Vous êtes sur la page 1sur 18

RPUBLIQUE FRANCAISE PREMIER MINISTRE N 650/DISSI/SCSSI le 28 Mars 1994 LA MENACE ET LES ATTAQUES INFORMATIQUES

Dlgation Interministrielle pour la Scurit des Systmes d'Information

SERVICE CENTRAL DE LA SCURITE DES SYSTEMES D'INFORMATION

Ce document prsente les menaces d'origines interne et externe qui psent sur les systmes d'information, ainsi que les attaques informatiques dont ceux-ci sont l'objet. Il a t labor et rdig sous l'gide de la sous-commission "systme" de la commission interministrielle pour la scurit des systmes d'information. 1. Introduction 1.1 - Causes 1.2 - Consquences 1.3 - Dnitions 1.3.1. - Actifs ou biens 1.3.2. - Menace 1.3.3. - Attaque 1.3.4. - Vulnrabilit 1.3.5. - Risque 2. Origine de la menace 2.1 - Gnralits 2.2 - Accidents 2.3 - Menaces intentionnelles 2.3.1. - Caractre stratgique 2.3.2. - Caractre idologique 2.3.3. - Caractre terroriste 2.3.4. - Caractre cupide 2.3.5. - Caractre ludique 2.3.6. Caractre vengeur 2.4 - Conclusion sur le caractre de la menace 3. Catgories de menace 3.1 - Prsentation 3.2 - L'espionnage 3.3 - La perturbation 3.4 - Le vol 3.5 - La fraude physique 3.6 - Le chantage 3.7 - Le sabotage 3.8 - Les accs illgitimes 4. Attaquants

4.1 - Motivations 4.2 - Prols 4.3 - Pirates 4.4 - Fraudeurs 4.5 - Espions 4.6 - Terroristes 4.7 - Aptitudes et classes d'attaque 4.8 - Ressources ncessaires 5. Techniques d'attaque 5.1 - Attaques physiques 5.1.1. - Interception 5.1.2. - Brouillage 5.1.3. - coute 5.1.4. - Balayage 5.1.5. - Pigeage 5.2 - Attaques logiques 5.2.1. - Fouille 5.2.2. - Canal cach 5.2.3. - Dguisement 5.2.4. - Mystication 5.2.5. - Rejeu 5.2.6. - Substitution 5.2.7. - Faulement 5.2.8. - Saturation 5.2.9. - Cheval de Troie 5.2.10. - Salami 5.2.11. - Trappe 5.2.12. - Bombe 5.2.13. - Virus 5.2.14. - Ver 5.2.15. - Asynchronisme 5.2.16. - Souterrain 5.2.17. - Cryptanalyse 6. Conclusion 7. Rfrences

1. - Introduction Les Systmes d'Information (SI) reposent en partie sur des machines qui stockent, traitent et transmettent de l'information [8]. Ces machines peuvent tre, pour les plus sophistiques, des ordinateurs mais aussi des priphriques informatiques, des tlphones, des tlcopieurs, des tlex... Elles sont souvent relies par des rseaux locaux l'intrieur de leur organisme d'appartenance, mais, dans de nombreux cas, elles permettent de communiquer avec l'extrieur. Certains SI offrent des services sur lesquels reposent l'conomie des tats et des entreprises. Ainsi de multiples informations, hier connes dans les armoires, sont accessibles de presque n'importe quel point du globe alors que la dpendance vis--vis des services fragilise aussi bien leurs fournisseurs que leurs utilisateurs. L'information est une ressource stratgique, une matire premire, elle est un atout supplmentaire pour ceux qui la possdent. La protection de ce patrimoine contre les malveillances doit par consquent tre un souci permanent. 1.1 - Causes Les SI grent des informations qui peuvent tre convoites par des individus dont le spectre s'tale du simple potache qui cherche occuper son temps, jusqu'au professionnel chevronn du renseignement en passant par le criminel de droit commun. En proposant de nouveaux services et en traitant toutes sortes d'informations les SI forment de nouvelles cibles qui ne sont pas toujours l'objet d'attentions particulires de la part de leurs propritaires, qui vont parfois jusqu' sous-estimer ou ignorer l'importance de leur capital. La concentration des donnes et leur disponibilit sur un rseau permettent d'obtenir rapidement, dans la discrtion et parfois dans l'anonymat le plus complet, une grande quantit d'information qu'il tait auparavant difcile de se procurer. Pour leur part, les services facilitent les changes entre les acteurs conomiques et permettent de traiter des problmes de faon plus efcace et plus sre. Neumann et Parker [9] proposent trois raisons qui permettent d'expliquer que la menace pesant sur les SI est permanente et ne peut descendre en dessous d'un seuil incompressible : - il existe un foss technologique entre ce qu'un systme d'information est capable de faire et ce que l'on attend de lui ; - la loi, la rglementation et l'thique sont toujours en retard sur la technique. Ceci vaut pour de nombreux domaines en dehors du traitement de l'information ; - les individus se comportent rarement comme on l'attend : un utilisateur jug intgre par ses pairs peut dans certaines circonstances abuser de ses droits. Le comportement d'un individu confront des situations inhabituelles et critiques est imprvisible.

