Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
sécurité
CHAPITRE I:
INTRODUCTION À LA SÉCURITÉ
Iset’Com 2019-2020
Système d’information:
Ensemble d’activités consistant à gérer les informations: acquérir,
stocker, transformer, diffuser, exploiter…
Fonctionne souvent grâce à un système informatique
Sécurité du système d’information = sécurité du système informatique
3 4
Cycle de la sécurité Nécessité de la sécurité
Prévention:
Processus d’anticipation qui vise à créer un environnement aussi
sécurisé que possible:
Prendre des mesures afin d’empêcher les biens et les actifs d’être attaqués.
Détection:
Processus réactif par lequel on détermine les activités inappropriées
et on alerte les personnes responsables
Prendredes mesures afin de détecter quand, comment, par qui un actif ou un bien a
été endommagé.
Détecter les activités qui sont en violation avec la politique de sécurité.
Réaction:
Processus de réponse à un incident de sécurité
Prendre des mesures afin de pouvoir restaurer les biens et les actifs après un
incident de sécurité.
Besoin d'une stratégie de sécurité
5 6
Indisponibilité du service
e-business, …
SERVICES MÉCANISMES
Perte de temps et de moyen humains
Remise en service, recherche des dégradations
11 12
Services de sécurité: contrôle d’accès Services de sécurité: Intégrité
Le contrôle d’accès aux systèmes d’information et aux réseaux Le service d’intégrité permet de détecter si les données ont
associés: été modifiées depuis la source vers la destination
Indispensable pour maintenir la confidentialité, l’intégrité et la Service orienté connexion: traite un flot de messages, assure que
disponibilité. les messages sont reçus aussitôt qu’envoyés, sans duplication,
Empêche l’utilisation non autorisée d’une ressource (serveur, insertion, modification, réorganisation ou rejeu...
application ...) Service non orienté connexion: assure la protection contre la
Permet de : modification uniquement et pour un seul message.
13 14
15
Vulnérabilité et risque: définitions Intrus (hacker)
Vulnérabilité: L’entité responsable d’une attaque de sécurité.
Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une Exemples d’intrus:
ressource d’informations ou des privilèges supérieurs à ceux considérés
Les white hat hackers:
comme normaux pour cette ressource.
Objectif: aider l'amélioration des systèmes et technologies informatiques
Exemples de vulnérabilités :
Les black hat hackers(pirates):
Utilisation des mots de passe non robustes. Vulnérabilités Objectif: s'introduire dans les systèmes informatiques dans un but nuisible
Présence de comptes non protégés par mot de passe. Les Script Kiddies (gamins du script, crashers, lamersou packet monkeys):
Une vulnérabilité est exploitée par une menace pour engendrer une attaque. Des utilisateurs du réseau utilisant des programmes trouvés sur Internet, pour
vandaliser des systèmes informatiques afin de s'amuser.
Risque:
Les carders:
La probabilité qu'une menace exploitera une vulnérabilité du système.
Ils s'attaquent principalement aux systèmes de cartes bancaires pour en comprendre
C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme le fonctionnement et en exploiter les failles
valeur une probabilité.
Les crackers:
Objectif: créer des outils logiciels permettant d'attaquer des systèmes informatiques
ou de casser les protections contre la copie des logiciels payants.
17 18
Système
Attaque
Attaque
externe
interne
Cryptage
Chiffrement
Utilisation
d’algorithmes mathématiques pour transformer les messages en
une forme non intelligible.
Signature
électronique Signature numérique
Ajoutde données, ou transformation cryptographique irréversible, à une unité
de données afin de prouver la source et l’intégrité de cette unité de données.
Mécanismes Certificats
Horodatage (Timestamping)
Inclusion d’une date et d’un temps correct dans un message.
Pare-feu
(firewall)
….
21 22
Définitions (Rappel)
Vulnérabilité:
Défaut ou faiblesse d’un système dans sa conception, sa mise
en œuvre ou son contrôle interne pouvant mener à une faille de
sécurité ou à la violation de sa politique de sécurité.
Menace:
La possibilité qu’une vulnérabilité soit exploitée accidentellement
ou par un agent malveillant
CHAPITRE II:
Attaque
LES ATTAQUES DE SÉCURITÉ Action malveillante exploitant des vulnérabilités d’un système
Employée pour casser les services de la sécurité en détournant
les mécanismes
24
Objectifs et motivations des attaquants Attaques
Objectifs Motivations X.800 et RFC 2828 classifient les attaques selon deux classes:
Attaques passives: tentent de collecter ou utiliser des informations
Désinformer Vengeance/rancune
relatives au système, mais elles n’affectent pas les ressources du
Empêcher l'accès à une Politique/religion système.
ressource Défis intellectuels Attaques actives: tentent d’introduire des modifications sur les
Prendre le contrôle d’une Envie de nuire aux autres ressources du système ou affecter leur fonctionnement normal.
ressource
Impressionner les autres
Récupérer de l'information
Vol d’informations
Utiliser le système
Désir d’argent
compromis pour attaquer un
autre (rebondir) … Falsification d’informations …
25
26
Les attaques actives peuvent être groupées en quatre catégories: Parmi les attaques les plus populaires.
