Webinaire sur le cours Intro à la Cyber sécurité

clip_image002

 

Bonjour à tous !

Ne manquez pas ce Webinaire qui vous présentera le cours Introduction à la Cyber Security !

3 dates  en français sont programmées.(11,12 ou 13 Avril prochain).

Vous pourrez vous inscrire au cours directement avec le lien suivant. Profitez-en !

https://www.netacad.com/campaign/483262

clip_image002[5]

Bravo les GMSIA2015 !

Félicitations à tous les GMSIA2015 qui ont validé la deuxième partie du cours Cisco Netacad avec succès !

Il reste 4 mois avant la fin de la formation, nous croisons les doigts pour avoir des candidats à la certification CCENT pour laquelle ils sont normalement fin prêts !!!

17193938_10212353505096337_608127040_o

Chaire d’enseignement et de recherche Cisco/CESI : Industrie et Services de demain

Téléphonie et Sécurité par Dean Bousba en RISR2016

 

La téléphonie sur IP en entreprise est de plus en plus répandue. De plus en plus de risques sont associés à la téléphonie. Les enjeuxAfficher l'image d'origine que représentent ces risques sont aussi importants que sur les systèmes d’informations, bien que la téléphonie soit parfois vue comme une activité « annexe » au SI…. Pourtant, le monde de la téléphonie et de l’IP ne sont plus deux mondes séparés ! Aujourd’hui la téléphonie n’est qu’un applicatif parmi tant d’applications qui utilisent internet et les réseaux informatiques. Les problèmes de sécurité de la téléphonie sont donc ceux du monde informatique, et les cybers attaquants peuvent s’introduire dans un réseau téléphonique.

D’ailleurs un RFC a été rédigé par l’Internet Engineering Task Force (IETF), il s’agit de la RFC 7375. Ce document énumère et analyse les menaces connue dans les systèmes de téléphonie, examine les capacités disponibles et utilisées par les attaquants et décrit dans quel contexte ces attaques sont lancées. Vous trouverez ici le lien de la RFC.

Faisons un rapide tour des deux principaux protocoles utilisée dans le monde de la téléphonie, puis étudions les différentes attaques auxquelles ils peuvent être confrontés. Nous étudierons également les préconisations en matière de sécurité.

I. H.323 et SIP

H.323 a été créé en 1996. H.323 a été un protocole pionnier de la téléphonie sur IP, émanant des instances du monde des télécommunications (UIT ou ITU). L’ITU a achevé ses travaux sur H.323 version 7 en novembre 2009.

Il est plus qu’un protocole, englobant un ensemble de norme utilisé pour l’envoi de données audio et vidéo. On pourrait regrouper ces normes en trois catégories :

· Signalisation : H.323 s’appuie sur RAS (Registration Admission Status), utilisé pour signaler l’ouverture d’une session et pour être mis en relation avec une autre personne. Cette signalisation peut également nous informer que la ligne du correspondant est occupée ou que le téléphone est en train de sonner….

· Négociation  du codec : H.323 s’appuie sur H.245 pour choisir le codec utilisé entre les téléphones et les systèmes en fonction par exemple de la codification qui serait la moins gourmande en bande passante ou celui qui offrira la meilleur qualité de communication. Les messages sont codés en ASN.1 et se basent sur TCP.

· Transport : H.323 s’appuie sur RTP (Real-time Transport Protocol), protocole de niveau 4, définit par la RFC 3550, RTP n’est pas spécifique à la téléphonie, il peut servir à d’autre applications multimédia.

On notera que RTP fonctionne sur UDP, RTP vient ajouter un en tête sur le paquet UDP pour trois raisons principales : – Spécifier le type de codec utilisé, – Numéroter les paquets afin de gérer les pertes et les dé-séquencements, – Fournir une indication d’horloge pour gérer les latences ou Packet Delay Variation.

SIP est un protocole défini en Mars 1999 par la RFC 2543 puis redéfini à travers la RFC 3261 rendant obsolète la version antérieur. Contrairement à H.323, SIP provient clairement du monde de l’internet (IETF) -d’où la rédaction de « request for comment »- et non des télécommunications. SIP ne transporte pas les données, il se charge uniquement d’ouvrir, modifier et terminer les sessions multimédia. En effet SIP peut être utilisé pour différents applicatifs (visiophonie, jeux en ligne, VR, chat…). Comme H.323, le transport des données sur des sessions SIP, est assuré par RTP.

