SECURITE DU SYSTEME D

About This Presentation

Title:

SECURITE DU SYSTEME D

Description:

Title: Pr sentation PowerPoint Author: sammoud Last modified by: SWEET Created Date: 9/26/2004 8:41:27 PM Document presentation format: Affichage l' cran (4:3) – PowerPoint PPT presentation

Number of Views:136

Avg rating:3.0/5.0

Slides: 82

Provided by: sammoud

Category:

more less

Transcript and Presenter's Notes

Title: SECURITE DU SYSTEME D

1
SECURITE DU SYSTEME DINFORMATION (SSI)3 IAG
Institut Supérieur de Comptabilité et
dAdministration des Entreprises
2010-2011
2
CHAPITRE 2 Les risques et menaces informatique

3
Protection et sécurité
4
Sécurité informatique

La confidentialité
Contraintes sur la divulgation dinformations
P.ex. quun fichier ne soit pas lu par un
utilisateur nayant pas les droits daccès
P.ex que personne dautre que le commerçant
apprenne un numéro de carte de crédit dans une
transaction de commerce électronique
Lintégrité
Contraintes sur les modifications dinformations
P.ex. que seul le propriétaire dun fichier
puisse changer les droits daccès
P.ex seule la banque peut modifier le contenu
dun compte
La disponibilité
Contraintes sur laccessibilité dinformations et
de services
P.ex un utilisateur ne doit pas être empêché de
lire ses propres mails
P.ex que le serveur de banque soit toujours
accessibles aux participants dune transaction de
commerce électronique

5
Sécurité informatique

La protection
Ensemble des mécanismes qui contrôlent les
actions des utilisateurs (processus/programmes)
P.ex. le chiffrement des données sur disque ou
sur le réseau, mots de passe, matériel du
processeur qui restreint ladresse générée et qui
empêche les programmes utilisateurs de
communiquer avec le contrôleur de disque
La sécurité
La préservation de la confidentialité et de
lintégrité des informations du système
Une attaque est une action qui peut violer la
sécurité
Une attaque peut être intentionnelle ou
accidentelle
La sécurité est mise en œuvre par des mécanismes
de protection

6
(No Transcript)
7
(No Transcript)
8
(No Transcript)
9
(No Transcript)
10
(No Transcript)
11
Les menaces
12
Les menaces

- L'espionnage
Principalement d'origine étatique cette menace
concerne particulièrement les informations
stratégiques d'une nation. Les renseignements
d'ordre militaire, diplomatique, mais aussi,
économiques, industriels, technologiques,
scientifiques, financiers et commerciaux seront
recherchés en priorité.
S'il est moins fréquent, mais surtout non avoué
que des entreprises ou des sociétés aient recours
à l'espionnage, nous pouvons imaginer l'intérêt
que cela représente pour leur activités en gain
de temps et d'investissement. Les techniques
restent les mêmes et la différence se fera sur
l'ampleur des moyens utilisés. Il est concevable
de penser que des États utilisent leurs services
de renseignement pour fournir des informations à
leurs industriels. Il est aussi de notoriété
publique que des sociétés privées offrent leur
services pour obtenir des renseignements.
L'espionnage va tenter d'enfreindre les mesures
de sécurité qui protègent la confidentialité des
informations.
- La perturbation
L'agresseur va essayer de fausser le comportement
du SI ou de l'empêcher de fonctionner en le
saturant, en modifiant ses temps de réponse ou en
provoquant des erreurs. L'agresseur veut
désorganiser, affaiblir ou ralentir le système
cible.
La perturbation va influer sur la disponibilité
et l'intégrité des services et des informations
d'un SI.

13
Les menaces (suite)

- Le vol
Le vol, visible quand l'objet du délit est
matériel, est difficile à détecter quand il
s'agit de données et encore plus de ressources
informatiques. En effet une simple copie suffit
pour s'approprier une information. Cette
opération n'est pas toujours facile à déceler.
Le vol de données va permettre d'enfreindre les
mesures de sécurité protègent la confidentialité
des informations. Le vol de ressources est plus
insidieux, car il se peut qu'il soit réalisé sans
porter atteinte à la confidentialité, à
l'intégrité ou à la disponibilité des
informations et des services.
- La fraude physique
Elle peut consister à récupérer les informations
oubliées ou non détruites par l'adversaire ou le
concurrent. l'attaquant portera une attention
particulière aux listages, aux supports physiques
usagés (bandes magnétiques, disquettes, disques
classiques ou optiques...), et s'intéressera aux
armoires, aux tiroirs et aux dossiers des
organismes visés.
Comme l'espionnage, la fraude physique va tenter
d'enfreindre les mesures de sécurité qui
protègent la confidentialité des informations.

