Securite

Sécurité et Internet
Emmanuel Lochin
Laboratoire d’Informatique de Paris 6

Emmanuel.Lochin@lip6.fr
C3E
Janvier 2005 - version du 18/01/05

Plan
Vocabulaire
Authentification, identification, non-répudiation, cryptographie, DES, RSA,

PGP, ...
Comment sécuriser un réseau
Firewall, masquerader, Secure Shell, Web SSL, connexion cryptée, rappel

automatique.
Méthodologies de protection et sécurisation des échanges de données
Authentification, mécanismes des clés, PGP, cryptage, tunnel crypté, certi-

ficats, SSL, signatures de messages, VPN ...
Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 1

PIRATES SUR L’INTERNET

La fiction qui suit présente des techniques et des logiciels réels. Certains des événements
relatés ici sont issus de mes propres expériences. e remercie le fournisseur d’accès Rt66
Internet qui a testé la plupart des logiciels décrits dans cet article.
La nuit est tombée depuis longtemps quand, face à son ordinateur, Jean Nau se
connecte sur le réseau Internet à un ”système de causette” où chaque utilisateur introduit
des remarques et lit celles des autres en temps réel. Dans la zone de dialogue consacrée au
puissant système d’exploitation Unix, il observe les habitués : leurs contacts, leurs alliances,
leurs échanges de connaissances. Ces échanges ressemblent à ceux qui avaient sans doute
lieu dans les tavernes de l’ı̂le de la Tortue après un abordage réussi.
Imbu de ses compétences informatiques, Nau attend l’occasion - par exemple, une question
naı̈ve - de provoquer une bagarre verbale. Il saisit sa chance lorsqu’un certain Robert
Surcouf demande si quelqu’un sait comment écrire un programme de commande d’une
station météorologique personnelle. Nau répond ”rtfm” (initiales de l’expression anglaise
read the fucking manual, ce qui signifie : lis le p... de manuel).
La question n’était pourtant pas naı̈ve, et tout le monde injurie Nau. Surcouf, lui,
se déconnecte soudain. Humilié, Nau veut sa revanche. Il obtient rapidement l’adresse
électronique surcouf@boucanier.fr, puis apprend que Surcouf est l’administrateur du réseau

informatique boucanier.fr.
Grâce au logiciel Strobe, Nau essaie de se connecter à chacun des milliers de ports
virtuels, c’est-à-dire des canaux de connexion, de boucanier.fr. Sur certains ports, un
programme nommé Démon répond automatiquement. Découvrira-t-il une faille dans l’un
d’eux ?
Tentative après tentative, le logiciel Strobe rencontre un mur, le ”pare-feu” de Sur-

couf ; ce logiciel puissant lit l’en-tête de chaque message, par exemple une tentative du
logiciel Strobe, et identifie sa destination. Le pare-feu rejette ou accepte les messages
en fonction de règles d’accès définies. Face à Strobe, il réagit en envoyant des données
dépourvues de sens, jusqu’à saturer l’ordinateur personnel de Nau. Parallèlement, un cour-
rier électronique est envoyé au fournisseur d’accès Internet de Nau : quelques minutes plus
tard, Nau, soupçonné d’infraction informatique, est privé d’accès au réseau.
Malgré la rapidité des représailles, Nau n’est pas neutralisé : ce n’est que l’un de ses
nombreux comptes piratés qui est clôturé. La fermeture de ce compte l’élimine de la
causette, où il apparaı̂t comme un cuistre ou un lâche. Il est temps d’utiliser une autre
arme : un scanner de ports furtif.
Ce programme est plus subtil que Strobe, car il manipule les informations échangées
lors des communications entre les ordinateurs. Lorsqu’un ordinateur souhaite transmettre

un message, il envoie tout d’abord un signal nommé SYN, destiné à la synchronisation des
deux ordinateurs. Le programme qui le reçoit répond par un double signal (un d’accord,
ACK, et un de synchronisation, SYN), et par une valeur de temporisation qui sera utilisée
pour régler la transmission des données (voir Une escroquerie Internet) et, en outre, ralentir
le temps de réaction de l’ordinateur émetteur. Ce dernier envoie enfin un signal d’accord,
ACK ; puis les salutations achevées, il transmet son message, qui se termine par un signal
FIN. Le destinataire retourne alors un signal d’accord, pour indiquer qu’il a bien reçu le
message.
Un scanner de ports furtif ne respecte pas ce protocole (voir Les transmissions de

messages) : il envoie un signal FIN prématuré à plusieurs canaux de connexion de l’or-
dinateur récepteur. De ce fait, le programme récepteur n’envoie aucune réponse, mais il
transmet sur chaque canal un signal RST pour demander de recommencer la procédure. Ce
signal RST, contrairement aux signaux ACK et SYN est caractéristique de l’ordinateur qui
l’envoie : il fournit des informations importantes au pirate, telles le type d’ordinateur et les
démons en service. Cependant, sans les triples salutations, il n’identifie aucune connexion
et n’enregistre pas la transmission dans ses comptes rendus d’opérations. Le scanner de
port furtif sonde un ordinateur en toute discrétion.
Sur un site du réseau Internet, Nau trouve un scanner de port furtif performant écrit
en langage C. Nau doit le compiler, c’est-à-dire le traduire dans le langage de son
ordinateur. Cependant, chaque version d’Unix est unique, et Nau n’a jamais étudié la

programmation. Il n’en a jamais eu besoin, car tous les logiciels qu’un pirate désire sont en
libre-service gratuit sur le réseau Internet. Reste à savoir les traduire.
Le jeune Surcouf a suivi un parcours différent. Un ami technicien lui a appris com-
ment gérer un système informatique. Puis il s’est perfectionné en affrontant son ami
dans des jeux d’attaque et de défense de systèmes informatiques. Ils ont ensuite aidé le
fournisseur d’accès Internet à renforcer sa propre sécurité. Surcouf a alors été embauché à
temps partiel, en parallèle avec des études d’informatique.
Nau le pirate a donc commis sa première erreur : attaquer Surcouf, corsaire confirmé.

Le repérage des lieux ...

Au petit matin, Nau a traduit le programme. En quelques minutes, le scanner de
ports furtifs lui fournit la liste des services proposés par boucanier.fr à des personnes
dûment répertoriées. Un programme assurant la sécurité de l’interpréteur des commandes
- pour qu’elles soient exécutables - grâce à des connexions codées et un serveur de site
Internet retiennent son attention. Le coeur de Nau s’accélère. Un canal de connexion s’est
entrouvert au moment de son examen. Un autre intrus l’a-t-il précédé ? A-t-il maintenu
une porte dérobée pour pénétrer dans le système ?
La sonnerie d’un messager de poche réveille Surcouf. Un programme de détection nommé

Etherpeek, installé sur le réseau d’ordinateurs boucanier.fr, a décelé l’examen des canaux
de connexion par Nau. Surcouf se précipite au bureau et, assis devant sa station de travail
(un ordinateur performant), il fait le guet. Installés uniquement sur son propre ordinateur,
ses meilleurs programmes de défense ne fonctionnent que lorsqu’il est aux commandes,
afin d’éviter tout assaut de l’extérieur. Cependant, Surcouf n’observe aucune manoeuvre :
malgré la tentation, Nau, guidé par son intuition de pirate, a abandonné l’assaut.
Tout de même intrigué, Surcouf analyse les comptes rendus d’opérations de son ordi-
nateur et retrouve l’adresse du message pirate. Par courrier électronique, il informe le
fournisseur d’accès de Nau de la tentative d’effraction et lui demande des informations
sur le compte du pirate. La clause de confidentialité des clients empêche la requête d’aboutir.

Toutefois, trois soirs plus tard, Nau découvre que son mot de passe n’est plus va-
lable : son fournisseur d’accès lui apprend que son compte a été supprimé parce qu’il a
utilisé un scanner de ports furtif.
Plus déterminé que jamais, Nau revient quelques minutes plus tard sur le réseau In-
ternet grâce à un téléphone et à une carte bancaire. Il doit être prudent. De ce nouveau
compte, il se connecte sur un de ses comptes piratés chez un autre fournisseur d’accès,
et il apprend que le site informatique boucanier.fr appartient à la Société Boucaniers, qui
produit de la viande fumée.
Nau tente alors de se connecter au réseau boucanier.fr par le canal inhabituel repéré
trois nuits plus tôt. La réponse est cinglante : ”Espèce de marin d’eau douce ! Pensais-tu
vraiment trouver un passage secret ?” Puis le programme associé au canal transmet des
données incohérentes et envoie un courrier électronique au système administrateur du
fournisseur d’accès dénonçant la tentative de piratage. Quelques minutes plus tard, la
connexion de Nau est supprimée.
Mieux vaut contourner le pare-feu sur la pointe des pieds plutôt que de le passer en
force. D’un autre compte, également piraté, Nau tente, par une simple commande saisie
sur le clavier, de dresser la liste des ordinateurs du réseau boucanier.fr.

