Académique Documents
Professionnel Documents
Culture Documents
Christian.bope@unikin.ac.cd
ANNEE ACADEMIQUE
2019-2020
1
Objectif et plan du cours
Résultat d'apprentissage
2
Activités d’apprentissage
Analyse d’activités
3
Table des Matières
INTRODUCTION .................................................................................................................. 7
CHAPITRE I. MENACE, RISQUE ET VULNERABILITE D’UN SYSTEME
D’INFORMATION ................................................................................................................ 8
I.1 Vulnérabilité .......................................................................................................................... 8
I.1.1 Définition de la vulnérabilité ................................................................................................... 8
I.2 Menace dans un système d’information ................................................................................. 8
I.1.2 Risque de sécurité ....................................................................................................................... 10
I.1.3 Attaque ............................................................................................................................................ 11
II. LA MALVEILLANCE INFORMATIQUE ............................................................................. 16
II.1 Les Types de logiciels malveillants ........................................................................................ 17
III. Les Antivirus ....................................................................................................................... 33
III.1. La Notion d’Antivirus ................................................................................................................ 33
III.2. La Détection des Virus .............................................................................................................. 33
III.3 Quelques statistiques ................................................................................................................. 35
4
III.5 Solutions sécurisées classiques ............................................................................... 119
III.5.1 IPSEC .......................................................................................................................................... 119
III.5.2 TLS/SSL ..................................................................................................................................... 120
III.6 LOGICIEL .......................................................................................................................... 120
5
V.3.6 Les PUPs (Potentially Unwanted Programs (Programmes Potentiellement
Indésirables) ........................................................................................................................................ 155
V.3.7 Le Phishing ................................................................................................................................ 155
V.3.8 Contenu interdit / illégal ..................................................................................................... 155
V.3.9 Les escroqueries en ligne .................................................................................................... 156
V.3.10 Les kits d’exploitation ........................................................................................................ 156
V.4 Lutter contre la cybercriminalité ............................................................................. 156
V.4.1. Analyse de l’existant ................................................................................................. 156
1. Introduction ..................................................................................................................................... 156
2. Etats de lieux de la Cybercriminalité en RDC .................................................................... 157
3. Le Danger de cette léthargie ..................................................................................................... 159
4. Quelles sont les pistes de solutions ...................................................................................... 160
5. Les acteurs clés ............................................................................................................................ 163
V.4.2. Conception du RDC CISRT et son fonctionnement .......................................... 165
1. Introduction ..................................................................................................................................... 165
2. Elaboration du plan d’activité ..................................................................................................... 165
3. Architecture technique et matérielle .................................................................................... 168
4. Plan de Restauration en cas de crash ................................................................................... 175
5. Les outils utiliser pour le fonctionnement du CISRT ........................................................ 177
6
INTRODUCTION
La sécurité informatique est un ensemble d’outils et méthodes
conçus en vue de minimiser les menaces, évaluer les vulnérabilités du
système d’information, minimiser les risques et faire face aux pirates
informatiques tout en protégeant des données.
But de la sécurité
7
CHAPITRE I. MENACE, RISQUE ET VULNERABILITE D’UN
SYSTEME D’INFORMATION
I.1 Vulnérabilité
Caractéristique d'une entité qui peut constituer une faiblesse ou une
faille au regard de la sécurité de l'information. Ces vulnérabilités peuvent
être organisationnelle (ex : pas de politique de sécurité), humaine (ex :
pas de formation des personnels), logicielles ou matérielles (ex :
utilisation de produits peu fiables ou non testés), ...Exemple : les fichiers
sur les ordinateurs portables ne sont pas protégés en lecture
• Des bugs
• L’accès au système
• La capacité d’exploitation
8
Types de menace
Parmi les types de menace nous citons : L’interruption, l’interception,
modification et la fabrication.
Figure.I.5. L’interruption
9
Figure.I.7. Modification
Risques techniques
10
Risques économiques (Business)
I.1.3 Attaque
Tout ordinateur connecté à un réseau informatique est
potentiellement vulnérable à une attaque.
11
Sur l’Internet, des attaques ont lieu en permanence, à raison de
plusieurs attaques par minute sur chaque machine connectée. Ces
attaques sont pour la plupart lancées automatiquement à partir de
machines infectées (par des virus, chevaux de Troie, vers, etc.), à l'insu de
leur propriétaire. Plus rarement il s'agit de l'action de pirates
informatiques.
On peut classiquement définir deux grands types d’attaque sur les réseaux
: les attaques sur les protocoles de communications, d’une part, et les
attaques sur les applications standards, d’autre part.
# Attaques applicatives ;
# Attaques systèmes ;
# Attaques protocolaires ;
# Attaques matérielles.
Attaques applicatives
12
Nous pouvons avoir :
• Les bugs : Qui sont liés à un problème dans le code source, ils
peuvent amener à l’exploitation de failles. Il n’est pas rare de voir
l’exploitation d’une machine suite à une simple erreur de
programmation ;
• Le dépassement de la pile (buffer overflows) : sont de catégorie
de bug particulier, issus d’une erreur de programmation, il
permettent l’exploitation d’un Shell code à distance. Ce Shell code
permettra à une personne mal intentionnée d’exécuter des
commandes sur le système distant, pouvant aller jusqu’à sa
destruction.
• Les scripts : Principalement web (exemple : Perl, PHP, ASP), ils
s’exécutent sur un serveur et renvoie un résultat au client.
Cependant, lorsqu’ils sont dynamiques, des failles peuvent
apparaitre si les entrées ne sont pas correctement contrôlées.
• L’exploit : c’est un programme permettant d’exploiter une faille
de sécurité logiciel.
Attaques systèmes
Les menaces systèmes sont des menaces qui peuvent porter atteinte
au système.
- Virus ;
- Bombe logique ;
- Vers ;
- Cheval de Troie ;
- Trappe ;
- Craquage de mot de passe.
Virus : est un programme écrit dans le but de détruire un système
(exemple effacer des disques, des fichiers pertinents) ;
Bombe logique : est un programme conçu uniquement dans le but
de détruire des activités lorsqu’elles sont lancées.
Vers : c’est un agent autonome capable de se propager sans une
action extérieure (programme ou personne) mais uniquement en
13
utilisant les ressources d’une machine pour infecter d’autre
machines.
Cheval de Troie : c’est un programme qui se cache lui-même dans
un autre programme apparemment au-dessus de tout soupçon.
Quand la victime lance ce programme, elle lance par la même
occasion le cheval de Troie caché. Un cheval de Troie peut ouvrir
l’accès au système a des personnes particulières ou même à tout le
monde.
Trappe : c’est un point d’entrée dans un système informatique qui
passe au-dessus des mesures de sécurité normales. La plupart du
temps, c’est un programme cache qui est souvent active par un
évènement ou une action normale et dont le but est de fragiliser un
système de protection ou même le rendre inefficace.
Craquage de mots de passe : le moyen le plus classique de
« craquer » des mots de passe est d’utiliser un programme
appelé « cracker ». Ce programme utilise un dictionnaire de mots
et de noms propres et opère sur les mots de passe encryptes, qui se
trouvent dans un fichier (par exemple le fichier UNIX
/etc/passwd).
Attaques protocolaires
14
• La première utilité sera celle de falsifier la source d’une
attaque afin que la victime ne parvienne pas de remonter
à l’origine de l’attaque ;
• L’autre usage de l’IP Spoofing va permettre de profiter
d’une relation de confiance entre deux postes pour
prendre avantage sur l’un de deux.
Attaque matériels
Attaque active
15
$ L’usurpation : c’est lorsqu’une entité se fait passer pour une autre,
$ Le rejet : retransmission de messages capturés lors d’une
Communications, et cela à des fins illégitimes,
$ La modification de messages,
$ Le déni de service.
Nous citons parmi cette attaque : l’interruption, la modification et la
fabrication.
16
dans tous les systèmes ;
Le véritable nom donné aux virus est CPA soit Code Auto- Propageable,
c’est par analogie avec le domaine médical, le nom de "virus" leur a été
donné.
Les virus résidents (appelés TSR en anglais pour Terminate and stay
resident) se chargent dans la mémoire vive de l'ordinateur afin d'infecter
les fichiers exécutables lancés par l’utilisateur. Les virus non résidants
infectent les programmes présents sur le disque dur dès leur exécution.
17
de virus la plus dangereuse. Ainsi, étant donné qu'il existe une vaste
gamme de virus ayant des actions aussi diverses que variées, les virus ne
sont pas classés selon leurs dégâts mais selon leur mode de propagation et
d'infection.
- les troyens (chevaux de Troie) sont des virus permettant de créer une
faille dans un système (généralement pour permettre à son
concepteur de s'introduire dans le système infecté afin d'en prendre
le contrôle) ;
En réalité, la plupart des virus sont des clones, ou plus exactement des
«virus mutants», c'est-à-dire des virus ayant été réécrits par d'autres
utilisateurs afin d'en modifier leur comportement ou leur signature.
Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même
virus le rend d'autant plus difficile à repérer dans la mesure où les
éditeurs d'antivirus doivent ajouter ces nouvelles signatures à leurs bases
de données.
18
automatiquement leur apparence, tel un caméléon, en dotant les virus de
fonction de chiffrement et de déchiffrement de leur signature, de façon à
ce que seuls ces virus soient capables de reconnaître leur propre
signature. Ce type de virus est appelé «virus polymorphe» (mot provenant
du grec signifiant «qui peut prendre plusieurs formes»).
c. Les Rétrovirus
19
Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie
Microsoft, d'accéder à l'ensemble du carnet d'adresse et de s'auto diffuser
par le réseau. Ce type de virus est appelé ver (ou worm en anglais).
20
lâché, celui-ci avait déjà infecté plusieurs milliers d'ordinateurs. C'est
ainsi que de nombreux ordinateurs sont tombés en pannes en quelques
heures car le "ver" (car c'est bien d'un ver dont il s'agissait) se
reproduisait trop vite pour qu'il puisse être effacé sur le réseau. De plus,
tous ces vers ont créé une saturation au niveau de la bande passante, ce
qui a obligé la NSA à arrêter les connexions pendant une journée.
a. Fonctionnement d’un ver dans les années 80 Voici la façon dont le ver
de Morris se propageait sur le réseau :
- et ainsi de suite.
a. Le Cheval de Troie
21
par les Grecs.
