COURS SECURITE

INFORMATIQUE
Prsent par Mr Njib

AZAIEZ

3me LFIG
11 / 12
Facult des Sciences Economiques et de Gestion de
Tunis

Concepts de base de la scurit informatique

La scurit informatique cest lensemble
des moyens mis en uvre pour rduire la
vulnrabilit dun systme contre les
menaces accidentelles ou intentionnelles.

Il convient d'identifier les exigences
fondamentales en scurit informatique.

Elles caractrisent ce quoi s'attendent les
utilisateurs de systmes informatiques en
regard de la scurit :

Intgrit, Confidentialit, disponibilit

disponibilit : demande que l'information sur

le systme soit disponible aux personnes
autorises.
Confidentialit : demande que l'information
sur le systme ne puisse tre lue que par les
personnes autorises.
Intgrit : demande que l'information sur le
systme ne puisse tre modifie que par les
personnes autorises.

Non rpudiation

C est le fait de ne pouvoir nier ou rejeter
quun vnement (action, transaction) a eu
lieu.

la non-rpudiation signifie la possibilit de
vrifier que l'envoyeur et le destinataire sont
bien les parties qui disent avoir
respectivement envoy ou reu le message.
Autrement dit.

Authentification

Cest la procdure qui consiste, pour un systme
informatique, vrifier l'identit d'une entit
(personne, ordinateur).

Elle permet d'autoriser l'accs de cette entit des
ressources (systmes, rseaux, applications...).

L'identification permet donc de connatre
l'identit d'une entit alors que l'authentification
permet de vrifier cette identit.

Objectifs des attaques

Lorsquune personne arrive un niveau
dintrusion dans un systme informatique,
tout le rseau est compromis.

Que va-t-il faire? Lobjectif final est de
rcuprer un contrle total sur tout le
systme, sur la, ou les, machines cibles et de
le garder le plus longtemps possible.

Menaces lies au rseau

Virus :Un virus est un logiciel qui sattache
tout type de document lectronique, et dont le
but est dinfecter ceux-ci et de se propager sur
dautres documents et dautres ordinateurs.
Un virus a besoin dune intervention humaine
pour se propager.

Diffrents types de virus

Diffrents types de virus:
Virus boot
Virus dissimul dans les excutables

Diffrentes contaminations possibles:
change de disquettes
Pices jointes au courrier lectronique
Excutables rcuprs sur Internet
etc

Vers
 Proches des virus mais capables de
se propager sur d'autres ordinateurs
travers le rseau.

Un moyen courant de propagation:
le carnet d'adresses d'outlook (ex: "I
Love you").

Vers
Vers GSM
Un ver GSM se reproduit en senvoyant un autre tlphone mobile par

moyen Bluetooth ou MMS.

)))

(( ))

(( ))

(( ))

Cheval de Troie

Programme bnin (jeux, documents)
cachant un autre programme.

Lorsque le programme est excut, le
programme cach sexcute aussi et pourrait
ouvrir une porte cach pour sintroduire au
systeme.

Mthode dintrusion du cheval de Troie

Internet

12

suite

Le pirate, aprs avoir accd votre systme ou en
utilisant votre crdulit, installe un logiciel qui va,
votre insu, lui transmettre par Internet les
informations de vos disques durs.

Un tel logiciel, aussi appel troyen ou trojan, peut
aussi tre utilis pour gnrer de nouvelles attaques
sur dautres serveurs en passant par le votre.
Certains dentre eux sont des key logger cest-dire quils enregistrent les frappes faites au clavier.

Spam
 Le spam est du courrier lectronique non
sollicit (indsirable) envoy un trs grand
nombre de personnes sans leur accord
pralable.

SPAM
Gratis Handy (HOAX)

Nigeria 419 (Email/Fax&Fraude)

15

Spyware

Le logiciel espion fait la collecte
dinformations personnelles sur lordinateur
dun utilisateur sans son autorisation. Ces
informations sont ensuite transmises un
ordinateur tiers.

Spyware (suite)

Les rcoltes d'informations peuvent ainsi
tre :
 la traabilit des URL des sites visits,
 le traquage des mots-cls saisis dans les
moteurs de recherche,
 l'analyse des achats raliss via internet,
 voire les informations de paiement bancaire
(numro de carte bleue / VISA)
 ou bien des informations personnelles.

Diffusion des spywares

Les logiciels espions sont souvent inclus
dans des logiciels gratuits et s'installent
gnralement l'insu de l'utilisateur.

Les logiciels espions ne sont gnralement
actifs qu'aprs redmarrage de l'ordinateur.

Certains, comme Gator, sont furtifs et ne se
retrouvent donc pas dans la table des
processus (accs : {Ctrl+alt+suppr} pour
Windows,

Fonctionnement dun spyware

Un logiciel espion est compos de trois
mcanismes distincts :


Le mcanisme d'infection, qui installe le logiciel. Ce

mcanisme est identique celui utilis par les virus, les
vers ou les chevaux de Troie. Par exemple, le spyware
Cydoor utilise le logiciel grand public Kazaa comme
vecteur d'infection.

Suite


Le mcanisme assurant la collecte d'information. Pour

l'espiogiciel Cydoor, la collecte consiste enregistrer
tout ce que l'utilisateur recherche et tlcharge via le
logiciel Kazaa.

Le mcanisme assurant la transmission un tiers. Ce

mcanisme est gnralement assur via le rseau
Internet. Le tiers peut tre le concepteur du
programme ou une entreprise.

Phishing

Le phishing (contraction des mots anglais
fishing , en franais pche, et
phreaking , dsignant le piratage de lignes
tlphoniques), traduit parfois en
hameonnage , est une technique
frauduleuse utilise par les pirates
informatiques pour rcuprer des
informations (gnralement bancaires)
auprs d'internautes.

Phishing

http://60.80.29.1/ebay.com/awcgi/eBayISAPI.dll?VerifyRegistrationShow
http://www.ebay.com/awcgi/eBayISAPI.dll?VerifyRegistrationShow

Backdoors

permet d'ouvrir d'un accs

rseau frauduleux sur un
systme informatique. Il est
ainsi possible d'exploiter
distance la machine ;

Dnis de service : DOS

Une attaque de type DoS est une activit
consistant empcher quelqu'un d'utiliser un
service.
1. Saturation d'un serveur
 Attaque faisant se crasher un systme, en le faisant
se suspendre ou en le surchargeant.
 Ce sont les serveurs qui sont le plus souvent lobjet
de ces attaques et, plus rarement, le poste client.

