Fondements de la

sécurité
CHAPITRE I:
INTRODUCTION À LA SÉCURITÉ

Iset’Com 2019-2020

Qu’est ce que la sécurité ? Qu’est ce que la sécurité ?

Sécurité: Le terme sécurité recouvre 3 domaines:

Ensemble des techniques qui assurent que les ressources 1. La Disponibilité
(matérielles ou logicielles) soient utilisées uniquement dans le cadre
2. La Confidentialité
où il est prévu qu'elles le soient.
3. L’Intégrité
Sécurité des systèmes d’informations

Système d’information:
Ensemble d’activités consistant à gérer les informations: acquérir,
stocker, transformer, diffuser, exploiter…
Fonctionne souvent grâce à un système informatique
 Sécurité du système d’information = sécurité du système informatique

3 4
 Cycle de la sécurité Nécessité de la sécurité
Prévention:
Processus d’anticipation qui vise à créer un environnement aussi
sécurisé que possible:
 Prendre des mesures afin d’empêcher les biens et les actifs d’être attaqués.

Détection:
Processus réactif par lequel on détermine les activités inappropriées
et on alerte les personnes responsables
 Prendredes mesures afin de détecter quand, comment, par qui un actif ou un bien a
été endommagé.
 Détecter les activités qui sont en violation avec la politique de sécurité.

Réaction:
Processus de réponse à un incident de sécurité
 Prendre des mesures afin de pouvoir restaurer les biens et les actifs après un
incident de sécurité.
Besoin d'une stratégie de sécurité
5 6

Nécessité de la sécurité Aspects de la sécurité

Les conséquence à retenir: Méthodes employées pour casser

Vol d’informations et du savoir faire les services de la sécurité en
 Dans un contexte de haute technologie notamment détournant les mécanismes
Atteinte à l’image de marque
ATTAQUES
 e-bay…

Indisponibilité du service
 e-business, …
SERVICES MÉCANISMES
Perte de temps et de moyen humains
 Remise en service, recherche des dégradations

Pertes financières Fonctionnalités requises pour Moyens utilisés pour assurer

 Modification des montants de facture, erreurs de traitement
assurer un environnement les services de la sécurité en
sécurisé en faisant appel aux luttant contre les attaques
mécanismes
7 8
 Services de la sécurité Services de la sécurité
X.800
Une recommandation de l’ITU-T (Secteur de la normalisation des télécommunications de
 La disponibilité :
l’Union Internationale des Télécoms)  Définie par X.800 et RFC 2828 comme étant la propriété d’un système ou d’une
Définit l’architecture de sécurité pour l'interconnexion en systèmes ouverts d'applications ressource du système accessible et utilisable suite à la demande d’une entité
autorisée.
Regroupe les services de sécurité en cinq catégories
 Considérée par X.800 comme étant une propriété associée aux services de
• c'est l'assurance de l'identité d'un objet de tout type qui peut être sécurité.
Authentification
une personne, un serveur ou une application.
 Mais, considérer la disponibilité comme un service, a un sens.
• c'est la garantie qu'un objet (document, fichier, message...) ne
Intégrité  Un service de disponibilité protège un système pour assurer sa disponibilité.
soit pas modifié par un autre tiers que son auteur.

• c’est l’assurance qu’une information ne soit pas comprise par un

Confidentialité
tiers qui n’en a pas le droit
• c'est l'assurance que l'émetteur d'un message ne puisse pas nier Service de disponibilité : assurance que les services ou l'information soient utilisables
Non répudiation l'avoir envoyé et que son récepteur ne puisse pas nier l'avoir et accessibles par les entités autorisées et selon des performances prédéfinies
reçu.
• c’est la protection des ressources contre les accès inappropriés
Contrôle d’accès ou indésirables 9 10

Services de sécurité: authentification Services de sécurité: authentification

Identification : Permet de connaître l’identité d’une entité. Types d'authentification
Permet répondre à la question : « Qui êtes vous? »
Authentification simple:
Authentification: Permet de vérifier l’identité d’une entité.
Repose sur un seul élément d'authentification
Permet de répondre à la question : «Êtes-vous réellement cette personne ? »
Exemple: login/password
Éléments ou facteurs d'authentification
Ce que l'entité connaît :Mot de passe, code PIN, phrase secrète... Authentification forte:
Ce que l'entité détient: Carte magnétique, Carte à puce, Token (physique)... Repose sur deux éléments ou plus
Ce que l'entité est: éléments biométrique: Empreinte digitale, empreinte rétinienne...
Exemple : l'utilisateur insère sa carte à puce et spécifie son code
Ce que l'entité sait faire ou fait: signature manuscrite, un type de calcul connu de lui PIN
seul, un comportement...