1. Mascarade: Une entité se fait passer pour un utilisateur légitime afin Réalisées généralement suite à l’épuisement physique ou logique des
d’obtenir des privilèges supplémentaires. ressources au niveau des serveurs ou des réseaux de la victime ou à
2. Rejeu (Replay): capture passive des données et leurs transmission travers le lien de communication liant la victime au fournisseur d'accès
ultérieure en vue de réaliser des actions non autorisées. à Internet (FAI) .
3. Modification: altération, destruction, ou reclassement d’une partie des Attaque de Déni de Service Distribué DDoS (Distributed Denial of
messages échangés en vue de produire un effet non autorisé. Service)
4. Déni de service DoS (Denial of Service) : Empêcher ou inhiber Fait intervenir un réseau de machines (souvent compromises) afin
d’interrompre le ou les services visés
l’utilisation normale des moyens de communications:
Utilisation des esclaves: machines disposant des vulnérabilités qui sont
Interruption et suppression des messages en direction d’une destination
exploitées par un intrus.
particulière
Utilisation des réflecteurs: envoient des réponses à des paquets spoofés
Perturbation de l’utilisation normale des ressources (réseau ou système) en les
(destination : victime)
surchargeant de trafic inutile pour dégrader leurs performances.
29 30
Etape 1: Reconnaissance
Recherche d’informations sur le système cible
Etape 2: Balayage (scan)
Scan des ports, des vulnérabilités, du réseau (topologie)
Balayage de ports: possibilité d’utilisation de Nmap …
Balayage de vulnérabilités: possibilité d’utilisation Nessus, OpenVAS …
Exemples d’attaques
Etape 3: Exploit
Exploiter les vulnérabilités des protocoles, des applications, des systèmes
d’exploitation, du réseau …
Etape 4: Maintenir l’accès.
Porte dérobée (Backdoor) …
Etape 5: Effacer les traces d’intrusion
Effacer/modifier les logs 31 32
Attaques des mots de passe
Sniffing ou reniflage
Méthodes d’attaques :
Description:
Par dictionnaire : basée sur un dictionnaire de mots de passe
Analyser le trafic réseau
Tous les mots du dictionnaire testés séquentiellement
Récupérer les échanges d’information sans introduire de modifications
Brute force : test de toutes les combinaisons de caractères possibles son
Simple à mettre en œuvre à condition d’avoir accès au réseau testées, en augmentant progressivement la taille de la chaîne
Exemple d’outils: sniffer comme wireshark Méthodes hybrides : exploitation des mots d'un dictionnaire de mots de
Comment s’en protéger ? passe (bruteforce), mais en fabriquant d'autres mots, basés sur celui du
Utiliser de préférence un switch (commutateur) plutôt qu'un hub. dictionnaire (suppression de caractères, ajout de caractères, substitutions de
caractères …)
Utiliser
des protocoles chiffrés pour les informations sensibles comme les
mots de passe. Exemples d’outils: John The Ripper, Cain & Abel, Brutus …
Utiliser un détecteur de sniffer… Comment s’en protéger ?
Ne pas utiliser de mot de passes significatifs mais utiliser plutôt une
combinaison de chiffres et de lettres.
Changer les mots de passe régulièrement.
33 34
35 36
ARP spoofing ARP spoofing
Vulnérabilité : Toute personne peut prétendre être le propriétaire d’une adresse
ARP – Rappel IP donnée (Gratuitous ARP Reply).
Menace: L’attaquant s’insère entre deux intervenants IP au niveau Ethernet
(Man-in-the-middle)
Risque : Déni de service, confidentialité
Parade: Authentification 802.1X
L’accès à un port n’est permis qu’après une authentification.
(3) Les données peuvent être transmises à l’adresse MAC maintenant connue
(bb:bb:bb:bb:bb:bb) du host ayant l’@IP 192.168.1.32 et retourner à l’hôte de MAC
aa:aa:aa:aa:aa:aa 37 38
Vulnérabilité: L’adresse IP source est contrôlé par la source Désigne l'art de manipuler des personnes afin de contourner des
dispositifs de sécurité.