La légende veut que les Grecs, n'arrivant pas à pénétrer dans les
fortifications de la ville, aient l'idée de donner en cadeau un énorme
cheval de bois en offrande à la ville en abandonnant le siège.
- etc.
22
- des ouvertures impromptues de programmes ;
- soit vous avez une adresse IP fixe (cas d'une entreprise ou bien
parfois de particuliers connecté par câble, ...) auquel l'adresse IP
peut être facilement récupérée ;
d. Porte dérobée
- Technique
23
porte dérobée, le contrôle peut s'étendre à l'ensemble des opérations de
l'ordinateur.
24
En 1984, l'informaticien américain Kenneth Thompson décrit, dans son
article Reflections on Trusting Trust, comment il aurait été possible
d'insérer une porte dérobée dans tous les programmes en C compilés sur
Unix. De plus, vu que les versions mises à jour de ce compilateur, qui
n'est rien d'autre qu'un autre programme compilé, sont compilées à partir
du compilateur C préexistant, l'algorithme d'insertion de la porte dérobée
se serait fait transmettre d'une mise à jour à une autre. Donc, si ce
compilateur à porte dérobée avait été « lâché dans la nature » (en anglais :
released in the wild) à l'origine, alors n'importe quel compilateur de C
insérerait possiblement des portes dérobées de nos jours.
Il est à noter que la porte dérobée présente dans tous les programmes C
compilés n'apparaîtrait jamais dans le code source en C.
e. Bombe logique
f. Logiciel espion
25
fidèlement tout ce que l’utilisateur tape sur son clavier et le transmet à
son honorable correspondant ; il capte ainsi notamment identifiants, mots
de passe et codes secrets.
- Le rootkit de Sony
26
contenu protégé contre les copies.
Le terme polluriel est plutôt utilisé pour définir les messages inutiles,
27
souvent provocateurs et n'ayant aucun lien avec le sujet de discussion, qui
sont diffusés massivement sur de nombreux forums ou groupe de
nouvelles, ce qui entraîne une pollution des réseaux.
Je décris dans la suite du post les failles de sécurité les plus courantes
mais la liste est loin d’être exhaustive, on pourrait effectivement y ajouter
:
- Le spam ;
- Cache Poisonning ;
- Cross-User Defacement ;
- CRLF injection ;
28
et la diversification des usages du Web, notamment pour des sites
marchands ou de façon plus générale pour des transactions financières,
sont apparues de nouveaux types d’attaques qui en exploitent les
faiblesses de conception. D’autre part, des attaquants que l’on pourrait
nommer les charognards informatiques exploitent dans les documents des
zones que leurs auteurs croient avoir effacées, cependant que d’autres
pillent les disques durs des matériels de rebut.
i. Injection SQL
L’attaque par injection SQL vise les sites Web qui proposent des
transactions mal construites dont les résultats sont emmagasinés dans une
base de données relationnelle. Elle consiste en ceci : SQL est un langage
qui permet d’interroger et de mettre à jour une base de données
relationnelle ; les requêtes sont soumises au moteur de la base en format
texte, sans être compilées. Une requête typique est construite à partir de
champs de formulaire remplis par l’internaute.
La requête sera :
29
SELECT * FROM secrets WHERE nom LIKE ’%’; avec, comme
résultat, la destruction pure et simple de la table clients et un accès
imprévu à la table secrets, dont le nom suggère qu’elle n’est pas destinée
à être lue par les internautes.
j. Cross-sitescriptingouAttaqueXSS
30
récupérer des informations personnelles, ... ;
- Comment se protéger
Filtrer toutes les données étrangères. Ici encore, PHP fournit en standard
de nombreuses méthodes : htmlentities, addslashes, strip_tags, etc.
Il faut vérifier toutes les données ! Même celles qu’on juge à priori sûres,
comme les informations provenant d’un select ou d’une checkbox : il est
très facile de coder un script qui envoie une valeur quelconque à ces
31
champs.
k. Palimpsestes électroniques
Le XXème siècle a aussi ses palimpsestes : si l’on n’y prend garde, les
fichiers produits par Microsoft Word conservent fidèlement dans un coin
la trace des modifications passées, et un lecteur habile peut les retrouver.
Le Premier ministre britannique Tony Blair a été victime de cet artifice :
son cabinet a publié sur le site Web gouvernemental un document Word
d’explication relative à l’engagement britannique dans la guerre en Irak,
et des journalistes malicieux ont reproduit l’historique de
l’argumentation, qui a fait scandale.
32
III. Les Antivirus
33
programmes résidents dans la mémoire vive de l'ordinateur ce qui leur
permet d'analyser les fichiers utilisés et prévenir lorsqu'un fichier suspect
est détecté, l'autre fonctions des antivirus est de scanner le disque dur par
exemple chaque semaine et de vérifier plus attentivement si l'ordinateur
n'est pas infecté par un virus.
Ainsi, chaque fichier est vérifié avant toute utilisation (lecture, écriture).
Cette vérification consiste en une comparaison du fichier avec une
banque de données reprenant les signatures des virus connus. Les
signatures des virus sont des suites de caractères, propre à chaque virus
informatique. C'est leur caractère, c'est ce qui les définit. Si la recherche
est fructueuse, si un virus est trouvé, alors l'antivirus stoppe l'action en
cours (lecture ou écriture) et demande que l'utilisateur intervienne. Les
attaques des virus peuvent être paré également en utilisant leur signature,
à travers leurs signes distinctifs pour les reconnaître mais aussi par
analogie de certains programmes avec des routines (c'est à dire des suites
d'instructions) connues, ceci empêche ainsi de voir de nombreux virus se
propagés alors qui possèdent les mêmes fonctions. Ainsi les antivirus
contrôlent les faits et gestes des programmes sur les ordinateurs et
permettent de détecter les problèmes qui peuvent survenir. Alors,
l'antivirus va tenter de stopper les effets du virus et surtout de restaurer
les programmes endommagés. Cependant ce genre de système ralentit la
machine. De plus, il faut une mise à jour fréquente de la base de donner
de signatures pour conserver une efficacité maximale, une fréquence de
15 jours semble être un bon compromis. Concernant l'adoption d'un
antivirus, celle-ci ne doit pas se faire au hasard, il faut privilégier les
logiciels émanant des compagnies reconnus.
34
apparemment il n'existe pas de fonction de programmation.
35
contamination qui atteint 40% au bout de dix minutes, 95 % au bout
d’une heure. Les observations personnelles de l’auteur ne démentent pas
cette estimation.
36
CHAPITRE II. CRYPTOGRAPHIE
II.1 Introduction
37
sûrs par défaut, nous n'aurions pas besoin de dépenser des milliards
chaque année pour les rendre plus sûrs ».
38
Puis, pendant près de 19 siècles, on assista au développement
plus ou moins ingénieux de techniques de Chiffrement expérimentales
dont la sécurité reposait essentiellement dans la confiance que leur
accordaient les utilisateurs. Au 19ème siècle, Kerchoffs posa les principes de
la cryptographie moderne. L’un des principaux pose que la sécurité d’un
système de chiffrement ne résidait que dans la clé et non dans le procédé
de chiffrement.
39
Rück. Ce dernier type de cryptanalyse utilise les couplages bilinéaires pour
résoudre le Problème du Logarithme Discret (DLP) sur les courbes
elliptiques et hyperelliptiques. La cryptographie comporte deux sous
branches : la Cryptographie symétrique et la cryptographie asymétrique.
40
principale est qu´ils doivent utiliser des clés cryptographiques de grande
taille pour garantir le niveau de sécurité. En ce moment, la taille minimale
requise pour ces cryptosystèmes est de 1024 bits (voire même 2048 bits
dans certaines situations) Ils sont simples à implémenter, mais ils incluent
une "exponentiation". Aussi, la tendance à l´intégration et à la
miniaturisation qui caractérise de plus en plus les nouvelles technologies
de l´information et de la communication, ne peut s´accommoder des
systèmes cryptographiques qui ne peuvent être embarqués sur des
dispositifs à faible capacité, tels que les cartes à puces, les téléphones
portables, etc.
41
42
Les buts qu’il remplit peuvent être :
Chiffrement
C= 𝒇(𝐌, 𝐊)
Déchiffrement
M= 𝒇!𝟏 (𝐂, 𝐊)
Où :
C: le message en texte chiffré
f : la fonction ou algorithme
M : le message en texte clair
K : la clef
II.3. Vocabulaire de base
43
La cryptographie est l’étude des méthodes donnant la possibilité
d’envoyer des données de manière confidentielle sur un support donné.
I. Méthodes de chiffrement
44
saurions tracer ici une histoire complète des codes secrets, pour laquelle le
lecteur pourra se reporter au livre de Simon Singh par exemple. Tout ce
qui est antérieur à 1970 a un intérêt essentiellement historique, d’ailleurs
passionnant et riche d’enseignements, ainsi le rôle récemment mis en
lumière d’Alan Turing dans le déroulement de la Seconde Guerre
mondiale.
Expéditeur et destinataire :
Messages et chiffrement :
Texte en clair
Texte en clair Texte chiffré original
chiffrement Déchiffrement
45
L’art et la science de garder le secret de messages est appelé
cryptographie pratiquée par des cryptographes. Les cryptanalystes
pratiquent la cryptanalyse qui est l’art de décrypter des messages chiffrés
(D'où l'expression: "déchiffrer"...). La branche des mathématiques qui
traite de la cryptographie et de la cryptanalyse s’appelle la cryptologie et
ses pratiquants sont appelés cryptologues. De nos jours, presque tous les
cryptologues sont des mathématiciens théoriciens par la force des choses.
Comme le but de toutes ces opérations n’est rien d’autre que de retrouver
le message en clair à partir de la version chiffrée de ce même message,
l’identité suivante doit être vérifiée : D(E(M))=M
46
Authentification, intégrité, non désaveu
Algorithmes cryptographiques
47
contrôle de qualité et aucune standardisation. Chaque groupe
d’utilisateurs doit avoir son propre algorithme. Un tel groupe ne peut pas
utiliser de produits tous faits, matériels ou logiciels, vendus dans le
commerce ; un espion peut acheter le même produit et apprendre
l’algorithme. Il leur faut écrire leurs propres algorithmes et les
programmer eux même. S’il n’ ya pas de bon cryptographe dans le groupe,
ils ne sauront pas s’ils ont un algorithme sûr. Malgré cela, les algorithmes
restreints sont très populaires pour les applications à bas niveau de
sécurité. Les utilisateurs ne réalisent pas, ou bien ne se soucient pas des
problèmes de sécurité inhérents à leur système. La cryptographie
moderne résout ce problème avec une clef, notée k. Ici la différence est fait
entre "sécurité par obscurité et sécurité qui n'a pas besoin du secret.
