Sécurité des réseaux informatiques

A.BATTOU

SMI6

A.BATTOU Sécurité des réseaux informatiques SMI6 1 / 54

Se protéger et non attaquer

A.BATTOU Sécurité des réseaux informatiques SMI6 2 / 54

Introduction

avantages considérables...mais... ! ! !
Equation Group, The Shadow Brokers, ...
WannaCry, NotPetya, Petrwarp,...
Elections présidentielles
A.BATTOU Sécurité des réseaux informatiques SMI6 3 / 54
Impact de la cybercriminalité sur les entreprises

A.BATTOU Sécurité des réseaux informatiques SMI6 4 / 54

Intentions / motivations cyberattaques

A.BATTOU Sécurité des réseaux informatiques SMI6 5 / 54

Questions ?

Avez vous été victime d’une cyberattaque ?

Ca n’arrive qu’aux autres.

A.BATTOU Sécurité des réseaux informatiques SMI6 6 / 54

Questions ?

Avez vous été victime d’une cyberattaque ?

ça n’arrive qu’aux autres. Jusqu’au jour ou les autres, c’est toi

A.BATTOU Sécurité des réseaux informatiques SMI6 7 / 54

Objectifs

Sensibilisation à la problématique de la sécurité informatique en général et des

réseaux en particulier.
Pouvoir prévenir les problèmes (prévention)
Pouvoir évaluer et détecter les menaces (détection)
Pouvoir faire face en cas d’attaque ou de sinistre (réaction)

A.BATTOU Sécurité des réseaux informatiques SMI6 8 / 54

Sommaire

1 Concepts de base

2 Attaques réseau

A.BATTOU Sécurité des réseaux informatiques SMI6 9 / 54

Définitions

Système d’information (SI)

Ensemble organisé de ressources : matériel, logiciel, personnel, données,
procédures permettant d’acquérir, traiter, stocker, communiquer des
informations (sous forme de données, textes, images, sons,. . . ) dans les
organisations.

Système informatique
Ensemble des moyens informatiques et de télécommunication ayant pour
finalité d’élaborer, traiter, stocker, acheminer, présenter ou détruire des
données.

La sécurité des systèmes d’information (SSI)

L’ensemble des moyens techniques, organisationnels, juridiques et humains
nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité
d’un système d’information.

A.BATTOU Sécurité des réseaux informatiques SMI6 10 / 54

Définitions

La sécurité informatique
l’ensemble des outils, des techniques et méthodes pour garantir que seules les
personnes ou autres systèmes autorisés interviennent sur le système et ont
accès aux données, sensibles ou non.

Sécuriser un SI ?
Analyser les risques et protéger les biens contre les menaces et les
vulnérabilités

A.BATTOU Sécurité des réseaux informatiques SMI6 11 / 54

Définitions

Menace
Une circonstance qui a le potentiel de causer des dommages ou de perte

Quatre types de menaces

I Menaces humaines :
F Accidentelles : Erreurs de manipulation ou de configuration, etc.
F Intentionnelles : vol information, divulgation de secret, etc.
I Menaces logicielles : Bug, programmes malveillants,
I Menaces matériels : défaut de fabrication, usure, etc.
I Menaces Environnementales : catastrophes naturelles, variation de
températures, humidité, etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 12 / 54

Définitions

Vulnérabilité
Une faiblesse du système informatique qui peut être utilisé pour causer des
dommages.

Trois familles de vulnérabilités :

Vulnérabilités liées aux domaine physique : accès aux salles
informatiques non sécurisé
Vulnérabilités liées aux domaines organisationnels : manque
d’intelligence entre la chaise et le clavier, etc.
Vulnérabilités liées aux domaines technologiques : pas de mise à
jours, etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 13 / 54

Définitions

Risque
la probabilité qu’une menace se produit, conduisant à une attaque sur
l’équipement

Destruction de données : Comptabilité, Données clients, Conception,

Production, etc.
Perte de marchés : Vol ou divulgation d’information (Recherche et
développement, Fichier clients, etc.), Dégradation de l’image
(Modification du site web, Divulgation d’informations (vraies puis
fausses), Perte de confiance
Perte de temps et donc d’argent : Arrêt de la production Recherche
des causes Remise en état
Risques juridiques : attaque par rebond, confidentialité des données

A.BATTOU Sécurité des réseaux informatiques SMI6 14 / 54

Architecture de sécurité

Aspect Humain Aspect Réglementaire

Formation Normes
Compétence Législation
surveillance Autorisation de chiffrement
etc. etc.