14
Les menaces (suite)

- Le chantage
Soutirer de l'argent à un organisme ou à une
personne est d'autant plus tentant que de
nombreuses données concernant la vie privée des
personnes ou les activités d'une organisation
sont gardées sur des ordinateurs.
Le chantage peut aussi porter sur une menace de
sabotage à l'encontre des installations d'une
organisation.
La chantage peut mettre en cause aussi bien la
confidentialité, l'intégrité, que la
disponibilité des informations et des services.
- Le sabotage
Plus fort que la perturbation, le sabotage a pour
but de mettre hors service un SI ou une de ses
composantes.
Le sabotage porte atteinte à l'intégrité des
informations mais surtout à la disponibilité des
services.
- Les accès illégitimes
Cette menace est le fait d'une personne qui se
fait passer pour une autre en usurpant son
identité. Elle vise tout particulièrement
l'informatique.
Les accès illégitimes portent atteinte à la
confidentialité des informations.

15
Attaquants

Pirates
Fraudeurs
Espions
Terroristes

16
Pirates

Nous proposons les deux profils de pirate les
plus souvent identifiées
hacker
individu curieux, qui cherche à se faire
plaisir. Pirate par jeu ou par défi, il ne nuit
pas intentionnellement et possède souvent un code
d'honneur et de conduite 1. Plutôt jeune, avec
des compétences non négligeables, il est patient
et tenace
- cracker
plus dangereux que le hacker, cherche à nuire
et montrer qu'il est le plus fort. Souvent mal
dans sa peau et dans son environnement, il peut
causer de nombreux dégâts en cherchant à se
venger d'une société - ou d'individus - qui l'a
rejeté ou qu'il déteste. Il veut prouver sa
supériorité et fait partie de clubs où il peut
échanger des informations avec ses semblables.

17
Fraudeurs

Les fraudeurs se répartissent en deux catégories
avec des compétences similaires
- le fraudeur interne
possédant de bonnes compétences sur le plan
technique, il est de préférence informaticien et
sans antécédents judiciaires. Il pense que ses
qualités ne sont pas reconnues, qu'il n'est pas
apprécié à sa juste valeur. Il veut se venger de
son employeur et chercher à lui nuire en lui
faisant perdre de l'argent. Pour parvenir à ses
fins il possède les moyens mis à sa disposition
par son entreprise qu'il connaît parfaite- ment.
- le fraudeur externe
bénéficiant presque toujours d'une complicité,
volontaire ou non, chez ses victimes, il cherche
à gagner de l'argent par tous les moyens. Son
profil est proche de celui du malfaiteur
traditionnel. Parfois lié au grand banditisme, il
peut attaquer une banque, falsifier des cartes de
crédit ou se placer sur des réseaux de trans-
fert de fonds, et si c'est un particulier il peut
vouloir fausser sa facture d'électricité ou de
téléphone.

18
Espions

Ils travaillent pour un État ou pour un
concurrent. Choisis pour leur sang-froid et leur
haut niveau de qualification, il sont difficiles
à repérer.
- l'espion d'État professionnel, entraîné,
rompu à toutes les techniques, il dispose de
nombreux moyens d'attaque et d'une importante
puissance de calcul. Il peut aller jusqu'à
acquérir, légalement ou non, une copie du système
qu'il veut attaquer pour l'analyser et l'étudier
sous toutes ses coutures. Il est patient et
motivé. Il exploite les vulnérabilités les plus
enfouies d'un SI car elles seront les plus
difficiles à détecter et il pourra les utiliser
longtemps. Il sait garder le secret de sa
réussite pour ne pas éveiller les soupçons et
continuer son travail dans l'ombre.
- l'espion privé souvent ancien espion d'État
reconverti, il a moins de moyens mais une aussi
bonne formation.

Terroristes
Moins courant, le terroriste est aidé dans sa
tâche par l'interconnexion et l'ouverture des
réseaux. - le terroriste très motivé, il veut
faire peur et faire parler de lui. Ses actions se
veulent spectaculaires.
19
Techniques dattaque
20
Techniques dattaque

Attaques physiques
Nous plaçons ici les attaques qui nécessitent un
accès physique aux installations ou qui se ser-
vent de caractéristiques physiques particulières.
La destruction pure et simple ou la coupure d'une
ligne ne sont pas évoquées car non spécifiques à
l'informatique
Attaques Logiques

21
Attaques physiques

- Interception
L'attaquant va tenter de récupérer un signal
électromagnétique et de l'interpréter pour en
déduire des informations compréhensibles.
L'interception peut porter sur des signaux hyper-
fréquences ou hertziens, émis, rayonnés, ou
conduits. L'agresseur se mettra ainsi à la
recher- che des émissions satellites, et radio,
mais aussi des signaux parasites émis par les SI,
principalement par les terminaux, les câbles et
les éléments conducteurs entourant les SI. Les
techniques d'interception seront très variées
pour les différents cas évoqués.
- Brouillage
Utilisée en télécommunication, cette technique
rend le SI inopérant. C'est une attaque de haut
niveau, car elle nécessite des moyens importants,
qui se détectent facilement. Elle est surtout
utilisée par les militaires en temps de crise ou
de guerre.
- Écoute
L'écoute consiste à se placer sur un réseau
informatique ou de télécommunication et à
analyser et à sauvegarder les informations qui
transitent. De nombreux appareils du commerce
facilitent les analyses et permettent notamment
d'interpréter en temps réel les trames qui
circulent sur un réseau informatique.