La commande ne fournit aucun résultat utilisable : Surcouf a probablement configuré

le réseau de sorte que les données adressées à n’importe quel ordinateur transitent d’abord
par un programme central, qui les redistribue ensuite. Cette méthode empêche les intrus
d’accéder à l’intérieur du pare-feu.
Après avoir converti l’adresse informatique boucanier.fr en un nombre, Nau utilise un

scanner d’adresses informatiques, puis il teste les 50 adresses numériques immédiatement
inférieures et supérieures. Peut-être appartiennent-elles à des ordinateurs du réseau bou-
canier.fr, car les adresses numériques des ordinateurs d’un réseau sont souvent proches ?
Hélas, non.
Avec une autre commande, il découvre alors un second réseau appartenant à la Société
Boucaniers : boucanum.fr, dont l’adresse numérique est éloignée de celle de boucanier.fr.
Le scanner d’adresses découvre alors cinq ordinateurs dont l’adresse est numériquement
proche de celle du réseau boucanum.fr.
Par précaution, Nau se connecte de son compte piraté à un autre compte piraté et,
de là, vers un autre compte, d’où il exécute d’autres scanners de ports furtifs. Ces étapes
supplémentaires engorgeront toute procédure judiciaire, puisque celle-ci nécessiterait trois
mandats de perquisition. Échaudé, il utilise également un programme nommé Root kit,
grâce auquel il effacera toute trace de son activité dans les comptes rendus utilisés pour
détecter les activités douteuses et les modifications des fichiers de configuration de cet

ordinateur.
De son galion, Nau examine les ordinateurs de boucanier.fr et de boucanum.fr connectés

au réseau Internet. Le scanner de ports furtif se glisse au travers du pare-feu vers chacun
d’eux. Cependant la manoeuvre a été détectée par le programme Etherpeek, qui prévient
à nouveau Surcouf.
Celui-ci déboule dans son bureau ; il identifie rapidement l’origine du scanner et alerte
l’administratrice du système du troisième compte de Nau. Cependant, le programme Root
kit dissimule Nau, qui continue avec impudence, grâce au scanner furtif et au logiciel
Strobe, de chercher une adresse informatique non protégée par le pare-feu. Celui-ci ne fait
que lui transmettre un flot de données incohérentes.
Cet afflux soudain convainc l’administratrice du compte de Nau qu’un agresseur est à
l’oeuvre. Elle déconnecte alors tout le système du réseau : la connexion de Nau s’arrête
dans un sifflement.

À la recherche d’horaires décalés

Nau suppose alors que de nombreuses stations de travail non connectées au réseau
boucanier.fr sont utilisées par des employés de la Société Boucaniers pour travailler chez
eux. Ces ordinateurs, reliés directement, ne sont pas protégés par le pare-feu. La probabilité
est grande : avec un modem, n’importe qui peut relier un ordinateur personnel à une ligne
téléphonique.
Grâce à un logiciel de numérotation téléphonique automatique nommé Shokdial, Nau

appelle chacune des lignes téléphoniques de la Société Boucaniers. Au siège de la société,
les gardiens de nuit entendront sonner successivement les postes sans comprendre de quoi
il retourne.
A 2 heures 57, un modem répond au programme Shokdial : Nau est alors face à une
station de travail de la marque Silicon Graphics : ”Boucaniers SA. Département merca-
tique. Irix 6.3” (Irix est une forme d’Unix). Nau a enfin trouvé une porte d’accès au fief de
Surcouf.
Assez d’élégance ; Nau décide d’utiliser la force. Il exécute un programme qui se connecte
autant de fois que nécessaire pour découvrir le mot de passe d’un compte administrateur,
c’est-à-dire un accès sans restrictions dans ses possibilités d’action, duquel il pourra agir
en toute liberté. Le possesseur de cet ordinateur Irix aura peut-être autorisé la connexion

à distance sur le compte administrateur.
La recherche de mot de passe commence avec les mots et les noms courants, puis le
programme teste des groupes de signes moins naturels ; l’exploration peut durer des mois,
voire des années. Cependant Nau est chanceux. Vers 5 heures, le prénom ”Nancy” est
identifié : le compte administrateur est accessible !
Nau est ravi. Il crée une fenêtre de dialogue entre lui et le système d’exploitation de
l’ordinateur, d’où il dispose des mêmes pouvoirs que l’administrateur. Puis il renforce
sa position en transférant un programme Root kit pour la discrétion et un programme
Sniffer sur l’ordinateur de sa nouvelle victime : toute saisie et toute connexion seront
enregistrées par le programme Sniffer dans un fichier dissimulé. Le programme Root kit
permet également de créer un chemin d’accès supplémentaire que Nau baptise ”revanche” ;
mot de passe ”MoRtSurCf”.
Nau termine sa nuit en déterminant que le compte administrateur auquel il a accédé

est connecté sur l’ordinateur picasso du réseau boucanum.fr. Grâce au programme Root
kit, l’utilisateur normal de l’ordinateur picasso ne remarquera pas que son ordinateur est
maintenant commandé par quelqu’un d’autre. Surcouf ne détecte qu’une tentative d’in-
trusion dans boucanum.fr à partir du réseau Internet. Ce nouvel incident l’inquiète, mais,
faute d’informations suffisantes, il ne peut rien faire.

Deux nuits plus tard, Nau se connecte sur l’ordinateur picasso et examine les comptes
rendus du programme Sniffer. Toutes les informations concernant le trafic interne du
réseau sont codées, mais le programme Sniffer a enregistré la connexion de quelqu’un, de
l’ordinateur picasso sur un autre ordinateur du nom de fantasia. Nau passe maintenant à
l’abordage d’une nouvelle zone du réseau.
Cet ordinateur fantasia est une station de travail de type SPARC, utilisée pour la création
d’animations en images de synthèse, peut-être des génériques pour la télévision. C’est
certainement un serveur auquel accèdent de nombreux autres ordinateurs. Nau cherche un
fichier de mots de passe. Peut-être en trouvera-t-il certains valables sur d’autres ordinateurs
à l’intérieur du réseau de la société.
Il localise ce fichier, mais n’y trouve que des ”x” : l’information est probablement dissimulée
ailleurs. Peu importe : utilisant le protocole de transfert de fichiers, Nau provoque une
erreur qui oblige fantasia à transférer une partie de sa mémoire vive dans le compte que
Nau s’est créé. Cette procédure est un ”délestage de fichier core” (voir Le délestage d’un
fichier ”core”), qui permet normalement aux programmeurs de découvrir des indices lors
d’une panne de programme. Des mots de passe codés sont parfois stockés dans la mémoire
vive. Lors d’une connexion, l’ordinateur code le mot de passe saisi par l’utilisateur et le
compare aux mots de passe déjà codés du fichier caché. Lorsque les deux coı̈ncident, la
connexion est autorisée. Grâce au délestage, Nau récupère le fichier de mots de passe
codés. Il lance son programme de recherche de mots de passe : il va falloir patienter...

Impatient, Nau élabore déjà sa prochaine manoeuvre. Avec un système d’exploitation

Unix, lorsqu’un programme fournit trop de données à un espace de mémoire temporaire,
nommé tampon, les informations en excès dépassent la capacité du tampon et s’écoulent
dans d’autres zones de la mémoire de l’ordinateur. Nau utilise ces dépassements de capacité
(voir Le dépassement de capacité d’un TAMPON) pour introduire dans la station de travail
SPARC un programme grâce auquel il peut exécuter d’autres commandes et d’autres
programmes. Ravi de son dernier forfait, Nau installe un autre programme Sniffer et un
autre Root kit. Ce dernier ne masquera son oeuvre qu’une fois activé ; le forban efface donc
les traces de ses premières activités.
Une dernière chose à faire encore. Quelqu’un est-il autorisé à se connecter sur fanta-
sia à partir du réseau Internet ? D’une simple commande qui affiche l’enregistrement de
toutes les connexions sur fantasia, Nau constate que des utilisateurs prénommés nancy et
vangogh sont récemment entrés sur fantasia par le réseau à partir du site pemmican.fr, qui
se situe en dehors du pare-feu de la Société Boucaniers. Au matin, Nau s’effondre, terrassé
par le sommeil, mais satisfait : bientôt, il vaincra la Société Boucaniers.

La mise à mort
Le lendemain soir, Nau se présente sous une fausse adresse informatique chez pem-
mican.fr. Puis, en testant des signaux de synchronisation sur pemmican.fr, il détermine
la valeur de temporisation qu’utilise pemmican.fr et falsifie sa propre origine. Il installe
alors un programme Sniffer sur pemmican.fr et un interpréteur sécurisé pour se connecter
en toute sécurité sur fantasia. Une commande lui fournit la liste des connexions actives
à l’intérieur du réseau de la Société Boucaniers, où il découvre un nouvel ordinateur :
”admin.boucanier.fr”. L’ordinateur de Surcouf ?
Parallèlement, Nau essaie chaque nouveau mot de passe et le nom d’utilisateur as-
socié, découverts par son programme de recherche sur les ordinateurs du site boucanier.fr.
Hélas, aucun ne fonctionne ailleurs que sur fantasia, qu’il a déjà conquis.
Cependant, cette déconvenue est largement compensée par fantasia, qui lui fournit l’en-
registrement de ce qu’a tapé l’utilisateur vangogh lorsqu’il a mis à jour la page Internet
de la société. Nau y trouve le mot de passe nécessaire au piratage de la page Internet
de la Société Boucaniers. Par ailleurs, son programme Sniffer installé sur l’ordinateur
picasso lui indique qu’une certaine Nancy a utilisé cet ordinateur pour se connecter par
une porte dérobée sur le compte administrateur d’admin.boucanier.fr, dissimulée derrière
un programme Root kit.