1.2 - Consquences Les menaces qui psent sur les SI sont de deux natures : interne et externe. Au del de cette vidence, force est de constater que la menace interne reprsente plus de 70 80% des cas connus. Quand ce type de menace se concrtise par des attaques ou des fraudes, l'utilisateur, qui possde un accs lgitime au SI et des services qu'il offre, tente d'obtenir ou de falsier des informations, de perturber le fonctionnement du SI, en abusant de ses privilges ou en les

accroissant. Rciproquement, la menace externe est le fait d'individus qui n'ont pas un accs lgitime au SI et qui essayent de briser les barrires de scurit lorsqu'elles existent. Que la menace soit interne ou externe, l'information et les services fournis par le SI peuvent subir des prjudices qui se traduiront par une perte de condentialit, d'intgrit ou de disponibilit [5]. Il en rsulte une divulgation, une modication ou une destruction des donnes ou encore une impossibilit d'obtenir une information ou un service. Par ailleurs, les effets induits et non directement mesurables peuvent s'avrer catastrophiques pour l'entreprise ou l'organisme victime : atteinte l'image de marque ou suppression d'emplois si le sinistre touche l'outil de production ou le produit vendu dans le cas d'un service par exemple. 1.3 - Dnitions 1.3.1 - Actifs ou biens Dans un SI, toutes les informations et tous les composants n'ont pas la mme valeur. Celles et ceux qu'il est important de protger parce que reprsentant un certain capital ou tant indispensables au bon fonctionnement d'un systme sont gnralement dsigns par les termes actifs ou biens. 1.3.2 - Menace Nous reprendrons une terminologie usuelle qui dnit la menace comme tant une violation potentielle de la scurit [7]. D'une faon gnrale nous distinguerons les types de menace suivants, bien que pouvant se recouvrir : - la menace accidentelle : menace d'un dommage non intentionnel envers le SI [7]. Cette menace peut dcouler d'une catastrophe naturelle (incendie, inondation, tremblement de terre,...), d'une erreur dans l'exploitation du SI (manipulation, saisie, ...) ou de pannes qu'elles soient de matriel ou de logiciel. Nous ne traiterons pas cette catgorie de menace dans ce document ; - la menace intentionnelle ou dlibre : par opposition la prcdente, elle est le fait d'un acte volontaire ; - la menace active : menace de modication non autorise et dlibre de l'tat du systme [7]. Si elle venait se concrtiser, le SI, ou ses informations, subiraient un dommage ou une altration bien relle ; - la menace passive : menace de divulgation non autorise des informations, sans que l'tat du systme soit modi [7]. Une coute de ligne ou une lecture de chier sont des exemples de menaces passives ; - la menace physique : menace qui pse sur l'existence mme et sur l'tat physique du SI. Ce peut tre une destruction aprs un sabotage, un incendie, un dtournement ou un vol.. Les menaces sont permanentes et certaines ne peuvent tre totalement supprimes. 1.3.3 - Attaque Une attaque est une action de malveillance consistant tenter de contourner les fonctions de scurit d'un SI [7]. Nous compltons cette dnition en l'tendant aux mesures de scurit et non pas uniquement aux fonctions. 1-3.4 - Vulnrabilit Une vulnrabilit peut se dnir comme une faiblesse ou une faille dans les procdures de scurit, les contrles administratifs, les contrles internes d'un systme, qui pourrait tre

exploite pour obtenir un accs non autoris un SI, un de ses services, des informations ou la connaissance de leur existence et permettre de porter atteinte la condentialit, l'intgrit et la disponibilit du SI et de ses informations. Dans certains cas le terme vulnrabilit est dni comme tant l'inverse de la quantit d'effort fournir pour atteindre une information ou un bien. Une classication des vulnrabilits est fournie dans [14]. 1.3.5 - Risque Un risque est un danger, un inconvnient plus ou moins probable auquel on est expos pour un systme d'information, il est gnralement admis que le risque est une fonction de la menace et des vulnrabilits.

2.- Origine de la menace 2.1 - Gnralit La connaissance de l'origine de la menace est lun des lments qui va permettre au dfenseur d'valuer la force et les moyens de son agresseur potentiel. En comprenant les motivations de ce dernier, le dfenseur pourra ventuellement adapter sa politique de scurit et anticiper les actes malveillants. Un SI sera d'autant plus menac que les informations qu'il possdera auront une valeur et pour leur propritaire et pour d'autres entits. Il ne faut pas pour autant conclure qu'un SI ne grant pas d'information de valeur n'est sujet aucune menace : son rle peut tre primordial pour assurer un service. Les origines que nous proposons sont celles de la Fiche d'Expression Rationnelle des Objectifs de Scurit [3] que nous avons compltes avec de nouveaux lments. Nous prsentons ainsi le caractre stratgique, idologique, terroriste, cupide, ludique ou vengeur de la menace. Cette liste n'est pas exhaustive car les composantes de la menace voluent dans le temps. Pour un systme gouvernemental par exemple la menace change selon que l'on est en temps de paix, de crise ou de guerre. Les effets de mode peuvent aussi inuer momentanment sur la prdominance d'une menace par rapport une autre. Ajoutons que la menace est gnralement composite ce qui rend plus difcile sa dtermination pour le dfenseur. 2.2 - Accidents Cette catgorie de menaces regroupe d'une part tous les vnements naturels caractre catastrophique comme les inondations, les incendies, les tremblements de terre et autres, mais aussi tous les types d'erreurs que l'on peut imaginer. Les erreurs, de saisie, de transmission, etc., seront le plus souvent provoques par l'inattention ou le manque de formation des utilisateurs. Notons que les consquences des accidents seront le plus souvent les mmes que celles dues aux malveillances. 2.3 - Menaces intentionnelles 2.3.1 - Caractre stratgique Pour un Etat, la menace stratgique s'intresse par essence toutes les informations concernant le secret de Dfense et la Sret de l'tat, mais galement celles appartenant au patrimoine national, qu'il soit d'ordre scientique, technique, industriel, conomique ou diplomatique ; la menace stratgique, peut galement attenter la disponibilit de systmes