peuvent être combinés

11 12
 Services de sécurité: contrôle d’accès Services de sécurité: Intégrité

Le contrôle d’accès aux systèmes d’information et aux réseaux Le service d’intégrité permet de détecter si les données ont
associés: été modifiées depuis la source vers la destination
Indispensable pour maintenir la confidentialité, l’intégrité et la Service orienté connexion: traite un flot de messages, assure que
disponibilité. les messages sont reçus aussitôt qu’envoyés, sans duplication,
Empêche l’utilisation non autorisée d’une ressource (serveur, insertion, modification, réorganisation ou rejeu...
application ...) Service non orienté connexion: assure la protection contre la
Permet de : modification uniquement et pour un seul message.

Définir qui a le droit d’accéder aux ressources

Déterminer sous qu’elles conditions ceci peut avoir lieu
Définirce qu’une entité est autorisée de faire lors de l’accès à une
ressource

13 14

Menace: définition Attaque: définition

Une violation potentielle de la sécurité, un signe qui laisse prévoir un Une attaque de sécurité est la réalisation d’une menace.
danger
Pouvant être une personne, un objet, ou un événement qui peut créer un
danger pour un bien
Plusieurs types
Menace accidentelle: dommage non intentionnel envers le Système
d’Information (SI)
 Exemples: catastrophe naturelle, erreur d’exploitation, pannes

Menace intentionnelle ou délibérée

Attaques
 Menace active: dommage ou altération du SI

 Menace Passive: écoutes, lecture de fichiers, …

 Menace Physique: sabotage, incendie volontaire, vol, …

15
 Vulnérabilité et risque: définitions Intrus (hacker)
Vulnérabilité: L’entité responsable d’une attaque de sécurité.
Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une Exemples d’intrus:
ressource d’informations ou des privilèges supérieurs à ceux considérés
Les white hat hackers:
comme normaux pour cette ressource.
 Objectif: aider l'amélioration des systèmes et technologies informatiques
Exemples de vulnérabilités :
Les black hat hackers(pirates):
 Utilisation des mots de passe non robustes. Vulnérabilités  Objectif: s'introduire dans les systèmes informatiques dans un but nuisible
 Présence de comptes non protégés par mot de passe. Les Script Kiddies (gamins du script, crashers, lamersou packet monkeys):
Une vulnérabilité est exploitée par une menace pour engendrer une attaque.  Des utilisateurs du réseau utilisant des programmes trouvés sur Internet, pour
vandaliser des systèmes informatiques afin de s'amuser.
Risque:
Les carders:
La probabilité qu'une menace exploitera une vulnérabilité du système.
 Ils s'attaquent principalement aux systèmes de cartes bancaires pour en comprendre
C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme le fonctionnement et en exploiter les failles
valeur une probabilité.
Les crackers:
 Objectif: créer des outils logiciels permettant d'attaquer des systèmes informatiques
ou de casser les protections contre la copie des logiciels payants.
17 18

Classification d’attaques Classification d’attaques

Externes Exécutées par des entités externes au
système victime
Attaques
Exécutées par des entités internes au
Internes système victime parce qu’ils sont
malveillants ou détenu par des attaquants

Système
Attaque
Attaque
externe
interne

Passives Ecoute du système (réseau) pour l’analyser

Attaques
Injection, suppression ou modification de
Actives
données
19 20
 Mécanismes Mécanismes cryptographiques

 Cryptage
Chiffrement
 Utilisation
d’algorithmes mathématiques pour transformer les messages en
une forme non intelligible.
Signature
électronique  Signature numérique
 Ajoutde données, ou transformation cryptographique irréversible, à une unité
de données afin de prouver la source et l’intégrité de cette unité de données.
Mécanismes Certificats
 Horodatage (Timestamping)
 Inclusion d’une date et d’un temps correct dans un message.
Pare-feu
(firewall)