L'approche RSA est que l'algorithme est public. Pour briser la
cryptographie (trouver la clé) on doit résoudre un problème (NP-
Complete) très difficile à résoudre, dans le cas de RSA, la factorisation des
grands nombres.
Ek(M)=C
Dk(C)=M
48
Dk(Ek(M))=M
clef clef
Ek1(M)=C
Dk2(C)=M
Dk2(Ek1(M))=M
49
On peut fabriquer en masse un produit utilisant cet
algorithme utilisant cet algorithme. Peu importe qu’une espionne
connaisse votre algorithme ; si elle ignore votre clef, elle ne pourra pas lire
vos messages. Un crypto système est composé d’un algorithme, et de tous
les textes en clairs, textes chiffrés, et clefs possibles.
Ek(M)=C
Dk(C)=M
50
Ces groupes de bits sont appelés blocs, et les algorithmes
correspondants sont appelés algorithmes de chiffrement par blocs. Pour
des algorithmes réalisés sur ordinateur, la taille typique des blocs est de
64 bits –ce qui est assez grand pour interdire l’analyse et assez petit pour
être pratique.
Ek(M)=C
Dk(C)=M
51
signatures numériques (voir § 2.6). Malgré le risque de confusion possible,
ces opérations seront notées :
Ek(M)=C
Dk(C)=M
1. Cryptanalyse
Bien que cela ne soit pas toujours le cas dans le monde réel de
la cryptanalyse, c’est toujours vrai dans le monde académique de la
cryptanalyse. Et, c’est de toute façon une bonne assertion dans le monde
réel de la cryptanalyse. Si l’on ne sait pas casser un algorithme même en
sachant comment il fonctionne. On ne sait certainement pas le casser sans
cette connaissance.
52
cryptanalyste dispose de la connaissance complète de l’algorithme de
chiffrement :
Quelques Types de Chiffrement
1. Le chiffrement par décalage
53
nombre de clés possibles est alors sans commune mesure avec celui des
chiffrements de César.
a b c d e f g h i j k l m
X N Y A H P Q G S Q W B T
54
n o p q r s t u v w x y z
S F L R C V M U E K J D I
A B C D E F G H I J K L M
d f l r c v m u e k j b t
n o p q r s t u v w x y z
b g f j q n m u s k a c i
Ainsi, dπ A = d, dπ B = 1, etc.
MGZVYZLGHCMHJMYXSSFMNHAHYCDIMHA
55
3. Chiffrement affine
𝐞 𝐱 = 𝐚𝐱 + 𝐛 𝐦𝐨𝐝 𝟐𝟔
56
4. Chiffrement de Hill
On peut prendre :
- y1 = 11x1+3x2
- y2 = 8x1+7x2
(y1,y2) = (x1,x2)
57
à construire des anagrammes. Cette méthode est connue depuis
l'Antiquité, puisque les Spartiates utilisaient déjà une scytale.
K= 2 5 6 7 8 9 10 13 1 3 11 4 12
C= R T O G R A P E C Y H P I
58
Permutation élargie : dans ce chiffrement nous avons peut
d’alphabet en texte clair mais plusieurs alphabets chiffrés
c’est-à-dire nombre d’alphabet en texte claire est inferieur a
la clé.
M= C R Y P T O G R A P H I E
K= 2 5 6 7 8 9 10 13 1 3 11 4 2 12
C= R T O G R A P E C Y H P R I
M= C R Y P T O G R A P H I E A M U
K= 2 5 6 7 8 9 10 13 1 3 11 4 2 12
C= R T O G R A P E C Y H P R I
6. Chiffrement en chaine
59
y = y1 y2…………..= ek(x1)ek(x2)…………
Zi = fi (K,x1, …, xi – 1)
(P, C, K, L, F, E, D) vérifiant ;
de déchiffrement correspondant : P C et
60
On peut avoir le chiffrement par bloc come un cas particulier
du chiffrement en chaine dans lequel la séquence de clefs est constante :
pour tout i ≥ 1Tableau comparatif des chiffrements.
! Cryptographie symétrique ;
! Cryptographie asymétrique.
II.4.1 Cryptographie symétrique
61
La cryptographie symétrique (ou cryptographie à clé secrète) est la forme
la plus ancienne de cryptographie. Ce chiffrement fonctionne en principe
avec une clé secrète, le principe est le suivant : L’émetteur du message
chiffre les données grâce à une clé. Cette clé est généralement une chaîne
de caractères. Le message est chiffré et sans la clé il est quasi impossible
(le niveau d’impossibilité dépend du niveau de protection du chiffrement
utilisé ainsi que de la complexité de la clé utilisée) de retrouver le
message d’origine. L’émetteur doit donc transmettre la clé aux personnes
à qui il désire transmettre le message s’il veut que son message puisse
être lu.
Cryptage : C= 𝑓(M, K)
Décryptage : M= 𝑓 !! (C, K)
62
Avantages
- Il est rapide ;
- Il est particulièrement adapté à la transmission de grandes quantités
de données.
Inconvénients
63
Nous allons présenter quelques algorithmes ci-après :
Chiffrement de césar
Le chiffrement de vigénère
64
bases, c’est du nom de vigénère que ce nouveau chiffrement fut baptisé,
en l’honneur de l’homme qui lui donna sa forme finale.
Chiffrement
C=(M+K) mod26
Déchiffrement
Sinon M=(26+C)-k
Texte A M U R I M U K O L O S I A
clair 0 12 20 17 8 12 20 10 14 11 14 18 8 0
Clé D E F E N S E D E F E N S E
3 4 5 4 13 18 4 3 4 5 4 13 18 4
Texte D Q Z V V E Y N S Q S F A E
chiffré
Il y’a aussi beaucoup d’autres algorithme traditionnels tels que
l’algorithme de Hill.
Dans ce qui suit, nous allons voir comment sont utilisées certaines
techniques de base dans le cryptage :
65
• Substitution ;
• Transposition ;
a. Substitution :
Texte clair : a b c d e f g …
Texte clair : a b c d e f g …
66
Quand bien même cette technique semble être puissante, dans la
pratique, certains raccourcis peuvent être empruntés, en vue de casser de
tels cryptages. Certaines propriétés statistiques de message chiffré :
b. Transposition
67
c. P–Box
68
P – Box à permutation compressée : elle a moins de bits à la sortie
qu’à l’entrée. Ainsi, seulement les bits sélectionnés seront permutés.
DES ;
69
Triple DES ;
AES ;
70
Triple DES (3DES)
AES
71
substitution-permutation : à chaque tour, le chiffrement produit par le tour
précèdent subit une substitution non linéaire qui assure la confusion puis
une permutation linéaire qui assure la diffusion, puis la clé du tour est
ajoutée bit a bit pour donner. Le nombre de tour est 10 pour une clé de
128 bits et de 14 pour une clé de 256 bits.
72
Cryptographie à clé publique ou chiffrement Asymétrique
Ce concept a été introduit par Whitfield Diffie et Martin Hellman
en 1975, même s’il est communément accepté que les services secrets
britanniques aient déjà fait cette même découverte plusieurs années
auparavant, mais avaient protégé ce secret militaire. La cryptographie a
clé publique est un procédé asymétrique utilisant une paire de clés pour le
cryptage, soit une clé publique qui crypte des données et une clé privée
ou secrète correspondante pour le décryptage.
73
Avantages
74
Le RSA est l’un des plus connus des algorithmes asymétriques,
c’est-à-dire qui utilise une clé publique que tout le monde connait qui
permet de crypter le texte et une clé privé, dont seul le destinataire du
message est censé la connaitre afin de crypter le message. Ce qui est
important avec ce système, est qu’il est difficile de retrouver la clé privée
à partir de la clé publique.
Cette méthode est très utilisée de nos jours par exemple, dans les
navigateurs internet afin de garantir la sécurité de certains sites ou encore
pour chiffrer des emails. Il est aussi le standard de chiffrement du secteur
bancaire de plusieurs pays.
Le fonctionnement de RSA
ISO 9796 ;
ANSI X9.31 rDSA ;
75
ITU-T X.509(standard de sécurité) ;
ETEBAC 5 (standard français du secteur bancaire et financier) ;
X9.44 draft (standard américain du secteur bancaire et financier) ;
SWIFT (standard interbancaire international).
Nous pouvons citer d’autres algorithmes comme : DSA, PGP, CURVE,
ECC.II.4
La signature numérique
Ces mécanismes sont assurés par les méthodes issues de la
cryptographie asymétrique. Elles sont englobées dans le concept de la
76
signature digitale ou électronique. Définition du concept non répudiation
de l'origine, la non répudiation de l'origine assure que l'émetteur du
message ne pourra pas nier avoir émis le message dans le futur. La
signature digitale est un mécanisme cryptographique qui permet d'assurer
la non répudiation de l'origine. La signature est calculée en utilisant la clé
privée de l'émetteur et elle est vérifiée par en utilisant la clé publique de
l'émetteur.
77
Figure. Vérification de la signature
a. Principe de PGP
Lorsqu'un utilisateur chiffre un texte avec PGP, les données sont d’abord
compressées. Cette compression des données permet de réduire le temps
de transmission par modem, d'économiser l'espace disque et, surtout, de
renforcer la sécurité cryptographique.
- PGP crée une clé secrète IDEA de manière aléatoire, et chiffre les
données avec cette clef
78
- PGP crypte la clé secrète IDEA et la transmet au moyen de la clé RSA
publique du destinataire.
79
80
- Phase Check : audit et revue périodiques du SMSI, qui produisent des
constats et permettent d’imaginer des corrections et des améliorations ;
La norme IS 27001 précise la démarche qui doit être suivie pour élaborer
et mettre en place le SMSI : sans entrer trop dans les détails, ce qui
risquerait d’enfreindre les droits des organismes de normalisation qui
vendent fort cher les textes des normes, disons que l’organisme désireux
81
- Qualité du bâtiment qui abrite données et traitements, à l’épreuve
des intempéries et des inondations, protégées contre les incendies
et les intrusions ;
82
L'authentification permet donc de valider l'authenticité de l'entité en
question.