Il se glisse juste derrière elle et essaie de se connecter sur tous les ordinateurs de
boucanier.fr. Hélas, Surcouf a été prudent : sur le réseau boucanier.fr, même les pouvoirs
d’administrateur n’autorisent pas l’accès à d’autres ordinateurs sans nouveaux mots de
passe. Nau est bloqué. Il retourne à l’assaut du site Internet. De son propre ordinateur, il
installe une nouvelle version du site spécialement préparée.
Aujourd’hui, Surcouf travaille tard, il étudie les comptes rendus où apparaı̂t un nombre
inhabituel de connexions par le système commercial. Que s’est-il passé ? L’aide de l’admi-
nistratrice du système de pemmican.fr, une collègue qui lui est redevable, l’aidera sûrement.
La sonnerie du téléphone retient Surcouf au moment de partir. Un client se plaint de

la séquence pornographique affichée sur le site Internet de la Société Boucaniers. Après
vérification, Surcouf débranche rapidement le câble Ethernet, le cordon ombilical qui relie
la société au réseau Internet.
Nau enrage de voir son chef-d’oeuvre d’obscénité détruit aussi vite. Il s’inquiète également
d’avoir laissé autant de traces derrière lui : il se connecte par modem sur l’ordinateur
picasso - un accès qu’ignore Surcouf - et reformate complètement le disque dur de l’or-
dinateur d’administration du système. Le système de la société est hors service. Surcouf
ne rassemblera aucun indice. Surcouf redémarre rapidement l’ordinateur d’administration,
mais c’est trop tard : il devra complètement réinstaller les logiciels. Cependant, Nau ignore
qu’un programme de détection Etherpeek, installé sur un des ordinateurs du réseau, a

enregistré ses activités...
Nau est irrité : il noie boucanier.fr sous un flot de données. Peu après, Surcouf reçoit la
plainte d’une représentante de la société qui n’arrive pas à se connecter sur le serveur de
courrier électronique.
Le lendemain, Surcouf, exténué, demande au directeur technique de la Société Bouca-

niers l’autorisation de nettoyer complètement tous les ordinateurs du réseau et de changer
les mots de passe. Cependant, une telle mesure, bien que prudente, nécessiterait l’arrêt du
système pour plusieurs jours. Le directeur refuse.
Nau a franchi depuis longtemps la frontière légale du piratage. Néanmoins, la Direc-

tion de la surveillance du territoire, occupée par plusieurs affaires de piratage de réseaux
d’ordinateurs des facultés et des grandes écoles ne peut aider Surcouf. Il doit rassembler
seul les preuves.
Puisque le forban est resté connecté alors que le système n’était plus relié physique-
ment au réseau de l’Internet, Surcouf soupçonne l’existence d’un modem piraté dans les
bureaux. Son propre numéroteur téléphonique automatique découvre bientôt la brèche
utilisée par Nau.
Il réinstalle alors sur son ordinateur d’administration un système propre, puis met en

place un logiciel antipirates, nommé T-Sight, qui contrôle tous les ordinateurs du réseau de
la société. Surcouf prépare également un piège : le logiciel T-Sight guettera la prochaine
connexion sur admin.boucanier.fr et dirigera l’intrus sur un ordinateur ”prison” où le cou-
pable sera maı̂trisé et identifié. Surcouf, avec une équipe de programmeurs, camoufle sa
prison en un système multi-utilisateurs et y place des données financières factices en guise
d’appât.

Le comble de l’orgueil
Deux jours plus tard, à 20 heures 17, quelqu’un s’introduit dans l’ordinateur ad-
min.boucanier.fr. C’est Nau ! Pourquoi est-il revenu si tôt ? Nau a beaucoup apprécié - il
en a même ri aux larmes - que les pirates de l’informatique et les chaı̂nes de télévision
parlent de ses talents. Il se sent invincible. Erreur...
Trop pressé, il se connecte sans les précautions habituelles sur pemmican.fr, puis sur
l’ordinateur fantasia. Appâté par le leurre, il se dirige rapidement vers la prison. Au comble
de l’excitation, il examine ce qu’il croit être des données financières importantes.
De son côté, Surcouf analyse rapidement les informations fournies par le programme
T-Sight et obtient le mot de passe que Nau utilise pour pirater fantasia. Il suit ainsi
l’intrus jusqu’à pemmican.fr. L’administratrice de ce réseau, prévenue au restaurant par
son téléphone portable, contacte Surcouf.
Pendant que Nau recopie un énorme fichier contenant des numéros de cartes bancaires
factices, Surcouf installe un programme Sniffer sur pemmican.fr. et consulte le compte de
Nau dans cet ordinateur, car il a négligemment utilisé le même mot de passe pour tous ses
comptes. Quelques minutes avant que Nau ait fini de recopier le fichier et se déconnecte,
Surcouf retrouve le fichier de cartes bancaires volé sur le compte souscrit par Nau.

Les informations obtenues suffisent à la Direction de la surveillance du territoire, qui

contacte le fournisseur et obtient l’identité de Nau. Munie de ces preuves, dont les comptes
rendus détaillés fournis par le programme Etherpeek, le bureau du juge d’instruction délivre
un mandat d’arrêt.
L’appartement de Nau est perquisitionné, et son ordinateur confisqué. Le disque dur

de l’ordinateur révélera tout, même ce qui a été effacé. Un laboratoire identifie ses viola-
tions passées, notamment celle d’une grande institution bancaire parisienne.
Nau est mis en examen pour piratage informatique. Au procès, face à une juge in-
transigeante, Nau tente de négocier un compromis, malgré les dizaines de milliers de francs
de dégâts occasionnés. Peine perdue, Jean Nau, dit l’Olonnais, purge aujourd’hui une peine
de deux ans d’emprisonnement.
Carolyn Meinel est écrivain scientifique spécialiste du piratage informatique.

Un peu d’histoire ...

• 1969 : Naissance d’Unix (version originale par Thomson et Ritchie)
• 1971 : Version 1
• 1972 : Version 2 - Invention de l’email par Ray Tomlinson
• 02/11/1988 : Robert Morris introduit le premier ”ver” informatique
auto-reproductible sur l’Internet et qui se répand sur de nombreuses
machines de type SUN et VAX
• 12/1989 : RFC1135 http://www.cis.ohio-state.edu/htbin/
rfc1135.txt explique les mécanismes de l’attaque du ver ”Morris”
• Depuis 1995 : le trafic Internet double tous les 3 mois
• Un tiers des sociétés françaises ont un site Web. Plus de la moitié
pour les sociétés US.

Quelques chiffres ...

• Nombre d’internautes en France
✓ 2000 : 8.46 millions
✓ 2001 : 11.9 millions
• Nombre d’internautes en Europe
✓ 2000 : 95 millions
✓ 2002 : 148 millions
✓ 2005 : 246 millions

Quelques chiffres
• 64% des sociétés interrogées ont déclaré avoir des failles de sécurité
(CSI 1998)
• 95% des attaques ne sont pas détectées et ne sont pas signalées. (FBI
1997)
• 1 intrusion sur 3 réussie alors que le site est équipé d’un firewall. (CSI)
• 80% des brèches de sécurité sont interne. (Scotland Yard - CCU)
• 74% des sociétés interrogées ne testent pas la sécurité de leur site
Web. (KPMG 1998)
• Principale raison des incidents informatique :

✓ virus : 76%
✓ acte de malveillance interne : 42%
✓ acte de malveillance externe : 25%
✓ erreurs par inadvertance : 70%
✓ espionnage industriel : ?

Vente en ligne
• Selon la Sofres, le nombre d’internautes dans le monde ayant acheté
en ligne s’est accru de 50% en un an pour atteindre 15% du total.
• Cette population est évaluée à 350 millions par Telcordia.
• La sécurité des paiements demeure le principal frein au développement
du cybercommerce pour 25% des 42 000 internautes interrogées de
mars à mai 2001.
• Les Américains sont les plus confiants (33% d’internautes acheteurs)
• Les franconautes - bien que plus nombreux qu’auparavant (+5 points
en un an) - ne sont que 12% à consommer en ligne.
Source : Le Monde Informatique

Évolution du marché mondial de la sécurité

Entre 1998 et 2002
• En baisse :
✓ Antivirus : de 54.6% à 46.9%
✓ Firewall : de 33.1% à 27.1%
✓ Proxy : 3.3% à 2.7%
• En hausse :
✓ Authentification : de 3.5% à 6.8%
✓ VPN : de 2.9% à 12.4%
✓ Outils de détection : de 2.6% à 4.2%

Exemples d’utilisation d’Internet

• Un puissant média de communication
✓ Web TV
✓ Sites de sociétés, d’associations, ...
✓ Site de presse
✓ Mail, SMS, ...
✓ Bases de données
✓ Site Web perso
• Les nouveaux outils
✓ Intranet
✓ WAP, téléphonie
✓ PDA connecté (ex Palm Pilot)

Exemples d’utilisation d’Internet (2)

• Commerce en ligne
✓ Tourisme : réservation de billets de spectacles, de voyage
✓ Paiement en ligne
✓ Grande distribution : http://www.telemarket.fr
✓ Banque, bourse
• Bientôt ...
✓ Consultation en ligne : banquier, notaire, avocat
✓ Médecine en ligne : consultation + échange du dossier médical

La sécurité : problématique
• Audit de sécurité • Se protéger à l’intérieur
✓ Quels sont les machines uti- ✓ Connaı̂tre les personnes de
lisées l’entreprise
✓ Quels type de réseaux, ✓ Autorisation - exclusion : Cf
✓ Quels sont les systèmes, politique interne
✓ Quels type d’applications ✓ Qui fait quoi ?
• Se protéger des intrusions • Avec quoi se protéger ?
✓ Quelles sont-elles ? ✓ Connaı̂tre les outils de
✓ Les types d’intrusion sécurisation
✓ Les journaux (logs) ✓ Connaı̂tre les outils d’audit
✓ Caractériser les tentatives, les ✓ Connaı̂tre les fonctionnalités
comportements douteux de filtrage des éléments actifs
du réseau

En résumé : la méthode
• 1. Analyser les besoins et les risques ➠ audit de l’architecture
• 2. Déterminer les outils et les techniques à utiliser : adopter une
politique de sécurité
✓ Stratégie des mots de passe
✓ Gestion des accès
✓ Gestion des certificats et des signatures
✓ Gestion des clés
• 3. Mettre en place la tracabilité ➠ mise en place de journaux (logs),
outils de surveillances
oublier une étape = 0 sécurité

L’intégrité
• Les 4 propriétés de l’intégrité sont :
✓ Non-modification
✓ Non-suppression
✓ Non-rajout
✓ Non-création

On sécurise après ... mais il est trop tard !