….
21 22

Définitions (Rappel)

Vulnérabilité:
Défaut ou faiblesse d’un système dans sa conception, sa mise
en œuvre ou son contrôle interne pouvant mener à une faille de
sécurité ou à la violation de sa politique de sécurité.
Menace:
La possibilité qu’une vulnérabilité soit exploitée accidentellement
ou par un agent malveillant
CHAPITRE II:
Attaque
LES ATTAQUES DE SÉCURITÉ Action malveillante exploitant des vulnérabilités d’un système
Employée pour casser les services de la sécurité en détournant
les mécanismes

24
 Objectifs et motivations des attaquants Attaques

Objectifs Motivations X.800 et RFC 2828 classifient les attaques selon deux classes:
Attaques passives: tentent de collecter ou utiliser des informations
Désinformer Vengeance/rancune
relatives au système, mais elles n’affectent pas les ressources du
Empêcher l'accès à une Politique/religion système.
ressource Défis intellectuels Attaques actives: tentent d’introduire des modifications sur les
Prendre le contrôle d’une Envie de nuire aux autres ressources du système ou affecter leur fonctionnement normal.
ressource
Impressionner les autres
Récupérer de l'information
Vol d’informations
Utiliser le système
Désir d’argent
compromis pour attaquer un
autre (rebondir) … Falsification d’informations …

25
26

Attaques passives Attaques actives

Actions possibles:
Interception (écoute) et analyse du trafic réseau Interruption de données
 Interception: l’intrus est capable d’interpréter les données et d’extraire
l’information à partir du trafic échangé
 Exemple: email contenant des informations confidentielles
 Analyse de trafic: même en présence de mécanismes de cryptage des
données transmises, l’intrus peut extraire des informations utiles sur la Modification des données en
communication en observant l’identité des utilisateurs, la fréquence et la transit
longueur des messages échangés …
 Objectif: trouver des informations susceptibles d'intéresser un attaquant Injection de données:
 Adresses IP importantes, architecture du réseau, emplacement des nœuds,  Fabrication (mascarade): injecter
informations d’authentification, information secrète (en cas de guerre par exemple) des données en spécifiant une adresse
source légitime
Attaques difficiles à détecter puisqu’elles n’entraînent aucune altération de
données
 Prévention plutôt que détection  Rejeu: ré-envoyer d’anciens
27
données 28
 Attaques actives Attaques actives: Déni de service

Les attaques actives peuvent être groupées en quatre catégories:
1. Mascarade: Une entité se fait passer pour un utilisateur légitime afin
d’obtenir des privilèges supplémentaires.
2. Rejeu (Replay): capture passive des données et leurs transmission
ultérieure en vue de réaliser des actions non autorisées.
Parmi les attaques les plus populaires.
Réalisées généralement suite à l’épuisement physique ou logique des
ressources au niveau des serveurs ou des réseaux de la victime ou à
travers le lien de communication liant la victime au fournisseur d'accès
à Internet (FAI) .

3. Modification: altération, destruction, ou reclassement d’une partie des Attaque de Déni de Service Distribué DDoS (Distributed Denial of
messages échangés en vue de produire un effet non autorisé. Service)

4. Déni de service DoS (Denial of Service) : Empêcher ou inhiber Fait intervenir un réseau de machines (souvent compromises) afin
d’interrompre le ou les services visés
l’utilisation normale des moyens de communications:
Utilisation des esclaves: machines disposant des vulnérabilités qui sont
Interruption et suppression des messages en direction d’une destination
exploitées par un intrus.
particulière
Utilisation des réflecteurs: envoient des réponses à des paquets spoofés
Perturbation de l’utilisation normale des ressources (réseau ou système) en les
(destination : victime)
surchargeant de trafic inutile pour dégrader leurs performances.
29 30