DOS
2. Saturation d'un rseau


Attaque submergeant un rseau d'un flot de

trafic plus grand qu'il n'est capable de le traiter

La bande passante est alors sature et le

rseau devient indisponible.

Intrusion

Ralisation dune menace et est donc une
attaque.

Les consquences peuvent tre
catastrophiques : vol, fraude, incident
diplomatique, chantage

Le principal moyen pour prvenir les
intrusions est le coupe-feu ("firewall").

Intrusion : suite

Efficace contre les frquentes attaques de
pirates amateurs, mais dune efficacit toute
relative contre des pirates expriments et
bien informs.

Une politique de gestion efficace des accs,
des mots de passe et ltude des fichiers log
(traces) est complmentaire.

Lanalyse des journaux

Un des meilleurs moyens de dtecter les
intrusions.

Les serveurs stockent dans des fichiers une
trace de leur activit et en particulier des
erreurs rencontres.

Lors d'une attaque informatique il est rare que
le pirate parvienne compromettre un
systme du premier coup. Il agit la plupart du
temps par ttonnement, en essayant
diffrentes requtes.

Lanalyse des journaux (2)

Ainsi la surveillance des journaux permet de
dtecter une activit suspecte.

Il est important de surveiller les journaux
d'activit des dispositifs de protection car tout
aussi bien configur qu'il soient, il se peut
qu'ils soient un jour la cible d'une attaque.

suite

Il arrive que des intrus y pntrent. Cest
mme le propre des pirates que de
contourner les serveurs dauthentification,
coupe-feu et autres barrires de protection
des systmes.

Une fois entrs, plus rien ne les empche de
saboter, de voler et dendommager les
applications.

Interviennent alors les systmes de dtection
d'intrusion. En auscultant en permanence le
trafic, ils reprent le hacker et alertent
aussitt ladministrateur.

Surveillance du trafic rseau

Baptiss sondes ou encore sniffer,

ce sont des outils de dtection
dintrusion qui sinstallent un point
stratgique du rseau.

Ils analysent en permanence le trafic
la recherche dune signature connue
de piratage dans les trames.

suite

Ces systmes ne reprent que les attaques
qui figurent dj dans leur base de
signatures. Ces sondes doivent tre :
- Puissantes (dbits des rseaux levs)
pour analyser toutes les trames.
- Capables de conserver un historique
(actes de malveillance diviss sur plusieurs
trames).
- Fiable, cest dire tolrante aux pannes
(retour ltat initial aprs une
interruption).

Analyse du comportement de lutilisateur

lanalyse du comportement scrute les
fichiers dvnements et non plus le
trafic.

Technique coteuse car trop de
comptences sont ncessaires.

Des agents sont placs sur le
systme ou lapplication superviss.

Suite

Leur mission consiste reprer tout abus
(personne qui cherche outrepasser ses
droits et atteindre des applications
auxquelles elle na pas accs),

ou comportement suspect (personne qui,
par exemple, scanne toute une base de
donnes alors quen temps normal, elle
neffectue que deux trois requtes par
jour).

Suite
 De mme, le transfert de certains courriers
peut tre bloqu lorsque ces documents
comportent certains mots (pralablement
dtermins par ladministrateur) pouvant
indiquer la fuite dinformations.
 Pour tre efficaces, ces solutions doivent
bnficier dune puissance suffisante afin
danalyser tous les vnements en temps
rel, mais aussi de mcanismes qui les
protgent des attaques.

Honeypot

Un honeypot est une machine connecte
au rseau et volontairement de scurit faible.
Objectifs:
Distraire un attaquant pour protger des
machines plus sensibles.
Dcouvrir de nouvelles techniques
dattaques, de nouveaux outils.
Un honeypot peut tre une machine simple
sans scurit (par exemple sans mot de passe
administrateur).

Snooping (technique scuritaire)

Le snooping est une technique

scuritaire, normalement utilise par
les polices, consistant couter
tout ce que font les utilisateurs, pour
reprer rapidement les ventuels
pirates,terroristes

Menaces lis aux applications

Attaques par dbordement de tampon (buffer
overflow):

Bug par lequel un processus, lors de l'criture
dans un tampon, crit l'extrieur de l'espace
allou au tampon, crasant ainsi des
informations ncessaires au processus.

comportement de l'ordinateur devient
imprvisible.

blocage du programme, voire de tout le
systme.

Suite

Le bug peut aussi tre provoqu
intentionnellement et tre exploit pour
violer la politique de scurit dun systme.

La stratgie du pirate est alors de dtourner
le programme bugu en lui faisant excuter
des instructions qu'il a introduites dans le
processus.

suite

Le principe daccs se fait par le biais de fonctions telles que
strcpy() (copie d'une chane de caractres).

Cette fonction ne contrle pas la taille de la chaine traiter.

Afin dcraser la mmoire du processus jusqu ladresse de retour
de la fonction en cours dexcution.

Le pirate peut ainsi choisir quelles seront les prochaines
instructions excutes par le processus et faire excuter un code
malveillant qu'il aura introduit dans le programme.

Injection SQL

Beaucoup d'applications web s'appuient sur
des bases de donnes.

Les requtes SQL utilisent des informations
saisies par les utilisateurs.

Les informations doivent tre traites avant
utilisation.

suite

Une injection SQL est un type d'exploitation
d'une faille de scurit d'une application
interagissant avec une base de donnes,

en injectant une requte SQL non prvue
par le systme et pouvant compromettre sa
scurit.

Suite

Des paramtres sont passs la base de
donnes sous forme d'une requte SQL,

il est possible un pirate de modifier la
requte afin d'accder l'ensemble de la
base de donnes, voire en modifier le
contenu.

En effet, certains caractres permettent
d'enchaner plusieurs requtes SQL ou bien
ignorer la suite de la requte.

Suite

en insrant ce type de caractres dans la
requte, un pirate peut potentiellement
excuter la requte de son choix.