Aspect organisationnel et Aspect Technique et

économique Opérationnel
Responsabilités Sécurité Physique
Gestion Sécurité environnementale
Budget Sécurité télécom
etc. etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 15 / 54

Objectif de la sécurité informatique

A.BATTOU Sécurité des réseaux informatiques SMI6 16 / 54

Confidentialité

Rendre l’information inintelligible à d’autres personnes que les seuls

acteurs de la transaction : seuls l’expéditeur et le destinataire doivent
“comprendre” le contenu du message.
I L’expéditeur crypte (ou chiffre) un message.
I Le destinataire décrypte (ou déchiffre) le message

A.BATTOU Sécurité des réseaux informatiques SMI6 17 / 54

Authentification
Assurer l’identité d’une entité, c’est-à-dire de garantir à chacun des
correspondants que son partenaire est bien celui qu’il croit être afin
d’autoriser l’accès de cette entité à des ressources (systèmes, réseaux,
applications...).
I L’authentification permet donc de valider l’authenticité de l’entité en
question.
I Elle protège de l’usurpation d’identité
Les entités à authentifier peuvent être :
I une personne
I un programme qui s’exécute (processus)
I une machine dans un réseau (serveur ou routeur)

A.BATTOU Sécurité des réseaux informatiques SMI6 18 / 54

Intégrité

Conserver l’intégrité de l’information : l’information ne doit être ni

modifiée, ni détruite sans autorisation.
Ce principe regroupe un ensemble de fonctionnalités mises en œuvre afin
de s’assurer de leur intégrité.
I Utilisation de fonctions de hachage (CRC-32, MD5, SHA-1)

A.BATTOU Sécurité des réseaux informatiques SMI6 19 / 54

Non répudiation

C’est la garantie qu’aucun des correspondants ne pourra nier la

transaction.
Non répudiation de l’origine :
I prouve que les données ont été envoyées
I Ex : Signature
Non répudiation de l’arrivée :
I prouve que les données ont été reçue
I Ex : accusé de réception

A.BATTOU Sécurité des réseaux informatiques SMI6 20 / 54

Accès et disponibilité :

les services et matériels doivent être accessible et disponible aux utilisateurs en

temps voulu

A.BATTOU Sécurité des réseaux informatiques SMI6 21 / 54

Attaques

Attaque
exploitation d’une faille d’un système à des fins inconnues par la victime et
généralement préjudiciables

Deux types d’attaques :

Attaques passives : Ce type d’attaque ne modifient pas le
comportement du système, et peuvent ainsi passer inaperçues.
I Objectifs : obtention d’informations sur un système, sur un utilisateur ou
un projet(Ecoute, Injection de code, Usurpation d’identité, Intrusion, Abus
de droits)
Attaques actives : Ce type d’attaque modifient le contenu des
informations du système ou le comportement du système. Elles sont en
général plus critique que les passives.
I Objectifs : Objectifs : (1)modification ou destruction de données ou de
configurations(2)perturbation d’un échange par le réseau, d’un service ou
d’un accès à un service.

A.BATTOU Sécurité des réseaux informatiques SMI6 22 / 54

Description des attaques

A.BATTOU Sécurité des réseaux informatiques SMI6 23 / 54

Description des attaques

A.BATTOU Sécurité des réseaux informatiques SMI6 24 / 54

Description des attaques

A.BATTOU Sécurité des réseaux informatiques SMI6 25 / 54

Description des attaques

A.BATTOU Sécurité des réseaux informatiques SMI6 26 / 54

Méthodologie des attaques

A.BATTOU Sécurité des réseaux informatiques SMI6 27 / 54

Méthodologie des attaques
Collectes d’information

Collectes d’information
Connaitre le système cible en rassemblant le maximum d’informations
concernant les infrastructures de communication du réseau cible.