Approche commune des attaques

Etape 1: Reconnaissance
Recherche d’informations sur le système cible
Etape 2: Balayage (scan)
Scan des ports, des vulnérabilités, du réseau (topologie)
Balayage de ports: possibilité d’utilisation de Nmap …
Balayage de vulnérabilités: possibilité d’utilisation Nessus, OpenVAS …
Exemples d’attaques
Etape 3: Exploit
Exploiter les vulnérabilités des protocoles, des applications, des systèmes
d’exploitation, du réseau …
Etape 4: Maintenir l’accès.
Porte dérobée (Backdoor) …
Etape 5: Effacer les traces d’intrusion
Effacer/modifier les logs 31 32
 Attaques des mots de passe
Sniffing ou reniflage
Méthodes d’attaques :
 Description:
Par dictionnaire : basée sur un dictionnaire de mots de passe
 Analyser le trafic réseau
 Tous les mots du dictionnaire testés séquentiellement
 Récupérer les échanges d’information sans introduire de modifications
Brute force : test de toutes les combinaisons de caractères possibles son
 Simple à mettre en œuvre à condition d’avoir accès au réseau testées, en augmentant progressivement la taille de la chaîne
 Exemple d’outils: sniffer comme wireshark Méthodes hybrides : exploitation des mots d'un dictionnaire de mots de
 Comment s’en protéger ? passe (bruteforce), mais en fabriquant d'autres mots, basés sur celui du
 Utiliser de préférence un switch (commutateur) plutôt qu'un hub. dictionnaire (suppression de caractères, ajout de caractères, substitutions de
caractères …)
 Utiliser
des protocoles chiffrés pour les informations sensibles comme les
mots de passe. Exemples d’outils: John The Ripper, Cain & Abel, Brutus …
 Utiliser un détecteur de sniffer… Comment s’en protéger ?
Ne pas utiliser de mot de passes significatifs mais utiliser plutôt une
combinaison de chiffres et de lettres.
Changer les mots de passe régulièrement.
33 34

MAC spoofing MAC spoofing

Vulnérabilité: lorsqu’une adresse MAC (source) apparaît sur un autre port, le
commutateur met à jour sa table. Parades:
Attaque: inonder le commutateur avec de fausses trames ayant l’adresse MAC
Assigner des adresses MAC statiques à des ports.
source ciblée
 Ces adresses ne seront jamais enlevées.
Le commutateur ajoute cette nouvelle paire (MAC, Port) dans sa table et enlève
 Lesadresses des serveurs ou des équipements importants sont ainsi configurées
celle qui était déjà là.
dans le commutateur.
Concurrence critique avec l’ordinateur légitime.
Authentification 802.1X
Risque: Déni de service et divulgation d’informations sensibles
 L’accès à un port n’est permis qu’après une authentification

35 36
 ARP spoofing ARP spoofing
Vulnérabilité : Toute personne peut prétendre être le propriétaire d’une adresse
ARP – Rappel IP donnée (Gratuitous ARP Reply).
Menace: L’attaquant s’insère entre deux intervenants IP au niveau Ethernet
(Man-in-the-middle)
Risque : Déni de service, confidentialité
Parade: Authentification 802.1X
L’accès à un port n’est permis qu’après une authentification.

(3) Les données peuvent être transmises à l’adresse MAC maintenant connue
(bb:bb:bb:bb:bb:bb) du host ayant l’@IP 192.168.1.32 et retourner à l’hôte de MAC
aa:aa:aa:aa:aa:aa 37 38

IP spoofing Ingénierie sociale

 Vulnérabilité: L’adresse IP source est contrôlé par la source
 Attaque: Un attaquant peut envoyer des attaques tout en personnifiant
n’importe quelle source pour ne pas être retracé.
 Risque: Utiliser les privilèges de l’adresse usurpée.
 Contre mesure: Authentification (Ipsec, SSL…)
 Désigne l'art de manipuler des personnes afin de contourner des
dispositifs de sécurité.
 Représente une technique consistant à obtenir des informations de la
part des utilisateurs par téléphone, courrier électronique, courrier
traditionnel ou contact direct.
 Basée sur l'utilisation de la force de persuasion et l'exploitation de la
naïveté des utilisateurs en se faisant passer pour une personne de la
maison, un technicien, un administrateur ...
 Le facteur humain est le point central des techniques d’attaque rencontrées
en social engineering.