Soit la requte suivante, attendant comme
paramtre un nom d'utilisateur :
SELECT * FROM utilisateurs WHERE
nom="$nom";

Suite

Il suffit un pirate de saisir un nom tel que
moto" OR 1=1 OR nom = mimi pour
que la requte devienne la suivante :
SELECT * FROM utilisateurs WHERE
nom= momo" OR 1=1 OR nom
= mimi ;
Ainsi, avec la requte ci-dessus, la clause WHERE
est toujours ralise, ce qui signifie qu'il retournera
les enregistrements correspondant tous les
utilisateurs.

Bombes logiques

Les "Bombes logiques" sont des charges
actives de virus programmes pour "exploser"
sur un critre de dclenchement particulier.
Par exemple :

Un moment prcis (bas sur lhorloge du
systme infest)

un vnement particulier du systme comme
l'appel une fonction etc. ...

Cookies

Les cookies sont de petits fichiers, sur votre disque
dur, qu'un site manipule grce votre navigateur.

Plusieurs de ces cookies servent aux spywares.

Les cookies ne sont pas et ne peuvent pas tre,
directement, des spywares, mais ils contiennent
des informations qui sont releves par les spywares

On

parle

de

"cookies

spywares".

Cracker

Le cracker est un pirate informatique
spcialis dans le cassage de codes de
protection, des logiciels sous licence.

Cracker un logiciel ncessite tout de mme
de bonnes connaissances en informatique
et, en particulier, dans le langage de base
du processeur pour lequel t crit le
programme "dplomber".

Hacker

le terme de hacker dsigne toujours un
informaticien brillant, capable de pntrer
profondment dans le cur d'un systme
d'exploitation, d'un gestionnaire de rseau, d'une
application... pour chercher la petite bte, la faille,
le truc pas encore vu, pas encore exploit etc.
Les hackers se divisent, selon une catgorisation
popularise par les mdias, en :

Types de Hackers

Black Hats (chapeaux noirs) : Hackers exploitant leurs
trouvailles des fins hostiles, parasitaires, maffieuses,
terroristes... Ce sont les Pirates.

Grey Hats (chapeaux gris) : Hackers exploitant leurs
trouvailles des fins de preuves et de dmonstrations,
ne compromettent rien, ne divulguent rien des
donnes auxquelles ils auraient pu accder.

White Hats (chapeaux blancs) : Hackers travaillant la

scurisation des systmes, On trouve parmi eux

des consultants en scurit informatique, des
policiers spcialiss contre le cyber-terrorisme.

Hoax

Cest une rumeur, un bruit, un canular, une fausse alerte ( un
virus ou un pseudo problme sur vos comptes en ce qui nous
concerne plus particulirement), une dsinformation, une
intox... souvent diffus par e-mail.

La plupart des messages de ce type provoquent une motion

(peine, compassion, rvolte, piti etc. ...).

Beaucoup de Hoax conduisent l'installation d'un virus

(installez immdiatement ce correctif...) ou vous faire avoir le
comportement d'un virus (dtruisez immdiatement ce fichier
hyper dangereux...)

Scurit des systmes informatiques

Un antivirus est un logiciel capable de rechercher,
didentifier et de supprimer les virus et autres
codes malicieux quil connat.

Il recherche des caractristiques de virus connus
dans les fichiers et peut russir dcouvrir de
nouveaux virus.

Points importants :
 Installez un antivirus
 Mettez le jour rgulirement
 Recherche de virus complte une fois par semaine
 Faites des back-up rguliers.

Les anti-spywares

Pas de protection universelle puisqu'en perptuelles
volutions.

Quelques rgles respecter nanmoins:
Sensibiliser les utilisateurs sur les risques lis
l'installation de logiciels non directement utiles (barres
dans les navigateurs, codec DivX, )
Ne pas consulter des sites douteux.
Inciter les utilisateurs signaler l'infection de leur
machine par un spyware.

Utiliser des outils de protections spcifiques (Ad-Aware,
Aluria, PestPatrol, SpyBot, Webroot, ) capables de
bloquer l'installation de certains logiciels suspects.

Firewall

Chaque ordinateur connect internet (et d'une manire
plus gnrale n'importe quel rseau informatique) est
susceptible d'tre victime d'une attaque d'un pirate
informatique.

Cette menace est d'autant plus grande que la machine est
connecte en permanence internet pour plusieurs
raisons :


La machine cible est susceptible d'tre connecte sans
pour autant tre surveille;


La machine cible est gnralement connecte avec une
plus large bande passante;


La machine cible ne change pas (ou peu) d'adresse IP.

Firewall

Un pare-feu (appel aussi coupe-feu, garde-barrire ou
firewall en anglais), est un systme permettant de protger
un ordinateur ou un rseau d'ordinateurs des intrusions
provenant d'un rseau tiers (notamment internet).

Le pare-feu est un systme permettant de filtrer les
paquets de donnes changs avec le rseau, il s'agit ainsi
d'une passerelle filtrante comportant au minimum les
interfaces rseau suivante :
 Une interface pour le rseau protger (rseau interne);
 Une interface pour le rseau externe.

Firewall

Protger son rseau du monde extrieur
(Internet, autres services de l'entreprise).

Maintenir des utilisateurs l'intrieur du
rseau (employ, enfant, )

Restreindre le nombre de machines
surveiller avec un maximum d'attention.

Certaines machines doivent rester ouvertes
(serveur www, dns, etc).

Suite Firewall

C'est un outil souvent indispensable mais jamais
suffisant:
Pas de protection contre le monde intrieur
Pas de protection contre les mots de passe faibles

Ncessite une politique de scurit:
Tout autoriser et interdire progressivement
Tout interdire et ouvrir slectivement

Suite Firewall

Contrler les accs entrant et sortant:
par service
par adresse IP

Un firewall n'empche pas:
de bien protger et administrer toutes ses
machines.
de bien structurer son rseau.
d'duquer et sensibiliser les utilisateurs.
la signature de charte de bonne utilisation.
la surveillance quotidienne.

Suite Firewall

Diffrents types de firewall:
filtres de paquets
passerelles de circuits
passerelles d'application
Combinaison des 3 types prcdents

Firewall: Filtrage de paquets

Paquets peuvent tre tris en fonction
des adresses IP, des ports sources et
destination, du contenu.

la dcision est prise d'aprs le
contenu du paquet en cours.

Firewall

C'est une machine ddie au routage
entre LAN et Internet.