• Grande confiance dans les éditeurs de logiciel (Cf : Microsoft et PPTP
http://www.counterpane.com/pptp-faq.html)
• Politique de l’autruche : tant que l’on a rien détecté on ne s’inquiète
pas !
✓ Votre site web a-t-il été attaqué au cours des 12 derniers mois
(Source FBI)
☞ OUI : 47%
☞ NON : 20%
☞ Ne sait pas : 33%
• Niveau technique insuffisant
• Pas de veille technologique dans le domaine
• Il faut que ça marche, pas de vision à long terme
• Mauvaise classification des risques

C’est facile d’être un cracker ? ... Oui !

Fort Sophistication des outils de piratage
Niveau de compétences requis
Faible
1980 1985 1990 1995 2000 Source : Philippe Jouvelierl
Fig. 1: Piratage vs compétences

Les besoins de sécurité dans le temps

• La connexion à Internet
✓ ADSL, câble, ISDN, ...
✓ Firewall, masquerader
✓ Politique d’accès
• Le changement d’architecture
✓ Fermée à ouverte
✓ Méthodologie d’accès
• La connexion Extranet
✓ Protection aux accès distants
✓ Méthodologie d’accès
✓ Sectorisation du réseau interne

mail
33
DMZ
WWW

LAN

Connections à Internet

@

RTC


RNIS

LAN

Les attaques
• Attaques sur les bases de données de mots de passe
• Découvertes de la topologie réseau ➠ savoir où attaquer
• Le sniffing : analyse des protocoles ➠ écouter, analyser puis modifier
ou créer car on connaı̂t la structure de l’application C/S
• Le spamming : on inonde de message votre boite aux lettres
• Le spoofing (attaque par masquerade) : on prend l’identité de quel-
qu’un
• Le flooding (attaque TCP SYN) : on inonde une interface
• Le rejeu (conséquence du spoofing)
• Déni de service (conséquence du flooding)
• Cheval de troie
• Virus

Les virus
• Fléau toujours d’actualité et surtout (voire uniquement) présent dans
le monde Windows
• Historiquement : existence de quelques virus et vers Unix, Novell,
Linux
• Possèdent une classification selon leur degré de pénétration et une
autre selon leur de dangerosité
• Quelques récents exemples :
✓ 18 juillet 2001 : CodeRed : exploit sur IIS. Parcourt les @IP
aléatoirement pour se reproduire et tente des attaques par déni de
service
✓ 25 juillet 2001 : Sircam : propagation par email infecté. Dispose
de son propre serveur SMTP pour se propager et collecte sur votre
client mail les adresses de ses prochaines victimes.
✓ 18 septembre 2001 : Nimda : cumule les meilleures techniques
d’intrusion, premier ver à se répandre (entre autre) par des sites
web. C’est le ver le plus rapide

Les virus - suite
Type d’infection | 1996 1997 1998 1999 2000 2001

-----------------+------------------------------------
Vers | 0 0 0 4 5 8
Macro | 1 3 4 5 5 2
Boot | 5 6 4 0 0 0
Source : CNET/Security Portal, MessageLabs, Sophos

• Une vingtaine en 1989 ➠ 6000 en 1995. Aujourd’hui 80000 virus
connu,
• Un email sur 2 sera infecté d’ici 2014,
• Le record de propagation : Slammer (Sapphire), qui avait infecté
350000 machines en 10 minutes le 25/01/03,
• SoBig F a lui généré 2,6 emails en 24h00.

Les virus - suite

• 33% des internautes sont infectés par un spyware ou un cheval de
Troie (EarthLink & Webroot) ;
• 20 minutes : c’est la durée de survie d’un PC non protégé contre les
virus au lieu de 40 minutes en 2003 (Internet Storm Center) ;
• 35 milliards de spams envoyés en 2004 contre 15 milliard en 2003.
• 75000 euros d’amendes et 5 ans de prisons : peine pour un diffuseur
volontaire de virus.

Chevaux de Troie
• Définition : programme ou code non autorisé, placé dans un pro-
gramme sain, soit par ajout soit par modification du code existant.
• en raison des fonctions qu’il peut exécuter il peut s’apparenter à un
virus
• à la différence du virus, il n’est pas nuisible pour le système, c’est plus
un espion
• ses fonctions sont par exemple :
✓ voler des mots de passes
✓ voler des fichiers en les copiant

Accès cachés ➠ backdoor

• s’apparente à un cheval de Troie
• permet à un utilisateur informé d’effectuer une action secrète sur un
logiciel
• ou encore : trappe ouverte sur un système par exemple : modification
du /bin/login pour qu’il ne prenne pas en compte /etc/passwd
• présent dans les root-kits
• à ne pas prendre à la légère de nombreux programmes ont une
backdoor ”standard”
• comment détecter un root-kit : utiliser un algorithme d’empreinte tel
MD5
• utilisation de logiciels spécialisés comme CHKROOTKIT : http:
//www.chkrootkit.com

Les précautions à prendre

• Être au courant des nouveaux virus en s’abonnant à une mailing list
d’éditeurs de logiciels anti-virus afin d’appliquer les patchs nécessaire.
• Utiliser des antivirus différent sur la passerrelle (ex : procmail security)
et sur les postes de travail (Mc Affee, Norton ... pour le monde
Windows)
• Interdire tout contenu exécutable (exe, VBS, ...)et filtrer le code
HTML des emails. Envoyer et recevoir en TEXTE !
• Ne pas autoriser les exécutions de scripts sur les postes de travail
• Utiliser des clients de messagerie et des navigateurs n’utilisant pas
ActiveX (technologie propriétaire Microsoft)

Le déni de service
• Réel fléau au mettre titre que les bombes email
• Paralyse tout les hôtes exécutant la pile TCP/IP
• Novembre 1988 : affaire Morris, plus de 5000 machines paralysées
pendant plusieurs heures
✓ attaque du ver par débordement de tampon.
✓ à l’époque ➠ désastre pour les centres de recherche et universitaire,
✓ aujourd’hui ➠ plusieurs millions de francs de pertes.
• On en trouve maintenant plein l’Internet :
✓ http ://www.rootshell.com : bonk.c
✓ http ://www.rootshell.com : land.c
✓ etc

L’IP sniffing
• consiste pour un intrus à ”écouter” le trafic en transit sur le réseau
✓ pour prendre connaissance du contenu des messages mails
✓ mot de passe
✓ conversation secrète non protégée
• peut être réalisé en interne sur une station de travail
• il faut être sur le réseau à analyser
• outil utilisé aussi par les administrateurs pour déboguer le réseau
comme :
✓ tcpdump
✓ ethereal
✓ sniffit
• toute communication devrait s’effectuer par ssh
• personne ne doit être root pour passer la carte réseau en promiscuous
mode ➠ detecteur de promiscuous mode

L’IP spoofing
• On usurpe l’identité d’une personne
• But : établissement d’une communication en se faisant passer pour
quelqu’un d’autre
• Insérer des données dans une communication existante
• Faisable en :
✓ modifiant son adresse matérielle et en prenant celle de l’émetteur
✓ création de messages ICMP en vue de rediriger des paquets IP vers
la station de l’intrus.
✓ compromission du DNS
✓ etc

L’IP flooding
• c’est un déni de service
• inondation d’une destination par des paquets IP
• But : empêcher la station de traiter les paquets légitimes
• cas d’utilisation de TCP/IP : attaque SYN flooding
✓ inondation de SYN : demande d’ouverture de connexion TCP
✓ pour chaque SYN reçu : renvoi d’un SYN ACK et conservation en
mémoire de l’ensemble des connections en attente d’un ACK du
client
✓ la mémoire se remplit, elle possède une taille finie ➠ satura-
tion et impossibilité d’accepter d’autres demandes d’ouverture de
connexion
✓ combiné à l’IP Spoofing, en usurpant l’identité d’une station cliente,
le serveur accepte comme légitime la connexion.

Attaques sur les codes binaires

• buffer overflow ➠ mailing-list http://www.cert.org ➠ MAJ
immédiate
-----BEGIN PGP SIGNED MESSAGE-----
NetBSD Security Advisory 2003-009

=================================
Topic: sendmail buffer overrun in prescan() address parser
Version: NetBSD-current: source prior to Mar 30, 2003

NetBSD 1.6: affected
NetBSD-1.5.3: affected
NetBSD-1.5: affected
pkgsrc: prior to sendmail-8.12.9
Severity: Remote root compromise
Fixed: NetBSD-current: March 30, 2003

NetBSD-1.6 branch: March 30, 2003 (1.6.1 will include the fix)
NetBSD-1.5 branch: April 1, 2003
pkgsrc: sendmail-8.12.9 corrects this issue
Abstract
========

- From the CERT advisory:
There is a remotely exploitable vulnerability in sendmail that

could allow an attacker to gain control of a vulnerable sendmail
server. Address parsing code in sendmail does not adequately check
the length of email addresses. An email message with a specially
crafted address could trigger a stack overflow. This vulnerability
was discovered by Michal Zalewski.
This vulnerability is different than the one described in CA-2003-07.
It is a different vulnerability than NetBSD SA2003-002.
(...)