39 40
 Ingénierie sociale Phishing

Se déroule selon le schéma suivant : Contraction de:

Une phase d'approche permettant de mettre l'utilisateur en confiance, en
se faisant passer pour une personne de sa hiérarchie, de l'entreprise, de
son entourage ou pour un client, un fournisseur …
Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité de
sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou d'une
situation d'urgence
Une diversion, c'est-à-dire une phrase ou une situation permettant de
rassurer l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par
exemple d'un remerciement annonçant que tout est rentré dans l'ordre,
d'une phrase anodine ou dans le cas d'un courrier électronique ou d'un
site web, d'une redirection vers le site web de l'entreprise.
Phreaking: désignant le piratage de lignes téléphoniques et
fISHING: en français pêche,
Description: Technique d'ingénierie sociale utilisée par des arnaqueurs
(scammers)
Technique ancienne mais utilisée massivement depuis 2003.
Moyens: Par le biais de courrier électronique, messages instantanés,
site webs …, on tente de duper l'utilisateur en le faisant cliquer sur un
lien.
Menace: obtenir des adresses de cartes de crédit, des mots de passe …

41 42

Phishing: exemple Ping flooding, Smurf

 Une variante du ping flooding

 Ping (echo request, echo reply)

www.eBay.com  Principe : Inonder la cible avec un flux maximal de ping

 Parades
 Interdire la réponse aux trames ICMP sur les adresses de diffusion: au niveau routeur
§ et de la machine Tous les hôtes du
www.attacker.lu réseau répondent à
 . l’adresse réelle
4) Data entered
3) byleMary will not dans
be send to eBay
2) Mary
Un declique sur
ces e-mails lien affiché
a été le mail.
reçu par Mary. Elle
L’e-mail
but to the
pense attacker
établir website vers eBay. En fait le
une connexion
parle d’un problème de carte bancaire sur eBay et 1) Un spammer envoie de nombreux
liendemande
lui la redirigedevers www.attacker.lu
renvoyer ses données à eBay (par spams vers des milliers de destinataires
la page en cliquant sur le lien)
L’attaquant envoie une requête ICMP echo adresse source
Spammer
: celle de l’hôte victime adresse destination : broadcast
Internet

Principe du Smurf
Victime
 Ping Of Death TCP SYN flooding

 Etablissement d’une connexion TCP en 3 phases :

Principe:  SYN, SYN-ACK, ACK
Consiste à créer un datagramme IP dont la taille totale excède la
taille maximum autorisée (65536 octets). Un tel paquet envoyé à
un système possédant une pile TCP/IP vulnérable, provoquera un
plantage.

 Les numéros de séquence initiaux x et y sont choisis “aléatoirement”

 Un temporisateur est déclenché après l’envoi d’un SYN.
 Si une réponse tarde trop à arriver (>75s), la connexion est abandonnée.
45 46

TCP SYN flooding UDP Flooding

Un entité malveillante A peut
supprimer la dernière étape et ne UDP : un protocole le mode non connecté
pas répondre avec le message Pas de demande de connexion avant d’envoyer les données

ACK. L’attaque UDP Flooding:

La victime attend un certain temps Exploite le mode non connecté de l’UDP.
avant de libérer les ressources Consiste à générer une grande quantité de paquets UDP soit à destination d’une
L’établissement de plusieurs machine soit entre deux machines
connexions successives semi-  entraîne une congestion du réseau ainsi qu'une saturation des ressources des deux
ouvertes (avec adresse IP hôtes victimes.
fausse) peut de saturer la pile Exemple: "Chargen Denial of Service Attack”
TCP de la victime Un seul paquet spoofé provenant du port echo, envoyé au port chargen  boucle infini
Possibilité du spoofing des de trafic.
adresses IP par l’attaquant Port Echo: renvoie la même information qu’il a reçu à son émetteur
Risque: DoS, perte de Port Chargen (Character generator): reprend la caractéristique du port Echo, à la
connectivité différence près qu’il va rajouter des données aléatoire
47 48
 Chargen denial of service TCP Hijacking
Attaque utilisant les ports Chargen (19) et Echo (7)
Il suffit alors au pirate d'envoyer des paquets UDP sur le port 19 ( chargen ) à
une des victimes en spoofant l'adresse IP et le port source de l'autre. Dans ce N° de séquence et
d’acquittement dans TCP
cas le port source est le port UDP 7 ( echo ).
 N° Seq:
 Numéro du premier octet
dans les données du
segment.
 ACKs:
 Numéro de séquence du
prochain octet attendu de
l’autre coté.
 ACK cumulatif
 Connexion full-duplex:
 Chaque extrémité de la
connexion enregistre le n°
de séquence pour chaque
direction
49 50