III.2.2.1 la Preuve
83
- Ce qu'il possède3 (acte de naissance, carte grise, carte d'identité,
carte à puce, droit de propriété, certificat électronique, diplôme,
passeport, carte Vitale, Token OTP, Carte OTP, Téléphone
portable, PDA, etc.) ;
III.2.2.2. La Biométrie
Nous entendons parler de plus en plus de la biométrie car elle est chaque
jour plus présente dans notre entourage. Les systèmes d’authentification
biométriques peuvent être une solution fiable et rapide pour contrôler
notre identité et surveiller des zones sensibles. Cette technologie
émergente est certes intéressante dans bien des situations, mais il est
nécessaire de prendre en considération certains points avant d’envisager
de telles solutions : Les appareils de reconnaissance automatique ne sont
pas fiables à 100 % ; il faut être conscient qu’il peut y avoir des défauts.
Il en va de même pour les logiciels qui les exploitent. De ce fait, il faut
définir les conditions de fiabilité d’une signature numérique afin de
calculer les risques d’erreur ;
84
longueurs et largeurs des doigts, les formes des articulations... Le taux
d'erreurs peut être élevé entre personnes d’une même famille.
Cette technique peut être exploitable très tôt dans la vie d’une personne
car la structure de l’iris est définitive dès la 8ième semaine de maternité !
Elle est très fiable du fait qu’il est possible de définir plus de 240 points
caractéristiques. Certains systèmes d’identification évolués permettent de
contrôler que l'iris change bien de taille avec l'intensité de la lumière.
d. La reconnaissance faciale
85
œuvre des politiques et des contrôles. Les utilisateurs autorisés ont accès
aux ressources du réseau, mais les acteurs malveillants sont empêchés de
mener des exploits et des menaces.
86
de destination (intranet …). De même ces services peuvent également
être offerts au niveau applicatif.
87
de données, il est impossible aux réseaux traversés de détecter leur
complicité dans le transport d’informations illégales.
Authentification – Autorisation
88
calcul cryptographique (F, une fonction de type Pseudo Random Function
- PRF).
A. Architecture Sécurisée
Le schéma architectural typique présenté ci-dessous n'offre que deux
couches minces de protection, mais il est largement admis que plus de
couches équivaut à un environnement plus sécurisé. Dans le schéma ci-
dessous, un attaquant doit compromettre un seul serveur pour avoir accès
aux applications Web fournies sur le même système.
89
mémoire tampon ou les injections), car sa principale source de protection
est les pare-feu réseau. À mesure que les attaques d'applications gagnent
en popularité, les pare-feu basés sur le réseau seront insuffisants pour
empêcher efficacement les attaques de cette nouvelle menace. Alors que
certains pare-feu réseau ont des capacités de pare-feu d'application, la
plupart des experts en sécurité considèrent ces offres sous-alimentées
comme moins protectrices que les pare-feu d'application à usage unique
disponibles. En fait, les pare-feu réseau ne peuvent pas du tout protéger
les applications Web personnalisées.
90
La multiplication et la gestion sont essentielles
91
L'architecture ultra-sécurisée utilise également deux LAN internes: le
LAN interne contenant
les serveurs accessibles aux employés et les systèmes qui ne stockent pas
d'informations sensibles et un LAN sécurisé contenant des serveurs avec
des informations cryptées qui pourraient être utilisées pour le vol
d'identité ou d'autres fraudes (carte de crédit numéros, numéros de
compte chèques, images de chèques, etc.). Enfin, les ports par défaut pour
HTTP et HTTPS (tcp/80 et tcp/ 443) sont utilisés dans la DMZ publique
et les ports tcp et udp non standard sont utilisés pour toutes les autres
connexions aux services nécessaires. Cela réduit la possibilité que des
attaquants extérieurs identifient accidentellement des informations via des
attaques par injection de port standard.
92
Un système de détection d'intrusion (HIDS) basé sur l'hôte est
implémenté sur tous les serveurs des DMZ, tous les serveurs du LAN
sécurisé et tous les serveurs qui traitent les informations sensibles du
LAN interne. Ces HIDS détecteront les modifications de fichiers, les
attaques par force brutes ou d'autres attaques ciblées sur un serveur
spécifique. Tous les NIDS et HIDS envoient des informations à un
système de console de détection d'intrusion dans le LAN de gestion pour
le suivi et la surveillance.
Serveur de temps
93
Serveur (s) du journal système
94
Pare-feu/Firewall
95
Domain Name Service (DNS)
96
Serveur Kerberos
Internet est un lieu peu sûr. De nombreux protocoles utilisés sur Internet
n'offrent aucune sécurité. Les outils permettant de "renifler" les mots de
passe hors du réseau sont couramment utilisés par les pirates malveillants.
Ainsi, les applications qui envoient un mot de passe non chiffré sur le
réseau sont extrêmement vulnérables. Pire encore, d'autres applications
client / serveur comptent sur le programme client pour être "honnête"
quant à l'identité de l'utilisateur qui l'utilise. D'autres applications
comptent sur le client pour limiter ses activités à celles qu'il est autorisé à
faire, sans autre application par le serveur.
97
B. Les Réseaux VPN
B.1 Introduction
Les applications et les systèmes distribués font de plus en plus partie
intégrante du paysage d'un grand nombre d'entreprises. Ces technologies
ont pu se développer grâce aux performances toujours plus importantes
des réseaux locaux. Mais le succès de ces applications a fait aussi
apparaître un de leur écueil. En effet si les applications distribuées
deviennent le principal outil du système d'information de l’entreprise,
comment assurer leur accès sécurisé au sein de structures parfois réparties
sur de grandes distances géographiques ?
98
B.2 Principe de fonctionnement
1. Principe général
Un réseau VPN repose sur un protocole appelé "protocole de tunneling".
Ce protocole permet de faire circuler les informations de l'entreprise de
façon cryptée d'un bout à l'autre du tunnel. Ainsi, les utilisateurs ont
l'impression de se connecter directement sur le réseau de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après
avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre
les données et les achemine en empruntant Ce chemin virtuel. Afin
d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets
d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé,
alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme
Internet. Les données à transmettre peuvent être prises en charge par un
protocole différent d'Ip. Dans Ce cas, le protocole de tunneling encapsule
les données en ajoutant une en-tête. Le tunneling est l'ensemble des
processus d'encapsulation, de transmission et de désencapsulation.
A. Le VPN d'accès
SERVEUR
INTERNE
T
Client
SERVEUR
Fig.xx
99
VPN d’accès Client To LAN
100
B. L'intranet VPN
Tunnel
Switch Switch
Routeur Routeur
Site B
Intranet A
Réseau de transport
Réseau Local fournisseur (Internet) Siège de la société
Fig xxxx
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux.
Ce type de réseau est particulièrement utile au sein d'une entreprise
possédant plusieurs sites distants. Le plus important dans Ce type de
réseau est de garantir la sécurité et l'intégrité des données. Certaines
données très sensibles peuvent être amenées à transiter sur le VPN (base
de données clients, informations financières...). Des techniques de
cryptographie sont mises en oeuvre pour vérifier que les données n'ont
pas été altérées. Il s'agit d'une authentification au niveau paquet pour
assurer la validité des données, de l'identification de leur source ainsi que
leur non répudiation. La plupart des algorithmes utilisés font appel à des
signatures numériques qui sont ajoutées aux paquets. La confidentialité
des données est, elle aussi, basée sur des algorithmes de cryptographie.
101
techniques comme l'encapsulation IP dans IP pour assurer une sécurité
raisonnable.
C. L'extranet VPN
Tunnel
Switch Switch
Routeur Routeur
Site B
Intranet A
Réseau de transport
Réseau Local fournisseur (Internet) Siège de la société
Figxx
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et
ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce
cadre, il est fondamental que l'administrateur du VPN puisse tracer les
clients sur le réseau et gérer les droits de chacun sur celui-ci.
102
• Cryptage des données. Lors de leurs transports sur le réseau public
les données doivent être protégées par un cryptage efficace.
• Gestion de clés. Les clés de cryptage pour le client et le serveur
doivent pouvoir être générées et régénérées.
• Prise en charge multiprotocole. La solution VPN doit supporter les
protocoles les plus utilisés sur les réseaux publics en particulier IP.
Le VPN est un principe : il ne décrit pas l'implémentation effective de ces
caractéristiques. C'est pourquoi il existe plusieurs produits différents sur
le marché dont certains sont devenus standard, et même considérés
comme des normes.
103
travers de la liaison point à point. PPP est employé généralement entre un
client d'accès à distance et un serveur d'accès réseau (Nas).
3.1.1 Généralités
PPP est l'un des deux protocoles issus de la standardisation des
communications sur liaisons séries (Slip étant le deuxième). Il permet non
seulement l'encapsulation de datagrammes, mais également la résolution
de certains problèmes liés aux protocoles réseaux comme l'assignation et
la gestion des adresses (Ip, X25 et autres).
Une méthode pour encapsuler les datagrammes sur la liaison série. Ppp
utilise le format de trame HDLC (Hight Data Level Control) de l'ISO
(International Standartization Organisation).
104
Fanion - Séparateur de trame égale à la valeur 01111110. Un seul drapeau
est nécessaire entre 2 trames.
105
La connexion PPP passe ensuite à une phase d'authentification. Cette
étape est facultative et doit être spécifiée lors de la phase précédente. Si
l'authentification réussie ou qu'elle n'a pas été demandée, la connexion
passe en phase de "Protocole réseau". C'est lors de cette étape que les
différents protocoles réseaux sont configurés. Cette configuration
s'effectue séparément pour chaque protocole réseau. Elle est assurée par
le protocole de contrôle de réseau (NCP) approprié. A Ce moment, le
transfert des données est possible. Les NPC peuvent à tout moment ouvrir
ou fermer une connexion.
PPTP, est un protocole qui utilise une connexion PPP à travers un réseau
IP en créant un réseau privé virtuel (VPN). Microsoft a implémenté ses
propres algorithmes afin de l'intégrer dans ses versions de windows.