22
Attaques logiques

- intrusion
Forme d'accès illégitime, il s'agit d'une attaque
informatique qui consiste à se faire passer pour
quelqu'un d'autre et obtenir les privilège ou des
droits de celui dont on usurpe l'identité.
Un utilisateur est caractérisé par
ce qu'il est, (empreintes, digitales ou
rétiniennes, vocales, ou toute autre
authentifiant biométrique),
ce qu'il possède (un badge, une carte mag-
nétique, à puce, un jeton, un bracelet...)
ce qu'il sait (un mot de passe, sa date de
naissance, le prénom de ses parents...).
Pour se faire passer pour lui, un agresseur doit
donc s'emparer d'un ou plusieurs éléments propres
à l'utilisateur.
Si le contrôle d'accès au SI se fait par mot de
passe, l'attaquant tentera de le lire quand
l'utilisateur le rentrera au clavier ou quand il
le transmettra par le réseau.
Si le contrôle d'accès se fait avec une carte à
puce, l'attaquant cherchera à reproduire une.

23
Attaques logiques

- Substitution
Ce type d'attaque est réalisable sur un réseau ou
sur un SI comportant des terminaux distants.
L'agresseur écoute une ligne et intercepte la
demande de déconnexion d'un utilisateur
travaillant sur une machine distante. Il peut
alors se substituer à ce dernier et continuer une
session normale sans que le système note un
changement d'utilisateur.
Un cas bien connu est celui des ordinateurs sur
un réseau local qui ne sont déclarés que par leur
adresse Internet. Un attaquant peut alors
attendre qu'une machine soit arrêtée pour se
faire passer pour elle en usurpant l'adresse de
la machine éteinte.
- Saturation (denie de service)
Cette attaque contre la disponibilité consiste à
remplir une zone de stockage ou un canal de
communication jusqu'à ce que l'on ne puisse plus
l'utiliser. Il en résultera un déni de service.

24
(No Transcript)
25
Les infections informatique

Virus
Cheval de troie
Ver
Bombe
Spam
Spayware
keylogger

26
Virus

Nommé ainsi parce qu'il possède de nombreuses
similitudes avec ceux qui attaquent le corps
humain, un virus est un programme malicieux
capable de se reproduire et qui comporte des
fonctions nuisibles pour le SI on parle
d'infection. Le virus dispose de fonctions qui
lui permettent de tester s'il a déjà contaminé un
programme, de se propager en se recopiant sur un
programme et de se déclencher comme une bombe
logique quand un événement se produit.
Ses actions ont généralement comme conséquence la
perte d'intégrité des informations d'un SI et/ou
une dégradation ou une interruption du service
fourni.

27
Cheval de Troie

On appelle Cheval de Troie (en anglais trojan
horse) un programme informatique effectuant des
opérations malicieuses à l'insu de l'utilisateur.
Le nom Cheval de Troie provient d'une légende
La légende veut que les Grecs, n'arrivant pas à
pénétrer dans de la ville Troie , eurent l'idée
de donner en cadeau un énorme cheval de bois en
offrande à la ville en abandonnant le siège.

28
Cheval de Troie (suite)

Les troyens (peuple de la ville de Troie),
apprécièrent cette offrande à priori inoffensive
et la ramenèrent dans les murs de la ville.
Cependant le cheval était rempli de soldats
cachés qui s'empressèrent d'en sortir à la tombée
de la nuit, alors que la ville entière était
endormie, pour ouvrir les portes de la cité et en
donner l'accès au reste de l'armée ...

29
Cheval de Troie (suite)

Un cheval de Troie peut par exemple
- copier des données sensibles,
- exécuter tout autre action nuisible,
- voler des mots de passe .
Pire, un tel programme peut créer, de l'intérieur
de votre réseau, une brèche volontaire dans la
sécurité pour autoriser des accès à des parties
protégées du réseau à des personnes se connectant
de l'extérieur.
Les principaux chevaux de Troie sont des
programmes ouvrant des ports de la machine,
c'est-à-dire permettant à son concepteur de
s'introduire sur votre machine par le réseau en
ouvrant une porte dérobée. C'est la raison pour
laquelle on parle généralement de backdoor

30
Cheval de Troie (suite)

Le principe des chevaux de Troie étant
généralement (et de plus en plus) d'ouvrir un
port de votre machine pour permettre à un pirate
d'en prendre le contrôle (par exemple voler des
données personnelles stockées sur le disque), le
but du pirate est dans un premier temps
d'infecter votre machine en vous faisant ouvrir
un fichier infecté contenant le troyen et dans un
second temps d'accéder à votre machine par le
port qu'il a ouvert.