d'information, dont le fonctionnement continu est ncessaire au fonctionnement normal des institutions. Elle est gnralement le fait d'organismes gouvernementaux ou para-gouvernementaux structurs et organiss pour la recherche du renseignement et disposant de moyens nanciers et techniques trs importants leur permettant d'envisager tous types d'attaque sur un systme. Pour une entreprise ou une socit, la menace d'origine stratgique aura pour but obtenir toute information sur les objectifs et le fonctionnement de celle-ci, pour rcuprer des clients prospects, des procds de fabrication, des rsultats de recherche et de dveloppement et de porter atteinte sa capacit de raction. Elle sera principalement le fait de concurrents dont les moyens peuvent tre proches de ceux d'un tat. 2.3.2 - Caractre idologique Les motivations idologiques peuvent tre les moteurs d'actes les plus extrmes. Le combat pour les ides est incessant. Si la menace ne des antagonismes est-ouest semble quelque peu diminuer, il ne faut pas pour autant ngliger les confrontations qui pourraient rsulter des divergences nord-sud ou entre l'orient et l'occident sur le plan des ides, de la culture ou de la religion. D'autres idologies, raciales ou religieuses, resurgissent la faveur d'une situation conomique tendue. Cette menace peut s'appliquer aux nombreux chiers informatiques constitus dans le monde et comportant des informations caractre priv sur les individus. Enn, il existe des courants de pense qui mettent en avant le fait que l'information doit tre libre et ne peut en aucun cas tre la proprit d'une personne, d'un groupe, d'un organisation ou d'un tat. Cette vision du monde est partage par de nombreux pirates [1]. 2.3.3 - Caractre terroriste On dnira la menace terroriste comme regroupant toutes les actions concourant dstabiliser l'ordre tabli ; les actions entrant dans cette catgorie peuvent avoir un caractre violent (destruction physique de systmes) ou plus insidieux (intoxication et dsinformation par dtournement ou manipulation d'informations, sensibles ou non, perturbations engendres dans un systme et susceptibles de dclencher des troubles sociaux prsents l'tat latent....). Mais leurs auteurs recherchent en gnral un rsultat spectaculaire et les effets mdiatiques qui l'accompagnent. Ce mode d'action est l'arme privilgie des minorits. Les groupes, susceptibles de commettre ce genre de forfaits, disposent gnralement de moyens nanciers importants et complicits au niveau international, leur permettant d'envisager pratiquement tous types d'attaque sur un systme. Cette menace peut aussi tre brandie par un tat qui veut mener une action de dstabilisation.

2.3.4 - Caractre cupide Cette nouvelle forme de dlinquance, engendre par l'apparition des procds de traitement de l'information, et parfois dite en col blanc, peut avoir deux diffrents buts, parfois concomitants : - le premier se traduit par un gain pour l'attaquant ; ce gain peut tre nancier (dtournement de fonds), li un savoir-faire (vol de brevet, concurrence dloyale...), ou de tout autre ordre ;

- le second occasionne une perte pour la victime qui se traduira par un gain pour l'agresseur (parts de march, accs au chier des clients, des propositions commerciales...) ; ce peut tre la destruction de son systme ou de ses informations, une perte de crdibilit ou de prestige (image de marque) vis--vis d'une tierce personne, etc. Il est difcile de caractriser, mme succinctement, le prol type du fraudeur, tant les applications susceptibles d'tre attaques sont multiples. Nanmoins, les statistiques ce sujet permettent de souligner que dans un grand nombre de cas, la menace a t initie et mise en oeuvre l'intrieur mme de l'organisme abritant le systme et a t le fait d'employs, dont les antcdents ne permettaient pas de supposer qu'ils commettraient un forfait de ce type. Les victimes gurent en gnral parmi les organismes qui dtiennent l'argent : banques, compagnies d'assurances, etc. Pour sa part le concurrent dloyal est plus facile identier : il gure parmi les concurrents, pour peu qu'ils soient connus ! Nous ajouterons dans cette catgorie le crime organis qui pourrait prendre de l'importance dans un futur proche s'il s'avre qu'il est plus facile - moins coteux et moins risqu - de dtourner les fonds de manire lectronique qu'en pillant une banque. 2.3.5 - Caractre ludique Les nouvelles techniques de traitement de l'information (micro-ordinateurs, modem, minitel...) ont cr cette menace, qui procde d'avantage, dans l'esprit de ceux qui en sont les auteurs, d'un jeu ou d'un loisir que d'un rel forfait (intrusion dans des systmes, dveloppement de virus ou de vers informatiques...). Anims d'un dsir de s'amuser ou bien d'apprendre, ces auteurs sont souvent des adolescents et des tudiants possdant de bonnes connaissances techniques [1]. Motive par la recherche d'une prouesse technique valorisante destine dmontrer la fragilit du systme plutt que par souci de nuire, elle recrute ses auteurs parmi les jeunes soucieux de s'afrmer, et ses victimes dans les organismes forte notorit sur le plan technique ou rputs inviolables. Les moyens nanciers et techniques dont disposent les personnes, agissant souvent isolment, qui commettent de telles actions, sont gnralement modestes, et seule leur bonne connaissance du systme vis leur permet de s'y introduire de faon efcace. 2.3.6 - Caractre vengeur La vengeance peut tre la motivation de l'employ brim, qui se sent mal utilis par rapport ses capacits, qui vient d'tre licenci ou qui sait qu'il va tre. Il faut alors craindre des actes destructeurs et souvent non corrls avec leur cause dans le temps. Les rsultats conscutifs une vengeance se verront ou se comprendront parfois bien aprs qu'ils aient t initis. 2.4 - Conclusion sur le caractre de la menace. Les aspects de la menace voqus dans ce paragraphe ne constituent pas une classication exhaustive, mais ces origines sont parmi les plus courantes. La menace n'est pas monolithique ; elle est souvent composite comme l'illustre le cas tristement clbre du Chaos Computer Club o certains pirates ont mis leurs talents aux services d'organismes de renseignement dans un but purement lucratif.