SIP utilise le port 5060 voyons rapidement comment SIP établit une session :

Le client envoie des requêtes au serveur, qui lui renvoie une réponse :

· INVITE permet à un client de demander une nouvelle session,

· ACK confirme l’établissement de la session,

· CANCEL annule un INVITE en suspens,

· BYE termine une session en cours,

· OPTIONS permet de récupérer les capacités de gestion des usagers, sans ouvrir de session,

· REGISTER permet de s’enregistrer auprès d’un serveur d’enregistrement.

Les codes de réponse sont similaires à HTTP :

· 100 Trying,

· 200 OK,

· 404 Not Found.

Les codes supérieurs ou égaux à x80 sont spécifiques à SIP :

· 180 Ringing,

· 486 Busy.

 

II. Les attaques et les risques liée à la téléphonie.

a. Les attaques TDoS

Tout le monde connait les DDoS,( Distributed Denial of Service attack) peu de personnes ont cependant conscience qu’il existe des attaques de déni de service  pour la téléphonie. Afficher l'image d'origine

L’attaque repose sur l’usurpation d’un numéro ou d’une identité, afin de compliquer l’investigation du suspect qui est à l’origine de l’attaque. Une exception à l’usurpation du numéro est le cas de l’attaque par réflexion, où l’attaquant veut faire croire à la culpabilité d’un tiers, et usurpe donc le numéro de ce tiers ce qui peut être d’autant plus préjudiciable.

En émettant un nombre inimaginable d’appels par minutes ou par secondes, sur un numéro cible, l’attaquant rend le numéro de sa victime hors service.

Ces attaques peuvent cibler des entreprises, des individus ou encore des services publics comme un numéro d’urgence. Le cybercriminel peut avoir comme intention d’extorquer la cible en demandant une rançon afin d’arrêter la TDoS. Pour certaines entités rester joignable par téléphone est une priorité, une attaque TDoS pour par exemple, une plateforme téléphonique de vente en ligne, peut stratégiquement devenir très couteuse.

Ces appels en masse peuvent être faits par des robocaller mais aussi par du code, par exemple un malware JavaScript, chargé automatiquement par le navigateur Web, et qui ferait des appels via WebRTC. Il peut donc être prudent d’empêcher ce genre de code non sécurisé d’appeler les services d’urgences…

Voyons concrètement au travers d’un témoignage recueilli ici comment ces attaques se traduisent :

Les attaques TDoS sont souvent utilisées par des cybercriminels qui ont réussi à accéder aux comptes bancaires de leur victime. Dans le circuit de surveillance des transactions frauduleuses, les banques contactent leurs clients pour demander si une transaction inhabituelle est légitime ou tout simplement pour avertir les clients à ce sujet.

Mais, si l’appel téléphonique de la banque ne peut pas se produire parce que le téléphone mobile du client ou le téléphone fixe sont bombardés d’appels bidons et de SMS : des heures, voire plusieurs jours peuvent passer jusqu’à ce que la banque parvienne à communiquer avec le client et, dans cet intervalle de temps, les escrocs disparaissent avec l’argent transféré.

Les cyber-escrocs n’ont pas les capacités à réaliser des attaques TDoS de grande ampleur, mais heureusement, des spécialistes peuvent fournir le service. C’est ainsi que Curt Wilson, Analyste chez Arbor Networks, a trouvé des offres de service de DDoS incluant l’attaque des services téléphoniques disponible à partir de 20$ par jour. Un autre fournisseur de service annonçait dans sa pub fournir une attaque DDoS pour 5$/heure avec un tarif dégressif avec une formule à 20$ pour 10 heures !

b. Le phreaking

Le phreaking est né aux États-Unis dans les années 1960. Un des mythes fondateur du phreaking est l’histoire de John Draper, a.k.a. Captain Crunch. Ce phreaker de renommée internationale avait utilisé un sifflet trouvé dans une boîte de céréales Captain Crunch pour accéder à des fonctions spéciales de la centrale téléphonique. En effet, le son émis par ce sifflet avait une fréquence de 2 600 Hz, la même fréquence que le signal utilisé pour piloter le central téléphonique.

Actuellement, avec l’arrivée du numérique dans les systèmes téléphoniques (VoIP, DECT), les procédés utilisés sont beaucoup moins rocambolesques, mais demandent de sérieuses compétences en informatique.

Le phreaker va utiliser le réseau téléphonique d’une manière non prévue par l’opérateur afin d’accéder à des fonctions spéciales, principalement afin de ne pas payer la communication tout en restant anonymes.

