Exercices

Exercice 1 : Vulnérabilité, Menace et Risque

  • Objectif :

    • Savoir distinguer entre vulnérabilité, menace et risque
    • Savoir identifier un risque et une contre-mesure

  • Exemple 1 : Il risque de pleuvoir aujourd’hui

  • Question 1 : Est-ce qu’il s’agit

    • D’une vulnérabilité ?
    • D’une menace ?
    • D’un risque ?
    • D’une contre-mesure ?

Menace

  • Question 2 : Identifier une vulnérabilité pour cette menace
    1. J’ai des gougounes, je n’ai pas de manteau
    2. Je vais être mouillé
    3. J’ai pris un parapluie ce matin

J’ai des gougounes, je n’ai pas de manteau

  • Exemple 2 : Un hacker montre qu’il est possible de détourner à une dizaine de mètres un défibrillateur (pacemaker) pour envoyer des chocs électriques à distance

  • Question 3 : Est-ce qu’il s’agit :

    • D’une vulnérabilité ?
    • D’une menace ?
    • D’un risque ?
    • D’une contre-mesure ?

Vulnérabilité

  • Exemple 2 (suite) : Le vice-président des Etats-Unis décide de désactiver la fonction sans-fil de son pacemaker

  • Question 4 : Est-ce qu’il s’agit :

    • D’une vulnérabilité ?
    • D’une menace ?
    • D’un risque ?
    • D’une contre-mesure ?

Contre-mesure

  • Vulnérabilité : Faille identifiée sur un pacemaker et le vice-président des Etats-Unis est équipé de cette marque de pacemaker
  • Menace : Quelqu’un veut supprimer le vice-président
  • Risque : Crise cardiaque
  • Contre-mesure : Débrancher la fonction sans-fil du pacemaker

  • Exemple 3 : Un médecin chiffre ses données médicales sans séquestre de la clé de chiffrement

  • Question 5 : Est-ce qu’il s’agit :

    • D’une vulnérabilité ?
    • D’une menace ?
    • D’un risque ?
    • D’une contre-mesure ?

Vulnérabilité

  • Exemple 3 (suite) : Les données médicales sont indisponibles

  • Question 6 : Est-ce qu’il s’agit :

    • D’une vulnérabilité ?
    • D’une menace ?
    • D’un risque ?
    • D’une contre-mesure ?

Risque

  • Vulnérabilité : Chiffrement des données sans séquestre de la clé
  • Menace : Absence ou décès du médecin
  • Risque : Indisponibilité des données médicales
  • Contre-mesure : (Avant) Séquestre de la clé de chiffrement (Après) Force brute, peut s’avérer compliqué

Exercice 2 : Analyse de risque

  • Objectif :

    • Savoir identifier les risques dans un cas simple

  • Etude de cas

    • SuperMarché est une compagnie qui vend des franchises de commerce au détail. Elle a bâti une application pour permettre à ses franchisés de mettre à jour leurs ventes pour que SuperMarché redistribue les profits.
    • L’intégrité des résultats financiers est la principale préoccupation de la compagnie.

  • Question 1 : Définir les agents de menace et les scénarios

    • Agents de menace ?
    • Scénarios ?
    • Menaces ?

Agents de menace :

  • Hackers
  • Marchand malveillant

Scénarios :

  • Exploitation d’une vulnérabilité du serveur central
  • Exploitation d’une vulnérabilité chez le marchand
  • Falsification des données du marchand

Menaces :

  • Hacker exploite une vulnérabilité du serveur central
  • Hacker exploite une vulnérabilité chez un marchand
  • Marchand exploite une vulnérabilité du serveur central
  • Marchand abuse de ses privilèges pour fausser les données
  • Question 2 : Pour chaque menace, donnez les valeurs de Capacité (C), Opportunité (O), Motivation (M) et Impact (I), tout en fournissant une courte justification. Calculez les valeurs de probabilité et de risque résultant.

  • Menace 1 = (hacker, serveur) : Un hacker exploite une vulnérabilité du serveur central

    • Impact (4) : pourrait compromettre tous les résultats financiers !
    • Capacité (3) : les hackers possèdent beaucoup de connaissances et de ressources
    • Motivation (4) : de l’argent en jeu
    • Opportunité (3) : le serveur est accessible à distance, donc accessible au hacker
    • Probabilité = (C + M + O) / 3 = 3.33
    • Risque = P x I = 13.33

  • Menace 2 = (hacker, données marchand) : Un hacker exploite une vulnérabilité chez un marchand

Toujours faire une comparaison avec les valeurs des première menaces (pour avoir des valeurs cohérentes).