Le trafic est analys au niveau des
datagrammes IP (adresse, utilisateur,
contenu...).

Un datagramme non autoris sera
simplement dtruit.

Firewall : logiciels

Au niveau rseau local, un programme
correctement crit peut quand mme
observer le trafic et saisir noms et mots de
passe qui circuleraient sur le rseau
diffusion.

Dans le domaine commercial, les logiciels
firewall les plus rputs sont VPN1 de
checkpoint et e-trust de Computer
Associates.

Firewall : Filtrage des sites

Pour les coles (protection des mineurs) ou
bloquer les publicits On peut tlcharger un
fichier rpertoriant plusieurs milliers de
serveurs quon peut bloquer.

PROXY

Dfinition

Un proxy, c'est un mandataire, un
intermdiaire.

Sur Internet, il existe diffrents types de
proxy. Les plus courants sont les proxy HTTP.
Ils supportent les protocoles HTTP et FTP.

Cest
une
machine
faisant
fonction
d'intermdiaire entre les ordinateurs d'un
rseau local (utilisant parfois des protocoles
autres que le protocole TCP/IP) et internet.

Comment a marche?

En tapant une adresse comme :
http://www.yahoo.com/index.html,
votre
ordinateur va se connecter sur le serveur
www.yahoo.fr et demander la page index
index.html.

Requte http sans proxy

Comment a marche?

Avec un proxy, quand vous tapez :
http://www.yahoo.com/index.html,
votre ordinateur va se connecter au proxy et
lui demande daller chercher la page
www.yahoo.com.

Requte http avec proxy

A quoi a sert?

Un proxy peut avoir plusieurs utilisations :
1.Le proxy peut vous protger : il peut vous
autoriser vous connecter l'extrieur et
interdire les ordinateurs d'Internet de venir se
connecter sur le vtre. Cette fonction de
protection du proxy est souvent incluse dans
les firewalls.

A quoi a sert?
2. Le proxy peut masquer les informations
concernant votre ordinateur : En effet,
quand vous surfez, on peut savoir de quel site
vous venez visiter, quel navigateur vous
utilisez, quel est votre systme d'exploitation,
votre adresse IP... Certains proxy masquent
ces informations. Ces proxy sont dits proxy
anonymes.

A quoi a sert?
3. Le proxy peut mmoriser les pages les plus
demandes.
Ainsi si vous demandez plusieurs fois la page
http://www.yahoo.com/index.html,
le proxy vous la donnera immdiatement
sans aller la chercher sur www.yahoo.com. Si
vous tes proche du proxy, cela peut
acclrer les choses. Il s'appelle alors proxycache.

Les dangers du proxy

Confidentialit : Etant donn que vous
demandez toutes vos pages au proxy, celui-ci peut
savoir tous les sites que vous avez visit.

Mots de passe : Certains sites Web ncessitent
des mots de passe. Comme vous passez par le
proxy, le proxy connatra vos mots de passe (sauf
si vous utilisez HTTPS/SSL).

Modifications : Le proxy vous fournit les pages,
mais il est galement possible qu'il les modifie la
vole avant de vous les donner (cela reste rare,
mais possible !).

Censure : Certains proxy peuvent tre configurs
pour censurer des sites.

Autre danger : le proxy transparent

Quand vous indiquez volontairement que
vous voulez utiliser un proxy, Certains
fournisseurs d'accs
regardent quels
protocoles vous utilisez et dtournent sans
vous le dire les requtes HTTP vers leurs
serveurs proxy.

Certains fournisseurs dtournent les requtes HTTP sur leurs serveurs proxy
sans vous le dire.

Pourquoi font-ils cela?

Cela permet d'effectuer des statistiques trs
prcises sur les habitudes de navigation des
internautes, et ce genre d'information se vend trs
bien aux socits de marketing.

Cela permet d'conomiser de la bande passante
pour rduire la quantit de donnes reues
d'Internet.

Il est galement arriv chez un fournisseur (FSI)
que le proxy-cache recompresse les images avec
une qualit moindre pour gagner de la place.
Rsultat: tous les sites consults deviennent
hideux (images de trs mauvaise qualit).

Le filtrage

Grce l'utilisation d'un proxy, il est possible
d'assurer un suivi des connexions (en anglais
logging ou tracking) via la constitution de
journaux d'activit (logs).

en enregistrant systmatiquement les requtes
des utilisateurs lors de leurs demandes de
connexion Internet.

Fonction denregistrement

Le serveur garde une trace dtaille de toutes
les informations qui le traversent,

Gnre un fichier journal (fichier de log),

enregistre la trace des requtes effectues par
tous les clients utilisant le proxy.
Lidentification du client,
les dates et heures de connexion,
Les URL des ressources consults,
les taille et temps de tlchargement, etc.

Autres fonctions

Fonction danonymat : les requtes relays par
un serveur peuvent ne pas contenir dadresse
du client, de manire protger leur
anonymat.

Fonction de traduction dadresse (NAT) :
permet des rseaux privs de sortir vers
linternet.

Avantages du proxy

Il est capable d'interprter le trafic et notamment
de cacher les informations. On diminue ainsi le
trafic et augmente la bande passante de la mme
occasion.

On peut aussi autoriser ou non l'accs certaines
partie d'un site, certaines fonctionnalits, etc.

On a donc un bon contrle de ce qui transite sur
le rseau, et on sait quels protocoles peuvent
circuler.

Le reverse proxy

On appelle reverse-proxy (en franais relais
inverse) un serveur proxy-cache "mont
l'envers", c'est--dire un serveur proxy
permettant non pas aux utilisateurs d'accder
au rseau internet, mais aux utilisateurs
d'internet d'accder indirectement certains
serveurs internes.

Le reverse proxy

Un relais inverse n'est utile que s'il apporte
des fonctionnalits :
d'authentification par mots de passe ou
forte par certificats,
de chiffrement,
de filtrage applicatif

Pour protger des scripts vulnrables, il faut
que le relais inverse soit capable de filtrer les
donnes envoyes par l'utilisateur dans URL.

Le reverse proxy

Le reverse-proxy sert ainsi de relais pour les
utilisateurs d'internet souhaitant accder un
site web interne en lui transmettant
indirectement les requtes.

Grce au reverse-proxy, le serveur web est
protg des attaques directes de l'extrieur, ce
qui renforce la scurit du rseau interne.

