Sécurité de l'information : un cas réel d'intrusion à l'UQAM - Présentation -GRICS -RN2010 25 novembre2010

Sécurité de l’information : un cas réel d’intrusion
                    à l’UQAM

    Présentation – GRICS – RN2010
          25 novembre 2010

Plan de la présentation
• Mise en contexte

• D’incident à crise de sécurité informatique

• L’art de la guerre
    –   Chapitre 2: Conduite de la guerre
    –   Chapitre 4: Les dispositions
    –   Chapitre 5: Les forces
    –   Chapitre 6: Points forts et points faibles
    –   Chapitre 7: Manœuvre
    –   Chapitre 11: Les neufs champs de bataille
    –   Chapitre 13: Espionnage et renseignement

• L’après-crise

Mise en contexte
• Qui en a parlé?
  • Rue Frontenac
  • Radio-Canada (http://bit.ly/4XqXV)
  • Direction informatique, etc.

• Ce que les médias ont dit:
  • Arrestation d’un présumé pirate
  • Séquence des événements
  • Coûts de la crise (en général)

Mise en contexte
• Les universités sont caractérisés par:
   • Un réseau public ouvert
   • Un grand nombre de ressources informatiques à
     protéger (environ 7000 postes de travail inventoriés à
     l’UQAM)
   • Un grand nombre d’utilisateurs (65 000 – 125 000 à
     l’UQAM)
   • Un parc d’envergure non-confirmée (environ 7500
     équipements IP à l’UQAM)
   • Un nombre incalculable de sites Web
   • Plusieurs partenaires
   • De nombreuses « PME »
   • Un réseau sans-fil au centre-ville

D’incident à crise
•   Reconnaissance et intrusion de base
    par le biais d’équipements de recherche non-
    gérés
•   Intrusion sur une série de postes et utilisation
    pour relayer des attaques
•   Tentative d’intrusion sur bases
    de données institutionnelles
•   Intrusion sur des serveurs institutionnels
•   Intrusion sur le réseau sans-fil

D’incident à crise

 Laisser l’enquête se
 dérouler et prendre
  le temps de bien      Contenir les dommages
       analyser          et retourner à un état
                           sécuritaire le plus
                          rapidement possible

L’art de la guerre
• La sécurité informatique souvent comparée à:
  – Partie d’échecs
  – Théorie mathématique des jeux (Game-Theory)
  – Bataille militaire

• Opposants
  – Pirate informatique (Attaquant)
  – Équipe de l’UQAM avec des alliés (Défense)
     • Bell Canada, Kéréon, Satori Interréseautage, HumanIT,
       Microsoft, Cisco, Juniper Networks, Université de
       Montréal, Sûreté du Québec, etc.

L’art de la guerre
• La position de défense est peu enviable sauf
  si:
  – L’attaquant perd plus à attaquer et à gagner qu’à
    ne pas attaquer
  – Les défenses sont suffisamment efficaces pour
    créer un désavantage de terrain pour l’attaquant
    qui le rendra lui-même vulnérable à une attaque
  – L’attaquant n’est pas suffisamment préparé
  – L’attaquant ne souhaite pas vraiment s’engager
    dans une bataille
  – L’attaquant n’est pas compétent

L’art de la guerre – Conduite de la
guerre
• Chaque armée se dote de ses armes et se prépare:
   – Le Pirate :
      • Ses armes (Kismet, Wireshark, PWDUMP, Metaploit, Nikto,
        etc.)
      • Reconnaissance de ses cibles (scan, tentatives d’intrusions,
        dump sur le sans-fil, etc.)