Les parades
• Au niveau ...
✓ échange des données
☞ Le chiffrement (par l’utilisation de ssh, sftp) : un algorithme
de chiffrement nous donne la certitude de la réception ➠ seule
la personne à qui est destinée le message est capable de le
déchiffrer.
☞ L’authentification : un algorithme d’authentification nous donne
la certitude de l’émetteur. A ne pas confondre avec l’identifica-
tion qui n’est pas une preuve de l’identité.
☞ La non répudiation (preuve de l’origine : X509, preuve de la
remise : horodatage)
☞ MD5 (intégrité des données)
✓ réseau
☞ Le contrôle d’accès
☞ L’authentification
☞ Firewall
☞ Les journaux

Utiliser SSH
• existe en version libre http://www.openssh.org et version commer-
ciale http://www.ssh.com libre pour une utilisation personnelle.
• Attention ! N’est pas à l’abri de bug de version : Cf bug CRC32
• Deux versions SSH1 et SSH2
• SSH1 utilise RSA et SSH2 RSA et DSA
• Possibilité de redirection de ports et de tunneling
• Existe un SSF pour le territoire français plus d’actualité maintenant

SSH1 vs SSH2
SSH 1 SSH2
------------------------------------------------------------------------------
conception monolithique séparation des couches authentification
connexion et transport
intégrité via CRC32 peu fiable intégrité via HMAC (hash cryptographique)
un seul canal par session nombre indéterminé de canaux par session
négociation du seul chiffrement négociations plus détaillées (chiffrement

symétrique du tunnel, clé de session symétrique, clés publiques, compression)
unique pour les deux sens clés de session, compression, intégrité
séparées dans les deux sens
RSA seulement pour l’algo clé-pub RSA et DSA pour l’algo clé-pub
clé de session transmise par le clé de session négociées avec un protocole

client Diffie-Hellman
clé de session valable pour toute clés de sessions renouvelées

la session

Les algorithmes de chiffrement

• En cryptographie deux familles de chiffrement existent :
✓ Les algorithmes symétriques
☞ ils utilisent la même clé pour chiffrer et déchiffrer le message
☞ il faut donc un canal sécurisé d’échange de la clé, ce canal n’est
pas forcément informatique (rencontre, enveloppe cachetée)
☞ DES (Data Encryption Standard)
✓ Les algorithmes asymétriques
☞ ils utilisent un couple de clés : une publique et une privée
☞ la clé privée n’est connue que par une et une seule entité
☞ la clé publique est largement diffusée au sein du réseau.
☞ RSA (Rivest Shamir Adleman) : repose sur des problèmes
mathématiques utilisant la théorie des modulos et des nombres
premier.
✓ On utilise RSA pour l’établissement de la communication et une
clé DES pour l’échange de l’information.

Le chiffrement de Vernam - 1917

• utilisé comme clé pour le chiffrement symétrique
• méthode pouvant être inviolable principe du masque jetable (ou
chiffrement de Vernam)
• utilisé une seule et unique fois
• longueur masque = longueur message
• masque est composé de lettres alphabétiques aléatoire
• problème : pas ”scalable”
• message de 20Mo ➠ clé de 20Mo

chiffrement par substitution

• plus une technique générique qu’une catégorie d’algo
• chaque lettre du message est remplacé par une autre suivant une règle
précise
• la règle peut être une phrase appliquée comme masque, un décalage,
...
• algorithme de Jules César, décalage de 3
• faible niveau de sécurité : cassable par analyse de la répétition des
motifs car il conserve l’ordre des caractères du texte en clair
• on augmente le niveau avec la substitution poly-alphabétique ➠ la
position de chaque lettre correspond à un alphabet de déchiffrement

exemple de chiffrement par transposition

• c’est un codage changeant l’ordre des caractères sans les déguiser
• clé ➠ crypto
• texte ➠ ”Seriez vous capable de décrypter ce texte”
CRYPTO
SERIEZ
VOUSCA
PABLED
EDECRY
PTERCE
TEXTE
• Nous donne chiffrer verticalement :
SVPEPTREOADTEYRUBEEXPISLCRTTECERCEOZADYE

Casser un cryptogramme
• Attaque statistique : il faut connaı̂tre la langue du langage, pour la
France on a :
✓ A : 8.4%
✓ B : 0.8%
✓ C : 3.3%
✓ etc
• Attaque en texte chiffré : l’attaquant possède plusieurs texte chiffré
avec la même clé et essaie de déduire le texte et si possible la clé du
message par correspondance
• Attaque en texte clair connu, idem que ci dessus mais possède le
message déchiffré
• etc

DES : Data Encryption Standard

• Standard assez ancien ➠ date du début des années 1960, ayant
finalement bien tenu
• Arrivée de la technologie des circuits intégrés ➠ travail sur des circuits
combinatoires complexes permettant d’automatiser :
✓ la méthode de substitution
✓ la méthode de transposition
• Utilisation du DES en cascade ➠ 3DES
• Excellente performance en vitesse de cryptage
• Niveau de sécurité pour une solution à clés privées très correct pour
des applications ne nécessitant pas une confidentialité de haut niveau
(militaire)
• Le DES 56 est probablement peu sûr pour un attaquant ayant de gros
moyens mais performant et trop coûteux à casser pour des applications
habituelles.

IDEA : International Data Encryption Algorithm

• Autre solution de chiffrement par blocs de 64 bits basé sur 8 étages
facilement réalisable de manière matérielle ou logicielle
• Considéré par les spécialistes comme l’un des meilleurs cryptosystème
à cèle privée
• Longueur de clé élevée : 128 bits
• Selon les circuits chiffrement et déchiffrement coûteux
• Les attaques semblent difficile mais le système est assez récent : 1990

RSA : Rivest Shamir Adelman

• Révolution dans la cryptographie : la cryptographie à clef publique
• On calcule n = pq
• Algorithme complexe basé sur la complexité de factoriser un grand
entier n avec deux entiers premiers (p, q). n ayant pour taille : 320,
512, 1024 bits.
• La taille conditionne bien évidemment la lenteur de l’algorithme
• Génération d’une clé publique et privée
• Problèmes du RSA :
✓ trouver de manière probabiliste de grande nombres premiers
✓ choisir des clés publiques et secrètes assez longues
✓ réaliser des opérations mathématiques complexes rapidement
✓ méthode sûre si l’on respecte certaines contraintes de longueur de
clé et d’usage
✓ personne depuis 2500 ans n’a trouvé de solution rapide au problème
de factorisation

KERBEROS
• protocole d’authentification d’une partie tierce de confiance développé
par le MIT
• il ne fait pas de chiffrement
• basé sur une cryptographie empêchant un attaquant d’écouter le
dialogue d’un client à son insu afin de se faire passer pour lui plus
tard
• il permet de prouver son identité à un serveur sans envoyer de données
dans le réseau
• ainsi un tiers ne peut découvrir le code d’authentification

PGP
Annuaire des
clés publiques
Clé A
Clé B
Clé Z
A B
Clé privée Clé privée
Fig. 2: PGP

Arithmétique des clés

Hyp : Soit A et B possédant chacun une clé publique et et une clé privée
KPAubKPAri[Texte ] = Texte
KPAriKPAub[Texte ] = Texte
KPAubKPAub[Texte ]#Texte
KPAriKPAri[Texte ]#Texte
Codage Décodage
KPBubKPAri[Texte ] KPAubKPBri[Texte ]
KPAubKPBri[Texte ] KPBubKPAri[Texte ]
KPAubKPAub[Texte ] KPAriKPAri[Texte ]
KPAriKPAri[Texte ] KPAubKPAub[Texte ]
Tab. 1: Codage et décodage.

La signature électronique
• Relativement simple à mettre en oeuvre
• On signe avec sa clé privée
• Le récepteur vérifie l’identité en appliquant au message
✓ sa clé secrete (pour déchiffrer le message)
✓ puis la clé publique de l’émetteur
• La clé publique de l’émetteur provenant de l’autorité de certification
se porte garante du couple identité/certificat.

Signature (suite) : X509

• Norme datant de 1988 révisée en 1993 afin d’augmenter son efficacité
• Environnement d’authentification ISO
• L’algorithme RSA a été recommandé mais pas imposé
• Structure les certificats

Signature (suite) : PKCS

• Public Key Cryptography Standard
• Effort de standardisation de la société : RSA Data Security avec l’aide
de Netscape et Sun ...
• PKCS comporte plusieurs sections :
✓ PKCS#1 décrit une méthode de chiffrement/déchiffrement RSA
✓ PKCS#3 description de l’échange des clefs selon Diffie-Hellman
✓ PKCS#5 méthode de chiffrement à clef secrete
✓ PKCS#6 décrit le format de certificat se superposant à X509. On
peut extraire un certificat X509 de PKCS#6.
✓ PKCS#8 décrit le format des clefs privées
✓ PKCS#10 définit la syntaxe d’une demande de certificat
✓ PKCS#11 API
✓ PKCS#12 Format de stockage de toutes les infos couvertes par les
niveaux précédents.

Privacy-Enhanced Mail
• PEM est un standard de l’IETF : RFC 1421, 1422, 1423, 1434
• C’est une surcouche d’X 509
• Définit la manière et la technique d’échanger des messages de manière
sûre
• Il couvre :
✓ le chiffrement
✓ l’authentification
✓ l’intégrité des messages
✓ la gestion de clefs
• Actuellement : grosse utilisation de PGP dans les clients mails

Sécuriser les formulaires avec SSL

• Certificats
✓ c’est une attestation crée et remise par une autorité fournissant la
preuve que la clé publique appartient à un détenteur légitime
✓ rôle : garantir l’identité de leur détenteurs ➠ en fait : garantie
d’être sur le vrai serveur.
✓ garantie liée au tiers certificateur car émis et signé par un tiers de
confiance
✓ port 443 : https
✓ chiffrement des données entre le serveur et le navigateur
✓ Il est associé à une clé publique
✓ La clé privée n’est jamais divulguée par le détenteur du certificat
✓ Les certificats sont stockés dans un annuaire.
• il permet :
✓ L’identification/l’authentification, l’horodatage.
✓ La signature électronique et la non répudiation.
✓ Le chiffrement et la confidentialité à l’aide des tunnels ”VPN”

Sécuriser les formulaires avec SSL (2)

• La confiance
✓ Il faut avoir confiance en l’autorité de certification
✓ Délivré par Verisign, GTE, Axenet(France), une société (pour son
usage propre)
• Comment obtenir un certificat ?
✓ On génère un couple de clé pri — clé pub
✓ Envoi d’une demande de certificat à l’autorité de certification (CA)
➠ seulement la clé publique
✓ Le CA doit valider l’utilisateur et génère le certificat
✓ Le certificat peut être alors diffusé par l’utilisateur ou la CA

Autorité de certification (CA)

• peuvent avoir une ou plusieurs des missions ci-dessous
✓ authentification
✓ certification de la signature électronique
✓ certification des paiements : dans ce cas, le CA doit posséder un
accord avec un établissement bancaire

Sécuriser son Web avec SSL

• La sécurité sur http a considérablement évolué
• L’avancée principale a été le développement de protocoles sécurisés,
le plus intéressant : Secure Socket Layer
• Protocole sécurisé SSL
✓ Protocole développé par Netscape Communications
✓ Système trois-tiers qui emploie le cryptage RSA et DES ainsi qu’un
contrôle d’intégrité basé sur MD5
✓ Un document intitulé The SSL Protocol (IDraft), a été écrit par
Alan O. Freier et Philip Karlton (Netscape Communications), avec
Paul C. Kocher.
☞ http://home.netscape.com/eng/ssl3/ssl-toc.html
• SSL utilise une technique de chiffrement à clef publique.