Attaque: Un attaquant peut envoyer des attaques tout en personnifiant
n’importe quelle source pour ne pas être retracé. Représente une technique consistant à obtenir des informations de la
part des utilisateurs par téléphone, courrier électronique, courrier
Risque: Utiliser les privilèges de l’adresse usurpée.
traditionnel ou contact direct.
Contre mesure: Authentification (Ipsec, SSL…)
Basée sur l'utilisation de la force de persuasion et l'exploitation de la
naïveté des utilisateurs en se faisant passer pour une personne de la
maison, un technicien, un administrateur ...
Le facteur humain est le point central des techniques d’attaque rencontrées
en social engineering.
39 40
Ingénierie sociale Phishing
Une phase d'approche permettant de mettre l'utilisateur en confiance, en Phreaking: désignant le piratage de lignes téléphoniques et
se faisant passer pour une personne de sa hiérarchie, de l'entreprise, de fISHING: en français pêche,
son entourage ou pour un client, un fournisseur … Description: Technique d'ingénierie sociale utilisée par des arnaqueurs
Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité de (scammers)
sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou d'une Technique ancienne mais utilisée massivement depuis 2003.
situation d'urgence
Moyens: Par le biais de courrier électronique, messages instantanés,
Une diversion, c'est-à-dire une phrase ou une situation permettant de site webs …, on tente de duper l'utilisateur en le faisant cliquer sur un
rassurer l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par
lien.
exemple d'un remerciement annonçant que tout est rentré dans l'ordre,
d'une phrase anodine ou dans le cas d'un courrier électronique ou d'un Menace: obtenir des adresses de cartes de crédit, des mots de passe …
site web, d'une redirection vers le site web de l'entreprise.
41 42
Principe du Smurf
Victime
Ping Of Death TCP SYN flooding
Principe:
Intercepter une connexion TCP établie
Se faire passer pour l'une des parties (spoofing)
Injecter des données dans le flux de communication
Le hijacking remet en cause les connexions non chiffrées, par
exemple : TELNET.
Exemple: Un pirate vole une session Telnet ( connexion non chiffrée)
établie entre les machines 1 et 2 en effectuant les étapes suivantes:
Il sniffe le traffic Telnet (port TCP 23) entre 1 et 2.
Une fois qu’il estime que 1 a eu le temps de s'authentifier auprès du service
Telnet de la machine 2, il désynchronise la machine 1 par rapport à 2.
Il forge alors un paquet avec, comme adresse IP source, celle de la machine 1
et le numéro d'acquittement TCP attendu par 2.
La machine 2 accepte donc ce paquet. Ce paquet permet au pirate d'injecter
une commande via la session Telnet préalablement établie par 1.
52
51
Mail bombing, Spamming Vulnérabilités logicielles
Exploiter des vulnérabilités au niveau des logiciels afin de prendre
Mail bombing accès au système
Principe: envoyer un nombre important de courrier électronique à une même Buffer overflow
adresse jusqu’à saturation de sa boîte au lettres. Failles de sécurité relatives au code Java, ActiveX.
Spamming Les informations sur les failles se propagent plus rapidement que les
Principe : envoyer en masse de messages électroniques non-sollicités remèdes
généralement publicitaire, mais aussi pour diffuser un logiciel malveillant, une Les bulletins des hackers
idée ou idéologie …
Des outils disponibles pour détecter les vulnérabilités (Nessus, ISS …)
Mais, ils sont utilisés plus par les intrus.
Des outils développés par les intrus, publiés sur Internet (ex : rootkits,
exploits).
53 54
FP est utilisé pour référencer les variables locales et les paramètres de la La chaîne str de 27 octets a été copiée dans une zone (buffer) qui est allouée
La fonction strcpy, utilisée pour la copie de la chaîne ne vérifie pas la taille de la chaîne
Un exemple en C :
en paramètre.
void function (char *str) {
L’exemple montre qu’un dépassement de capacité peut écraser l’adresse de
char buffer[16]; retour pour une fonction (adresse de l’instruction suivante au niveau de la
strcpy (buffer, str); mémoire) possibilité d’altération du chemin d’exécution d’un programme.
Tête de
} *str ret Code de P
la pile Un intrus qui tente de lancer un shell(avec les privilèges root) par la réalisation
int main () { Programme P: exec( “/bin/sh” ) d’un saut du chemin d’exécution pour le code adéquat (qui correspond au shell).
Virus Vers
Un programme qui en infecte un autre en se dupliquant dans ce programme.
Il s’agit de programmes possédant la faculté de s’autoreproduire
Forme: s’attache à un autre logiciel ou document
(duplication) et de se déplacer à travers un réseau en utilisant des
Mode d’exécution: exécuté suite à l’exécution du code hôte.
mécanismes de communication classiques,
Propagation: transfert du programme/document hôte d’un système à un autre
comme les RPC (Remote Procedure Call, procédure d’appel à distance)
Reproduction: se reproduit au sein du nœud infecté
le rlogin (connexion à distance)
Quelques types de virus:
Forme: autonome
Virus parasite: Le virus s’attaque aux fichiers exécutables comme partie de leurs code.