   – L’UQAM:
      •   Protection de son périmètre
      •   Protection de ses serveurs
      •   Équipe familière avec les intrusions
      •   Rapports fréquents de vulnérabilités des actifs

L’art de la guerre - Dispositions
• Ceux qui se défendent se fient sur les défenses du
  terrain
   – UQAM:
      • Procédure rapide de mise à jour des correctifs de sécurité OS,
        Firewall minimaliste, IPS, réseau sans-fil sécurisé, etc.
      • Protection centrée davantage sur les actifs critiques (mesure
        la plus rapprochée de l’actif à haute valeur)

• Ceux qui attaquent profitent des événements qui
  réduisent la protection naturelle
   – Pirate:
      • Comptes dormants inutilisés, failles Web, mauvaises
        pratiques de gestion des accès, dépendances inter-systèmes,
        multitude de systèmes

L’art de la guerre – Les forces
• La gestion des forces doit reposer sur une
  organisation des équipes qui relaient les
  informations
• On doit utiliser des forces normales pour
  affronter l’opposant
• On doit utiliser nos forces extraordinaires pour
  créer un revirement et prendre l’ennemi par le
  flanc

L’art de la guerre – Les forces
•   Pirate informatique
     – Peu de ressources à coordonner
     – Déploiement des attaques à des moments variables lorsque la plupart
         des forces opposantes sont absentes ce qui a pour effet de:
           • Prolonger les heures de présence des opposants (14 à 20 heures /
              jour)
           • Disperser les efforts
•   UQAM:
                Responsables de task forces
                 - Analyse et « forensic » (1)
                                                  Direction de l’institution (6)
                 - Recertification (1)
                 - Protection (1)

                                            Gestion
                                         opérationnelle
                                           de la crise

                  Équipes opérationnelles
                  (multi-divisions et inter-        Comité de direction du
                organisations – 22 personnes      Service de l’informatique et
                     à temps complet)             des télécommunications (6)

L’art de la guerre – Points forts et
points faibles
• Celui qui occupe déjà le terrain est en position de force
   – UQAM est avantagée par sa connaissance de son
     environnement
   – Pirate est avantagé par sa connaissance du terrain qu’il a
     déjà conquis avant que l’UQAM le détecte

• Lorsque votre opposant est en position de force,
  obligez-le à bouger lorsqu’il est au repos
   – Le pirate est avantagé par un horaire non-traditionnel
   – L’UQAM est désavantagé par une couverture horaire
     restreinte en matière d’expertise avancée

L’art de la guerre – Points forts et
points faibles
• Tenter de disperser l’ennemi en ciblant plusieurs endroits
  surtout où il est le plus faible
    – Le pirate est avantagé par le large parc informatique qui n’est pas
      sous le contrôle du service central de l’informatique
    – Le pirate est avantagé par l’ouverture du réseau universitaire
    – L’UQAM est avantagée par sa connaissance du fait que le pirate
      répartit ses efforts sur différentes cibles

• Garder l’opposant dans l’ignorance d’où aura lieu la bataille
    – Chacun essai de garder l’autre dans l’ignorance de ses
      manœuvres

L’art de la guerre – Manœuvres
• Il faut pouvoir protéger plusieurs fronts en même
  temps
   – UQAM:
       • Avantage sur le nombre de ressources disponibles
       • Restriction du nombre de fronts disponibles par la contention
• Il faut bien connaître le terrain
   – UQAM:
       • Après un certain nombre de jours d’analyse, l’UQAM
         connaissait mieux l’opposant (cibles, méthodologies, etc.)
   – Pirate:
       • Ne semblait pas en apprendre plus que ce qu’il savait au
         début de la crise ou du moins n’utilise pas judicieusement ses
         informations

L’art de la guerre – Manœuvres
• À un ennemi cerné, il faut laisser une issue
  qui peut devenir un piège
  – UQAM:
     • Contention des accès à distance au réseau de
       l’UQAM
     • Contention des accès de l’UQAM vers l’externe
     • Demeure une certaine vulnérabilité à partir du
       réseau interne (accès local requis)

L’art de la guerre – Les neuf champs
de bataille
              • Territoire vaste et plat où on peut aller et venir sans contrainte
              • Veiller à ce que les forces ne soient pas dispersées
  Terrain de  • Porter une attention rigoureuse à ses défenses
communication • Dresser des fortifications près des lieux de bataille