31
Cheval de Troie (suite)
Le protocole TCP/IP définit 65536 ports de
communication par lesquels des messages peuvent
entrer et sortir dun ordinateur. Ces ports sont
un peu comme des extensions téléphoniques. Quand
un message arrive par Internet, il est associé à
un port particulier qui permet de savoir à quel
type de service il appartient. Le port pour le
Web porte le numéro 80 celui du protocole FTP,
21 celui du courrier entrant, SMTP 25 et ainsi
de suite. Quand un message se présente, votre
logiciel de réseau vérifie si un programme lui
est associé et, le cas échéant, sil est actif,
auquel cas le message lui est transmis.
32
Cheval de Troie (suite)
33
Cheval de Troie (suite)
Partie secrète à lusage du pirate
Partie affichée publiquement, alléchante pour les
utilisateurs
Logiciel offert gratuitement sur
Internet prétendant vous rendre service
34
Les bombes logiques

Les bombes logiques sont des dispositifs
programmés dont le déclenchement s'effectue à un
moment déterminé en exploitant la date du
système, le lancement d'une commande, ou
n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à
un moment précis sur un grand nombre de machines
(on parle alors de bombe à retardement ou de
bombe temporelle), par exemple le jour de la
Saint Valentin, ou la date anniversaire d'un
événement majeur la bombe logique Tchernobyl
s'est activée le 26 avril 1999, jour du 3ème
anniversaire de la catastrophe nucléaire ...
Les bombes logiques sont généralement utilisées
dans le but de créer un déni de service en
saturant les connexions réseau d'un site, d'un
service en ligne ou d'une entreprise.

35
Ver

Un ver informatique (en anglais worm) est un
programme qui peut s'auto reproduire et se
déplacer à travers un réseau en utilisant les
mécanismes réseau, sans avoir réellement besoin
d'un support physique ou logique (disque dur,
programme hôte, fichier, etc.) pour se propager
un ver est donc un virus réseau.
Les vers actuels se propagent principalement
grâce à la messagerie (et notamment par le client
de messagerie Outlook) grâce à des fichiers
attachés contenant des instructions permettant de
récupérer l'ensemble des adresses de courrier
contenues dans le carnet d'adresse et en envoyant
des copies à tous ces destinataires.
Ces vers sont la plupart du temps des scripts
(généralement VBScript) ou des fichiers
exécutables envoyés en pièce jointe et se
déclenchant lorsque l'utilisateur destinataire
clique sur le fichier attaché.
Il est simple de se protéger d'une infection par
ver. La meilleure méthode consiste à ne pas
ouvrir "à l'aveugle" les fichiers qui vous sont
envoyés en fichier attachés.

36
Spams

Le spamming consiste à envoyer massivement des
e-mails de type généralement publicitaire (dit
aussi "junk mail"), à un grand nombre de
personnes n'ayant pas sollicité ce type d'envoi
publicitaires, engorgeant ainsi les serveurs de
messagerie et vos boites à lettres de messages
publicitaires inutiles, non sollicités et
généralement mensongers. Les e-mails "spammés"
constituent actuellement la quasi-moitié des
e-mails "circulant" à l'échelle planétaire
Le but premier du spam est généralement de faire
de la publicité à moindre cout. Toutefois, Il est
aussi source d'essai d'abus, via des offres
alléchantes (vous avez gagné ...) et bien sures
mensongères, dont le but est de vous attirer à
acheter un produit ou un service douteux, ou bien
d'essayer de vous abuser, en vous extorquant de
l'argent (grâce à dieu, peu de personnes de chez
nous possèdent des cartes de crédit en devises
..).Il est aussi parfois question de publicité
"politique" ou "religieuse" dangereuses pour les
enfants (l'église de Scientologie avait récemment
envoyé 1200 spams en 15 jours sur un groupe de
discussion).
Il est intéressant de noter à ce sujet le nouveau
phénomène apparu, consistant dans l'exploitation
de virus Internet (vers) pour leur jouer le rôle
de diffuseurs (relais) de spam, dans un essai de
contourner l'efficacité des outils anti-spam.

