Introduction à la

sécurité
M1 – SSI
2018 - 2019
Introduction
 Internet fait parti de la vie
personnelle et professionnelle
Actions entreprises sur
internet en 60 secondes
Cas d’études : 2014 année des
méga failles
 Ebay : 145 millions d’enregistrement d’utilisateurs compromis
(adresses mail, date de naissances et d’autres informations
personnelles
 Google play : un pirate turc a bloqué le système à deux reprises
empêchant toute opération de téléchargement ou d’upload
(upload d’un apk malformé)
 56 millions de numéros de cartes de crédit ou débit volés
 JPMorgan Chase : vol des informations de 76 millions de ménage et
7 millions d’entreprises
 Pourquoi ?
Fuite de code source : Les malwares transférés par
accélère la libération des sms sont devenus
malware omniprésents

Les anciennes techniques La prise de contrôle du

de malware ont fait leur compte utilisateur se fait
grand retours maintenant sur le device
de la victime

Le nombre d’attaque
Croissance du nombre de contre les données
malware 64 bits. personnelles et
d’entreprises sur le cloud
est en augmentation

La recherche dans le
domaine de l'évasion des Les kits d’exploits sont la
logiciels malveillants est principale menace pour
devenue populaire windows
 Terminologie

 Valeur de piratage: c'est une notion chez les pirates qui signifie que quelque chose vaut la peine d'être fait ou
est intéressant
 Vulnérabilité : c’est l’existence d’une faille dans la conception ou bien une erreur dans l’implementation
pouvant conduire à un événement inattendu compromettant la sécurité du système
 Exploit : violation de la sécurité du système à travers une vulnérabilité
 Charge utile : c'est la partie d'un code d'exploitation qui exécute l'action malveillante prévue, telle que la
destruction ou la création d'une porte dérobée
 Attaque zero day : une attaque qui exploite une vulnérabilité pour la laquelle aucun patch n’a été réalisé
 Daisy chaining Les attaquants qui réussissent à voler une base de données complètent leur action en couvrant
leurs traces en détruisant les logs. les attaquants prennent le contrôle d’autres systèmes et les utilisent à des fins
malveillantes. il devient difficile d'identifier l'attaquant qui utilise les systèmes d'autruis pour effectuer des
activités illégales²
 Doxing : publier des informations personnelles identifiables sur une personne recueillies à partir d'une base de
données accessible au public et de médias sociaux
 Bot : est une application logicielle qui peut soit être contrôlée à distance soit exécuter automatiquement des
taches prédéfinies
Composants de base de la sécurité

 Confidentialité
 Intégrité
 Disponibilité
 Authentification
 Non répudiation
La sécurité un compromis ?
Sécurité de l’information
MENACES ET VECTEURS D’ATTAQUES
Vecteurs d’attaques
 Attaque = objectif ( motif)+ Méthode +
Vulnérabilité
 Les motifs peuvent varier :
 Vol d’information;
 Vengeance ;
 Atteinte à la réputation ;
 Propagation d’idées politiques ou religieuses ;
 Création du chaos en perturbant le fonctionnement
d’infrastructures critiques
Les menaces
 Menaces naturelles (inondations,
séisme,…)
 Menaces physiques ( sabotage,
intrusion physique, …)
 Menaces humaines (hackers,
social engineering,…)
 Menaces réseau (récolte
d’informations, ARP poisoning,
injection SQL,…)
 Menaces hôte ( attaque de
malware, attaque de mot de
passe, footprinting, backdoor,
menace à la sécurité physique)
 Menaces applicatives (attaques
contre l’authentification,
bufferoverflow, problème de log,
pb de gestion de sessions, erreur
de gestion des exceptions …)
Types d’attaques visant le système

 Attaque du système d’exploitation : recherche de vulnérabilités

dans la conception, l’installation ou la configuration de l’OS pour
une augmentation des privilèges
 Attaque des mauvaises configurations : affecte les serveurs web, les
plateformes applicatives, les bases de données, les réseaux ou les
Framework ce qui génère généralement des accès illicites
 Attaque du niveau applicatif: exploite les vulnérabilités des
applications fonctionnant dans le système d’information de
l’organisme
 Shrink-wrap code attack : exploite l’utilisation des configurations par
defaut
Guerre de l’information
Hacking
CONCEPTS, TYPES ET PHASES
Qu’est ce que le hacking ?