Comment ?

Social engineering ou ingénierie sociale : technique de manipulation

psychologique humaine qui sert à obtenir des informations d’une personne
ciblé.
Interrogation des services : (ex :nslookup, dig , etc.)

A.BATTOU Sécurité des réseaux informatiques SMI6 28 / 54

Méthodologie des attaques
Balayage réseau

Balayage réseau
scanner le réseau pour identifier quelles sont les adresses IP actives sur le
réseau, les ports ouverts correspondant à des services accessibles, et le système
d’exploitation utilisé par ces serveurs.

Comment ?

Scanner de vulnérabilité/Analyseur réseau (ex nmap) : utilitaire permettant

de réaliser un audit de sécurité d’un réseau. Il permet d’ :
Envoyer des requêtes successives sur les différents ports
Analyser les réponses afin de déterminer les ports actifs et par conséquent
les services fonctionnant sur un hôte distant.
Analyser la structure des paquets TCP-IP reçus pour déterminer système
d’exploitation et les versions des applications associées.

A.BATTOU Sécurité des réseaux informatiques SMI6 29 / 54

Méthodologie des attaques
Balayage réseau : exemple de manipulation nmap

A.BATTOU Sécurité des réseaux informatiques SMI6 30 / 54

Méthodologie des attaques
Balayage réseau : exemple de manipulation nmap

A.BATTOU Sécurité des réseaux informatiques SMI6 31 / 54

Méthodologie des attaques
Gagner l’intrusion

Gagner l’accès
s’introduire dans le réseau. Pour ce, le pirate a besoin d’accéder à des comptes
valides sur les machines qu’il a recensées.

Comment ?

L’ingénierie sociale : contacter directement certains utilisateurs du réseau

(par mail ou par téléphone) afin de leur soutirer des informations
concernant leur identifiant de connexion et leur mot de passe.
Consultation de l’annuaire ou bien des services de messagerie ou de
partage de fichiers, permettant de trouver des noms d’utilisateurs valides
Attaques par force brute (brute force cracking) : essayer de façon
automatique différents mots de passe sur une liste de compte (par
exemple l’identifiant, éventuellement suivi d’un chiffre, ou bien le mot de
passe password, ou passwd, etc).

A.BATTOU Sécurité des réseaux informatiques SMI6 32 / 54

Méthodologie des attaques
Installation d’une porte dérobée(backdoors)

Porte dérobée
un petit bout de code introduit en général par le pirate pour pouvoir ouvrir
un accès dérobé sur un système informatique et ainsi prendre le contrôle de
celui-ci quand il le désire.

Comment ?

Des outils utilisés par des constructeurs de matériels informatiques à

l’état neuf (exple : smartphone Samsung Galaxy, routeur D-Link)
Back Orifice : est un logiciel client/serveur d’administration et de prise de
contrôle à distance de machines.
etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 33 / 54

Méthodologie des attaques
Nettoyage des traces

Nettoyage des traces

dissimulation de processus informatiques ou de fichiers afin de cacher l’activité
des logiciels malveillants et éviter de se faire repérer.

comment ?

supprimer les fichiers logs

cacher ou crypter des fichiers utilisés (fichiers d’installations).
exemple d’outils : Reverse WWWShell, Covert TCP, etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 34 / 54

Sommaire

1 Concepts de base

2 Attaques réseau

A.BATTOU Sécurité des réseaux informatiques SMI6 35 / 54

La base des attaques réseau

Man In the Middle – MITM

Détournement de flux
Encapsulation d’IP dans d’autres protocoles.
Déni de service

A.BATTOU Sécurité des réseaux informatiques SMI6 36 / 54

Attaque de l’homme du milieu

Principe
se placer entre deux acteurs, souvent un client et un serveur, en se faisant
passer pour un des acteurs.