37
Spams

Le principal inconvénient du "Spam" est la gêne
et la perte de temps induites aux internautes
Gaspillage de temps (et donc d'argent) des
utilisateurs, qui doivent trier leur courrier et
nettoyer leurs boites à lettres plus fréquemment,
Risque de leurrer un message important, "caché"
entre les multiples messages de "spam",
"Corruption" des utilisateurs non avertis, avec
des offres alléchantes, et bien sûr fausses,
Atteinte à la morale, via des messages de
publicité sexuels, politiques ou religieux ...
- Le second inconvénient, non moins important, du
spamming touche la bande réseau qu'il consomme
inutilement, monopolisant "inutilement" une bonne
partie de la bande passante et rendant ainsi
l'Internet moins rapide (AOL avait une fois reçu
1.8 million d 'e-mails de spams de
"Cyberpromotion" le plus important "spammeur"
du réseau Internet). Cela induit des coûts
supplémentaires pour les fournisseurs de service
et d'accès à Internet car ils doivent acheter des
ordinateurs supplémentaires, pour renforcer leurs
serveurs de courrier et mettre en place une plus
grande largeur de bande pour contrecarrer la
consommation de bande induite par le Spam.

38
Spyware

Un espiogiciel (en anglais spyware) est un
programme chargé de recueillir des informations
sur l'utilisateur de l'ordinateur sur lequel il
est installé ( on l'appelle donc parfois
mouchard) afin de les envoyer à la société qui le
diffuse pour lui permettre de dresser le profil
des internautes (on parle de profilage).

39
Spyware (suite)

Les récoltes d'informations peuvent ainsi être
- la traçabilité des URL des sites visités,
- le traquage des mots-clés saisis dans les
moteurs de recherche,
- l'analyse des achats réalisés via internet,
- voire les informations de paiement bancaire
(numéro de carte bleue / VISA)
- ou bien des informations personnelles.

40
Spyware (suite)

Les spywares s'installent généralement en même
temps que d'autres logiciels (la plupart du temps
des freewares ou sharewares).
En effet, cela permet aux auteurs des dits
logiciels de rentabiliser leur programme, par de
la vente d'informations statistiques, et ainsi
permettre de distribuer leur logiciel
gratuitement. Il s'agit donc d'un modèle
économique dans lequel la gratuité est obtenue
contre la cession de données à caractère
personnel.

41
Keylogger

Un keylogger (littéralement enregistreur de
touches) est un dispositif chargé d'enregistrer
les frappes de touches du clavier et de les
enregistrer, à l'insu de l'utilisateur. Il s'agit
donc d'un dispositif d'espionnage.
Certains keyloggers sont capables d'enregistrer
les URL visitées, les courriers électroniques
consultés ou envoyés, les fichiers ouverts, voire
de créer une vidéo retraçant toute l'activité de
l'ordinateur .

42
Keylogger (suite)

Dans la mesure où les keyloggers enregistrent
toutes les frappes de clavier, ils peuvent servir
à des personnes malintentionnées pour récupérer
les mots de passe des utilisateurs du poste de
travail ! Cela signifie donc qu'il faut être
particulièrement vigilant lorsque vous utilisez
un ordinateur en lequel vous ne pouvez pas avoir
confiance (poste en libre accès dans une
entreprise, une école ou un lieu public tel qu'un
cybercafé).

43
Déroulement dune attaque informatique
44
(No Transcript)
45
Méthodologie dune intrusion sur un réseau

Pour s'introduire dans un système informatique
les pirates utilisent une méthodologie, il ne
faut pas connaître comment compromettre un
système mais comprendre la façon dont il peut
l'être afin de mieux pouvoir s'en prémunir.
En effet, la meilleure façon de protéger son
système est de procéder de la même manière que
les pirates afin de cartographier les
vulnérabilités du système.
Le principe de la protection est de ne pas donner
aucune précision sur la manière dont les failles
sont exploitées, mais expliquer comment faire
pour les déceler et les corriger.

46
Méthodologie globale

Les pirates (hackers) ayant l'intention de
s'introduire dans les systèmes informatiques
recherchent dans un premier temps des failles,
c'est-à-dire des vulnérabilités nuisibles à la
sécurité du système, dans les protocoles, les
systèmes d'exploitations, les applications ou
même le personnel 'une entreprise.
Les termes de vulnérabilité ( brèche ou en
langage plus familier - trou de sécurité en
anglais security hole ) sont également utilisés
pour désigner les failles de sécurité.

47
Méthodologie globale

Pour pouvoir mettre en oeuvre un EXPLOIT il
s'agit du terme technique signifiant exploiter
une vulnérabilité), la première étape du pirate
consiste à récupérer le maximum d'informations
sur l'architecture du réseau et sur les systèmes
d'exploitations et applications fonctionnant sur
celui-ci. La plupart des attaques sont l'oeuvre
de script kiddies essayant bêtement des exploits
trouvés sur Internet, sans aucune connaissance du
système, ni des risques liés à leur acte.
Une fois que le pirate a établi une cartographie
du système, il est en mesure de mettre en
application des exploits relatifs aux versions
des applications qu'il a recensées. Un premier
accès à une machine lui permettra d'étendre son
action afin de récupérer d'autres informations,
et éventuellement d'étendre ses privilèges sur la
machine.