Il se réplique lorsque le fichier infecté est exécuté, et cherche s’il y a d’autres fichiers à Mode d’exécution: automatique ou par l’intervention de l’usager, peut
infecter. modifier l’OS hôte pour être lancé automatiquement
Virus résident en mémoire: hébergé en mémoire comme partie des programmes Propagation: par le réseau vers d’autres ordinateurs vulnérables.
principaux du système. Il infecte tout programme qui s’exécute.
Reproduction: par lui-même
Virus sur secteur de Boot (Boot Sector Virus): Infecte le secteur de boot du disque,
et se propage lorsque le système d’exploitation démarre (premiers virus sur DOS).
59 60
Cheval de Troie
Cheval de Troie (Trojan Horse)
Forme:
Un cheval de Troie permet de préparer une attaque ultérieure de la
Programme à apparence légitime exécutant une ou plusieurs fonctions sans
l'autorisation de l'utilisateur:
machine infectée.
Les actions cachées violent la politique de sécurité. Le programme login d’ouverture de session est modifié afin qu’il ouvre une
session mais il enregistre au niveau d’un fichier le nom utilisateur et le mot de
Destruction de fichiers, plantage du système, envoi de certaines informations du
Disque, installation de virus, de vers, de spyware passe entré.
61 62
Une fois activée, exécution d’un programme destructif qui pourrait être nombre de personnes
63 64
Logiciel espion (Spyware) Les Keyloggers
Forme: souvent attaché manuellement au logiciel hôte Un keylogger (littéralement enregistreur de touches) est un dispositif chargé
d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu
Mode d’exécution: installé avec un logiciel populaire, un faux
de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.
antispyware…
Certains keyloggers sont capables d'enregistrer les URL visitées, les
Propagation: ne se propage pas automatiquement courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de
Reproduction: ne se reproduit pas et ne nécessite pas de programme créer une vidéo retraçant toute l'activité de l'ordinateur
hôte à infecter ils peuvent servir à des personnes malintentionnées pour récupérer les mots
de passe des utilisateurs du poste de travail
Les keyloggers peuvent être soit logiciels soient matériels
un processus écrivant les informations captées dans un fichier caché
un dispositif (câble) intercalé entre la prise clavier de l'ordinateur et le clavier.
65 66
La présence de fichiers inhabituels, tout spécialement dans les répertoires où Pour accéder aux ressources d’un système, le plus simple pour un intrus est
ne se trouvent que des programmes ou des fichiers de configuration. d’avoir un compte ouvert sur ce système.
Possibilité de création des procédures pour comparer la liste courante des Il crée un compte à son usage exclusif afin que ses activités ne semblent pas
fichiers d’un répertoire avec une liste précédente réputée saine. suspectes.
Consommation anormale des ressources Existence de connexions réseaux à des ports inconnus
Une consommation anormale des ressources d’un système (temps de calcul, Des connexions établies utilisant des ports inconnus au niveau de la machine
mémoire vive, espace disponible sur le disque...) peuvent être relatives à des backdoors.
Crashes du système Un administrateur doit vérifier les connexions établies au niveau d’une
machine ou un serveur ainsi que les services en exécution sur ces derniers.
Des crashes du système inexpliqués peuvent être l’indice d’une attaque de
sécurité. Désactivation du service d’enregistrement des événements (log)
Si le système présente des vulnérabilités, un intrus va essayer différentes Généralement, un intrus cherche à cacher ses actions avant de mener des
façons de l’exploiter, et ces tâtonnements risquent de provoquer des défauts actions malveillantes.
de comportement du système d’exploitation résultant très souvent en crashes.
67 Le moyen : désactivation du service d’enregistrement des événements. 68
Les pots de miels / Honeypot Exercice 1
Une machine qui simule des failles de sécurité. Soit le réseau câblé suivant où les cercles sont des stations de travail:
Exercice 2
Soit le réseau câblé suivant où les cercles sont des stations de travail et
les « SW » sont des commutateurs:
1. Quel sont les trames que la station S2 peut sniffer (écouter) ? Expliquer ?
2. Quel sont les stations qui peuvent lancer une attaque ARP spoofing sur le
réseau relié à l’interface 1 du routeur1? Expliquer ?
3. Quel sont les noeuds qui peuvent être victimes de l’attaque smurf générée par
le nœud S2?
4. S4 peut-il exécuter une attaque TCP syn flooding sur S1 71