Le reverse proxy

D'autre part, la fonction de cache du reverseproxy peut permettre de soulager la charge du
serveur pour lequel il est prvu, c'est la raison
pour laquelle un tel serveur est parfois appel
acclrateur (server accelerator).
Enfin, grce des algorithmes perfectionns,
le reverse-proxy peut servir rpartir la charge
en redirigeant les requtes vers diffrents
serveurs quivalents.

Le mot de passe

Les mots de passe permettent dobtenir un accs
une zone sensible de votre systme.

Mme si cet accs vous semble bnin, toute porte
dentre dans votre systme laisse la place plus
grand vandalisme et permet souvent la mise en
place de logiciels des fins de piratages ou de
bonds.

Rgles dans la cration des mots de passe

Les mots de passe viter : viter ce qui peut tre devin
(et sera essay par des programmes style crack) :
Son propre mot de login ! Si la liste des utilisateurs est
connue, attaque triviale...
Suites de touches clavier
Numros de tlphones ou de plaques minralogiques
personnels
Noms/prnoms de lenvironnement personnel
Mots de nimporte quelle langue lendroit ou lenvers
Personnages/mots de romans, jeux,...
Des modifications simples des cas prcdents : chiffre ou
ponctuation avant ou aprs

Rgles de constitution de mot de passe

solide

Le mot de passe doit utiliser une combinaison
de caractres de tous types (notamment non
alphanumrique).

Il doit contenir 6 7 caractres diffrents au
moins.

Il doit tre facile retenir pour ne pas avoir
besoin de lcrire

Il doit utiliser :
et/ou de ponctuation,
et/ou des chiffres
et/ou des lettres majuscules et minuscules

Exemple dune mthode de cration de mot de

passe

Il est possible dutiliser une phrase cl et den

extraire la premire et la dernire lettre de
chaque mot de la phrase.
Exemple
"Je suis en cours de scurit"
Jsecds
Puis on rajoute des caractres spciaux.
J&s#ecds
85

Scanners (balayage des ports)

le balayage de port (port scanning en
anglais) est une technique servant
rechercher les ports ouverts sur un serveur
de rseau.

Technique utilise par les administrateurs
des systmes informatiques pour contrler
la scurit des serveurs de leurs rseaux.

Suite

C est un utilitaire permettant de raliser un
audit de scurit d'un rseau en effectuant
un balayage des ports ouverts sur une
machine donne ou sur un rseau tout
entier.

Le balayage se fait grce de requtes
permettant de dterminer les services
fonctionnant sur un hte distant.

Fonctionnement dun scanner

les scanners de scurit volus sont parfois
capables de dterminer le systme
d'exploitation de la machine distante ainsi
que les versions des applications associes
aux ports.

Dans le cas chant, ils peuvent conseiller
les mises jour ncessaires, on parle ainsi
de caractrisation de version.

Utilit d'un scanner

Les scanners de scurit sont des outils trs
utiles pour les administrateurs systme et
rseau afin de surveiller la scurit du parc
informatique dont ils ont la charge.

A contrario, cet outil est parfois utilis par
des pirates informatiques afin de
dterminer les brches d'un systme.

Audit de scurit

Un audit de scurit consiste s'appuyer sur
un tiers de confiance (une socit spcialise
en scurit informatique) afin de valider les
moyens de protection mis en uvre, au regard
de la politique de scurit.

L'objectif de l'audit est de vrifier que chaque
rgle de la politique de scurit est
correctement applique et que les dispositions
prises
forment
un
tout
cohrent.

Nessus : outil de test de scurit

Permet dauditer des rseaux
possdant divers systmes
dexploitation : Windows, linux, Sun

Permet de faire des tests dintrusion
aussi bien interne quexterne.

Nessus balaye les ports dun serveur
et recherche puis identifie les failles
de vulnrabilit prsentes.

Suite

Il analyse les protocoles utiliss sur chacun
des ports du serveur afin didentifier les
services prsents.

Il est ainsi capable de dtecter les services
mme si ces derniers nutilisent pas les ports
qui leurs sont attribus par dfaut. Par
exemple, il sera capable de dtecter un
service FTP disponible sur un port autre que
le port 21.

Suite

Il est galement capable de dtecter les
services multiples dun mme serveur.

si deux serveurs Web tournent sur des
ports diffrents qui ne sont pas les ports
attribus par dfaut, Nessus les dtectera
tous les deux.

A la fin du balayage des ports, Nessus
prsente la liste des failles de vulnrabilits
et dans la majorit des cas, indique
galement la faon dy remdier .

Systmes de dtection d'intrusion (IDS)

(Intrusion Detection System) un
mcanisme coutant le trafic rseau
de manire furtive afin de reprer des
activits anormales ou suspectes et
permettant ainsi d'avoir une action de
prvention sur les risques d'intrusion.

Il existe deux grandes familles
distinctes dIDS :

IDS (suite)

Les N-IDS (Network Based Intrusion
Detection System), ils assurent la
scurit au niveau du rseau.

Les H-IDS (Host Based Intrusion
Detection System), ils assurent la
scurit au niveau des htes.

Les systmes biomtriques

La biomtrie dsigne ltude de la morphologie
dun organe humain, laide doutils
mathmatiques et informatiques, afin de
parvenir identifier un individu.

la biomtrie est un mot qui dsigne au sens
large ltude quantitative des tres vivants .

Il
existe
trois
biomtriques:

catgories

danalyses

La biomtrie
1.

Les
analyses
biomtriques
de
type
morphologiques : Empreintes digitales, traits du
visage, veines de la main, minuties de la main,

2. Les
analyses
biomtriques
de
type
comportementales : Analyse de la dynamique de
la signature, la vitesse avec laquelle on crit sur un
clavier, les pressions exerces sur une touche, ou
sur une tablette graphique,
3. Les analyses biomtriques de type biologiques :
Analyse sanguine, structure de lAdn,

La biomtrie

La biomtrie permet donc didentifier, de vrifier ce
que lon est.

un processus de vrification didentit grce la
biomtrie se compose en 2 parties :
1. La capture des donnes biomtriques : on capture une
image biomtrique de lorgane, par un capteur qui
transmet limage vers un terminal disposant dun
logiciel de traitement des donnes biomtriques
rcoltes.
2.La vrification des donnes captures : un logiciel
associ au systme biomtrique compare limage
rcolte avec un gabarit biomtrique de rfrence.