3.- Catgories de menace 3.1 - Prsentation Nous avons dj dit que la concrtisation d'une menace peut se traduire par une perte de condentialit, d'intgrit ou de disponibilit pour les informations et les services. Les pertes peuvent tre, partielles ou totales avec les consquences qui en dcoulent : divulgation d'informations stratgiques pour un tat ou une entreprise, avec ventuellement mise en cause de son avenir pour cette dernire, perte d'argent, de march... Des menaces diffrentes peuvent avoir les mmes effets. Nous proposons, comme dans les autres paragraphes, une liste non exhaustive de catgories de menaces parmi les plus courantes. 3.2 - L'espionnage Principalement d'origine tatique cette menace concerne particulirement les informations stratgiques d'une nation. Les renseignements d'ordre militaire, diplomatique, mais aussi, conomiques, industriels, technologiques, scientiques, nanciers et commerciaux seront recherchs en priorit. S'il est moins frquent, mais surtout non avou que des entreprises ou des socits aient recours l'espionnage, nous pouvons imaginer l'intrt que cela reprsente pour leur activits en gain de temps et d'investissement. Les techniques restent les mmes et la diffrence se fera sur l'ampleur des moyens utiliss. Il est concevable de penser que des tats utilisent leurs services de renseignement pour fournir des informations leurs industriels. Il est aussi de notorit publique que des socits prives offrent leur services pour obtenir des renseignements. L'espionnage va tenter d'enfreindre les mesures de scurit qui protgent la condentialit des informations. 3.3 - La perturbation L'agresseur va essayer de fausser le comportement du SI ou de l'empcher de fonctionner en le saturant, en modiant ses temps de rponse ou en provoquant des erreurs. L'agresseur veut dsorganiser, affaiblir ou ralentir le systme cible. La perturbation va inuer sur la disponibilit et l'intgrit des services et des informations d'un SI. 3.4 - Le vol Le vol, visible quand l'objet du dlit est matriel, est difcile dtecter quand il s'agit de donnes et encore plus de ressources informatiques. En effet une simple copie suft pour s'approprier une information. Cette opration n'est pas toujours facile dceler. Le vol de donnes va permettre d'enfreindre les mesures de scurit protgent la condentialit des informations. Le vol de ressources est plus insidieux, car il se peut qu'il soit ralis sans porter atteinte la condentialit, l'intgrit ou la disponibilit des informations et des services. 3.5 - La fraude physique Elle peut consister rcuprer les informations oublies ou non dtruites par l'adversaire ou le

concurrent. l'attaquant portera une attention particulire aux listages, aux supports physiques usags (bandes magntiques, disquettes, disques classiques ou optiques...), et s'intressera aux armoires, aux tiroirs et aux dossiers des organismes viss. Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de scurit qui protgent la condentialit des informations. 3.6 - Le chantage Soutirer de l'argent un organisme ou une personne est d'autant plus tentant que de nombreuses donnes concernant la vie prive des personnes ou les activits d'une organisation sont gardes sur des ordinateurs. Le chantage peut aussi porter sur une menace de sabotage l'encontre des installations d'une organisation. La chantage peut mettre en cause aussi bien la condentialit, l'intgrit, que la disponibilit des informations et des services. 3.7 - Le sabotage Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou une de ses composantes. Le sabotage porte atteinte l'intgrit des informations mais surtout la disponibilit des services. 3.8 - Les accs illgitimes Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant son identit. Elle vise tout particulirement l'informatique. Les accs illgitimes portent atteinte la condentialit des informations. 4. - Attaquants 4.1 - Motivations Les motifs de l'agresseur sont nombreux et varis ; ils voluent dans le temps. Il n'est pas possible de dresser une liste exhaustive des motivations des criminels en col blanc mais quelques exemples permettront de saisir la personnalit de quelques uns d'entre eux. Les actes intentionnels, qui nous intressent ici, comprennent : l'espionnage, l'appt du gain, la fraude, le vol le piratage, le d intellectuel, la vengeance, le chantage, l'extorsion de fonds. Nous complterons cette liste par celles des actes non intentionnels mais qui constituent une menace pour le SI [9] : la curiosit, l'ennui, la paresse, l'ignorance, l'incomptence, l'inattention... 4.2 - Prols Bien qu'il n'y ait pas de portrait robot de l'attaquant, quelques enqutes et tudes ont montr que les criminels en informatique taient majoritairement des hommes ayant un travail peu gratiant mais avec d'importantes responsabilits et un accs des informations sensibles [10]. L'avidit et l'appt du gain sont les motifs principaux de leurs actes, mais il apparat que les problmes personnels ainsi que l'ego jouent un rle primordial en inuant sur le comportement social [11].