48
Méthodologie globale

Lorsqu'un accès administrateur (le terme anglais
root est généralement utilisé) est obtenu, on
parle alors de compromission de la machine (ou
plus exactement en anglais root compromise), car
les fichiers systèmes sont susceptibles d'avoir
été modifiés. Le pirate possède alors le plus
haut niveau de droit sur la machine.
S'il s'agit d'un pirate, la dernière étape
consiste à effacer ses traces, afin d'éviter tout
soupçon de la part de l'administrateur du réseau
compromis et de telle manière à pouvoir garder le
plus longtemps possible le contrôle des machines
compromises.

49
La récupération d'informations sur le système

L'obtention d'informations sur l'adressage du
réseau visé, généralement qualifiée de prise
d'empreinte, est un préalable à toute attaque.
Elle consiste à rassembler le maximum
d'informations concernant les infrastructures de
communication du réseau cible
Adressage IP,
Noms de domaine,
Protocoles de réseau,
Services activés,
Architecture des serveurs,

50
Consultation de bases publiques

En connaissant ladresse IP publique d'une des
machines du réseau ou bien tout simplement le nom
de domaine de lentreprise, un pirate est
potentiellement capable de connaître l'adressage
du réseau tout entier, c'est-à-dire la plage
d'adresses IP publiques appartenant à
lentreprise visée et son découpage en sous
réseaux.
Pour cela il suffit de consulter les bases
publiques d'attribution des adresses IP et des
noms de domaine
http//www.iana.net
http//www.ripe.net pour l'Europe
http//www.arin.net pour les Etats-Unis

51
Consultation de moteurs de recherche

La simple consultation des moteurs de recherche
permet parfois de récupérer des informations sur
la structure d'une entreprise, le nom de ses
principaux produits, voire le nom de certains
personnels.

52
Balayage du réseau

Lorsque la topologie du réseau est connue par le
pirate, il peut le scanner (le terme balayer est
également utilisé), c'est-à-dire déterminer à
l'aide d'un outil logiciel (appelé scanner ou
scanneur en français) quelles sont les adresses
IP actives sur le réseau, les ports ouverts
correspondant à des services accessibles, et le
système d'exploitation utilisé par ces serveurs.
L'un des outils les plus connus pour scanner un
réseau est Nmap , reconnu par de nombreux
administrateurs réseaux comme un outil
indispensable à la sécurisation d'un réseau. Cet
outil agit en envoyant des paquets TCP et/ou UDP
à un ensemble de machines sur un réseau
(déterminé par une adresse réseau et un masque),
puis il analyse les réponses. Selon l'allure des
paquets TCP reçus, il lui est possible de
déterminer le système d'exploitation distant pour
chaque machine scannée.

53
Lecture de bannières

Lorsque le balayage du réseau est terminé, il
suffit au pirate d'examiner le fichier journal
(log) des outils utilisés pour connaître les
adresses IP des machines connectées au réseau et
les ports ouverts sur celles-ci.
Les numéros de port ouverts sur les machines
peuvent lui donner des informations sur le type
de service ouvert et donc l'inviter à interroger
le service afin d'obtenir des informations
supplémentaires sur la version du serveur dans
les informations dites de bannière .

54
Lecture de bannières

Ainsi, pour connaître la version d'un serveur
HTTP, il suffit de se connecter au serveur Web en
Telnet sur le port 80
- telnet www.iscae.rnu.tn 80
- puis de demander la page d'accueil GET /
HTTP/1.0
Le serveur répond alors les premières lignes
suivantes
HTTP/1.1 200 OK Date Thu, 21 Mar 2006 182257
GMTServer Apache/1.3.20 (Unix) Debian/GNU
Le système d'exploitation, le serveur et sa
version sont alors connus.

55
Ingénierie sociale

L ingénierie sociale (en anglais Social
Engineering ) consiste à manipuler les êtres
humains, c'est-à-dire d'utiliser la naïveté et la
gentillesse exagérée des utilisateurs du réseau,
pour obtenir des informations sur ce dernier.
Ce procédé consiste à entrer en contact avec un
utilisateur du réseau, en se faisant passer en
général pour quelqu'un d'autre, afin d'obtenir
des renseignements sur le système d'information
ou éventuellement pour obtenir directement un mot
de passe.
De la même façon une faille de sécurité peut être
créée dans le système distant en envoyant un
cheval de Troie à certains utilisateurs du
réseau. Il suffit qu'un des utilisateurs exécute
la pièce jointe pour qu'un accès au réseau
interne soit donné à l'agresseur extérieur.