Pourquoi on utilise la biomtrie?

La biomtrie permet didentifier un individu travers
ses caractristiques physiques.

Les caractristiques physiques dun individu sont
difficilement modifiables.

Difficile de modifier laspect des cryptes de liris, ou de
modifier la structure de son patrimoine gntique.

La biomtrie permet de se passer de l'utilisation des
mots de passe habituels.

Avec les technologies de la biomtrie, une empreinte
digitale peut par exemple faire office de mot de passe.

La biomtrie scurise les accs aux divers rseaux et
sessions informatiques.

Systme de scurit biomtrique

 C est un systme de scurit bas sur la
reconnaissance de caractristiques physiques
ou comportementales d'un individu.
 Ces caractristiques sont universelles et
uniques.
 Ils permettent de convertir une empreinte
digitale en un mot de passe complexe crypt
qui permet laccs un rseau informatique
ou louverture dune session informatique.

Applications de la biomtrie
1.
2.
3.
4.
5.
6.

Lidentification biomtrique par lanalyse de

lempreinte digitale
Lidentification biomtrique par lanalyse de la
morphologie dun visage en 3 dimensions
Lidentification biomtrique par lanalyse de la
rtine
Lidentification biomtrique par lanalyse de liris
Lidentification biomtrique par lanalyse de la
voix
Lidentification biomtrique par lanalyse de la
morphologie de la main en 3 dimensions

Techniques biomtriques

Analyse biomtrique des minuties de la main :
Technique didentification biomtrique efficace.
Lindividu authentifier pose sa main dans un lecteur
de formes de la main biomtrique.
Une camra infrarouge prend une image de la main
en 3 dimensions.
Le lecteur biomtrique analyse plus de 90
caractristiques types des formes composant la main
dun individu : la longueur des doigts, la largeur des
articulations, les formes des dessins forms par les
lignes
sur
la
peau
de
la
main.
Un des avantages de cette technique de
reconnaissance
biomtrique
est
quelle
est
relativement bien accepte par les populations.

Techniques biomtriques

Analyse biomtrique de la rtine
Chez un tre humain, la rtine est situe dans le fond de
lil.
Lanalyse de la rtine se fait par une sorte de camra
lumineuse permettant dclairer le fond de lil (afin de
pouvoir capturer une image de la rtine).
Les dessins forms par les veines de la rtine sont capturs
par image et analyss par un logiciel associ au lecteur de
rtines. Ces rseaux de veines des rtines sont diffrents
dun il lautre, et dun individu lautre.
Considr comme la technique la plus intrusive, celle qui
pntre le plus dans lintimit de la personne
authentifier. Pourtant, la technique dauthentification
par la rtine est sans doute lune des techniques
biomtrique qui offre le plus haut niveau de scurit et
defficacit.

Techniques biomtriques

Analyse biomtrique de liris : lune plus efficaces.

Il y a quasiment aucune chance pour que deux
personnes possdent les mmes caractristiques
au niveau de liris.

Tout comme pour capturer une image de la
rtine, obtenir une image de liris nest pas
quelque chose de si simple. Liris peut changer
daspect selon lclairage par exemple. Capturer
une image dun iris nest pas facile non plus parce
quil faut utiliser une camera au bord de liris. Le
lecteur diris se place donc proximit de lil et
peut tre ressentie comme une intrusion par
lutilisateur.

Techniques biomtriques

Reconnaissance vido du visage :

La biomtrie utilise certaines caractristiques propres
chaque individu tel que lcart quil peut y avoir
entre les yeux, la morphologie du visage, la taille et la
forme des oreilles,

Cette technologie biomtrique possde des failles.
Notamment le fait quil lui est difficile de reconnatre
des visages dans certains cas. Par exemple dans le cas
o la camra intelligente serait amener devoir
identifier des jumeaux. La reconnaissance vido de la
morphologie du visage identifie difficilement des
personnes portant un maquillage prononcer, un
chapeau, un masque, intelligent.

Cette technique biomtrique sassocie bien avec un
systme de vidosurveillance

Techniques biomtriques

Analyse biomtrique de la voix :

Un des avantages de la reconnaissance vocale est
que la personne identifier nest pas en contact
direct avec un lecteur biomtrique.

La reconnaissance vocale nest pas perue
comme intrusive par lutilisateur.

Une fois capture par un micro, la voix est
convertie en algorithmes mathmatiques.

La reconnaissance vocale nest pas considre
comme une des meilleures techniques de
reconnaissance biomtrique.

Elles sont des techniques vulnrables.

Certains
paramtres
peuvent
perturber
lutilisation de cette technologie biomtrique
(Parasites
sonores
ambiant,
qualit
du
microphone enregistreur, bruits divers,).

Techniques biomtriques

Analyse biomtrique de la dynamique de lcriture sur un
clavier dordinateur :

Analyser la manire dont une personne se sert de son
clavier permet aussi didentifier cette personne.

Il sagit danalyse biomtrique comportementale.

Les lments distinctifs analyss pour diffrencier des
comportements dcriture sur le clavier sont par exemple :
Vitesse de la frappe au clavier.
Temps de la frappe.
Pression exerce sur les touches du clavier.

Cette technique de reconnaissance biomtrique par
lanalyse comportementale de lcriture sur le clavier dun
ordinateur nest pas perue comme tant intrusive par la
plupart des gens soumis ce contrle.

Identification biomtrique par les empreintes

digitales

La biomtrie utilise les empreintes digitales pour
identifier un individu.

Ce sont les dessins des lignes de la main. Chaque
personne possde des empreintes digitales diffrentes.
Mme 2 individus issus dun mme embryon
(autrement dit des jumeaux) possdent des
empreintes digitales diffrentes.

Ceci fait quil est donc possible didentifier chaque
personne de manire trs fidle, simplement en
tudiant laspect de ces empreintes digitales.

Avantages et inconvnients des technologies de

reconnaissance biomtriques

Scurit biomtrique des accs physiques par

lanalyse des empreintes digitales :
Avantages :

Cout faible.

Taille du lecteur biomtrique dempreinte digitale.

Systme biomtrique facile mettre en place.

Inconvnients :

Est ressentie comme tant intrusif.