4.3 - Pirates Nous proposons les deux prols de pirate les plus souvent identies : - hacker : individu curieux, qui cherche se faire plaisir. Pirate par jeu ou par d, il ne nuit pas intentionnellement et possde souvent un code d'honneur et de conduite [1]. Plutt jeune, avec des comptences non ngligeables, il est patient et tenace ; - cracker : plus dangereux que le hacker, cherche nuire et montrer qu'il est le plus fort. Souvent mal dans sa peau et dans son environnement, il peut causer de nombreux dgts en cherchant se venger d'une socit - ou d'individus - qui l'a rejet ou qu'il dteste. Il veut prouver sa supriorit et fait partie de clubs o il peut changer des informations avec ses semblables. Les pirates possdent rarement des moyens importants : assez frquemment il s'agira d'un micro-ordinateur associ un modem ou un minitel, sauf s'ils utilisent des relais pour perptrer leurs attaques. Leur population, tend s'accrotre car les comptences en informatique se rpandent et les SI sont de plus en plus nombreux. Les pirates communiquent par l'intermdiaire de revues spcialises et vont jusqu' s'organiser en clubs comme le Chaos Computer Club. 4.4 - Fraudeurs Les fraudeurs se rpartissent en deux catgories avec des comptences similaires : - le fraudeur interne : possdant de bonnes comptences sur le plan technique, il est de prfrence informaticien et sans antcdents judiciaires. Il pense que ses qualits ne sont pas reconnues, qu'il n'est pas apprci sa juste valeur. Il veut se venger de son employeur et chercher lui nuire en lui faisant perdre de l'argent. Pour parvenir ses ns il possde les moyens mis sa disposition par son entreprise qu'il connat parfaitement. - le fraudeur externe : bnciant presque toujours d'une complicit, volontaire ou non, chez ses victimes, il cherche gagner de l'argent par tous les moyens. Son prol est proche de celui du malfaiteur traditionnel. Parfois li au grand banditisme, il peut attaquer une banque, falsier des cartes de crdit ou se placer sur des rseaux de transfert de fonds, et si c'est un particulier il peut vouloir fausser sa facture d'lectricit ou de tlphone.

4.5 - Espions Ils travaillent pour un tat ou pour un concurrent. Choisis pour leur sang-froid et leur haut niveau de qualication, il sont difciles reprer. - l'espion d'tat : professionnel, entran, rompu toutes les techniques, il dispose de nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller jusqu' acqurir, lgalement ou non, une copie du systme qu'il veut attaquer pour l'analyser et l'tudier sous toutes ses coutures. Il est patient et motiv. Il exploite les vulnrabilits les plus enfouies d'un SI car elles seront les plus difciles dtecter et il pourra les utiliser longtemps. Il sait garder le secret de sa russite pour ne pas veiller les soupons et continuer son travail dans l'ombre [12]. - l'espion priv : souvent ancien espion d'tat reconverti, il a moins de moyens mais une aussi bonne formation.

4.6 - Terroristes Moins courant, le terroriste est aid dans sa tche par l'interconnexion et l'ouverture des rseaux. - le terroriste : trs motiv, il veut faire peur et faire parler de lui. Ses actions se veulent spectaculaires.

4.7 - Aptitudes et classes d'attaque Le succs d'une attaque dpend en partie de la comptence et de l'entranement de son auteur. Le niveau de l'attaquant varie de l'expert au novice. Les domaines de connaissance seront cependant presque toujours l'informatique en gnral et en particulier la programmation, les systmes d'exploitation, les communications mais aussi le matriel (routeurs, commutateurs, ordinateurs...). Selon Neumann et Parker [9], nous pouvons classer les mfaits en trois niveaux pour la comptence requise : - comptence technique faible ou nulle pour dnaturer une information, observer, fouiller physiquement, voler, abmer un quipement, perturber un SI, entrer des donnes fausses, se mettre de connivence avec un tranger l'organisation... - comptence technique moyenne pour balayer un SI et chercher des information, fouiller logiquement, infrer, faire des agrgats, surveille le trac ou une activit, couter, faire fuir de l'information, se faire passer pour quelqu'un d'autre, rejouer une transaction, abuser de ses droits, exploiter une trappe... - comptence forte pour modier le systme, exploiter un cheval de Troie, fabriquer une bombe logique, un ver ou un virus, raliser une attaque asynchrone, modier le matriel, dcrypter... Ces comptences sont souvent prsentes dans un organisme et parfois l'insu des dirigeants qui connaissent mal les capacits de leur personnel. Cette mconnaissance peut aussi expliquer le nombre d'attaques internes, les politiques de scurit tant inadaptes ou sous-estimant les agresseurs potentiels. 4.8 - Ressources ncessaires Les ressources requises vont de pair avec les comptences et dpendent des techniques utilises. Un attaquant voulant s'emparer d'informations chiffres disposera d'importants moyens de calcul, ou de complicits internes, pour ensuite briser l'algorithme de chiffrement. Notons tout de mme que ce cas est extrme et concerne la menace d'origine stratgique. L'attaquant classique possdera probablement un ou des ordinateurs plus modestes, mais puisera sa connaissance dans la documentation technique et la littrature ouvert. Il se procurera les logiciels ncessaires l'accomplissement de ses mfaits sur des serveurs publics ou les dveloppera lui-mme. 5.- Techniques d'attaque Nous prsentons quelques types d'attaque gnriques et par ailleurs trs connus. Remarquons nouveau qu'il n'est pas toujours besoin d'tre un spcialiste de l'informatique pour s'emparer de faon illicite d'informations intressantes.

