Accueil   >  Actualités   >  Actualités RENATER   >  CERT RENATER - partenaire sécurité de l’ESR
Lundi 19 Nov. 2018 - 4:19

CERT RENATER - partenaire sécurité de l’ESR

29 juin 2018
 


Afin de suivre l’évolution des usages et des risques qui découlent du numérique, un réseau d’équipes d’intervention en cas d’incident de sécurité est nécessaire, celui des CERT (Computer Emergency Response Team).

Quel événement est à l’origine de la création des CERT ?

La seconde moitié des années 80 voit le réseau Arpanet devenir une réalité pratique sous l’impulsion du monde universitaire. L’efficacité et la constante amélioration des divers services disponibles rendirent rapidement ce réseau indispensable pour de nombreux acteurs.

En 1988, un étudiant de l’université de Cornell lança sur ce réseau le premier « ver internet » exploitant différentes failles de sécurité. Avec seulement 3-4% des machines infectées, le réseau est complétement indisponible pendant plusieurs jours.
Pour éradiquer ce virus, une équipe d’analyse fut créée. A la suite de cet incident, le maître d’ouvrage d’Arpanet (DARPA) décida la mise en place d’une structure permanente : le CERT, semblable à l’équipe de résolution de cet incident.

Les CERT sont membres du FIRST, réseau international des CERT et de la TF-CSIRT,son pendant européen.

Quelles sont les missions menées par les CERT ?

De par la variété des types d’incident pouvant être rencontrés, les missions entreprises par les CERT sont très larges :

  • Centralisation des demandes d’assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d’informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
  • Traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d’informations avec d’autres CERT, contribution à des études techniques spécifiques ;
  • Établissement et maintenance d’une base de données des vulnérabilités ;
  • Prévention par diffusion d’informations sur les précautions à prendre pour minimiser les risques d’incident ou, au pire, leurs conséquences ;
  • Coordination éventuelle avec les autres entités (hors du domaine d’action) : centres de compétence réseaux, opérateurs et fournisseurs d’accès à Internet, CERT nationaux et internationaux.

Le CERT RENATER : garant sécurité de la communauté Enseignement - Recherche

Afin de répondre aux besoins en matière de sécurité émanant de la communauté Enseignement-Recherche, le CERT RENATER fut créé en 1995. Il a pour rôle d’assister les membres de l’ESR en matière de sécurité informatique : prévention, détection et résolution des incidents de sécurité. Il représente le point de contact : structure contactée par les établissements membres en cas d’incident, organisant les secours, centralisant et diffusant par les canaux de communication sûrs.

D’autres CERT français existent, on en dénombre 21, membres du FIRST ou de la TF-CSIRT. Chacun adressant sa communauté respective.

Quels sont les incidents les plus souvent identifiés par le CERT RENATER ?

Chaque année, le CERT RENATER traite plusieurs centaines d’incidents. Son travail est donc primordial dans la sécurisation du réseau RENATER.

Les dernières tendances montrent que les attaques portent de plus en plus sur l’appât du gain, notamment avec l’essor, ces derniers mois, d’incidents concernant l’extraction de cryptomonnaies. Les rançongiciels et l’hameçonnage continuent eux-aussi de croitre. C’est en moyenne 5 à 10 machines compromises qui sont trouvées par semaine et 300 à 500 machines infectées par un virus par semaine parmi les établissements membres de la communauté.

Perpétrées par une large palette d’acteurs, de l’individu isolé à des organisations offensives étatiques, les attaques se limitent rarement à une seule technique. Quelques-unes sortent du lot de par leur popularité :