Dernier cas en date, recensé dans notre pays, où la Mairie de Saint Malo a pu découvrir les joies du phreaking en recevant une facture s’élevant à 80 000€.

Une personne malveillante a trouvé le moyen de s’introduire sur le PABX de la commune, et de passer des appels sur le compte de la petite commune bretonne. Le phreaker a ensuite permis à des « téléboutiques » ou « taxiphone » d’appeler en Afrique ou en Amérique du Sud d’où la facture extraordinairement élevé de la commune. Le piratage a eu lieu en mai 2016 et ceci durant seulement quatre jours.

Raison officiel de cette faille, la Mairie a tout simplement omis de changer le mot de passe usine du Pabx, ou ne connaissait pas le mode d’emploi de son matériel…

Vous trouverez ici le lien de l’article relatant la mésaventure de la Mairie de Saint-Malo

c. Le Vishing :

Le hameçonnage par téléphone ou vishing (combinaison de voice et phising) est une attaque qui consiste à communiquer avec des gens par téléphone dans le but de les frauder. L’hameçonnage par téléphone est habituellement utilisé pour s’accaparer des numéros de carte de crédit ou d’informations personnelles, soit pour les revendre ou alors pour usurper l’identité des victimes.

Les forces policières peuvent difficilement repérer et contrer les tentatives d’hameçonnage par téléphone. Les gens qui reçoivent des appels automatisés leur demandant d’appeler à un certain numéro devraient ignorer ces appels ou, s’ils appellent, ils devraient se garder de fournir leur numéro de carte de crédit ou des informations personnelles.

Voici le déroulement typique d’un hameçonnage par téléphone :

1) Le fraudeur programme un moteur de numérotation ou composeur.

2) Lorsqu’une personne répond à l’appel du composeur, un enregistrement, souvent produit par un SVI (Serveur Vocal Interactif), lui mentionne un problème quelconque relié à sa carte de crédit ou son compte de banque et lui demande d’appeler immédiatement un numéro de téléphone.

3) Lorsque la personne appelle le numéro fourni, un système automatisé (SVI typiquement) lui demande son numéro de carte de crédit ou son numéro de compte bancaire, avec potentiellement d’autres informations personnelles comme la date d’expiration, des visuels, des dates de naissance, etc.

4) Le fraudeur peut par la suite utiliser ces informations pour faire des achats

Il existe de nombreuses variantes au scénario précédent. Par exemple, un composeur peut être utilisé à l’étape 2 pour identifier les personnes naïves et un humain peut intervenir à l’étape 3 pour convaincre la personne de fournir l’information demandée.

Un e-mail peut aussi être utilisé à l’étape 2 pour informer la personne d’un problème avec sa carte de crédit ou son compte bancaire et lui demander d’appeler à un numéro de téléphone.

Dans d’autres cas, plutôt que de mentionner un problème avec une carte de crédit ou un compte bancaire, on mentionne à la personne que son ordinateur émet des messages indiquant qu’il est sévèrement infecté par un virus et on tente de lui vendre un logiciel pour le nettoyer (Typiquement les attaquant se font passé pour Microsoft, ou des éditeurs d’antivirus)

III. Solutions existantes et best practices pour sécuriser son infrastructure téléphonique.

Fort heureusement, des solutions sont connues et mis en pratiques afin de renforcer la sécurité et de limiter les attaques potentielles sur le réseau téléphonique.

a. La sécurité physique

La sécurité physique est essentielle dans tout environnement contenant des donnéesAfficher l'image d'origine sensibles. Elle doit permettre la limitation des accès aux bâtiments et équipements, évitant ainsi les intrusions, le vandalisme, et les dommages accidentels (problème électrique, température trop élevée, fuite d’eau…)

De plus, si le trafic voix n’est pas chiffré sur le réseau (typiquement pas de SIP/TLS), toute personne ayant accès au réseau d’une société peut potentiellement intercepter les communications. Les lignes téléphoniques classiques (PSTN) peuvent aussi subir le même type d’attaque. Une politique de contrôle d’accès pour limiter l’accès aux composants du réseau de TOIP via des badgeuses, serrures, service de sécurité etc…, permettra d’établir un premier périmètre de sécurité.

b. L’authentification :

Avoir une politique de mot de passe fort, peut comme nous l’avons vu précédemment avec le cas de phreaking sur le Pabx de la Mairie de Saint Malo, limite clairement les risques d’attaques.