Les attaques peuvent porter entre autres sur les communications, les machines, les traitements, les personnels et l'environnement. Nous les classons en deux catgories : attaques physiques, attaques logiques. 5.1 - Attaques physiques Nous plaons ici les attaques qui ncessitent un accs physique aux installations ou qui se servent de caractristiques physiques particulires. La destruction pure et simple ou la coupure d'une ligne ne sont pas voques car non spciques l'informatique. 5.1.1 - Interception L'attaquant va tenter de rcuprer un signal lectromagntique et de l'interprter pour en dduire des informations comprhensibles. L'interception peut porter sur des signaux hyperfrquences ou hertziens, mis, rayonns, ou conduits. L'agresseur se mettra ainsi la recherche des missions satellites, et radio, mais aussi des signaux parasites mis par les SI, principalement par les terminaux, les cbles et les lments conducteurs entourant les SI. Les techniques d'interception seront trs varies pour les diffrents cas voqus. Pour se protger, le dfenseur pourra scuriser ses transmissions (TRANSEC) en utilisant des appareils saut de frquence et diminuer le nombre et l'intensit des signaux parasites compromettants de ses SI (utilisation de matriels dits TEMPEST). Il devra en outre vrier ses matriels pour viter tout pigeage ou altration dans le temps. Pour cela, il lui faut avoir l'assurance que ses matriels sont conformes ce qu'il en attend et vrier que les procdures de maintenance ne viennent pas les altrer. 5.1.2 - Brouillage Utilise en tlcommunication, cette technique rend le SI inoprant. C'est une attaque de haut niveau, car elle ncessite des moyens importants, qui se dtectent facilement. Elle est surtout utilise par les militaires en temps de crise ou de guerre. Le dfenseur se protgera avec des techniques TRANSEC. 5.1.3 - coute L'coute consiste se placer sur un rseau informatique ou de tlcommunication et analyser et sauvegarder les informations qui transitent. De nombreux appareils du commerce facilitent les analyses et permettent notamment d'interprter en temps rel les trames qui circulent sur un rseau informatique. Des protections physiques, pour les rseau informatique, ou le chiffrement (COMSEC), pour tous types de rseau, offrent une protection adquate pour faire face ce type d'attaque. 5.1.4 - Balayage Le balayage consiste envoyer au SI un ensemble d'informations de natures diverses an de dterminer celles qui suscitent une rponse positive. L'attaquant pourra aisment automatiser cette tche et dduire par exemple les numros tlphoniques qui permettent d'accder un systme, le type dudit systme et pourquoi pas le nom de certains utilisateurs ainsi que leur mot de passe. Cette technique est analogue celle qui consiste balayer une gamme de frquences pour trouver un signal porteur. 5.1.5 - Pigeage L'agresseur tentera d'introduire des fonctions caches, en principe en phase de conception, de

fabrication, de transport ou de maintenance, dans le SI. Seule une valuation de la scurit du SI donnera au dfenseur une certaine assurance [5], [6]. 5.2 - Attaques logiques 5.2.1 - Fouille La fouille informatique, par analogie avec la fouille physique, consiste tudier mthodiquement l'ensemble des chiers et des variables d'un SI pour un retirer des donnes de valeur. Cette recherche systmatique d'informations est en gnral grandement facilite par la mauvaise gestion des protections classiques qu'il est possible d'attribuer un chier. Quand on se dplace dans les divers rpertoires d'un systme informatique, il est courant de constater que des chiers et des rpertoires ont des protection insufsantes contre des agresseurs potentiels, uniquement par manque de connaissance, d le plus souvent l'insufsance de formation, de l'utilisateur. Ainsi, est-il bien utile de donner un droit de lecture ses chiers pour l'ensemble des utilisateurs du systme ? Si l'attaquant est quelque peut entran, il aura recours un attaque plus subtile. Pour s'emparer de certaines informations il va lire la mmoire, centrale ou secondaire, ou les supports de donnes librs par les autres utilisateurs. Une parade efcace consiste effacer physiquement toute portion de mmoire ou tout support libr. En contrepartie, les performances du SI seront moindres. 5.2.2 - Canal cach Ca type d'attaque est de trs haut niveau et fait appel l'intelligence de l'attaquant. Il permet de faire fuir des informations en violant la politique de scurit. Knode propose de classer les canaux cachs en quatre catgories [15] : - les canaux de stockage qui permettent de transfrer de l'information par le biais d'objets crits en toute lgalit par un processus et lus en toute lgalit par un autre ; - les canaux temporels qui permettent un processus d'envoyer un message un autre en modulant l'utilisation de ses ressources systme an que les variations des temps de rponse puissent tre observes ; - les canaux de raisonnement qui permettent un processus de dduire de l'information laquelle il n'a pas normalement accs ; - les canaux dits de "fabrication" qui permettent de crer de l'information en formant des agrgats qui ne peuvent tre obtenus directement. Ces attaques sont perptrs dans le systme ou les bases de donnes plusieurs niveaux de condentialit. 5.2.3 - Dguisement Forme d'accs illgitime, il s'agit d'une attaque informatique qui consiste se faire passer pour quelqu'un d'autre et obtenir les privilge ou des droits de celui dont on usurpe l'identit. Un utilisateur est caractris par ce qu'il est, (empreintes, digitales ou palmaires, rtiniennes, vocales, ou toute autre authentiant biomtrique), ce qu'il possde (un badge, une carte magntique, puce, un jeton, un bracelet...) et ce qu'il sait (un mot de passe, sa date de naissance, le prnom de ses parents...). Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs lments propres l'utilisateur. Si le contrle d'accs au SI se fait par mot de passe, l'attaquant tentera de le lire quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le rseau. Si le contrle d'accs se fait avec une carte puce, l'attaquant cherchera