Systme assez vulnrables aux attaques (il est possible
de crer un faux doigt en utilisant lempreinte digitale
dune autre personne dont le gabarit biomtrique est
stock dans la base de donne associ au lecteur
dempreintes digitale).

Avantages et inconvnients des technologies de

reconnaissance biomtriques

Scurit biomtrique des accs physiques par lanalyse de
la morphologie de la main :
Avantages :

Nest pas ressentie comme tant une technologie
biomtrique intrusive.

Dsavantages :

Cot de cette technologie biomtrique.

Techniques de reconnaissance biomtrique assez
vulnrables aux attaques.

Problme de taux de Faux acceptation et faux rejets.

Avantages et inconvnients des technologies de

reconnaissance biomtriques

Scurit biomtrique des accs physiques par lanalyse de
la morphologie du visage :
Avantages :

Technologie biomtrique peu couteuse.

Taille du lecteur de visage biomtrique.

Technologie assez accepte par la population.

Sassocie trs bien avec un systme de
tlsurveillance vido

Dsavantages :

Vulnrable aux attaques par exemple au cas o la
camra biomtrique filmerait 2 jumeaux, elle ne
pourrait pas les distinguer. Si la personne porte un
dguisement, un masque,

Avantages et inconvnients des technologies de

reconnaissance biomtriques

Scurit biomtrique des accs physiques par lanalyse des
veines de la rtine
Avantages :
-Technique didentification biomtrique trs fiable

Dsavantages :

Cot de cette technologie biomtrique.

Lecteur de rtine biomtrique difficile installer.

Lanalyse biomtrique de la rtine est une
technologie perue comme intrusive.

Avantages et inconvnients des technologies de

reconnaissance biomtriques

Scurit biomtrique des accs physiques par lanalyse de
liris :
Avantages :

Actuellement la meilleure technique de
reconnaissance biomtrique (avec la reconnaissance
rtinienne).

Dsavantages :

Perues comme intrusives par les usagers.

Leffort demand aux utilisateurs est grand (le lecteur
diris utilise un faisceau lumineux de basse intensit
qui claire liris).

Avantages et inconvnients des technologies de

reconnaissance biomtriques

Scurit biomtrique des accs physiques et des accs
logiques par lidentification vocale :
Avantages :

Technologie biomtrique facile mettre en uvre.

Permet de scuriser une conversation tlphonique

Dsavantages :

Technologie biomtrique vulnrable aux attaques.

La biomtrie

La biomtrie ne doit pas tre considre comme
la technologie de scurisation ultime.

Il ne faut pas oublier par exemple, que dun point
de vue informatique, les mots de passe gnrs
par le logiciel de chiffrement biomtrique peuvent
tre attaqus.

Un systme de scurit bas sur la biomtrie seule
ne suffit pas. Il faut scuriser tout
lenvironnement informatique associ au systme
de scurit biomtrique

Wifi

WIreless FIdelity est un ensemble de
protocoles de communication sans fil rgis
par les normes du groupe IEEE 802.11
(ISO/CEI 8802-11). Un rseau Wi-Fi permet
de relier sans fil plusieurs appareils
informatiques (ordinateur, routeur,
dcodeur Internet, etc.) au sein d'un rseau
informatique.

Wifi et scurit

Normes actuelles :
802.11b (WiFi) 2,4 Ghz, 11 Mb/s
802.11a (WiFi 5) 5 Ghz, 54 Mb/s
802.11g 2,4 Ghz, 54 Mb/s

Avantages des connexions sans fil

Plus de cbles,

Facilit dextension du rseau,

Facilite la mobilit,

Traverse les obstacles,

Intressant pour monter des rseaux
temporaires.

Les risques

Plus de limite physique au rseau,

Equivalent avoir une prise rseau sur le
trottoir,

Possibilit de capter le signal assez loin,

Dni de services ais.

Scurisation des points daccs

Changer les mots de passe par dfaut.

Dsactiver les services inutiles.

Rgler la puissance d'mission au minimum
ncessaire.

Mettre jour le "firmware" au fur et mesure
des mises jours.

Scuriser l'accs physique des points d'accs.

Le chiffrement WEP

Historiquement le premier chiffrement utilis par
le WiFi.

Chiffrement symtrique des trames 802.11
utilisant l'algorithme RC4 avec des cls de 64 ou
128 bits.

Les 24 premiers bits servent pour l'initialisation
diminuant d'autant la taille de la cl.

La cl doit tre partage par tous les quipements.

Cet algorithme de chiffrement est trs insuffisant.

Le chiffrement WPA

Le chiffrement WPA repose sur des protocoles
d'authentification et un algorithme de chiffrement
robuste: TKIP (Temporary Key Integrity Protocol)
qui introduit un chiffrement par paquet et un
changement automatique des cls de chiffrement.

WPA repose sur un serveur d'authentification
(gnralement un serveur RADIUS, Remote
Authentification
Dial-in
User
Service)
permettant d'identifier les utilisateurs et de leur
dfinir des droits.

Scuriser la connexion wifi

1. Dfinition du mot de passe rseau :
pour la configuration du routeur, on doit
rentrer ladresse 192.168.1.1.
A ce stade, une fentre apparat et vous
demande de renseigner un nom
d'utilisateur et un mot de passe. Par
dfaut, le nom et le mot de passe sont
normalement admin et admin .

Suite

vous accdez alors la fentre de
configuration de votre matriel.

Rendez vous dans la fentre
d'administration du rseau. A partir de l
vous pouvez changer les identifiants rseau.

Choisissez un identifiant et un mot de passe
originaux

Suite
2. Masquer les informations SSID : dans la page de
setup du rseau, reprez les champs concernant
l'option d'envoi des informations SSID.
Par dfaut cette option est active. Cochez la case
dsactivant cet envoi. En effet, un broadcasting
SSID donnerait aux tiers des informations sur la
marque et le modle du matriel que vous utilisez,
facilitant ventuellement l'intrusion dans votre
rseau.

Suite
3. Activer le cryptage WEP : c'est la cl WEP qui va
scuriser votre rseau, que ce soit au niveau des
demandes d'informations manant de tiers ou au
niveau de l'encryptage des donnes diffuses.
C'est galement dans la partie setup que vous
trouverez les options de cryptage (l'organisation
des menus peut changer d'un constructeur
l'autre).