Un mot de passe usine ne doit jamais resté un mot de passe usine, il doit systématiquement être personnalisé et ceci lors de la première utilisation. Il est en de même pour les mots de passes d’accès à la boite vocale, qui parfois est le même que le n° de l’extension ou de la station téléphonique utilisée.

c. Les Vlans :

La séparation logique des flux voix et data à l’aide de VLAN est une mesure fortement recommandée.

Elle doit permettre d’éviter que les incidents rencontrés sur l’un des flux ne puissent perturber l’autre. On parle alors de QoS (Quality Of Service)

Les VLAN ou réseaux locaux virtuels, peuvent être représentés comme une séparation logique d’un même réseau physique. Cette opération se fait au niveau 2 du modèle OSI. On notera cependant qu’un VLAN est souvent configuré pour correspondre directement à un sous réseau IP bien identifié. Comme le port étiquette le Vlan de 0 à 4096, le port peut être paramétré de façon à autoriser le trafic correspondant au Vlan que l’on souhaite faire passer, ou autoriser certaines adresses MAC. Afficher l'image d'origine

Dans un environnement commuté complet, les VLANs vont créer une séparation logique des domaines de broadcast et de collisions – des problèmes dus à ces deux éléments sont souvent rencontrés dans des LAN mal segmenté ou lorsqu’on utilise encore des hubs (les paquets sont envoyé de façon archaïques sur tous les périphériques connectés aux hubs).

De plus, la réduction des domaines de broadcast permet de réduire le trafic sur le réseau, libérant ainsi plus de bande passante pour les applications utiles et réduisant les temps de traitement sur les périphériques réseau. Par exemple, chez Cisco, un Vlan Voice et par défaut configuré lorsqu’un réseau téléphonique est mis en place.

d. Pare-feu Afficher l'image d'origine

Il n’existe pas de pare-feu spécialement conçu pour le trafic TOIP-VOIP. Le pare-feu doit contenir des règles filtrant le trafic par protocole (TCP/UDP), par n° de ports et par adresse IP. Les firewalls supporteront à la fois les protocoles SIP et H.323. Le trafic en destination du réseau interne, doit être systématiquement analysé par le firewall.

Il est essentiel que le pare-feu soit placé en amont des Pabx, et des serveurs liés à la téléphonie, pour anticiper par exemple les attaques TDoS, et limiter ainsi le trafic avant qu’il n’arrive sur le réseau local.

Sources :

http://www.frameip.com/toip/

http://www.bortzmeyer.org/

https://fr.wikipedia.org

https://www.root-me.org/

https://wapiti.telecom-lille.fr/commun/ens/peda/options/st/rio/pub/exposes/exposesser2010-ttnfa2011/barisaux-gourong/H323vsSIP.html

Article Rédigé le 02/12/2016 par Dean BOUSBA RISR-2016

CESI Alternance présent au FIC2017 à Lille

Le CESI Alternance est présent au salon de la CyberSécurité de Lille !!!

De nombreuses conférences sur des thèmes d’actualité comme la sécurité du BIGDATA, le Ranconware et les problématiques d’hébergement des données personnelles sont au programme. La plénière d’ouverture du salon a été assurée par le Ministre de l’Intérieur ce mardi. Les stands de nombreux éditeurs de solutions en sécurité (Cisco, Fortinet, Kaspersky, etc…) et d’ESN expertes (STRATON-IT, NELITE, GFI ….) tombent à point nommé pour les projets WOOD des RISR2015 !

WP_20170124_09_15_17_ProWP_20170124_10_01_59_ProWP_20170124_10_21_31_ProWP_20170124_10_50_04_Pro (2)

Disque SSD NVME par LAVIE Geoffrey (RISR2015)

 

clip_image001La firme sud-coréenne SAMSUNG a présenté au mois de juin 2016 un disque dur SSD(1) NVMe(2) d’une capacité de 512 Go, la particularité de ce disque dur est qu’il est à peine plus grand qu’un timbre-poste (20 x 16 x 1,5mm).

Ce type de disque dur devrait trouver sa place dans les équipements ultra fin.

Samsung poursuit ces efforts dans la recherche sur la mémoire flash VNAND(3). Ce qui lui permet aujourd’hui de pouvoir lancé la production de masse des puces SSD NVMe d’une capacité de 512Go.

clip_image003Samsung a réussi l’exploit de mettre une telle quantité de mémoire flash dans un boitier de type BGA(4), pour lequel les entrés sorties sont des petites billes disposées sous le boitier. Le volume de ce boitier représente environs un centième de celui d’un disque dur SSD ou d’un HDD de 2,5 pouces et Sa surface ne dépasse pas un cinquième de celui d’un SSD du M.2.