en drober ou en reproduire une. Si le contrle d'accs est biomtrique, la tche de l'attaquant sera plus difcile mais pas impossible comme le montre ce cas o un dirigeant d'entreprise a t enlev par des malfaiteurs qui lui ont sectionn un doigt an de tromper un systme de contrle d'accs. Sans arriver des solutions lourdes et coteuses, le dfenseur pourra combiner des mthodes d'identication et d'authentication comme carte et mot de passe pour renforcer sa scurit. 5.2.4 - Mystication Dans ce cas, l'attaquant va simuler le comportement d'une machine pour tromper un utilisateur lgitime et s'empare de son nom et de son mot de passe. Un exemple type est la simulation de terminal et le comportement d'une machine pour tromper un utilisateur lgitime et s'emparer de son nom et de son mot de passe. Un exemple type est la simulation de terminal. Un protocole d'authentication de la machine de destination permettra un utilisateur d'tre sr de son interlocuteur. 5.2.5 - Rejeu Le rejeu et une variante du dguisement qui permet un attaquant de pntrer dans un SI en envoyant une squence de connexion effectue par un utilisateur lgitime et pralablement enregistre son insu. 5.2.6 - Substitution Ce type d'attaque est ralisable sur un rseau ou sur un SI comportant des terminaux distants. L'agresseur coute une ligne et intercepte la demande de dconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se substituer ce dernier et continuer une session normale sans que le systme note un changement d'utilisateur. Un cas bien connu est celui des ordinateurs sur un rseau local qui ne sont dclars que par leur adresse Internet. Un attaquant peut alors attendre qu'une machine soit arrte pour se faire passer pour elle en usurpant l'adresse de la machine teinte. Les techniques et outils de dtection d'intrusion pourront contribuer identier ce type d'attaque. 5.2.7 - Faulement Par analogie avec le faulement physique o une personne non autorise franchit un contrle d'accs en mme temps qu'une personne autorise, on dira qu'il y a faulement lectronique quand, dans le cas o des terminaux ou des ordinateurs ne peuvent tre authentis par un SI, un attaquant se fait passer pour le propritaire de l'ordinateur ou du terminal. 5.2.8 - Saturation Cette attaque contre la disponibilit consiste remplir une zone de stockage ou un canal de communication jusqu' ce que l'on ne puisse plus l'utiliser. Il en rsultera un dni de service. 5.2.9 - Cheval de Troie Subterfuge employ par les grecs pour prendre Troie, en informatique un cheval de Troie est un programme qui comporte une fonctionnalit cache connue de l'attaquant seul. Elle lui permet de contourner des contrles de scurit en vigueur. Cependant un cheval de Troie doit

d'abord tre install et ceci n'est possible que si les mesures de scurit sont incompltes, inefcaces ou si l'agresseur bncie d'une complicit. Un cheval de Troie doit tre attirant (nom vocateur) pour tre utilis, possder l'apparence d'un authentique programme (un utilitaire par exemple) pour inspirer conance et enn ne pas laisser de traces pour ne pas tre dtect. La simulation de terminal, dont le but est de s'emparer du mot de passer d'un utilisateur, est un cheval de Troie. En consquence, identier la prsence d'un cheval de Troie n'est pas aise et une bonne connaissance du systme et des applications installes est ncessaire. 5.2.10 - Salami La technique du salami permet un attaquant de retirer des informations parcellaires d'un SI an de les rassembler progressivement et de les augmenter de faon imperceptible. Cette technique est utilise par de nombreux fraudeurs pour dtourner subrepticement des sommes d'argent soit en s'appropriant de faibles sommes sur de nombreux comptes, soit en faisant transiter d'importantes valeurs sur des priodes courtes mais sur des comptes rmunrs leur appartenant. 5.2.11 - Trappe Une trappe est un point d'entre dans une application gnralement plac par un dveloppeur pour faciliter la mise au point des programmes. Les programmeurs peuvent ainsi interrompre le droulement normal de l'application, effectuer des tests particuliers et modier dynamiquement certains paramtres pour changer le comportement original. Il arrive quelquefois que ces points d'entre en soient pas enlevs lors de la commercialisation des produits et qu'il soit possible de les utiliser pour contourner les mesures de scurit. Un exemple connu est celui de l'exploitation du mode debug du programme sendmail utilis par Robert T. Morris lors de son attaque par un ver sur Internet [2]. 5.2.12 - Bombe Une bombe est un programme en attente d'un vnement spcique dtermin par le programmeur et qui se dclenche quand celui-ci se produit. Ce code malicieux attend gnralement une date particulire pour entrer en action. Les consquences peuvent tre bnignes comme l'afchage d'un message, d'une image ou d'un logo mais aussi dommageables, comme la destruction de donnes et plus rarement la destruction du matriel. Les effets visuels et sonores sont fracassants. 5.2.13 - Virus Nomm ainsi parce qu'il possde de nombreuses similitudes avec ceux qui attaquent le corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de fonctions qui lui permettent de tester s'il a dj contamin un programme, de se propager en se recopiant sur un programme et de se dclencher comme une bombe logique quand un vnement se produit. Ses actions ont gnralement comme consquence la perte d'intgrit des informations d'un SI et/ou une dgradation ou une interruption du service fourni. 5.2.14 - Ver

Un ver est un programme malicieux qui a la facult de se dplacer travers un rseau qu'il cherche perturber en le rendant indisponible. Cette technique de propagation peut aussi tre utilise pour acqurir des informations par sondage. Parmi les vers clbres nous pouvons citer : - Christmas Tree sur Bitnet en 1987 [13] ; - Father Christmas sur DECnet en 1988 [4] ; - le ver Internet en 1988 [2], [13] ; - WANK sur Easynet en 1989.