Sécuriser son Web avec SSL (2)

1. Pour sécuriser la connexion, le serveur envoie au client une clef publique
que celui-ci utilisera pour chiffrer les données que seul le serveur pourra
déchiffrer avec sa clef privée.
2. Éventuellement, et à la demande du serveur, le client peut à son tour
envoyer sa clé publique afin d’effectuer une authentification mutuelle et
s’assurer de l’identité de chacun.
3. Enfin, le client et le serveur négocient et partagent une clef et une
méthode de chiffrement pour le transferts des données : c’est la clé de
session.
• Il existe une implémentation libre de SSL nommée OpenSSL
• C’est une bibliothèque regroupant toutes les fonctionnalités SSL
• Ce n’est pas l’unique implémentation libre, il existe également SSLeay
✓ Les sources sont disponibles sur les sites suivant
☞ http://www.openssl.org
☞ http://www.ssleay.org

Apache versus IIS
• http://solutions.journaldunet.com/0212/021218\_web.shtml

HTTPS
• HTTPS est le terme utilisé pour définir un protocole HTTP over SSL
• le flux transitant entre le client et le serveur est alors chiffré
• Différence entre HTTP dialoguant sur le port 80 et HTTPS dialoguant
sur le port 443
• Il existe de nombreuses implémentations d’HTTPS dont des
implémentations libre
✓ On peut les trouver aux adresses suivante :
☞ http://www.modssl.org
☞ http://www.apache-ssl.org
✓ le site officiel du serveur apache étant à l’adresse :
☞ http://www.apache.org
• mod ssl est une dérivation d’apache-ssl et s’utilise semble t-il prati-
quement de la même manière

Sécuriser les échanges : les VPN

• Pourquoi utiliser un VPN plutôt qu’une LS ? Le coût.
• Internet : vaste champs de connections à sécuriser.
• Transfix, X25, LS FT
• IPSec
• Peut être combiné à un rappel automatique
• Utilisable au niveau :
✓ physique : réseau radio, Wi-Fi, cellulaire
✓ niveau 2 : cryptage ATM, Frame relay
✓ niveau 3-4 : IPSec
✓ niveau applicatif : SSL (tunnels SSH), PGP, S/MIME, ECommerce
• Principaux protocoles de VPN :
✓ PPTP : Point to Point Tunneling Protocol de Microsoft
✓ L2F : Layer Two Forwarding de Cisco
✓ L2TP : Layer Two Tunneling Protocol de l’IETF (PPTP+L2F)

73
Les concentrateurs VPN
Fig. 3: Concentrateurs VPN
Routeur

Firewall


Concentrateur VPN
LAN
IPSec : IP Security Protocol

• Standard défini par l’IETF concernant :
✓ authentification et intégrité (pour contrer l’IP Spoofing )
✓ confidentialité par l’utilisation du chiffrement (afin de contrer le
sniffing )
✓ protection contre le rejeu d’informations
• Il fonctionne suivant deux modes :
✓ Tunnel : paquets IP encapsulés et chiffrés dans un nouveau paquet
IP
✓ Transport : protection des données transportées dans le paquet IP

IPSec : IP Security Protocol

• Pour assurer ces services, IPSec utilise deux mécanismes :
✓ AH - RFC 2402 : Authentification Header, il contient une somme
de contrôle, un numéro de séquence afin d’éviter le rejeu. Pour le
mode Tranport, il y a insertion du champs AH
✓ ESP - RFC 2406 : Encapsulating Security Payload, permet de
garantir l’intégrité, l’authentification et la confidentialité des data-
grammes. Un entête ESP est placé après l’en tête IP et les reste
du datagramme est chiffré
• Problème ➠ incompatibilité avec le NAT

Transaction électronique et sécurité

• Cybercad : d’Europay France en collaboration avec le CA. Seul
système avec signature électronique ➠ pas de répudiation possible.
• E-COM : dispositif de paiement sécurisé par carte à puce. Il a été défini
par le Groupement des Cartes Bancaires qui a adapté le protocole SET
(Secure Eletronic Transaction) développé par Mastercard et VISA et
reconnu mondialement.
• Cybermut : du Crédit Mutuel. Possède son propre serveur d’authenti-
fication SSL : https ://www.credimutuel.fr. Un contrat est signé entre
le commerçant, le CM et l’hébergeur (ALLNET)
• Télécommerce : de FT. La sécurité est assurée par FT qui fait office
de tiers de confiance entre le commerçant et le client.

Sécurité et réseaux sans-fil

• WiFi, Hyperlan, BlueTooth
• problèmes :
✓ des écoutes ➠ chiffrement
✓ de l’accès au réseau sans-fil ➠ identification et authentification du
client et du réseau
• sécurité pour assurer une QoS sur le réseau
• contrôle de la bande passante

Firewall
• Firewall : dans un immeuble, structure protégeant du feu
• Firewall ne protège pas de tout. Politique de sécurité.
• Il est utilisé :
✓ Pour maintenir les intrus dehors
✓ Pour maintenir les gens dedans

79Emmanuel.Lochin@lip6.fr
Local Area Network
Local Area Network

Qu’est-ce que c’est ?
Firewall
Firewall

Local Area Network

Internet @

Quelques définitions
Passerelle : dispositif assurant la jonction entre un réseau local et un
réseau externe.
Routeur : passerelle à protocoles identiques.
Proxy : relaye des requêtes HTTP, FTP, Telnet, ... vers les serveurs
de l’Internet. Ce serveur est spécifique à un service internet particulier, on
trouve donc des proxy ftp, proxy web, proxy telnet ... Permet le caching en
option. Dans la pratique, on rencontre surtout des proxy web.
Reverse proxy : pour les extranets ➠ relaye des requêtes vers des
serveurs interne.
Caching : mise en cache des informations HTTP.
Masquerader : serveur masquant un réseau local de l’Internet.
Firewall : serveur protégeant un réseau interne d’un réseau externe et

possédant les propriétés suivantes :

Propriétés du firewall
• Toute communication de l’extérieur vers l’intérieur et inversement doit
passer par le firewall,
• Seules les communications autorisées définies par la politique locale
de sécurité pourront passer,
• Le firewall, lui-même, est immunisé contre les intrusions.

Types de pare-feux
1. Pare-feux filtrants : pare-feux IP bloquant tout le trafic sauf celui
sélectionné. Accès transparent. Combinable au masquerading. Équivalent
à un routeur avec filtre.
2. Serveurs mandataires (proxy, bastions) : ils réalisent les connexions
réseaux à votre place. Serveur indirect : SOCKS, TIS, FWTK, ... Ils
sont difficiles à configurer et ne sont pas transparents pour l’utilisateur.
(configuration HTTP et FTP pour passer par le proxy)

Pare-feux filtrants
• Ils fonctionnent au niveau réseau,
• On autorise l’entrée ou la sortie de données si autorisation,
• On filtre les paquets en fonction de leur type, source, destination et
port, champs TOS.

Pare-feux filtrants (2)
• Ils sont assimilables à un routeur ➠ bonne connaissance d’IP.

• L’analyse des données étant faible, ils sont peu gourmands en ressources.
• Pas de contrôle par mot de passe.
• En plus de l’information des en-têtes de paquet on connaı̂t l’interface d’entrée :
✓ cela permet de détecter les tentatives de masquerading,
✓ l’écriture correcte des règles et donc la séparation des sous-réseaux.

85
• Également connu sous le nom de Network Address Translation, permet
alors comme la seule IP (et donc la seule machine) connectée au

de cacher un ensemble de machines derrière une passerelle apparaissant
192.168.1.3/24
192.168.1.100
192.168.1.2/24
192.168.1.100
192.168.1.1/24
192.168.1.100
192.168.1.100
Le Masquerading
• Attention ! Ce n’est pas du routage.
Masquerader
132.221.125.10

Internet @

réseau.

Rappel sur l’adressage IP

Classe A : 1.0.0.0 à 126.0.0.0 / 8 ou 255.0.0.0
Classe B : 128.0.0.0 à 191.255.0.0 / 16 ou 255.255.0.0
Classe C : 192.0.0.0 à 223.255.255.255 / 24 ou 255.255.255.0
Classe D : 224.0.0.0 : Multicast
Classe E : 240.0.0.0 : Expérimental
IP non routable, dite privée [RFC 1597] :
• 10.x.x.x / 8
• 172.16.1.x / 16 à 172.16.31.x / 16
• 192.168.1.x / 24
Les autres adresses sont dites routables et donc présente sur Internet

IP privée IP publique ... pourquoi faire ?
Mauvaise config Bonne config
Sous-réseau : 217.16.6.0 / 24 Sous-réseau : 192.168.1.0 / 24

Passerelle : 217.12.6.100 Passerelle : 192.168.1.100
Étendue : 217.16.6.1/24 à 217.16.6.25/24 Étendue : 192.168.1.1/24 à 192.168.1.25/24
En effet, nslookup www.yahoo.fr renvoie : 217.12.6.25

Possibilité de connexion
• Bien se protéger c’est tout interdire (telnet, ftp, finger) sur le firewall.
Pas de port ouvert, pas de connexion possible. Mais aussi réfléchir à
la politique de sécurité :
- Ce qui n’est pas explicitement autorisé est interdit ... ou
- Ce qui n’est pas explicitement autorisé est interdit ?