Ainsi, PPTP est une solution très employée dans les produits VPN
commerciaux à cause de son intégration au sein des systèmes
d'exploitation Windows. PPTP est un protocole de niveau 2 qui permet
l'encryptage des données ainsi que leur compression. L'authentification se
fait grâce au protocole Ms-Chap de Microsoft qui, après la cryptanalyse
de sa version 1, a révélé publiquement des failles importantes. Microsoft
a corrigé ces défaillances et propose aujourd'hui une version 2 de Ms-
Chap plus sûre. La partie chiffrement des données s'effectue grâce au
protocole MPPE (Microsoft Point To Point Encryption).
106
client, une connexion de contrôle entre le client et le serveur ainsi que par
la clôture du tunnel par le serveur. Lors de l'établissement de la
connexion, le client effectue d'abord une connexion avec son fournisseur
d'accès Internet. Cette première connexion établie une connexion de type
PPP et permet de faire circuler des données sur Internet. Par la suite, une
deuxième connexion dial-up est établie. Elle permet d'encapsuler les
paquets PPP dans des datagrammes IP. C'est cette deuxième connexion
qui forme le tunnel PPTP. Tout trafic client conçu pour Internet emprunte
la connexion physique normale, alors que le trafic conçu pour le réseau
privé distant, passe par la connexion virtuelle de PPTP.
107
B.3.3 Le protocole L2TP
L2TP, est issu de la convergence des protocoles PPTP et L2F. Il est
actuellement développé et évalué conjointement par Cisco Systems,
Microsoft, Ascend, 3Com ainsi que d'autres acteurs clés du marché des
réseaux. Il permet l'encapsulation des paquets PPP au niveau des couches
2 (Frame Relay et Atm) et 3 (IP). Lorsqu'il est configuré pour transporter
les données sur IP, L2TP peut être utilisé pour faire du tunneling sur
Internet. L2tp repose sur deux concepts : les concentrateurs d'accès L2tp
(Lac : L2TP Access Concentrator) et les serveurs réseau L2TP (Lns :
L2tp Network Server). L2tp n'intègre pas directement de protocole pour
le chiffrement des données. C'est pourquoi L'IETF préconise l'utilisation
conjointe D'IPSEC et L2TP.
SERVEUR
INTERNE
T
Client
SERVEUR
Fig.33
108
B.3.4 Le protocole IPSEC
2. Principe de fonctionnement
109
Fig 35 : Fonctionnement d’un Ipsec
Trafic sortant :
110
Trafic entrant :
111
B.3.5 Le protocole MPLS
3.5.1 Introduction
Le protocole MPLS est un brillant rejeton du "tout IP". Il se présente
comme une solution aux problèmes de routage des datagrammes IP
véhiculés sur Internet. Le principe de routage sur Internet repose sur des
tables de routage. Pour chaque paquet les routeurs, afin de déterminer le
prochain saut, doivent analyser l’adresse de destination du paquet
contenu dans l’entête de niveau 3.
112
B.5.2.1 - Commutation par labels
A l’entrée du réseau MPLS, les paquets IP sont classés dans des FEC
(Forwarding Equivalent Classes). Des paquets appartenant à une même
FEC suivront le même chemin et auront la même méthode de
Forwarding.
Typiquement, les FEC sont des préfixes Ip appris par l’Igp tournant sur le
backbone MPLS, mais peuvent aussi être définis par des informations de
113
QOS (Quality Of Services). La classification des paquets s’effectue à
l’entrée du backbone MPLS, par les Ingress Lsr.
B.5.3.1 - Routeurs P, PE et CE
Une terminologie particulière est employée pour désigner les routeurs (en
fonction de leur rôle) dans un environnement MPLS / VPN :
114
CE (Customer Edge) : ces routeurs appartiennent au client et n’ont
aucune connaissance des VPN ou même de la notion de label. Tout
routeur « traditionnel » peut être un routeur Ce, quel que soit son type ou
la version d’OS utilisée.
115
notion de VRF (VPN Routing and Forwarding). Une VRF est constituée
d’une table de routage, d’une FIB (Forwarding Information Base) et
d’une table CEF spécifiques, indépendantes des autres Vrf et de la table
de routage globale. Chaque VRF est désignée par un nom (par ex. RED,
GREEN, etc.) sur les routeurs PE. Les noms sont affectés localement et
n’ont aucune signification vis-à-vis des autres routeurs.
Chaque interface de PE, reliée à un site client, est rattachée à une VRF
particulière. Lors de la réception de paquets Ip sur une interface client, le
routeur PE procède à un examen de la table de routage de la Vrf à
laquelle est rattachée l’interface et donc ne consulte pas sa table de
routage globale. Cette possibilité d’utiliser plusieurs tables de routage
indépendantes permet de gérer un plan d’adressage par sites, même en
cas de recouvrement d’adresses entre VPN différents.
3.5.4 Sécurité
La séparation des flux entre clients sur des routeurs mutualisés supportant
MPLS est assurée par le fait que seul la découverte du réseau se fait au
niveau de la couche 3 et qu’ensuite le routage des paquets est effectué en
s’appuyant uniquement sur le mécanisme des labels (intermédiaire entre
la couche 2 et la couche 3).
Le niveau de sécurité est le même que celui de Frame Relay avec les
DLCI au niveau 2.
1. Introduction
116
Le VPN à base de SSL présente une alternative séduisante face aux
technologies contraignantes que sont les VPN présentés jusque ici. Les
VPN SSL présentent en effet le gros avantage de ne pas nécessiter du
coté client plus qu’un navigateur Internet classique. En effet le protocole
SSL utilisé pour la sécurisation des échanges commerciaux sur Internet
est implémenté en standard dans les navigateurs modernes. SSL est un
protocole de couche 4 (niveau transport) utilisé par une application pour
établir un canal de communication sécurisé avec une autre application.
117
III.4 Mécanismes symétriques
Nous divisons les méthodes symétriques en trois classes
- Les mots de passe. Un mot de passe est une suite de caractères qui peut
être facilement mémorisée par un être humain. Il ne s’agit pas d’un
nombre aléatoire mais au contraire d’une concaténation de mots, de
chiffres et de signes. De tels secrets peuvent être devinés à l’aide d’une
attaque par dictionnaire, c’est à dire un programme utilisant une base de
données pour la génération de ces valeurs.
Les secrets partagés Il s’agit en fait d’un nombre aléatoire, dont la taille
est l’ordre de 128 à 160 bits. Un cerveau humain éprouve beaucoup de
difficultés à mémoriser ces informations. Le stockage sécurisé du secret
est réalisé par exemple par le système d’exploitation d’un ordinateur
personnel ou par une carte à puce.
118
nécessaires, en raison des nombreux logiciels disponibles sur le WEB qui
cassent les protocoles à base de mot de passe.
III.5.1 IPSEC
IPSEC assure l’intégrité, l’authentification et la confidentialité des
charges transportées par le protocole IP. Les ressources cryptographiques
sont déduite d’une association de sécurité (SA) basée sur un secret
partagé entre les deux entités de la session sécurisée IP. La difficulté de
déploiement du protocole IPSEC est liée au mécanisme d’établissement
d’un SA, à l’aide du protocole IKE (qui réalise un premier tunnel sécurisé
à l’aide d’un protocole de Diffie-Hellman). Bien que l’usage de certificats
soit possible, c’est généralement une clé pré définie (PreShareKey) qui
permet l’authentification des deux extrémités de la communication.
119
III.5.2 TLS/SSL
Le protocole SSL/TLS délivre des services analogues à IPSEC, mais au
niveau applicatif. Cependant le mécanisme d’établissement du secret
partagé maître repose généralement sur des clés RSA et des certificats
X509. De manière classique le certificat du serveur est vérifié
relativement à une chaîne de confiance (suite de certificats délivrés à
partir d’un certificat racine). Côté client les points critiques sont
l’installation d’un nouveau certificat d’une autorité de certification, et la
vérification des certificats serveurs.
III.6 LOGICIEL
120
des vulnérabilités connues découvertes jusqu'à présent sont enracinées
dans des bogues ou des carences sous les systèmes d'exploitation.
3 couches :
- Authentification d'utilisateur
121
- Accès à distance
- Tâches d'administration
- Politiques de mot de passe
Authentification d'utilisateur
122
Numéros aléatoires - Les utilisateurs reçoivent des cartes comportant
des numéros imprimés avec les alphabets correspondants. Le système
demande des nombres correspondant à quelques alphabets choisis au
hasard.
123
plus difficile à détecter.
Worm - Worm est un processus qui peut réduire les performances d'un
système en utilisant les ressources système à des niveaux extrêmes. Un
processus Worm génère ses multiples copies où chaque copie utilise les
ressources système, empêche tous les autres processus d'obtenir les
ressources requises. Les processus de vers peuvent même arrêter un
réseau entier.
124
Vulnérabilités du système d'exploitation (OS)
125
CHAPITRE IV. RISQUE MANAGEMENT ET AUDIT DE
SYSTEME D’INFORMATION
126
centrée sur l’atteinte des objectifs fixés pour une organisation donnée, et
constitue en cela une base pour la définition d’un dispositif de
management des risques efficace.
127
Le dispositif de management des risques comprend huit éléments. Ces
éléments résultent de la façon dont l’organisation est gérée et sont
intégrés au processus de management. Ces éléments sont les suivants :
- Environnement interne – L’environnement interne englobe la
culture et l’esprit de l’organisation. Il structure la façon dont les
risques sont appréhendés et pris en compte par l’ensemble des
collaborateurs de l’entité, et plus particulièrement la conception du
management et son appétence pour le risque, l’intégrité et les
valeurs éthiques, et l’environnement dans lequel l’organisation
opère.
128
délais permettant aux collaborateurs d’exercer leurs
responsabilités. Plus globalement, la communication doit circuler
verticalement et transversalement au sein de l’organisation de
façon efficace.
- Pilotage. Le processus de management des risques est piloté dans
sa globalité et modifié en fonction des besoins. Le pilotage
s’effectue au travers des activités permanentes de management ou
par le biais d’évaluations indépendantes ou encore par une
combinaison de ces deux modalités.
Le management des risques n’est pas un processus séquentiel dans lequel
un élément affecte uniquement le suivant. C’est un processus
multidirectionnel et itératif par lequel n’importe quel élément a une
influence immédiate et directe sur les autres.
