presse
  • Podcasts Podcasts
  • BD BD
  • Documents Documents
Alternate Text