L’intérêt est de lire les données échangées et éventuellement les modifier.

comment ?
I Sniffing (ou l’écoute). Soit avec un simple logiciel comme Wireshark, ou
plus éloboré avec Ettercap.
I Détournement du flux entre le client et le serveur. La méthode la plus
utilisée est l’ARP Spoofing,
I etc.

A.BATTOU Sécurité des réseaux informatiques SMI6 37 / 54

Détournement de flux

Détournement de flux
des techniques permettant de rediriger le flux réseau vers un client, vers un
serveur, ou vers une autre machine.

Exemple de méthodes :
I ARP-Poisoning/ARP-spoofing
I TCP/UDP Hijacking

A.BATTOU Sécurité des réseaux informatiques SMI6 38 / 54

Détournement de flux
ARP-Poisoning/ARP-Spoofing

Rappel :
les protocoles ARP (Address Resolution Protocol) permet de faire
correspondre une adresse MAC à une adresse IP donnée et RARP (Reverse
Address Resolution Protocol)permet l’inverse

Le protocole ARP émet un datagramme particulier par diffusion à toutes

les stations du réseau et qui contient entre autre l’adresse IP à convertir.
La station qui se reconnaît retourne un message (réponse ARP) à
l’émetteur avec son adresse MAC.
L’émetteur dispose alors de l’adresse physique du destinataire et ainsi la
couche liaison de données peut émettre les trames directement vers cette
adresse physique.
Les adresses résolues sont placées dans un cache ce qui évite de déclencher
plusieurs requêtes lorsque plusieurs datagramme doivent être envoyés.

A.BATTOU Sécurité des réseaux informatiques SMI6 39 / 54

Détournement de flux
ARP-Poisoning/ARP-Spoofing

Principe :
rediriger le trafic réseau d’une ou plusieurs machines vers machine du pirate,
en corrompant le cache ARP

A.BATTOU Sécurité des réseaux informatiques SMI6 40 / 54

Détournement de flux
Rappel : fonctionnement d’une connexion TCP

Connexion par « Three Way

Handshake » ;
Échange entre deux processus ;
Fermeture :
I Friendly close [flag FIN] ;
I Lors d’une erreur (par
exemple interruption d’un
des processus) [flag RST]
L’authentification s’effectue à
l’ouverture de la session
A.BATTOU Sécurité des réseaux informatiques SMI6 41 / 54
Détournement de flux
TCP Hijacking

Cette attaque fonctionne en devinant les numéros de séquences

Les technique utilisée pour les détournements de session TCP (TCP
Hijacking) :
I Attaque à l’aveugle : consiste à envoyer des paquets à l’aveugle (blind
attack ), sans recevoir de réponse, en essayant de prédire les numéros de
séquence.
I Ecoute passive : permet une fois que le pirate intercepte l’entête TCP , il
peut connaître le numéro de séquence attendu par le serveur, le nombre
accusé de réception, les ports et les protocoles utilisés. Ainsi, le pirate peut
forger le paquet et l’envoyer au serveur avant que le client.
Exemple d’attaque ?
I IP spoofing
I injection du code

A.BATTOU Sécurité des réseaux informatiques SMI6 42 / 54

Détournement de flux
UDP Hijacking

UDP n’utilise pas les numéros de séquence des paquets pour la

synchronisation : il est plus facile de détourner la session UDP que TCP.
Le pirate peut simplement forger une réponse à une requête UDP d’un
client UDP avant la réponse du serveur.

A.BATTOU Sécurité des réseaux informatiques SMI6 43 / 54

Encapsulation d’IP dans d’autres protocoles
Rappel : Parcours d’un paquet dans une pile TCP/IP

A.BATTOU Sécurité des réseaux informatiques SMI6 44 / 54

Encapsulation d’IP dans d’autres protocoles
Rappel : Encapsulation

A.BATTOU Sécurité des réseaux informatiques SMI6 45 / 54

Encapsulation d’IP dans d’autres protocoles

Objectif : transiter les données d’un service bloqué par un pare feu par un
port autorisé
Comment ? : encapsuler des données d’un protocole réseau au sein d’un
autre, situé dans la même couche, ou dans une couche du niveau
supérieur.
Ce type d’encapsulation peut être la base de nombreuses attaques réseaux.
Exemple :