• Voir les fichiers /etc/services et /etc/inetd.conf
• Attention aux requêtes DNS.
• Utilité de NTP (Network Time Protocol) pour synchroniser les serveurs
entre eux et avoir des journaux cohérents.
• SMTP, POP3, tout dépend de l’emplacement des serveurs
• N’UTILISER QUE SSH (Secure Shell) et SCP (Secure Copy) pour
se connecter.

La Demilitarized Zone (DMZ)

• Zone non soumise au contrôle du firewall
• Peut être utilisée pour les serveurs DNS, FTP, mail, www et les
machines “ouvertes” en général.
• La DMZ est en autarcie. Pas de connexion au sous-réseau local
possible depuis une machine de la DMZ.
• Non obligatoire, peut contenir une machine leurre.

90
192.168.1.3/24
192.168.1.100
192.168.1.2/24
192.168.1.100
192.168.1.1/24
192.168.1.100
192.168.1.100
DMZ (2)
Masquerader
Firewall
132.221.125.10

132.227.125.11
Internet @

Exemple d’architecture complète

Serveur mandataire
• Principe : connexion en 2 temps : on se connecte au serveur puis à
l’Internet.
• Peut faire office de cache pour les pages web récemment consultées.
Cache paramétrable.
• C’est le serveur mandataire qui gère toutes les connections et peut
donc les enregistrer. Pour HTTP, on mémorise toutes les URL. Pour
FTP, tous les fichiers téléchargés. C’est la fonction d’enregistrement.
• Peut demander une authentification de l’utilisateur avant la sortie vers
l’extérieur. Fonctionnement identique à une authentification du type
de connexion Internet. On peut demander une connexion pour chaque
site !
• Peut interdire la connexion en fonction de mots inappropriés, analyser
la présence de virus, contrôler la durée, l’heure de connexion et de
déconnexion ... C’est la fonction de filtrage.
• Évidemment très impopulaire auprès des utilisateurs.

Architecture de pare-feu
• Il existe de nombreuses manières de concevoir un réseau avec pare-feu.
Tout dépend de ce que l’on attend de celui-ci.
• Il faut analyser le type de connexion : ADSL, câble, modem, routeur
ou carte RNIS, ligne spécialisée ...
• Certains modems (ADSL, câble) possèdent des fonctions d’IP Filte-
ring, ce sont en quelque sorte des routeurs.
• La LS (ligne spécialisée) vers un FAI (fournisseur d’accès internet) nous
“éloigne” du routeur que possède le FAI et donc de ses fonctionnalités.

Quelques exemples (1)
Machines vers l’extérieur

LAN
Internet @

Routeur Système

HUB

Filtrant/

Pare-Feu

nonfiltrant


LAN
Internet @

Routeur Système

Filtrant/

Pare-Feu

nonfiltrant


96Emmanuel.Lochin@lip6.fr
LAN
Pare-Feu
Système

modem


FAI

Internet @
Réseau du LIP6


Performance : types de machines et de logiciels

• Pare-feu filtrant : 486 DX2 66 (plutôt P100), RAM 16Mo, 200Mo
DD.
• Serveur mandataire avec fort trafic (50 connections simultanées) :
Pentium II 266 Mhz, RAM 64Mo , 2Go DD pour les traces.
• Linux, BSD (Open, Free, Net) inclus dans le kernel.
• On utilise une machine pour en faire un routeur, à laquelle on applique
des règles précises de firewalling.

Évaluation du filtres de paquets

• Où est le filtrage ? Entrée, sortie, les deux ?
• Quels attributs peuvent être vérifiés ? Protocole, port d’origine, port
destination, les deux ?
• Filtrage de liaisons établies ?
• Comment sont gérés les protocoles autres que TCP et UDP ?
• Langage des filtres compréhensible ? Pouvez-vous contrôler l’applica-
tion des règles ?
• Qu’arrive-t-il aux paquets rejetés ? Sont-ils enregistrés ? Si oui com-
ment ?
• Quels sont les logs (enregistrement) possible ? Qui s’en occupe ?

Principe pour le filtrage

• Il est basé sur les adresses. Il font donc qu’elles soient correctes (Cf.
rappel sur l’adressage IP). Il faut donc une vérification de cohérence
en entrée :
- Extérieur : pas de classe D (si refus de multicast), E et non d’adresses

non routable,
- Intérieur : pas d’IP publique ou d’adresses n’appartenant pas à
l’étendu du réseau.
• Si un paquet ne satisfait pas les règles : DROP !

• Si violation des règles : message à root@domaine.com par exemple.
• Pas de renvoi d’ICMP en cas d’erreur. Cela pourrait aider les pirates
à comprendre la politique de sécurité.
• Bien faire attention à l’ordre des règles et aux entrées et sorties.
• Bien faire attention aux caractéristiques des protocoles (numéro de
port usités)

Caractéristiques des protocoles

Protocole UDP/TCP Port SRC Port DST Commentaires
Telnet sortant TCP P>1023 23
Telnet entrant TCP 23 P>1023
FTP sortant TCP P>1023 21 connexion de contrôle
FTP entrant TCP 21 P>1023
FTP sortant TCP 20 P’>1023 connexion données
FTP entrant TCP P’>1023 20
DNS lookup TCP/UDP P>1023 53 client -> serveur
DNS lookup TCP/UDP 53 53 serveur -> serveur
NTP UDP P>1023 123 client -> serveur
NTP UDP 123 P>1023 serveur -> client
HTTP TCP P>1023 80 en général ...
cache HTTP TCP P>1023 ... souvent 8080
SNMP UDP P>1023 161, 162
ICMP : problème car pas de notion de port ... c’est donc du tout ou rien. Si on autorise
PING tout passe y compris Redirect, si pas de ICMP pas de TRACEROUTE et pas de
PING

Le cas du FTP
• Démocratiser sftp !
• Mode actif : pb de sécurité. Pourquoi ?
✓ x>1024 –(Syn1,Ack0)-> 21
✓ x>1024 <-(Syn1,Ack1)– 21
✓ x>1024 –(Syn0,Ack1)-> 21
✓ puis échange des données :
✓ x+1>1024 <-(Syn1,Ack0)– 20
✓ x+1>1024 –(Syn1,Ack1)-> 20
• Solutions : filtrage à état, proxy ou mode passif :
✓ passive mode : serveur envoie le port ”y” au client
✓ x>1024 –(Syn1,Ack0)-> y>1024
✓ x>1024 <-(Syn1,Ack1)– y>1024

Deux types de filtrage

• Filtrage stateless :
✓ Peu gourmand en CPU
✓ Baser uniquement sur la table de firewalling
• Filtrage statefull :
✓ Très gourmand en CPU car dynamique
✓ Pb de passage à l’échelle : nb de connexions simultanées

Un firewall c’est bien ... mais !

• Histoire du port 53 en connexion depuis 1 heure
• Il faut le coupler à un logiciel de détection d’intrusion : snort
✓ http://www.snort.org/ : The Open Source Network Intrusion
Detection System

Je peux dormir tranquille ?

OUI :
• Si j’ai la maı̂trise totale des règles

• Si j’ai la maı̂trisé totale du réseau (pas de portes dérobées : modems)
• Si je contrôle mes logs
• Si je test régulièrement la fiabilité de mon pare-feu
• Si je mets à jour son noyau et que je le ”patche” régulièrement
• Si je me tiens au courant des nouvelles attaques
• Si je consulte les sites de sécurité (www.securite.org,
www.rootshell.org, www.ossir.org, www.cru.org, www.anticode.com,
...) et que je suis abonné à une mailing-list “sérieuse”

Configuration de Netfilter (IPtables)

• Afin de vérifier que le noyau supporté a été compilé avec l’option
Netfilter, il faut vérifier que ip conntrack et ip tables apparaissent
bien avec la commande dmesg :
✓ dmesg | grep ip conntrack
✓ dmesg | grep ip tables
• sinon :
✓ modprobe ip tables
✓ modprobe ip nat ftp
✓ modprobe ip nat irc
✓ modprobe iptable filter
✓ modprobe iptable mangle
✓ modprobe iptable nat
• si on a besoin de pouvoir forwarder les paquets IP (pour faire office
de routeur) :
✓ echo 1 > /proc/sys/net/ipv4/ip forward

Utilisation
• Dans la configuration de base les paquets passent par trois chaı̂nes de
règles :
✓ INPUT : par laquelle passent tous les paquets entrant par une
interface,
✓ FORWARD : par laquelle passent tous les paquets qui sont transmis
d’une interface à une autre,
✓ OUTPUT : par laquelle passent tous les paquets avant de sortir d
une interface.
• Les quatres comportements les plus courants sont :
✓ ACCEPT : On laisse passer le paquet,
✓ REJECT : On rejette le paquet et on envoie le paquet d erreur
associé,
✓ LOG : Enregistre une notification du paquet dans syslog,
✓ DROP : Le paquet est ignoré aucune réponse n’est envoyé.

Utilisation (2)
• Principales options de iptables :
✓ N : Création d une nouvelle chaı̂ne,
✓ X : Suppression d une chaı̂ne vide,
✓ P : Changement de la politique par défaut d’une chaı̂ne,
✓ L : Liste les règles d’une chaı̂ne,
✓ F : Élimine toutes les règles d une chaı̂ne.
• Enfin pour les modifications de chaı̂nes :
✓ A : Ajoute une règle à la fin d’une chaı̂ne,
✓ I : Insère une nouvelle règle a une position donnée,
✓ R : Remplace une règle donnée dans une chaı̂ne,
✓ D : Efface une règle dans une chaı̂ne (numéro d’ordre ou règle).