  • Par rapport à M1 :

    • Impact : Inférieur
    • Capacité : Égal
    • Motivation : Supérieur
    • Opportunité : Égal

  • Résultats :

    • Impact = 2 (compromet uniquement les résultats d’un marchand)
    • Capacité = 3 (les hackers possèdent beaucoup de connaissances et de ressources)
    • Motivation = 3 (de l’argent en jeu, mais moins qu’en 1)
    • Opportunité = 3 (le serveur du marchand est accessible à distance, donc accessible au hacker)
    • Probabilité = (C + M + O) / 3 = 3
    • Risque = P x I = 6

  • Menace 3 = (marchand, serveur) : Un Marchand exploite une vulnérabilité du serveur central

  • Par rapport à M1 :

    • Impact : Egal
    • Capacité : Inférieur
    • Motivation : Egal
    • Opportunité : Egal

  • Par rapport à M2

    • Impact : Supérieur
    • Capacité : Inférieur
    • Motivation : Supérieur
    • Opportunité : Egal

  • Résultats :

    • Impact = 4 (pourrait compromettre tous les résultats financiers !)
    • Capacité = 1 (le marchand moyen possède peu de connaissances informatiques)
    • Motivation = 4 (de l’argent en jeu)
    • Opportunité = 3 (le serveur est accessible à distance, donc accessible au marchand)
    • Probabilité = (C + M + O) / 3 = 2.66
    • Risque = P x I = 9.33

  • Menace 4 = (marchand, données marchand) : Un marchand malveillant falsifie ses données

  • Par rapport à M1

    • Impact : Inférieur
    • Capacité : Supérieur
    • Motivation : Inférieur
    • Opportunité : Supérieur

  • Par rapport à M2

    • Impact : Égal
    • Capacité : Supérieur
    • Motivation : Égal
    • Opportunité : Supérieur

  • Par rapport à M3

    • Impact : Inférieur
    • Capacité : Supérieur
    • Motivation : Inférieur
    • Opportunité : Supérieur

  • Résultats :

    • Impact = 2 (compromet uniquement les résultats d’un marchand)
    • Capacité = 4 (le marchand est autorisé et possède les accès requis)
    • Motivation = 3 (de l’argent en jeu, mais moins qu’en 3)
    • Opportunité = 4 (le serveur du marchand est accessible au marchand et il a tous les accès)
    • Probabilité = (C + M + O) / 3 = 3.66
    • Risque = P x I = 7.33
  • Récapitulatif

risque risque

  • Conclusion de l’analyse de risque

  • On doit se préoccuper en priorité de Menace 1 et de Menace 3

  • Selon notre tolérance au risque, il faut s’occuper de Menace 2 et Menace 4

    • Si très tolérant, on accepte dans la zone jaune
    • Si peu tolérant, on doit contrôler dans la zone jaune

  • Comment contrôler ?

    • Application de contre-mesures

  • Question 5 : Proposition de contre-mesures ?

    • Réponse question 5 : voir la suite du cours !

Exercice 3 : Analyse de risque

  • Etude de cas

    • L’introduction de technologie sans-fil pour les périphériques de PC (infrarouge, Bluetooth, etc.) a permis l’introduction à bas prix de clavier sans-fil
    • L’utilisation de ce type de dispositif à plusieurs avantages
      • Commodité d’utilisation
      • Prix peu élevé

  • Objectifs

    • Évaluer les risques inhérents liés à l’utilisation de ce type de dispositif
    • Évaluer le risque résiduel des différentes contre-mesures

  • Question 1 : Quelles sont les vulnérabilités (potentielles) du clavier sans-fil ?

    • Confidentialité ?
    • Intégrité ?
    • Disponibilité ?
  • Confidentialité : écoute passive (sniffing) entre le clavier et l’ordinateur
  • Intégrité : interception entre le clavier et l’ordinateur (man in middle)
  • Disponibilité : brouillage (jamming) entre le clavier et l’ordinateur