5.2.15 - Asynchronisme Ce type d'attaque volue exploite le fonctionnement asynchrone de certaines parties ou commandes du systme d'exploitation. Les requtes concernant de nombreux priphriques sont mises en le dans l'ordre des priorits puis traites squentiellement. Des tches sont ainsi endormies puis rveilles lorsque les requtes sont satisfaites. A chaque fois qu'une tche ou qu'un processus est ainsi endormi, son contexte d'excution est sauvegard pour tre restitu en l'tat lors du rveil. En outre de nombreux processus s'exercent sur les priodes trs longues. Pour viter de perdre le bnce des calculs effectus depuis le dbut de l'application en cas de panne, il est ncessaire de dnir des points de reprise sur incident. Les sauvegardes de contexte contiennent donc des informations propres l'tat du systme et un attaquant averti peut les modier an de contourner les mesures de scurit. 5.2.16 - Souterrain La technique du souterrain est un type d'attaque qui vite de s'attaquer directement une protection mais qui tente de s'en prendre un lment qui la supporte. Une telle attaque exploite une vulnrabilit d'un systme qui existe un niveau d'abstraction plus bas que celui utilis par le dveloppeur pour concevoir et/ou tester sa protection. Nous retrouvons ce type d'attaque dans le cas ou un dtenu veut s'vader de prison : il prfrera creuser un souterrain dans la terre plutt que tenter de percer un mur d'enceinte en bton. 5.2.17 - Cryptanalyse L'attaque d'un chiffre ne peut se faire que lorsqu'on a accs aux cryptogrammes qui peuvent tre intercepts lors d'une communication ou qui peuvent tre pris sur un support quelconque. Cette attaque ncessite en gnral d'excellentes connaissances en mathmatiques et une forte puissance de calcul. Elle est principalement le fait de services de renseignement. 6 - Conclusion Notre socit est confronte des mutations sociales et technologiques constantes. Le domaine du traitement de l'information est particulirement sujet des bouleversements. Les tats et les entreprises conent leurs informations des systmes de plus en plus performants et complexes. Leurs qualits dues principalement la miniaturisation et l'abaissement des cots des quipements s'amliorent au dtriment de la scurit en partie cause d'une grande ouverture pour faciliter les changes, d'une grande htrognit des matriels et des procdures et de la complexit croissante des produits. Pour un SI donn, la menace n'est pas unique mais le plus souvent composite du fait de la diversit des systmes et des informations gres. Il en va de mme pour les attaques. Un

agresseur utilisera gnralement plusieurs techniques, ou des combinaisons, pour arriver ses ns en exploitant les vulnrabilits d'un SI. De son ct, le dfenseur doit tre capable de dterminer ce qu'il veut protger et contre qui. Connaissant ses propres vulnrabilits, une analyse de risque lui permettra d'identier les scnarii d'attaques ralistes et par consquent de mettre en place les parades ncessaires la protection de ses informations. 7 - Rfrences [1] Concerning Hackers who Break into Computer Systems, Dorothy Denning, proceedings of the 13th National Computer Security Conference, 1990. [2] M.W. Eichin and J.A. Rollis, With Microscopes and Tweezers : An Analysis of The Internet Virus of November 1988, 1989 IEEE Computer Society Symposium on Security and Privacy. [3] Fiche d'Expression Rationnelle des Objectifs de Scurit, 150/SGDN/DISSI/SDSSI. [4] The Father Chrismas Worm James L. Green and Patricia L. Sisson, proceedings of the 12 th National Computer Security Conference, 1989. [5] Information Technology Security Evaluation Criteria, Version 1.2, June 91, Commission of the European Communities. [6] Information Technology Security Evaluation Manual, Version 1.0, October 1993, Commission of the European Communities. [7] ISO-7498-2-89. [8] Information System Security : A Comprehensive Model, captain John R. McClumber, proceedings of the 14th National Computer Security Conference, 1989. [9] A Summary of Compter Misuse Techniques, Peter G. Neumann and Donn B. Parcker, proceedings of the 12th National Computer Security Conference, 1989. [10] Espionnage and Computer, Lonnie Moore, prsentation l'US DoE 11th Computer Security Group Conference, may 1988. [11] Computer Crime and Espionnage : Similarities and Lessons Learned, Lloyd F. Reese, proceedings of the 12th National Computer Security Conference , 1989. [12] Computers at Risk, System Security Study Committee, Computer Science and Telecommunications Board, Commission on Physical Sciences, Mathematics and Applications, US National Research Council, National Academy Press, 1991. [13] An Epidemiology of Viruses & Network Worms, Clifford Stoll, proceedings of the 12th National Computer Security Conference, 1989. [14] A Taxonomy of Vulnerabilities, John F. Clayton, 4th annual Canadian Computer Security

Symposium, Ottawa, may 1992. [15] A Covert Channel taxonomy for Trusted Database Management Systems, Ronald B. Knode, 4th annual Canadian Computer Security Symposium, Ottawa, may 1992.