                 • Typique de ceux qui se battent sur leur propre terrain
                 • La proximité amène une propension à protéger son propre fief
  Terrain de     • Doit créer un bloc uni avec un objectif commun
  dispersion

                 • Terrain où on accède par un goulot ou d’où on sort par des voies tortueuses
                 • Facile de tendre des embuscades
    Terrain      • Doit inventer des stratagèmes pour s’en sortir
   encerclé      • Laisser une brèche pour éviter que l’ennemi se batte et lorsqu’il emprunte la brèche, frapper

L’art de la guerre – Espionnage et
renseignement
• Surveillance de ce que fait l’adversaire est
  essentielle à la victoire et à la stratégie
   – UQAM
      •   Analyse « live »
      •   Analyse des événements antérieurs
      •   Mise en place de visibilité du réseau
      •   L’UQAM n’a pas « communiqué publiquement » sa situation
          avant d’avoir acquis suffisamment de renseignements sur
          l’attaque
   – Pirate
      • Ne semble pas avoir fait de surveillance de l’équipe de
        surveillance
      • Employait des méthodes de diversion

L’après-crise

  Crise (WeiJi)   = Danger (Wei) + Opportunité (Ji)

L’après-crise
• Arrestation d’un présumé suspect et remise au Services policiers
    – Arrestation le 13 mai 2009
    – Saisie des équipements à son domicile le 14 mai 2009
    – Processus judiciaire toujours en cours
        • 1ère comparution pour accusation en juin 2009
        • Plus récente comparution en juillet 2010 et dépôt de nouvelles accusations pour:
          UQAM, Université de Montréal, Collège Édouard Montpetit, Ville de Longueuil,
          Michigan University

• Protection accrue de l’UQAM
    – Maintien de plusieurs mesures de contention
    – Poursuite de projets en sécurité déjà enclenchée

• Bilan interne
    – En lien avec les bilans annuels remis au Conseil d’administration
    – Dépenses de 500 000$ liées à la crise dont environ 250 000$ en services
      professionnels

L’après-crise
• Investissements approuvés par la CA pour la sécurité
  informatique
   – 1 poste de directeur-adjoint (juillet 2009)
   – 3,6 millions de dollars confirmé pour acquisition et
     maintenance de solutions de sécurité informatique
   – 1 poste supplémentaire d’analyste en sécurité informatique

• Investissements consentis permettront de réduire
  approximativement de 35% l’état de vulnérabilité de
  l’UQAM

• Investissements similaires ou inférieurs à plusieurs
  autres grandes organisations

En résumé
• On ne peut se demander si un jour notre organisation vivra
  une autre crise, mais plutôt quand…

• L’UQAM (tout comme d’autres organisations) a été victime
  d’un pirate polyvalent qui a décidé de prendre son temps
  contrairement aux nombreux pirates qui recherchent la même
  faille partout en passant au suivant une fois qu’ils ont réussi à
  l’exploiter…

• La crise elle-même, de la détection à l’arrestation du présumé
  pirate a duré 10 jours, mais a eu des répercussions directes
  importantes durant environ 6 mois. De plus, elle a entraîné le
  changement de tous les mots de passe des utilisateurs, ce n’est
  pas sans conséquence…

En résumé
• Une conclusion telle que l’arrestation d’un présumé pirate est une fin
  heureuse et très rare. C’est un mélange de travail acharné, de chance
  et de témérité qui l’a permis

• Le Service de l’informatique et des télécommunications a été félicité
  de sa gestion de l’événement, mais également critiqué par certains
  intervenants, notamment au niveau des communications

• Il faut faire attention au piège du bilan: le syndrome du gérant
  d’estrade qui dit comment on aurait dû coacher une fois que le
  match est terminé… L’objectif est d’apprendre et non de trouver des
  responsables

• Les Services policiers (SPVM, SQ) sont là pour vous a posteriori, mais
  attendez-vous à investir du temps pour les accompagner considérant
  leurs ressources limitées et surtout votre compréhension supérieure
  à la leur de votre environnement

Questions