Il existe une relation directe entre les objectifs que cherche à atteindre
une organisation et les éléments du dispositif de management des risques
qui représentent ce qui est nécessaire à leur réalisation. La relation est
illustrée par une matrice en trois dimensions ayant la forme d’un cube.
– Les quatre grandes catégories d’objectifs – stratégiques, opérationnels,
reporting et conformité sont représentées par les colonnes,
– les huit éléments du management des risques par les lignes,
– et les unités de l’organisation par la troisième dimension.
129
IV.1.2 Efficacité d’un dispositif de management des risques
130
clients, les fournisseurs, les partenaires commerciaux, les auditeurs
externes, les régulateurs et les analystes financiers fournissent
fréquemment des informations utiles au dispositif de management des
risques, mais ils ne sont pas responsables de son efficacité et ne
participent pas à sa mise en œuvre.
Les assets sont définis comme étant l’ensemble des biens, actifs,
ressources ayant de la valeur pour l’organisme et nécessaires à son bon
131
fonctionnement. On distingue ici les assets du niveau business des assets
liés au SI. Du côté des assets business, on retrouve principalement des
informations (par exemple des numéros de carte bancaire) et des
processus (comme la gestion des transactions ou l’administration des
comptes). Les assets business de l’organisme sont bien souvent
entièrement (ou presque) gérés au travers du SI, ce qui entraîne une
dépendance de ces assets vis-à-vis de ce dernier. C’est ce que l’on appelle
les « assets système ». On retrouve dans les assets système les éléments
techniques, tels les matériels, les logiciels et les réseaux, mais aussi
l’environnement du système informatique, comme les utilisateurs ou les
bâtiments. C’est cet ensemble qui forme le SI. Le but du management
des risques est donc d’assurer la sécurité des assets, sécurité exprimée la
plupart du temps en termes de confidentialité, intégrité et disponibilité,
constituant les objectifs de sécurité. Ces assets à protéger sont soumis à
des risques de sécurité.
Cette équation est celle qui est la plus couramment utilisée et la plus
reconnue dans le domaine de la gestion des risques. Elle joue un rôle
fondamental dans l’identification et l’évaluation du risque.
132
de sécurité à implémenter, afin de satisfaire aux exigences. Les contrôles
sont de deux types :
Après avoir mis en évidence les concepts intervenant dans la gestion des
risques, on peut identifier un processus de haut niveau couvrant ses
activités.
133
en réalisant un audit du système et de ses différents acteurs, soit à partir
de bases de connaissances prédéfinies. Pour l’estimation des risques, il
est possible en théorie de les quantifier à l’aide de distributions de
probabilités sur les menaces et les vulnérabilités, ainsi qu’en estimant les
coûts occasionnés par les impacts.
134
• Les risques ayant une occurrence faible et un impact lourd sont à
transférer. Ils peuvent être couverts par une assurance ou un tiers
(transfert du risque).
• Enfin, les autres risques, en général majoritaires, sont traités au cas
par cas et sont au centre du processus de gestion des risques ;
l’objectif, étant de diminuer les risques en les rapprochant au
maximum de l’origine de l’axe (mitigation du risque à l’aide de
contrôles).
135
IV.1.6 Le management des risques en pratique
136
OCTAVE est une méthode d’évaluation des vulnérabilités et des menaces
sur les actifs opérationnels. Une fois ces derniers identifiés, la méthode
permet de mesurer les menaces et les vulnérabilités pesant sur eux.
Les trois phases suivantes déclinées au cœur d’OCTAVE, respectent
l’analyse progressive des trois blocs des concepts de gestion des risques
présentés en amont :
• La phase 1 (vue organisationnelle) permet d’identifier les ressources
informatiques importantes, les menaces associées et les exigences
de sécurité qui leur sont associées.
• La phase 2 (vue technique) permet d’identifier les vulnérabilités de
l’infrastructure (ces dernières, une fois couplées aux menaces,
créant le risque).
• La phase 3 de la méthode décline le développement de la stratégie de
sécurité et sa planification (protection et plan de réduction des
risques).
MEHARI demeure une des méthodes d’analyse des risques les plus
utilisées actuellement. Il se présente comme une véritable boîte à outils
de la sécurité des SI, permettant d’appréhender le risque de différentes
manières au sein d’une organisation, et composée de plusieurs modules.
137
• D’auditer les services de sécurité, de manière à prendre en compte
l’efficacité de chacun, son contrôle, et de synthétiser les
vulnérabilités.
• D’analyser les situations de risques, permettant d’évaluer les
potentialités et les impacts intrinsèques, ainsi que les facteurs
d’atténuation de risque, puis, enfin, de déduire un indicateur de
gravité de risque..
138
• Dans le cadre de la gestion d’un projet particulier, tenir compte de la
sécurité, en se basant, de nouveau, sur l’analyse des risques, et
ainsi faciliter l’élaboration de plans d’action. Les besoins de
sécurité sont alors directement intégrés aux spécifications du
projet, et à intégrer dans le plan de sécurité global de l’entité
concernée.
139
à la gestion, et également se permettre d’effectuer des ajustements au
niveau des orientations stratégiques avec grande souplesse.
140
- La seconde caractéristique – correspond aux évaluations
correspondantes aux audits thématiques, ayant pour objectif la
revue d’un thème informatique au sein d’une entité (la gestion de
projet, la sécurité logique par exemple).
141
par l'entreprise elle-même, il peut être nécessaire d'analyser leur sécurité.
Si les sources de l'application sont disponibles, il faut lire et comprendre
le code source, pour déceler les problèmes qui peuvent exister.
Notamment, les débordements de tampon (Buffer Overflow), les bugs de
format, ou pour une application web, les vulnérabilités menant à des
injections SQL.
Audit organisationnel
142
Les audits organisationnels permettent de mesurer et d’identifier les
risques des éléments critiques de l'entreprise (processus métier, outils de
production dont le système informatique, …). Ils représentent une optique
à long terme. Ils sont importants pour préserver un niveau de sécurité
dans le temps. Ils sont réalisés à l'aide de méthodes formelles telles
Méhari, CRAMM, COBIT. Les audits organisationnels prennent en
compte la sécurité en général dans l'entreprise. Cependant, c’est une
démarche lourde qui peut mobiliser une équipe de consultants spécialisés
durant plusieurs semaines, et elle est de ce fait rarement appliquée à des
entreprises de taille plus modeste. Ce type d’audit est donc destiné aux
grandes entreprises.
143
les éléments techniques en production dans l’entreprise et d’en valider le
niveau de sécurité. Il s'agit d'une prestation hautement technique, dont la
plupart des PME peuvent très bien se passer. Ce type d’audit est donc
destiné aux grandes entreprises.
Le Fuzzing:
Pour les applications boite noire, où le code n'est pas disponible, il existe
un pendant à l'analyse de code, qui est le fuzzing. Cette technique
consiste à analyser le comportement d'une application en injectant en
entrée des données plus ou moins aléatoires, avec des valeurs limites.
Contrairement à l'audit de code qui est une analyse structurelle, le fuzzing
est une analyse comportementale d'une application.
144
IV.2.6.1 Modèle de l’audit de besoin
De part sa définition, un « besoin » peut être considéré comme un
élément nécessaire à l’existence (autrement dit, c’est un état qui résulte
de la privation ou d’un manque du nécessaire). Le modèle de l’audit du
besoin est subdivisé en 2 grandes parties : l’analyse de l’existant et la
détermination de la cible.
145
- Pour faciliter le brassage des données, on modifie leur format et
leur disposition relative. C'est le « pré-processing » qui prend le
plus de temps ;
- Le test set peut être soit externe au training set, soit recalculé à
partir de lui (rééchantillonnage) ;
- On recommence le cycle.
IV.2.7 Typologie de l'audit des systèmes d’information
146
on se base sur les bonnes pratiques connues en matière d'organisation de
la fonction informatique. Elles sont nombreuses et bien connues, parmi
celles-ci on peut citer :
- La clarté des structures et des responsabilités de l'équipe
informatique ;
147
- La mise sous contrôle de la maintenance des applications
opérationnelles ;
L'audit des projets informatiques est un audit dont le but est de s'assurer
qu'il se déroule normalement et que l'enchaînement des opérations se fait
de manière logique et efficace de façon qu'on ait de fortes chances
d'arriver à la fin de la phase de développement à une application qui sera
performante et opérationnelle. Comme on le voit un audit d'un projet
informatique ne se confond pas avec un audit des études informatiques.
Pour effectuer un audit d'un projet informatique on se base sur la
connaissance des bonnes pratiques connues en ce domaine. Elles sont
nombreuses et connues par tous les chefs de projets et de manière plus
générale par tous professionnels concernés. Parmi celles-ci on peut citer :
- L'existence d'une méthodologie de conduite des projets ;
148
- La conduite des projets par étapes quel que soit le modèle de
gestion de projets : cascade, V, W ou en spirale (processus itératif)
;
149
suivante : Est-ce que les systèmes d'information de l'entreprise répondent
efficacement aux besoins des services métiers ? Ce chapitre pourra
répondre à la question d’ordre conceptuel tel que la démarche et la
planification et les processus d’élaboration de l’audit des systèmes
d’information.
IV.2.8.1 Démarche d'audit des systèmes d’information
Une mission d'audit informatique se prépare. Il convient de déterminer un
domaine d'études pour délimiter le champ d'investigation. En ce sens il
est conseillé d'effectuer un pré-diagnostic afin de préciser les questions
dont l'audit va traiter. Cela se traduit par l'établissement d'une lettre de
mission détaillant les principaux points à auditer. Pour mener à bien
l'audit informatique il est recommandé de suivre cinq phases suivantes :
Le cadrage de la mission
Les objectifs du cadrage de la mission se présentent comme suit :
- Une délimitation du périmètre d’intervention de l’équipe d’audit
informatique. Cela peut être matérialisé par une lettre de mission7,
une note interne, une réunion préalable organisée entre les équipes
d’audit financier et d’audit informatique ;
Elle a pour but de comprendre les risques et les contrôles liés aux
systèmes informatiques et Elle doit permettre de déterminer comment les
systèmes clés contribuent à la production de l’information financière. Elle
se fait sur la base de 3 aspects notamment :
150
organisationnelle de la fonction informatique est adaptée aux objectifs de
l’entreprise. En outre, il faudrait apprécier si la fonction informatique est
sous contrôle du management. A cet effet, il faudrait examiner les aspects
suivants :
L’organigramme de la fonction informatique (son adéquation par rapport
aux objectifs assignés à la fonction, la pertinence du rattachement
hiérarchique de la fonction, le respect des principes du contrôle interne) ;
La qualité des ressources humaines (compétence, expérience, gestion des
ressources, formation) ;
Les outils de gestion et de contrôle (tableaux de bord, reporting, contrôles
de pilotage) ;
Les procédures mises en place(leur formalisation, leur respect des
principes de contrôle interne, leur communication au personnel).