A.BATTOU Sécurité des réseaux informatiques SMI6 46 / 54

Encapsulation d’IP dans d’autres protocoles

Objectif : transiter les données d’un service bloqué par un pare feu par un
port autorisé
Comment ? : encapsuler des données d’un protocole réseau au sein d’un
autre, situé dans la même couche, ou dans une couche du niveau
supérieur.
Ce type d’encapsulation peut être la base de nombreuses attaques réseaux.
Exemple :

A.BATTOU Sécurité des réseaux informatiques SMI6 47 / 54

Déni de service (Dos)/ Deni de service distribué (DDos)

Dos
Attaque aboutissant à l’indisponibilté du service ou de la machine visée

DDos
Le "Distributed denial-of-service" ou déni de service distribué est un type
d’attaque très évolué visant à faire planter ou à rendre muette une machine en
la submergeant de trafic inutile. Plusieurs machines à la fois sont à l’origine de
cette attaque.

Exemple de méthodes :
SYN Flooding
UDP Flooding
Smurfing
Ping of death
Bombes e-mail
etc.
A.BATTOU Sécurité des réseaux informatiques SMI6 48 / 54
Déni de service (Dos)/ Deni de service distribué (DDos)
SYN flooding / Inondation de SYN

Principe :
envoyer massivement des demandes de connexion (flag SYN à 1) vers la
machine cible avec des adresses source aléatoire.
La machine cible renvoie les SYN-ACK en réponse à chaque SYN reçu
Aucun ACK c’est renvoyé pour établir la connexion : ces connexions
semi-ouvertes consomment des ressources mémoire
Au bout d’un moment, la machine cible est saturée et ne peut plus
accepter de connexions

A.BATTOU Sécurité des réseaux informatiques SMI6 49 / 54

Déni de service (Dos)/Deni de service distribué (DDos)
SYN flooding/Inondation de SYN

Les numéros de séquence initiaux x et y sont choisis “aléatoirement”.

Un timer est déclenché après l’envoi d’un SYN.
Si une réponse tarde trop à arriver (>75s), la connexion est abandonnée.

A.BATTOU Sécurité des réseaux informatiques SMI6 50 / 54

Déni de service (Dos)/Deni de service distribué (DDos)
SYN flooding/Inondation de SYN

A.BATTOU Sécurité des réseaux informatiques SMI6 51 / 54

Déni de service (Dos)/Deni de service distribué (DDos)
Inondation de paquet UDP/ (UDP flooding)

Principe
: générer une grande quantité de paquets UDP à destination d’une machine ou
entre deux machines

Utilise le fait que UDP(contrairement à TCP) ne possède pas de

mécanisme de contrôle de congestion
Entraine une congestion du réseau et une saturation des ressources des
hôtes victimes
Les paquets UDP sont prioritaires sur les paquets TCP ;
La totalité de la bande passante peut être saturée : effondrement de la
totalité du réseau.

A.BATTOU Sécurité des réseaux informatiques SMI6 52 / 54

Déni de service (Dos)/Deni de service distribué (DDos)
Smurfing/attaque par réflexion

principe
Une attaque par réflexion consiste à envoyer des paquets à des serveur
broadcast en utilisant l’adresse IP de la victime comme adresse IP source : on
parle alors d’usurpation d’adresse IP. Les réponses de ces serveurs à la victime
induisent la génération d’un trafic non sollicité à destination de cette dernière.

Conséquences
Perte de la bande passante
Ralentissement système
Perte du réseau
Blocage système
Crash système

A.BATTOU Sécurité des réseaux informatiques SMI6 53 / 54

Déni de service (Dos)/Deni de service distribué (DDos)
Smurfing/attaque par réflexion

Un ping (message ICMP ECHO)

est envoyé à une adresse Les machines répondent alors par
de broadcast en mettant comme un message ICMP ECHO REPLY
adresse source IP1 en direction de la cible

A.BATTOU Sécurité des réseaux informatiques SMI6 54 / 54