Un tel SSD réduit à un seul boîtier de puce intégrable sur une carte devrait permettre aux fabricants d’ordinateurs et aux OEM(5) de proposer des machines dites « ultra-slim ».

Le BGA contient en tout 16 puces de mémoire flash VNAND de 256 Gbits chacune (mémoire « verticale » sur 48 couches) une puce de DRAM(6) LPDDR4(7) de 4 Gbit gravé sur 20nm et un contrôleur haute performance signé SAMSUNG.

Avec son SSD intégrer dans un seul boitier SAMSUNG parvient à s’affranchir de la limite du SATA à 6Gbits/s. De ce fait les lectures et écritures séquentielles atteignent respectivement 1500Mo/s et 900Mo/s quand la technologie « turbowrite » est utilisée.

Le nombre IOPS est également été boosté en lecture et en écriture à respectivement 190 000 et 150 000. A titre de comparaison un HDD classique ne dépassera pas les 120 IOPS en lecture aléatoire, soit approximativement 1600 fois moins que le nouveau SSD de SAMSUNG.

clip_image005A compter du mois de juin 2016 le PM971-NVMe sera disponible dans le monde entier, il sera décliné en plusieurs capacités : 126, 254 et 512 Go, avec une intégration simpliste et des performances boostées. SAMSUNG se montre disruptif sur le marché du SSD.

(1) SSD (Solid-State Drive) : stockage de données sur mémoire flash plus rapide et fiable que des disques durs mécaniques.

(2) NVMe (Non-Volatile Memory Express) : c’est une spécification qui permet à un périphérique de stockage flash de faire un usage optimal des capacités du bus PCI.

(3) VNAND : Type de mémoire flash

(4) BGA (Ball Grid Array) : Type de boitier de circuit intégré, utilisant des microbilles pour faire la connexion.

(5) OEM (Original Equipment Manufacturer) : Produit entrant dans l’assemblage d’un ordinateur qui n’est pas fabriqué par l’assembleur.

(6) DRAM (Dynamic Random Access Memory) : Type de mémoire vive compacte

(7) LPDDR4 (Lower Power Double Data Rate 4) : Format de mémoire pour périphérique basse consommation

Bienvenue aux RISR 2016 !

La nouvelle promotion RISR2016 vient de débuter au CESI avec une vingtaine d’étudiants. Bon courage à tous pour cette nouvelle aventure et triple objectif pour tous:

DIPLOME ! DOUBLE CQP ! CERTIFICATIONS !

 

WP_20161024_16_17_11_Pro

Déjà au travail le premier jour en pédagogie active autours des règlements et chartes CESI.

WP_20161024_14_11_18_Pro

Ouverture des GMSIA2016 sur Arras !!!

Bienvenue aux nouveaux étudiants en formation GMSIA2016.

(Gestionnaire en Maintenance et Support Informatique). C’est parti pour une alternance de 2 ans avec les entreprises de la région. Bonne formation à tous, profitez bien des ressources et des experts mis à votre disposition pour progresser rapidement ! Objectif emploi !

 

P_20161005_133147

100% de diplômés en RARE2014

Je suis heureux de vous annoncer qu’à la suite du jury national des études qui s’est réuni ce jour à Paris, tout les étudiants de la promotion RARE2014 sont diplômés !!!

Bravo à eux et à tous ceux qui ont participé à leur réussite de près comme de loin ( Entreprises et tuteurs, équipes pédagogiques et administratives, intervenants, familles)

Bon vent à tous dans vos nouveaux jobs et  à très bientôt pour ceux qui entament une 5ème année !

 

WP_20141015_020

Bravo aux RIL et RARE 2014 !!!

Après deux ans de formation et 4 jours de soutenances sur leurs projets de fin d’étude, les RIL2014 et les RARE2014 arrivent à la fin de leur cursus !

Bravo aux étudiants qui ont su défendre leurs compétences lors des soutenances !

Nous remercions au passage les entreprises d’accueil, les tuteurs, les membres du jury et toutes les équipes pédagogiques et administratives ayant participés à cette aventure !

Bon vent à ceux qui nous quittent et à très bientôt pour ceux qui enchainent en Bac+5.

Rendez-vous le 17 Mars prochain pour la cérémonie de Remise des Diplômes !

20160922_155421

WP_20141015_021

%d blogueurs aiment cette page :