CHAPITRE V. CYBERCRIMINALITE
151
Le terme cybercriminalité celui-ci est utilisé généralement pour décrire
l’activité criminelle dans laquelle le système ou le réseau informatique est
une partie essentielle du crime il est également employé pour décrire des
activités criminelle traditionnelle dans laquelle les ordinateurs ou les
réseaux sont utilisés pour réaliser une activité illicite. Dans le premier
cas, les technologies sont la cible de l’attaque. Dans le second, elles en
sont le vecteur.
V.1 Définitions
Est une notion large qui regroupe l’ensemble des infractions pénales
commises via les réseaux.
152
V.1 Impact de la cybercriminalité sur la société
153
V.3 Les types de cybercriminalité
154
gagner votre confiance et se font passer pour l’agent d’un service
clientèle afin que vous lui fournissiez les informations dont il a besoin. Il
s’agit généralement d’un mot de passe, du nom de l’entreprise pour
laquelle vous travaillez ou vos coordonnées bancaires. Les cybercriminels
trouveront ce qu’ils peuvent à propos de vous sur internet puis tenteront
de vous ajouter comme ami sur les réseaux sociaux. Une fois qu’ils ont
accès à un compte, ils peuvent vendre vos informations ou sécuriser des
comptes en votre nom.
V.3.7 Le Phishing
Ce type d’attaque implique que des pirates informatiques envoient des
pièces jointes ou des URL malveillantes à des utilisateurs pour accéder à
leurs comptes ou à leur ordinateur. Les cybercriminels sont de plus en
plus déterminés et nombre de ces emails ne sont pas signalés comme
spam. Les utilisateurs sont piégés dans des emails affirmant qu’ils
doivent changer leur mot de passe ou mettre à jour leurs informations de
facturation, donnant ainsi accès aux criminels.
155
V.3.9 Les escroqueries en ligne
Elles se présentent généralement sous la forme de publicités ou de spams
contenant des promesses de gains ou des offres aux montants irréalistes.
Les escroqueries en ligne incluent des offres alléchantes « trop belles
pour être vraies » et peuvent, lorsque l’on clique dessus, faire entrer des
virus et compromettre vos informations.
1. Introduction
Le cyber sécurité (exploitation maligne de la technologie de l’Internet) a
commencé vraiment en 1988, avec le ver de R. Morris. L’effet immédiat
fut de créer le premier CERT aux Etats Unis. Depuis la cyber sécurité a
évolué. Les attaques sont devenues progressivement plus sophistiquées.
Aujourd’hui l’internet est un endroit dangereux où agissent toutes sortes
de criminels et cela coïncide avec le moment ou l’internet prend de plus
en plus d’importance en Afrique.
156
immédiatement se préparer à faire face à de sérieuses menaces.
Autrement elle risqué de ne pas pouvoir tirer profit des bénéfices de
l’internet. Les gouvernements Africains doivent prendre la cyber sécurité
au sérieux. Non seulement la cyber sécurité est une menace, elle est
complexe.
157
Congo est considéré comme un trou noir dans le domaine de NTICs et
pourtant les compétences et l’expertise sont légions. Alors nous posons la
question de savoir pourquoi ce domaine a de la peine à décoller en RDC
pendant que ses neufs voisins mettent en place des lois et structures pour
l’éclosion des NTICs.
Le fait que la RDC soit un si grand pays est une complication, puisque
tout se passe à une échelle tellement plus grande. Mais peut-on dire que
les NTICs sont considérés comme la priorité qu'elles devraient être?
La
Carte Politique du continent Africain
Le boum économique dans la sous-région et de la RDC en matière des
Nouvelles technologies de l’Information et de la communication.
158
câbles sous-marins passent au large de toutes les côtes Africaines,
permettant à ces pays de recevoir l'Internet à grande bande passante. Cela
a toutes sortes de conséquences. L’avènement du haut débit sur les côtes
Africaines nécessite une pénétration dans les régions intérieures du
continent pour la mise en place du Backbone continental et cela passe par
des régulations inter frontalières entre les Etats Africains pour une
communication transparente des données sur le continent.
159
Les gouvernements congolais ont l’obligation de mettre en place un
environnement propice à une éclosion d’une industrie congolaise dans ce
secteur et les élites dont la tâche est d’ouvrir les yeux de la communauté
sur les enjeux majeurs des TIC pour un pays comme la RDC mais aussi
de proposer des solutions pratiques aux difficultés auxquelles la
communauté peut être confrontée dans l’appropriation de ces nouvelles
technologies et de la mise en place des politiques en la matière.
160
qu'ajouter aux coûts). De plus il y a urgence, le gouvernement ne peut
guère temporiser. Finalement, il n'y a pas de bons précédents sur lesquels
la RDC peut trouver inspiration expérience. Et dans la réalité économique
et politique de la RDC aujourd'hui il n'est pas évident qu'il soit facile ou
même possible pour le gouvernement Congolais de donner à ces
investissements la priorité dont ils ont besoin.
La plus grande partie des ressources seraient investies dans les NTICs et
en particulier les infrastructures. Il est important que ces investissements
doivent en même temps satisfaire les besoins immédiats du pays et ils
doivent être conçus de telle sorte qu'ils permettent à la RDC de jouer un
rôle central dans la construction du Backbone de l'internet au niveau du
continent Africain.
161
dans les TIC aujourd'hui aient cette future en perspective.
Le choix est entre investir trop ou pas assez et le danger est d'investir de
façon erronée. Le mieux est de donner au CISRT national Congolais un
rôle dans les analyses et décisions sur ces investissements. Ceci est basé
sur l'observation que même dans un environnement où les ressources sont
imitées, il est important d'avoir la sécurité comme préoccupation dès le
début des projets. L'alternative qui est d'ajouter la sécurité à la fin sur la
base d'analyse de vulnérabilité, simplement ne marche pas. Ce qui arrive
à la place est une poursuite vaine pour corriger de nouvelles
vulnérabilités qui ne cessent d'apparaître.
Mettre sur pied d'urgence les bases d'un CISRT national est par
conséquent la mesure la moins controversable que le gouvernement de la
RDC peut prendre. Ce CISRT initial n'a pas besoin d'être une grande
organisation. Mais il est essentiel que les membres fondateurs d'un
CISRT national soient choisis pour leur expertise, technique et aussi en
politique. Il faut s'assurer qu'ils aient une bonne formation technique.
162
Américain est que les gouvernements ont une peine terrible à s'adapter à
la culture du cyber sécurité. Une des missions d'un CERT national est
d'éduquer le reste du gouvernement sur la cyber sécurité. Il y a beaucoup
d’évidence abondamment documentée que les gouvernements et
bureaucraties sont de mauvais élèves et que cette éducation est difficile. Il
est essentiel pour la sécurité de la RDC que le CERT national soit aidé
dans cet effort et non rendu responsable du fait que malgré ses efforts la
situation de cyber sécurité semble se péjorer dans le gouvernement, ce
qui se passe aux Etats unis en ce moment.
163
- Société Congolaise de Poste et Télécommunications
- Les ONGs
- Les Entreprises
Tous ses acteurs on un rôle à jouer dans la lutte contre le cyber sécurité.
164
V.4.2. Conception du RDC CISRT et son fonctionnement
1. Introduction
Les réseaux de communication et les systèmes d’information sont devenus un facteur
clé du développement économique et social. L’électronique et la réseautique sont
désormais des services aussi omniprésents que l’approvisionnement en électricité ou
en eau.
Après une recherches et consultation avec les experts du domaine, nous avons opté le
sigle « CERTRDC »
Une série de services de base initiaux ont été sélectionnés à l’issue de l’analyse. Il
convient de songer maintenant au modèle financier autrement dit, de définir des
conditions de prestation des services en question qui soient à la fois adaptées et
payables.
165
d’un budget déterminé.
Notre Pays étant un pays post conflit, la définition du modèle de financement est
d’une importance capitale.
Les deux principaux éléments qui déterminent les coûts sont la fixation des heures de
service et le nombre (et la qualité) des effectifs à y affecter. Le RDCCERT assureras
une réponse aux incidents 24 heures par jour et 7 jours par semaine.
Une autre possibilité réside dans l’organisation d’une coopération internationale avec
d’autres CERT (AfricaCERT, JPCERT, Kenyan CERT, etc.) pour assurer une
prestation ininterrompue.
Une fois les coûts déterminés, il convient de se tourner vers les modèles de recettes
possibles, comment les services planifiés peuvent-ils être financés?
Il est toujours utile d’évaluer les ressources qui existent ailleurs dans l’entreprise.
Celle-ci occupe-t-elle déjà, au sein du département informatique en place, par
exemple, des personnes suffisamment qualifiées en termes d’expérience et
d’expertise? Des accords peuvent probablement être trouvés avec la direction en vue
de détacher ce personnel auprès du CSIRT au moment de son démarrage, ou pour
qu’il lui apporte un soutien ponctuel en cas de nécessité.
166
b. Cotisations des Membres
Une autre possibilité consiste à vendre les services du CSIRT aux parties prenantes en
leur demandant une cotisation annuelle ou trimestrielle. Des services supplémentaires
pourraient être rémunérés en fonction de leur utilisation (consultance ou audits de
sécurité, par exemple).
Autre scénario envisageable: les services sont gratuits pour les parties prenantes
(internes), mais payants pour les clients extérieurs. Une autre idée encore consisterait
à publier les bulletins d’information et de sécurité sur le site Web public et de réserver
aux membres une partie du site contenant des informations plus précises ou plus
spécialisées.
Le CSIRT est conçu et agit comme une organisation indépendante, dotée de sa propre
direction et de son propre personnel.