56
Le repérage des failles

Après avoir établi l'inventaire du parc logiciel
et éventuellement matériel, il reste au pirate à
déterminer si des failles existent.
Il existe ainsi des scanneurs de vulnérabilité
permettant aux administrateurs de soumettre leur
réseau à des tests d'intrusion afin de constater
si certaines applications possèdent des failles
de sécurité. Les deux principaux scanneurs de
failles sont Nessus et SAINT .

57
L'intrusion

Lorsque le pirate a dressé une cartographie des
ressources et des machines présentes sur le
réseau, il est en mesure de préparer son
intrusion.
Pour pouvoir s'introduire dans le réseau, le
pirate a besoin d'accéder à des comptes valides
sur les machines qu'il a recensées.

58
L'intrusion

Plusieurs méthodes sont utilisées par les
pirates
- L'ingénierie sociale, c'est-à-dire en
contactant directement certains utilisateurs du
réseau (par mail ou par téléphone) afin de leur
soutirer des informations concernant leur
identifiant de connexion et leur mot de
passe,ceci est généralement fait en se faisant
passer pour l'administrateur réseau.
- La consultation de l'annuaire ou bien des
services de messagerie ou de partage de fichiers,
permettant de trouver des noms d'utilisateurs
valides
- Les attaques par force brute (brute force
cracking), consistant à essayer de façon
automatique différents mots de passe sur une
liste de compte (par exemple l'identifiant,
éventuellement suivi d'un chiffre, ou bien le mot
de passe password, ou passwd, etc).

59
Extension de privilèges

Lorsque le pirate a obtenu un ou plusieurs accès
sur le réseau en se logeant sur un ou plusieurs
comptes peu protégés, celui-ci va chercher à
augmenter ses privilèges en obtenant l'accès root
(en français super utilisateur ou super
administrateur), on parle ainsi d'extension de
privilèges.
Dès qu'un accès root a été obtenu sur une
machine, l'attaquant a la possibilité d'examiner
le réseau à la recherche d'informations
supplémentaires.

60
Extension de privilèges

Il lui est ainsi possible d'installer un sniffeur
(en anglais sniffer), c'est-à-dire un logiciel
capable d'écouter (le terme reniffler, ou en
anglais sniffing, est également employé) le
trafic réseau en provenance ou à destination des
machines situées sur le même câble.
Grâce à cette technique, le pirate peut espérer
récupérer les couples identifiants/mots de passe
lui permettant d'accéder à des comptes possédant
des privilèges étendus sur d'autres machines du
réseau (par exemple l'accès au compte d'un
administrateur) afin de contrôler une plus grande
partie du réseau.

61
Compromission

Grâce aux étapes précédentes, le pirate a pu
dresser une cartographie complète du réseau, des
machines s'y trouvant, de leurs failles et
possède un accès root sur au moins l'une
d'entre-elles. Il lui est alors possible
d'étendre encore son action en exploitant les
relations d'approbation existant entre les
différentes machines.
Cette technique d'usurpation d'identité,
appelée spoofing, permet au pirate de pénétrer
des réseaux privilégiés auxquels la machine
compromise a accès .

62
Porte dérobée

Lorsqu'un pirate a réussi à infiltrer un réseau
d'entreprise et à compromettre une machine, il
peut arriver qu'il souhaite pouvoir revenir, pour
atteindre ce but le pirate va installer une
application afin de créer artificiellement une
faille de sécurité, on parle alors de porte
dérobée (en anglais backdoor, le terme trappe est
parfois également employé).

63
Nettoyage des traces

Lorsque l'intrus a obtenu un niveau de maîtrise
suffisant sur le réseau, il lui reste à effacer
les traces de son passage en supprimant les
fichiers qu'il a créés et en nettoyant les
fichiers de logs des machines dans lesquelles il
s'est introduit, c'est-à-dire en supprimant les
lignes d'activité concernant ses actions.
Par ailleurs, il existe des logiciels, appelés
kits racine (en anglais rootkits )
permettant de remplacer les outils
d'administration du système par des versions
modifiées afin de masquer la présence du pirate
sur le système.
En effet, si l'administrateur se connecte en même
temps que le pirate, il est susceptible de
remarquer les services que le pirate a lancé ou
tout simplement qu'une autre personne que lui est
connectée simultanément. L'objectif d'un rootkit
est donc de tromper l'administrateur en lui
masquant la réalité.

64
Exemple dattaque informatique
65
(No Transcript)
66
Attaque TCP

TCP
Orienté connexion
Acquittement de remise des paquets
Connexion TCP
Connexion par Three Way Handshake
Échange entre deux processus
Fermeture
Friendly close flag tcp end
Lors dun erreur (par exemple interruption
dun des process).
Attaque
Lattaque consiste à utiliser la fermeture
lors dune erreur
La norme pose quun paquet est valide si son
n de séquence est situé dans la fenêtre
Or ce n de séquence est situé dans un champ
den-tête
TCP acquitte ses paquets par un paquet ACK
connaissant ce n de séquence
Il est alors possible dutiliser un outils
forgeant des paquets sur mesure
Il faut être positionné dans un environnement
où il est possible de sniffer les paquets TCP.
Éventuellement utiliser une attaque de type ARP
Cache Poisoning .
Outil
Loutil utilisable est WinTCPKill.