Exemples
• Pour supprimer les règles actives :
iptables -F
iptables -F -t nat
iptables -X
• Pour nater sur l’interface eth0 :
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
• Empêcher les ping des autres machines :
iptables -A INPUT -s 192.168.1.217 -p icmp icmp-type
echo-reply -j DROP
• Refuser tout trafic TCP sauf ce qui provient de l’adresse IP
192.168.1.217 :
iptables -A INPUT -p tcp source ! 192.168.1.217 -j DENY

Exemple de script de firewalling IPF sous NetBSD
# Regles du 21/12/01 - E. Lochin

#
# Regle commune: on n’accepte pas de fragments trop courts
block in log quick all with short
# regles commune: on n’accepte pas de packets de ou a destinations de

# reseaux non routes (comme definis par la RFC 1918)
block in quick on ep0 from 10.0.0.0/8 to any
block in quick on ep0 from any to 10.0.0.0/8
# A partir de la on a des groupes de regles, pour differentes classes de

# paquets en fonctions des adresses sources/destination.
# xx0 = destination, xx1 = source
# un groupe pour source/destination loopback

# On bloque sauf si c’est sur l’interface lo0

block in quick from any to 127.0.0.0/8 head 100
block in quick from 127.0.0.0/8 to any head 101
pass in on lo0 from any to any group 100
pass in on lo0 from any to any group 101
################################################################################
# Un groupe pour le 132.227.74.99 (interface de sortie)
################################################################################
# pour commencer, on bloque tout ce qui entre de la dorsale
block return-icmp in log quick from any to 132.227.74.99 head 105
# UDP: laisse passer ssh, ntp, http, ou ports utilisateurs(=clients) (sauf NFS)
pass in quick proto udp from any to any port = ntp group 105
pass in quick proto tcp from any to any port = ssh group 105
pass in quick proto tcp from any to any port = http group 105
pass in log quick proto tcp from any to any port = ftp flags S/SA group 105
pass in quick proto tcp from any to any port = ftp-data flags S/SA group 105
pass in quick proto tcp from any port = ftp-data to any port 1023 >< 2049 flags S/SA gr
pass in quick proto tcp from any port = ftp-data to any port 30000 >< 65535 flags S/SA

#pass in log proto tcp from rp.lip6.fr to 132.227.74.99 port = smtp group 105
pass in log quick proto tcp from any to any port = smtp flags S/SA group 105
# on coupe toutes les autre demandes de connexion (flag s/sa)
block return-rst in quick proto tcp from any to any flags S/SA group 105
pass in quick proto tcp from any to any group 105
# on bloque nfs
block return-icmp in quick proto udp from any to any port = 2049 group 105
# on laisse passer les reponses vers les clients
pass in quick proto udp from any to any port > 1023 group 105
# connexion TCP vers 60.30 et 60.2 pour DNS
# on laisse entrer les reponses aux requetes DNS
pass in quick proto udp from 132.227.74.34 to any group 105
# icmp. on laisse passer le protocole icmp pour ping par exemple
pass in quick proto icmp from any to any group 105

L’importance des logs

daily output for Mon May 5 03 :15 :01 CEST 2003

Uptime: 3:15AM up 11 days, 14:58, 0 users, load averages: 0.56, 0.23, 0.18
Checking subsystem status:
disks:
Filesystem 1K-blocks Used Avail Capacity iused ifree %iused Mounted on
/dev/sd1a 148440 43699 97319 30% 1389 35985 3% /
mfs:8 103 51 47 52% 1642 372 81% /dev
/dev/sd1k 5680265 345707 5050544 6% 19962 1405636 1% /usr
/dev/sd1e 495670 2 470884 0% 3 124411 0% /tmp
/dev/sd1f 1985639 3906 1882451 0% 239 496079 0% /root
/dev/sd1g 1984958 1 1885709 0% 1 496317 0% /safe
/dev/sd1h 1984958 1 1885709 0% 1 496317 0% /ftp
/dev/sd1i 1985639 439561 1446796 23% 2 496316 0% /web
/dev/sd1j 2977685 292621 2536179 10% 70843 674371 9% /pkgsrc
/dev/sd0d 693823 506338 152793 76% 3132 170754 1% /home
Last dump(s) done (Dump ’>’ file systems):
network:
Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Colls

ep0 1500 <Link> 00:a0:24:7e:f2:86 618139 0 1057614 0 0

ep0 1500 fe80::%ep0/64 fe80::2a0:24ff:fe7e:f286%ep0 618139 0 1057614 0
ep0 1500 132.227.74.32/27 132.227.74.36 618139 0 1057614 0 0
ep0 1500 2001:660:10c:4a::/64 2001:660:10c:4a:2a0:24ff:fe7e:f286 618139 0 105
0 0
lo0 33220 <Link> 18 0 18 0 0

daily insecurity output for Mon May 5 03 :15 :01 CEST 2003
Checking the /etc/master.passwd file:

Login daemon is off but still has a valid shell (/sbin/nologin)
Login operator is off but still has a valid shell (/sbin/nologin)
Login bin is off but still has a valid shell (/sbin/nologin)
Login news is off but still has a valid shell (/sbin/nologin)
Login games is off but still has a valid shell (/sbin/nologin)
Login postfix is off but still has a valid shell (/sbin/nologin)
Login ntpd is off but still has a valid shell (/sbin/nologin)
Login sshd is off but still has a valid shell (/sbin/nologin)
Login nobody is off but still has a valid shell (/sbin/nologin)
Login ingres is off but still has a valid shell (/sbin/nologin)
Login melangeur has more than 8 characters.
Checking dot files.

user elo .forward file is group writeable
Checking special files and directories.

dev: permissions (0755, 01777)
dev/fd: gid (0, 5)

Où se situe les services de protection ?

LES COUCHES HAUTES
• Couche 7 de l’OSI : Application
✓ Application de sécurité bout en bout : PGP
✓ X509
• Couches 5-6 de l’OSI : Session, Présentation
✓ Communication sécurisée type SSL
✓ Communication sécurisée entre client et serveur de transactions :
Session Security Protocol
✓ Sécuritée WAP
✓ Authentification GSM avec carte SIM
✓ Authentification Kerberos pour application C/S

Où se situe les services de protection ?

LES COUCHES BASSES
• Couche 3-4 de l’OSI : Réseau, Transport
✓ IPsec
✓ Sécurité VPN
✓ Tunnelling
✓ Sécurité IPv6
• Couche 1-2 de l’OSI (Physique, Liaison)
✓ à ce niveau la vitesse est essentielle
✓ il n’y a pas d’encryption ou alors de manière hard
✓ la sécurité repose sur les couches hautes

Références bibliographiques
• Quelques livres et documents intéressants ...
✓ Sécurité optimale, écrit par un hacker, Campus Presse
✓ Réseaux, Andrew Tanenbaum, InterEditions
✓ Le commerce électronique, études du ministère de l’économie des
finances et de l’industrie, Les Editions de Bercy
✓ www.nw.com : croissance du nombre de serveurs Internet
✓ La RFC 1244 : donnent diverses définitions sur la sécurité

Fin
Document réalisé avec LATEX le 24 janvier 2005.
Style de document foils.
Dessins réalisés avec xfig.
Emmanuel Lochin, Emmanuel.Lochin@lip6.fr

http://www-rp.lip6.fr/~lochin

Langue

Bienvenue sur Scribd !

Securite

Transféré par

Informations du document

Description :

Date du transfert

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

Securite

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Titres liés

Sécurité et Internet

Laboratoire d’Informatique de Paris 6

Janvier 2005 - version du 18/01/05

Laboratoire d’Informatique de Paris 6

Authentification, identification, non-répudiation, cryptographie, DES, RSA,

Comment sécuriser un réseau

Firewall, masquerader, Secure Shell, Web SSL, connexion cryptée, rappel

Méthodologies de protection et sécurisation des échanges de données

Authentification, mécanismes des clés, PGP, cryptage, tunnel crypté, certi-

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 1

PIRATES SUR L’INTERNET

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 2

Tentative après tentative, le logiciel Strobe rencontre un mur, le ”pare-feu” de Sur-

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 3

Un scanner de ports furtif ne respecte pas ce protocole (voir Les transmissions de

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 4

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 5

Le repérage des lieux ...

La sonnerie d’un messager de poche réveille Surcouf. Un programme de détection nommé

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 6

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 7

La commande ne fournit aucun résultat utilisable : Surcouf a probablement configuré

Après avoir converti l’adresse informatique boucanier.fr en un nombre, Nau utilise un

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 8

De son galion, Nau examine les ordinateurs de boucanier.fr et de boucanum.fr connectés

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 9

À la recherche d’horaires décalés

Grâce à un logiciel de numérotation téléphonique automatique nommé Shokdial, Nau

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 10

à distance sur le compte administrateur.

Nau termine sa nuit en déterminant que le compte administrateur auquel il a accédé

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 11

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 12

Impatient, Nau élabore déjà sa prochaine manoeuvre. Avec un système d’exploitation

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 13

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 14

La sonnerie du téléphone retient Surcouf au moment de partir. Un client se plaint de

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 15

enregistré ses activités...

Le lendemain, Surcouf, exténué, demande au directeur technique de la Société Bouca-

Nau a franchi depuis longtemps la frontière légale du piratage. Néanmoins, la Direc-

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 16

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 17

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 18

Les informations obtenues suffisent à la Direction de la surveillance du territoire, qui

L’appartement de Nau est perquisitionné, et son ordinateur confisqué. Le disque dur

Carolyn Meinel est écrivain scientifique spécialiste du piratage informatique.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 19

Un peu d’histoire ...

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 20

Quelques chiffres ...

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 21

• Principale raison des incidents informatique :

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 22

Source : Le Monde Informatique

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 23

Évolution du marché mondial de la sécurité