Suite
4. Prcision des adresses MAC des matriels
composant le rseau : Les adresses MAC sont des
numros de srie qui identifient physiquement les
cartes wifi. Normalement, chaque carte a un numro
qui lui est propre et qu'on ne retrouvera associ
aucun autre priphrique dans le monde. Le principe
est de prciser ces adresses dans la page d'accs au
rseau sans fil du routeur, afin que celui-ci n'accepte
de dialoguer qu'avec les cartes dont il connat les
adresses MAC ( l'inverse, on peut choisir d'autoriser
toutes les adresses MAC sauf certaines que l'on aura
spcifies). Cela introduit une protection
supplmentaire puisque le crackage de ces adresses
ncessite des comptences extrmement pointues.

CRYPTOGRAPHIE

Cryptographie

le mot cryptographie est un terme

gnrique dsignant l'ensemble des
techniques permettant de chiffrer des
messages, c'est--dire permettant de
les rendre inintelligibles sans une
action spcifique. Le verbe crypter est
parfois utilis mais on lui prfrera le
verbe chiffrer.

Cryptographie

La cryptologie est essentiellement

base sur l'arithmtique : Il s'agit dans
le cas d'un texte de transformer les
lettres qui composent le message en
une succession de chiffres (sous forme
de bits dans le cas de l'informatique
car le fonctionnement des ordinateurs
est bas sur le binaire), puis ensuite de
faire des calculs sur ces chiffres pour :

Cryptographie

d'une part les modifier de telle faon les
rendre incomprhensibles. Le rsultat de
cette modification (le message chiffr) est
appel
cryptogramme
(en
anglais ciphertext) par opposition au
message initial, appel message en clair (en
anglais plaintext);

faire en sorte que le destinataire saura les
dchiffrer.

Les fonctions de la cryptographie

La cryptographie est utilise pour dissimuler
des messages aux yeux de certains utilisateurs.

Cette utilisation a aujourd'hui un intrt
d'autant plus grand que les communications
via internet dont on ne peut garantir la
fiabilit et la confidentialit.

Dsormais, la cryptographie sert non
seulement prserver la confidentialit des
donnes mais aussi garantir leur intgrit et
leur authenticit.

Cryptographie

Le fait de coder un message de telle faon
le rendre secret s'appelle chiffrement. La
mthode inverse, consistant retrouver le
message original, est appele dchiffrement.

Cryptographie

Le chiffrement se fait gnralement

l'aide d'une clef de chiffrement, le
dchiffrement ncessite quant lui
une clef de dchiffrement. On distingue
gnralement deux types de clefs :

Les cls symtriques

il s'agit de cls utilises pour

chiffrement ainsi que pour
dchiffrement. On parle alors
chiffrement
symtrique
ou
chiffrement cl secrte.

le
le
de
de

Les cls asymtriques

il s'agit de cls utilises dans le cas du

chiffrement asymtrique (aussi appel
chiffrement cl publique). Dans ce
cas, une cl diffrente est utilise pour
le chiffrement et pour le dchiffrement

Principe de la cryptographie

But de la cryptographie

fournir un certain nombre de services de
scurit :
Confidentialit
Intgrit
Authentification de l'origine des donnes ou
d'un tiers
Non-rpudiation

Moyens mis en uvre

Mcanismes de scurit construits au
moyen doutils cryptographiques (fonctions
algorithmiques, gnrateurs alatoires de
codes, protocoles.)
Chiffrement,
Scellement et signature lectronique,
Protocole dauthentification mutuelle avec
change de clefs.

Confidentialit et algorithme de chiffrement

Diffrents types dalgorithme:

Algorithmes symtriques ou clef
secrte : Plus rapide donc prfrs
pour le chiffrement de donnes .
Algorithmes asymtriques ou clef
publique : change de clefs secrte et
signature lectronique.

Confidentialit

La confidentialit est historiquement le premier
problme pos la cryptographie. Il se rsout par
la notion de chiffrement, mentionne plus haut.

Il existe deux grandes familles dalgorithme
cryptographiques base de clefs : les algorithmes
clef secrte ou algorithmes symtriques, et les
algorithmes clef publique ou algorithmes
asymtriques.

Principe du chiffrement symtrique

Clef de chiffrement = clef de dchiffrement, elle doit rester
secrte.

La clef de chiffrement et de dchiffrement sont identiques
: cest la clef secrte qui doit tre connue des personnes
communicantes et deux seulement, le procde est dit
symtrique.

Algorithme DES

Chiffrement asymtrique

Clefs de chiffrement et de dchiffrement
distinctes

Connatre la clef publique ne permet pas de
retrouver la clef prive correspondante,

Algorithmes trop lents pour une utilisation
intensive (chiffrement de donnes),

Algorithme RSA (Rivest Shamir Adleman), trs
utilis dans le commerce lectronique, et plus
gnralement pour changer des donnes
confidentielles sur Internet.

Chiffrement asymtrique

Avec les algorithmes asymtriques, les clefs de
chiffrement et de dchiffrement sont
distinctes et ne peuvent se dduire lune de
lautre,

Cest pourquoi on parle de chiffrement clef
publique. Si la clef publique sert au
chiffrement, tout le monde peut chiffrer un
message, que seul le propritaire de la clef
prive pourra dchiffrer. On assure ainsi la
confidentialit.

Chiffrement asymtrique

Clef publique utilise pour le chiffrement,
seul le dtenteur de la clef prive peut
dchiffrer

Intgrit et authentification

Service souhait : pouvoir s'assurer que le
message provient bien de l'expditeur annonc
(authentification de l'origine des donnes) n'a
pas t modifi pendant le transfert (intgrit)

Authentification de l'origine des donnes et
intgrit sont insparables

Authenticit = authentification + intgrit

"Authentification" souvent utilis pour
dsigner en fait l'authenticit.

Authentification

Parmi les problmes auxquels sattaque la
cryptographie, on trouve lauthentification de
lorigine des donnes et lintgrit : lorsque lon
communique avec une autre personne au travers
dun canal peu sr, on aimerait que le destinataire
puisse sassurer que le message mane bien de
lauteur auquel il est attribu et quil na pas t
altr pendant le transfert.

Signature numrique

Signature numrique

Mcanisme qui fournit les services suivants :


Authentification de l'origine des donnes

Intgrit

Non-rpudiation de la source