67
(No Transcript)
68
(No Transcript)
69
Les protocoles ARP et RARP

Chaque interface réseau possède une adresse
physique unique dépendante du type darchitecture
(les adresses MAC sont différentes suivant la
norme mise en place).
Ladressage sur Internet est basé sur des
adresses IP, de niveau réseau.
Il faut donc faire le lien entre les deux
adresses (IP et MAC) dune même machine les
protocoles ARP (Address Resolution Protocol) et
RARP (Reverse Address Resolution Protocol)
ARP permet de faire correspondre une adresse MAC
à une adresse IP donnée et RARP permet linverse.

70
Les protocoles ARP et RARP (suite)

La résolution dadresses est effectuée en trois
étape
1. Le protocole ARP émet un datagramme
particulier par diffusion à toutes les stations
du réseau et qui contient entre autre ladresse
IP à convertir.
2. La station qui se reconnaît retourne un
message (réponse ARP) à lémetteur avec son
adresse MAC.
3. Lémetteur dispose alors de ladresse physique
du destinataire et ainsi la couche liaison de
données peut émettre les trames directement vers
cette adresse physique.
Les adresses résolues sont placées dans un cache
ce qui évite de déclencher plusieurs requêtes
lorsque plusieurs datagramme doivent être
envoyés.

71
(No Transcript)
72
Le principe de lattaque ARP cache poisoning
Lentrée _at_IP192.168.0.2 _at_MACmac1 est crée
dans le cache ARP
Mise à jour des entrées créées grâce aux réponses
ARP
Tout le trafic entre les hôtes 2 et 3 doit
obligatoirement passer par lhôte 1
Requête ARP. Eth dst mac3, MAC srcmac1 et IP
src192.168.0.2 MAC ? ? 192.168.0.3
Requête ARP. Eth dst mac2, MAC srcmac1 et IP
src192.168.0.3 MAC ? ? 192.168.0.2
Réponse ARP. ETH dst mac3, MAC src mac1 Et IP
src 192.168.0.2 IP3 ?mac3.
pirate

Réponse ARP. ETH dst mac2, MAC src mac1 Et IP
src 192.168.0.3 IP2 ?mac2.
Lentrée _at_IP192.168.0.3 _at_MACmac1 est crée
dans le cache ARP
73
Empoisonnement du cache ARP
Fausse entrée est crée dans la cache
ARP _at_IP192.168.0.2 -- _at_MACmac1
Lhôte 3 veut communiquer avec lhôte2
Pirate
Fausse Requête ARP (Fake ARP request) MAC
srcmac1 et IP src192.168.0.2 MAC ? ?
192.168.0.3
Host 3
Paquet TCP vers 192.168.0.2
Host 1

Host 2
74
(No Transcript)
75
(No Transcript)
76
(No Transcript)
77
(No Transcript)
78

Effets
si les deux ports sont sur la même machine les
performances de celle-ci se dégradent
si les deux ports sont sur des machines
différentes ceci provoque la congestion du réseau
Parades
filtrage de tous les services sur UDP à
l exception du port 53 (dns)
désactiver tous les ports udp inutiles

79
DNS Spoofing

DNS
Gestion des correspondance entre les noms de
machines et leur adresse IP
Un client lance une requête DNS au serveur
pour connaître ladresse IP à partir dun nom. Le
serveur lui répond par un paquet DNS
La relation entre la requête et la réponse est
une clé contenant un n didentification
Ce protocole utilise le port UDP 53
Attaque
Lattaque DNS Spoofing est basée sur
linterception du paquet réponse, forger un
nouveau avec la même clé et modifier ladresse
IP
Cette nouvelle adresse IP est une redirection
sur la machine pirate
Il faut être positionné dans un environnement
où il est possible de sniffer les paquets TCP.
Éventuellement utiliser une attaque de type ARP
Cache Poisoning .
Outil
Pour ce genre dattaque, un des outils est
WinDNSSpoof.

80
Les détournements et interceptions Web spoofing

Attaque de type man in middle le serveur de
l attaquant détourne les requêtes HTTP de la
victime
La victime navigue dans un faux web
Initialisation de l attaque
l attaquant amène la victime à visiter son site
(par email ou par sa figuration dans une
indexation d un moteur de recherche)
la victime télécharche un script java
Ce script java détourne toutes les requêtes de la
victime vers l attaquant

81
Les détournements et interceptions Web spoofing