TCP Hijacking TCP Hijacking

 Principe:
 Intercepter une connexion TCP établie
 Se faire passer pour l'une des parties (spoofing)
 Injecter des données dans le flux de communication
 Le hijacking remet en cause les connexions non chiffrées, par
exemple : TELNET.
 Exemple: Un pirate vole une session Telnet ( connexion non chiffrée)
établie entre les machines 1 et 2 en effectuant les étapes suivantes:
 Il sniffe le traffic Telnet (port TCP 23) entre 1 et 2.
 Une fois qu’il estime que 1 a eu le temps de s'authentifier auprès du service
Telnet de la machine 2, il désynchronise la machine 1 par rapport à 2.
Il forge alors un paquet avec, comme adresse IP source, celle de la machine 1
et le numéro d'acquittement TCP attendu par 2.
La machine 2 accepte donc ce paquet. Ce paquet permet au pirate d'injecter
une commande via la session Telnet préalablement établie par 1.
52
51
 Mail bombing, Spamming Vulnérabilités logicielles
 Exploiter des vulnérabilités au niveau des logiciels afin de prendre
 Mail bombing accès au système
 Principe: envoyer un nombre important de courrier électronique à une même  Buffer overflow
adresse jusqu’à saturation de sa boîte au lettres.  Failles de sécurité relatives au code Java, ActiveX.
 Spamming  Les informations sur les failles se propagent plus rapidement que les
 Principe : envoyer en masse de messages électroniques non-sollicités remèdes
généralement publicitaire, mais aussi pour diffuser un logiciel malveillant, une  Les bulletins des hackers
idée ou idéologie …
 Des outils disponibles pour détecter les vulnérabilités (Nessus, ISS …)
 Mais, ils sont utilisés plus par les intrus.
 Des outils développés par les intrus, publiés sur Internet (ex : rootkits,
exploits).

53 54

Dépassement de capacité d’un buffer Dépassement de capacité d’un buffer

(Buffer Overflow) (Buffer Overflow)

 Principe : Un programme tente de placer d’avantage de données dans

 Exemple d’un programme :
une zone de mémoire qu’elle ne peut en contenir int main () {
int buffer[10];
  Ce programme exécute un code arbitraire.
buffer[20] = 10;
 Les informations excédentaires risquent d’écraser ce qui se trouve au
}
voisinage de la zone du buffer.
 Un programme valide qui est compilé sans erreur.
 Une des principales causes de cette attaque découle de l’emploi des  Ce programme tente d’écrire au-delà de la zone mémoire allouée pour
bibliothèques système qui ne contrôlent pas suffisamment la portée de le buffer, qui peut causer un comportement inattendu.
leurs actions.  La pile
 Ex: La bibliothèque libc du langage C (les routines chargées de manipuler des  Un ensemble de blocs contigus de la mémoire contenant des
chaînes de caractères). données.
 Un pointeur SP (Stack Pointer) pointe sur la tête de la pile.

 Lorsqu’un appel de fonction est réalisé, les paramètres de la fonction

sont insérés au niveau de la pile.

55 56
 Dépassement de capacité d’un buffer Dépassement de capacité d’un buffer
(Buffer Overflow) (Buffer Overflow)
 Puis, l’adresse de retour (adresse qui sera exécutée après le retour de fonction),
suivi par un Frame Pointer (FP) sont insérés au niveau de la pile.  Le programme se comporte de façon inattendu, car:

 FP est utilisé pour référencer les variables locales et les paramètres de la  La chaîne str de 27 octets a été copiée dans une zone (buffer) qui est allouée

fonction. uniquement pour 16 octets.