 Le piratage consiste à exploiter les vulnérabilités du système et à

compromettre les contrôles de sécurité pour obtenir un accès non
autorisé ou inapproprié aux ressources du système.

 cela implique de modifier les fonctionnalités du système ou de

l'application pour atteindre un objectif différent de l'objectif initial
du créateur
Qui est ce pirate ?

 Il peut être n’importe qui !!!

 Il n’est pas forcément informaticien

Catégories de pirates
Phases de piratage

 Reconnaissance passive ou active

 Scan (phase de pré attaque) scan de réseaux et de ports
 Obtention de l’accès
 Maintenir l’accès
 Supprimer ces traces
Sécurité de l’information
LOIS ET STANDARDS
Standard de sécurisation des
données de l’industrie des cartes
de paiement
 Le standard PCI-DSS est une norme propriètaire pour les
organisations qui gèrent les informations de titulaire de carte. Elle est
utilisée par les principales cartes de débit, de crédit ou prépayées.
 La norme PCI-DSS s’applique à toutes les entités impliquées dans le
traitement des cartes de paiement, y compris les commerçants, les
processeurs, les acquéreurs, les émetteurs et les fournisseurs de
services, ainsi que toutes les autres entités qui stockent, traitent ou
transmettent des données de titulaires de cartes.
ISO/IEC 27001:2013

 Spécifie les exigences nécessaires à l’etablissement,

l’implementation, la maintenance et l’amélioration continue du
système de gestion de la sécurité de l’information et ceci dans le
contexte de l’organisation concernée
 Elle est prévu pour être adapté à plusieurs types d'utilisation
Cyber législation dans le monde
Footprinting et la
reconnaissance
Qu’est ce que le footprinting ?

 C’est le processus de collecte d’i formation concernant la cible

réseau afin d’identifier les voies et les moyens permettant une
intrusion des systèmes et des réseaux de l’organisation ciblée.
 c'est la première étape de toute attaque contre le système
d'information; L'attaquant recueille des informations sensibles
accessibles au public, à l'aide desquelles il effectue de l'ingénierie
sociale, des attaques de système et de réseau, etc., ce qui entraîne
une perte financière énorme et une perte de réputation de
l'entreprise.
connaître Réduire la Identifier les Dessiner la
la posture zone vulnérabilité carte du
de sécurité ciblée s réseau
Objectifs du footprinting

 Collecter les informations réseau (nom de domaine, adresses IP,

protocoles réseau,…)
 Collecter des informations système (noms des utilisateurs et des
groupes, tables de routage, mots de passe, informations SNMP,…)
 Informations sur l’organisme (site web, adresse exacte, politiques de
sécurité implémentées, commentaires sur les codes source HTML, …)
Methodologie de footprinting

1. Les moteurs de recherche 6. Intelligence competitive

2. Techniques avancées de google 7. Whois
hacking
8. DNS
3. Réseaux sociaux
9. Footprinting du réseau
4. Footprinting de sites web
10. Ingénieurie sociale
5. Footprinting de mail
Les outils de footprinting
Matelgo
FOCA
Autres outils
Contre mesures au footprinting
Liste des contremesures

 restreindre l'accès des employés aux sites de réseautage social à

partir du réseau de l'entreprise.
 configurer les serveurs Web pour éviter les fuites d'informations
 Sensibiliser les employés afin qu’ils
 utilisent des pseudonymes sur les groupes les forums et les blogs
 Ne révèlent aucune information critique dans les communiqués de
presse, les rapports annuels etc…
 Limiter la quantité d’information publiée sur le site web
 Utiliser le footprinting pour découvrir et supprimer les informations
sensibles accessibles par le public
Suite

 Renforcer les politiques de sécurité afin de réguler les informations

que les employés peuvent divulguer à une tierce partie
 Séparer les DNS interne et externe et restreindre les trabsferts de
zones DNS aux serveurs autorisés
 Désactiver le listing des répertoires à partir du serveur web
 Sensibiliser les employés au rique du social engineering
 Protéger les informations sensible via le chiffrement et des mots de
passe