167
Organigramme de CISRT
168
Comme nous l’avons dit ci-haut, le CISRT est une entité qui grandiras selon le besoin
raison pour laquelle il est conseiller de commencer petit et prévoir une extension à
court et a long terme.
169
Figure II.3 : Architecture du lancement RDCCERT
Le Serveur 9 et Serveur 10 (serveur de développement et le serveur test) sont
principalement pour la poursuite du développement et de test de l'application du
170
CISRT.
Il est également supposé que le serveur de sauvegarde sera composé d'un réseau de
stockage sur bande qui va suivre une procédure convenue et de permettre pour la
sauvegarde et une restauration complètes. La procédure sera également contenir les
processus de stockage de sauvegarde sur bande dans des endroits différents afin de
permettre la récupération d'urgence.
171
Listes des Matériel de la première phase d’extension
172
ARCHITECTURE DE LA PREMIERE PHASE D’EXTENSION DU
RESEAU
173
Liste de Matériel de l’architecture redondant du CISRT
174
L’ARCHITECTURE DE LA DISPONIBILITE DU RESEAU
Le site principal serait le site principal pour l'exécution des opérations CIRT tandis
que le site de sauvegarde ne sera actif une fois que l'état d'urgence est déclaré. Le DR
sera un type chaleureux des sites où elle aura le matériel et la connectivité déjà établi,
mais à une échelle plus petite que le site de production d'origine. Le site de
sauvegardes (sauvegarde sur bande) à portée de main, mais ils ne peuvent pas être
complètement mis à jour pour l'infrastructure DR et peut-être derrière plusieurs jours
ou une semaine. Les processus manuels pour transférer les sauvegardes sur bande vers
175
le site aura t être incorporés afin d'assurer que le site peut être opérationnel dans une
affaire de quelques heures. Solutions du site chaudes fournissent temps quasi-réel de
récupération des infrastructures, des données et des applications à travers une
configuration redondante.
Cette solution est adaptée pour les opérations qui peuvent tolérer quelques heures de
temps d'arrêt alors que les systèmes sont mis à jour.
176
L’ARCHITECTURE DU DISASTER RECOVERY
Les outils sont très importants et critiques pour le CERT accompli sa mission. Même
les outils les plus élémentaires de faire le travail pendant un bon moment quand une
équipe est jeune, enthousiaste et a toujours l'impulsion des opérations de départ. Mais
après un certain temps les lacunes apparaissent et avoir un impact de plus en plus
négatif sur la performance.
Travailler avec les éditeurs de texte de base et les fichiers de texte brut au cours de la
gestion des incidents est suffisante pour un certain temps, mais quand le nombre
d'incidents traités augmente les difficultés deviennent de plus en plus importantes, et
les membres du personnel commencent à écrire leurs propres scripts pour automatiser
177
des tâches récurrentes. L'autre extrême serait une équipe qui commence à fonctionner
avec les outils les plus sophistiqués qui ils peuvent difficilement utiliser, parce qu'ils
n'ont pas été appris à utiliser toute la complexité. Dans tous les cas, après un certain
temps de fonctionnement de l'outillage existant doit être évaluée et les changements
nécessaires devraient être prises.
Des outils personnalisés peuvent être construits soit par l'équipe elle-même ou un
programmateur externe, mais il est plus économique d'abord évalué le choix des outils
existants. Il est également important dans l'amélioration des outils de ne pas
décourager les membres de l'équipe de développement des nouveaux outils.
Les chois des outils systèmes et matériels dépend des éléments suivants :
- One Team, One Goal.Pourquoi l’utilisation des outils sont important dans
l’opérationnel du CERT? L’utilisation des outils contribue efficacement au
fonctionnement et à la réalisation de la mission du CERT pour entre autre :
178
autre système d'exploitation, nous savons que notre ennemi utilise le même
outil, et nous devons être plus naïfs de configurer nos propres fonctionnalités,
fonction ou personnaliser nos logiciels open source. Dans notre laboratoire,
nous avons utilisé deux systèmes d’exploitation cotés infrastructure : - Les
Systèmes Windows (pour les systèmes Windows nous avons utilisé Nessus,
Wireshark, EtherSnoop Light, Etheape, Paros, Solarwinds, WhatUps, PGP et
d’autre logiciel.
Dans notre recherche, nous ne pouvons pas illustrer en détail tout de commande Unix,
nous sélectionnons seulement quelques uns. (Certains outils sont également
disponibles pour Windows)
Commande de base linux outils ps, df, dd, dmesg, grep, ls, cd, cp, rm, mv, ifconfig
whois, dig(nslookup), traceroute, ping, strings, netstat, top (endless...) , gnupg , ssh,
snort, airsnort, hping2, nmap, w3m, kismet, netcat(nc), tcpdump, wget, tcpreplay,
aircrack.
a. Nmap
Nmap: (Network Mapper) est un scanner de sécurité à l'origine écrit par Gordon Lyon
(également connu sous son pseudonyme Fiodor Vaskovich) [1] utilisés pour découvrir
les hôtes et services sur un réseau informatique, créant ainsi une «carte» du réseau.
b. Dmseg
179
Présentation du Nmap
Le résultat suivant est une partie affichée, lorsque l'utilisateur tape "dmesg". ).
c. Kismet
180
Kismet est un outil qui fonctionne sur la couche 2 du model OSI est utiliser dans la
technologie 802.11 du réseau sans fil, il efficace pour sniffer le trafic, et système de
détection d'intrusion. Kismet fonctionne avec n'importe quelle carte sans fil.
d. Netstat
Netstat (statistiques du réseau) est un outil de ligne de commande qui affiche les
connexions réseau (entrant et sortant), des tables de routage, et un certain nombre de
statistiques relatives aux interfaces réseau. Il est disponible sur Unix, Unix-like, et les
systèmes d'exploitation basés sur Windows NT. Il est utilisé pour trouver des
problèmes dans le réseau et de déterminer la quantité de trafic sur le réseau en tant
que mesure du rendement.
181
Netstat
e. Nagios
Nagios est un outil de monitoring du Réseau très populaire c’est un Open Sources il
permet la surveillance du réseau et l'application des logiciels d'infrastructure de
surveillance.
Nagios offre une surveillance complète et d'alerte pour les serveurs, les
commutateurs, les applications et les services et est considéré comme le standard de
l'industrie de facto en matière de surveillance des infrastructures IT.
f. Wireshark
Wireshark est avant tout l’outil analyseur de protocole et de trafic du réseau est le
standard de facto dans de nombreuses industries et les établissements d’enseignement.
182
g. Nessus
Le Nessus est un scanner de vulnérabilité, est le leader mondial dans les scanners
actifs, avec la découverte à grande vitesse, la vérification de configuration, le
profilage des actifs, sensibles découverte des données et analyse de la vulnérabilité de
votre posture de sécurité. Scanners Nessus peut être distribué tout au long de toute
l'entreprise, à l'intérieur DMZ, et à travers les réseaux physiquement séparés.
h. Agus
183
Argus est la nouvelle génération d'enregistrement du réseau d'audit et de système
d'utilisation. Le projet Argus est axé sur l'élaboration de stratégies d'activité de réseau
d'audit et de la technologie prototype pour appuyer les opérations réseau, les
performances et la gestion de la sécurité. Si vous regardez les paquets pour résoudre
les problèmes, ou si vous avez besoin de savoir ce qui se passe dans votre réseau [43].
184
Argus présentation
i. Metasploit Framework
Metasploit Framework est une plate-forme de développement pour créer des outils de
sécurité et le cadre exploitation .il est utilisé par les professionnels de la sécurité des
réseaux pour effectuer la pénétration des administrateurs de tests du système, afin de
vérifier les installations de raccordement, les fournisseurs de produits pour effectuer
des tests de régression et de la sécurité des chercheurs du monde.
185
157
186
j. Pretty Good Privacy
- Pour crypter les données de sorte qu'il peut être lu par une personne, vous
avez besoin de clé publique de cette personne ;
- Pour déchiffrer les données envoyées à quelqu'un que vous, vous avez
besoin de votre clé privée.
- Pour vous inscrire certaines données, vous utilisez votre clé secrète ;
- Pour vérifier une signature sur certaines données, vous utilisez la clé
publique de la personne qui l'a utilisé .
187
Figure II.17 : Utilisation du PGP pour l’envoie de mail
k. Solarwinds
Solarwinds est l'un de l'outil de surveillance du réseau pour Windows avec des
fonctionnalités supplémentaire autre (Netflow, ..), est un outil commercial [43].
188
l. MTR
MTR: Le test MTR est basée sur la MTR linux programme, qui combine les
fonctionnalités de la «traceroute» et "ping" des programmes dans un outil de
diagnostic réseau unique. Le test étudie la connexion réseau entre le site de
surveillance choisie et l'hôte spécifié. Après avoir déterminé l'adresse de chaque
équipement réseau entre les serveurs, il envoie une séquence de requêtes ICMP
ECHO à chaque saut de réseau afin de déterminer la qualité de la liaison à chaque
saut.
Figure xx : MTR
189
5 PROCEDURES OPERATIONELLES ET TECHNIQUES
5.1 Introduction
Comme précisé cis-haut, notre CSIRT fictif veut offrir les services proposés par tout
CSIRT de base, à savoir:
- Les annonces
II.5.2 Évaluation des installations des parties prenantes La première étape consiste à
dresser le bilan des systèmes informatiques installés chez les parties prenantes. Le
190
CSIRT peut ainsi mesurer la pertinence des informations qui en proviennent, et les filtrer
avant de les redistribuer, de manière à ce que les parties prenantes ne soient pas
envahies d’informations sans intérêt pour elles. Il est recommandé de commencer
simplement, en utilisant par exemple une feuille Excel se présentant comme suit:
- La collecte d’informations;
- La diffusion de l’information.
191
les étapes du lancement d’alertes
192
- Listes de distribution publiques et non publiques
- Sites Web
Les bulletins de sécurité diffusés par un CSIRT doivent toujours présenter la même
structure, afin de faciliter sa lecture et la localisation rapide des informations utiles.
193
194
BIBLIOGRAPHIE
195
algorithmes‘’; International Thomson publishing France, Edition Paris,
1997.
196
Christian BOPE, ‘’ CISRT Tools ‘’ Serekunda, the Gambia 2012
197