  • La compromission : Il s’agit d’un contrôle par un élément extérieur d’un système informatique ou d’une exécution d’un programme aux intentions discutables.
  • Le Déni de Service : L’objectif est de saturer un système informatique ou un service en ligne, et d’en rendre l’accès impossible. Pour cela, l’attaquant envoie un flux de données très important vers la cible afin d’occuper toute la capacité de sa ligne de communication, ou envoie un nombre important de requêtes pour paralyser la cible. Ces attaques peuvent entrainer des failles de sécurité ainsi que des erreurs de fonctionnement d’un programme susceptibles de mener au crash ou au gel du système. On parle de Déni de Service Distribué lorsque la charge d’attaque est distribuée depuis plusieurs systèmes sources.
    - Le CERT RENATER dénombre 15 Dénis de Service pour l’année 2017 et 469 Dénis de Service Distribué.
  • Le phishing, hameçonnage ou filoutage, consiste en l’usurpation d’identité adaptée au support numérique. Le plus souvent, cela repose sur la contrefaçon de site ou de courriels de communication d’entreprises très connues ayant la confiance de leurs usagers (SNCF, Free, EDF, etc.). Des courriels à connotation alarmiste ou proposant des offres alléchantes sont alors massivement envoyés. Ils semblent provenir d’une source de confiance, et invitent à suivre le lien vers le formulaire du site copié afin de récupérer les données de connexion ou bancaires. La victime croit avoir à faire à un site officiel d’un opérateur qu’elle connaît. Les liens figurant sur la page internet du formulaire sont souvent inactifs.
    - Sur 2017, c’est près de 300 spams (dont la plupart ont pour origine une attaque de phishing mail) et 15 phishing bancaires qui ont été identifiés par le CERT RENATER.
  • Le scan : Il s’agit d’un sondage réseau. L’attaquant tente de récupérer les informations d’un système accessible directement depuis l’internet (adresses, services accessibles, version des logiciels utilisés, vulnérabilités, etc.). Cette activité peut être menée lors d’une étape préparatoire à une attaque.
    - Le nombre de signalements de scans par le CERT RENATER s’élève à 56 en 2017 et 54 scans wplogins.

Comment le CERT RENATER agit-il au quotidien pour maintenir la sécurité numérique dans notre communauté ?

Vous souhaitez être tenu être informé en matière de sécurité ?

Afin de répondre aux besoins de sécurité de la communauté, le CERT RENATER procède à plusieurs envois d’information :

  • Envois réguliers d’avis de sécurité pour signaler les besoins de mise à jour des systèmes et applications (En 2017, plus de 400 avis de sécurité ont été envoyés par le CERT RENATER) ;
  • Emission d’un bulletin hebdomadaire effectuant un résumé des événements observés et des points notables de la semaine ;
  • Envois ponctuels de notes concernant des alertes de sécurité ou comportant des informations sur des risques à très court terme, ainsi que des notes d’informations sur des technologies ou des applications.

Vous avez des usagers nomades au sein de votre établissement ?

Le CERT RENATER préconise de bonnes pratiques pour les usages nomades afin de préserver la sécurité et l’intégrité des systèmes informatiques de sa communauté. Il existe deux types de préconisations pour les usages nomades :

  • Note de protection des réseaux sans fil mis à la disposition des utilisateurs nomades. Elle comporte un certain nombre de dispositions également applicables aux réseaux filaires, dont les objectifs sont :
    • Pour l’établissement hôte : Préciser les moyens mis en place à la protection des accès réseaux garantissant la minimisation des risques introduits par des utilisateurs externes, et lui permettant de respecter les obligations légales à la fourniture du service.
    • Pour les utilisateurs nomades : Recommander les bonnes pratiques leur garantissant une meilleure protection et une conformité aux chartes d’usage en vigueur dans les établissements visités.
  • Note de politique de filtrage pour les réseaux invités. L’objectif est de permettre le le travail à distance en utilisant les réseaux mis à disposition par les établissements et organismes de la communauté. Ces préconisations sont valables aussi pour les réseaux filaires invités. Cette note établit une liste des ports et protocoles à laisser ouverts en sortie des réseaux invités pour permettre aux utilisateurs nomades d’accéder aux services essentiels de leur établissement de rattachement.

Un incident est détecté dans votre établissement par le CERT RENATER ?

Lorsqu’un incident est détecté par le CERT RENATER, une vérification est effectuée afin d’écarter la possibilité d’un faux-positif.
S’il s’agit d’un vrai-positif, le CERT RENATER informe la personne référente sécurité de l’établissement concerné. Cette communication passe par l’envoi d’une fiche de déclaration d’incident, contenant l’ensemble des informations nécessaires afin de régler rapidement le problème.

Comment le résoudre ?

C’est à l’établissement de résoudre ce problème de sécurité une fois qu’il en a connaissance.
En cas d’incident plus sévère, des échanges entre le CERT RENATER et les référents sécurités peuvent avoir lieu afin d’aider à sa résolution.

Pour aller plus loin : https://services.renater.fr/ssi/cert/index