 Les octets en plus écrasent l’espace alloué à FP, l’adresse de retour de la fonction …

 La fonction strcpy, utilisée pour la copie de la chaîne ne vérifie pas la taille de la chaîne
 Un exemple en C :
en paramètre.
void function (char *str) {
 L’exemple montre qu’un dépassement de capacité peut écraser l’adresse de
char buffer[16]; retour pour une fonction (adresse de l’instruction suivante au niveau de la
strcpy (buffer, str); mémoire)  possibilité d’altération du chemin d’exécution d’un programme.
Tête de
} *str ret Code de P
la pile  Un intrus qui tente de lancer un shell(avec les privilèges root) par la réalisation

int main () { Programme P: exec( “/bin/sh” ) d’un saut du chemin d’exécution pour le code adéquat (qui correspond au shell).

char *str = « Chaîne supérieur à 16 bytes"; // taille de str = 27 bytes

function (str);
} 57 58

Virus Vers
 Un programme qui en infecte un autre en se dupliquant dans ce programme.
 Il s’agit de programmes possédant la faculté de s’autoreproduire
 Forme: s’attache à un autre logiciel ou document
(duplication) et de se déplacer à travers un réseau en utilisant des
 Mode d’exécution: exécuté suite à l’exécution du code hôte.
mécanismes de communication classiques,
 Propagation: transfert du programme/document hôte d’un système à un autre
 comme les RPC (Remote Procedure Call, procédure d’appel à distance)
 Reproduction: se reproduit au sein du nœud infecté
 le rlogin (connexion à distance)
 Quelques types de virus:
 Forme: autonome
 Virus parasite: Le virus s’attaque aux fichiers exécutables comme partie de leurs code.
Il se réplique lorsque le fichier infecté est exécuté, et cherche s’il y a d’autres fichiers à  Mode d’exécution: automatique ou par l’intervention de l’usager, peut
infecter. modifier l’OS hôte pour être lancé automatiquement
 Virus résident en mémoire: hébergé en mémoire comme partie des programmes  Propagation: par le réseau vers d’autres ordinateurs vulnérables.
principaux du système. Il infecte tout programme qui s’exécute.
 Reproduction: par lui-même
 Virus sur secteur de Boot (Boot Sector Virus): Infecte le secteur de boot du disque,
et se propage lorsque le système d’exploitation démarre (premiers virus sur DOS).

59 60
 Cheval de Troie
Cheval de Troie (Trojan Horse)

 Forme:
 Un cheval de Troie permet de préparer une attaque ultérieure de la
 Programme à apparence légitime exécutant une ou plusieurs fonctions sans
l'autorisation de l'utilisateur:
machine infectée.

 Fonctionnement normal/attendu  Exemple 1: login modifié

 Les actions cachées violent la politique de sécurité.  Le programme login d’ouverture de session est modifié afin qu’il ouvre une
session mais il enregistre au niveau d’un fichier le nom utilisateur et le mot de
 Destruction de fichiers, plantage du système, envoi de certaines informations du
Disque, installation de virus, de vers, de spyware passe entré.

 Souvent attaché manuellement au logiciel hôte  Possibilité

d’envoi par email des informations collectées à un intrus (collecte
des informations).
 Mode d’exécution: exécuté en faisant partie d'un autre programme
 Exemple 2: ils agissent en laissant ouverts des ports de communication
 Propagation : téléchargement de logiciels hôtes
qui peuvent être ensuite utilisés par des programmes d’attaque.
 Reproduction: ne peut ni se reproduire ni infecter d'autres logiciels

61 62

Bombe logique Les Hoax (canulars)

 Un programme qui reste à l’état inactif tant qu’il n’est pas réveillé.
 Ce réveil peut être provoqué par un événement que le système
d’exploitation peut détecter.
 Souvent, une date ou l’absence de certaines données (ex. le nom du
programmeur ne figurant plus dans le fichier de la paie)
 C’est un courrier électronique propageant une fausse information et
poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou
collègues.
 Ainsi, de plus en plus de personnes font suivre des informations reçues par
courriel sans vérifier la véracité des propos qui y sont contenus.
 But: provoquer la satisfaction de son concepteur d'avoir berné un grand

 Une fois activée, exécution d’un programme destructif qui pourrait être nombre de personnes

l’effacement de tous les fichiers du système.  Conséquences:

 Engorgement inutile des réseaux en provoquant une masse de données superflues
 Les bombes logiques sont généralement utilisées avec des virus (porteur
circulant dans les infrastructures réseaux
de la bombe logique).
 Encombrement inutile des boîtes aux lettres
 Le virus porte le nom de la date à laquelle la bombe logique est activée.
 Perte du temps,
 Un effet d'incrédulité, c'est-à-dire qu'à force de recevoir de fausses informations on
finit par ne plus croire aux vraies.

63 64
 Logiciel espion (Spyware) Les Keyloggers
 Forme: souvent attaché manuellement au logiciel hôte  Un keylogger (littéralement enregistreur de touches) est un dispositif chargé
d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu
 Mode d’exécution: installé avec un logiciel populaire, un faux
de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.
antispyware…
 Certains keyloggers sont capables d'enregistrer les URL visitées, les
 Propagation: ne se propage pas automatiquement courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de
 Reproduction: ne se reproduit pas et ne nécessite pas de programme créer une vidéo retraçant toute l'activité de l'ordinateur
hôte à infecter  ils peuvent servir à des personnes malintentionnées pour récupérer les mots
de passe des utilisateurs du poste de travail
 Les keyloggers peuvent être soit logiciels soient matériels
 un processus écrivant les informations captées dans un fichier caché
 un dispositif (câble) intercalé entre la prise clavier de l'ordinateur et le clavier.

65 66

Signes d’attaques Signes d’attaques

 Fichiers inhabituels  Présence de nouveaux comptes utilisateur

 La présence de fichiers inhabituels, tout spécialement dans les répertoires où  Pour accéder aux ressources d’un système, le plus simple pour un intrus est
ne se trouvent que des programmes ou des fichiers de configuration. d’avoir un compte ouvert sur ce système.

 Possibilité de création des procédures pour comparer la liste courante des  Il crée un compte à son usage exclusif afin que ses activités ne semblent pas
fichiers d’un répertoire avec une liste précédente réputée saine. suspectes.

 Consommation anormale des ressources  Existence de connexions réseaux à des ports inconnus

 Une consommation anormale des ressources d’un système (temps de calcul,  Des connexions établies utilisant des ports inconnus au niveau de la machine
mémoire vive, espace disponible sur le disque...) peuvent être relatives à des backdoors.

 Crashes du système  Un administrateur doit vérifier les connexions établies au niveau d’une
machine ou un serveur ainsi que les services en exécution sur ces derniers.
 Des crashes du système inexpliqués peuvent être l’indice d’une attaque de
sécurité.  Désactivation du service d’enregistrement des événements (log)

 Si le système présente des vulnérabilités, un intrus va essayer différentes  Généralement, un intrus cherche à cacher ses actions avant de mener des
façons de l’exploiter, et ces tâtonnements risquent de provoquer des défauts actions malveillantes.
de comportement du système d’exploitation résultant très souvent en crashes.
67  Le moyen : désactivation du service d’enregistrement des événements. 68
 Les pots de miels / Honeypot Exercice 1

 Une machine qui simule des failles de sécurité. Soit le réseau câblé suivant où les cercles sont des stations de travail:

 Elle dispose des moyens renforcés de surveillance, la machine peut

servir d'appât afin d’apprendre la stratégie des attaquants et construire
des signatures exactes d'attaques.
 Dispose de plusieurs outils de surveillance et d'archivage pour collecter
les informations des activités suspectes. 1. Expliquer comment se fait l’apprentissage par les commutateurs de l’appartenance d’une
station à un réseau local (relié à un port du commutateur) afin de faire correctement
l’acheminement des trames ?
2. Expliquer le rôle des temporisateurs au niveau des entrées des tables de commutation ?
3. Supposons que la table de commutation (CAM) de SW2 contient les entrées S2, D2 et
S5. Si S5 envoie une trame en spécifiant comme adresse MAC source celle de S2, quel
problème peut surgir ?
4. Sachant qu’il est possible d’envoyer un ARP Reply sans sollicitation au préalable
(Gratuious ARP Reply). Expliquer comment S5 peut récupérer tous les messages
échangés entre S2 et D2?
69 70

Exercice 2
Soit le réseau câblé suivant où les cercles sont des stations de travail et
les « SW » sont des commutateurs:

1. Quel sont les trames que la station S2 peut sniffer (écouter) ? Expliquer ?
2. Quel sont les stations qui peuvent lancer une attaque ARP spoofing sur le
réseau relié à l’interface 1 du routeur1? Expliquer ?
3. Quel sont les noeuds qui peuvent être victimes de l’attaque smurf générée par
le nœud S2?
4. S4 peut-il exécuter une attaque TCP syn flooding sur S1 71