Vous êtes sur la page 1sur 122

Sécurité et Internet

Emmanuel Lochin

Laboratoire d’Informatique de Paris 6


Emmanuel.Lochin@lip6.fr

C3E

Janvier 2005 - version du 18/01/05

Laboratoire d’Informatique de Paris 6


Janvier 2005 - version du 18/01/05

Plan
Vocabulaire

Authentification, identification, non-répudiation, cryptographie, DES, RSA,


PGP, ...

Comment sécuriser un réseau

Firewall, masquerader, Secure Shell, Web SSL, connexion cryptée, rappel


automatique.

Méthodologies de protection et sécurisation des échanges de données

Authentification, mécanismes des clés, PGP, cryptage, tunnel crypté, certi-


ficats, SSL, signatures de messages, VPN ...

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 1


Janvier 2005 - version du 18/01/05

PIRATES SUR L’INTERNET


La fiction qui suit présente des techniques et des logiciels réels. Certains des événements
relatés ici sont issus de mes propres expériences. e remercie le fournisseur d’accès Rt66
Internet qui a testé la plupart des logiciels décrits dans cet article.

La nuit est tombée depuis longtemps quand, face à son ordinateur, Jean Nau se
connecte sur le réseau Internet à un ”système de causette” où chaque utilisateur introduit
des remarques et lit celles des autres en temps réel. Dans la zone de dialogue consacrée au
puissant système d’exploitation Unix, il observe les habitués : leurs contacts, leurs alliances,
leurs échanges de connaissances. Ces échanges ressemblent à ceux qui avaient sans doute
lieu dans les tavernes de l’ı̂le de la Tortue après un abordage réussi.

Imbu de ses compétences informatiques, Nau attend l’occasion - par exemple, une question
naı̈ve - de provoquer une bagarre verbale. Il saisit sa chance lorsqu’un certain Robert
Surcouf demande si quelqu’un sait comment écrire un programme de commande d’une
station météorologique personnelle. Nau répond ”rtfm” (initiales de l’expression anglaise
read the fucking manual, ce qui signifie : lis le p... de manuel).

La question n’était pourtant pas naı̈ve, et tout le monde injurie Nau. Surcouf, lui,
se déconnecte soudain. Humilié, Nau veut sa revanche. Il obtient rapidement l’adresse
électronique surcouf@boucanier.fr, puis apprend que Surcouf est l’administrateur du réseau

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 2


Janvier 2005 - version du 18/01/05

informatique boucanier.fr.

Grâce au logiciel Strobe, Nau essaie de se connecter à chacun des milliers de ports
virtuels, c’est-à-dire des canaux de connexion, de boucanier.fr. Sur certains ports, un
programme nommé Démon répond automatiquement. Découvrira-t-il une faille dans l’un
d’eux ?

Tentative après tentative, le logiciel Strobe rencontre un mur, le ”pare-feu” de Sur-


couf ; ce logiciel puissant lit l’en-tête de chaque message, par exemple une tentative du
logiciel Strobe, et identifie sa destination. Le pare-feu rejette ou accepte les messages
en fonction de règles d’accès définies. Face à Strobe, il réagit en envoyant des données
dépourvues de sens, jusqu’à saturer l’ordinateur personnel de Nau. Parallèlement, un cour-
rier électronique est envoyé au fournisseur d’accès Internet de Nau : quelques minutes plus
tard, Nau, soupçonné d’infraction informatique, est privé d’accès au réseau.

Malgré la rapidité des représailles, Nau n’est pas neutralisé : ce n’est que l’un de ses
nombreux comptes piratés qui est clôturé. La fermeture de ce compte l’élimine de la
causette, où il apparaı̂t comme un cuistre ou un lâche. Il est temps d’utiliser une autre
arme : un scanner de ports furtif.

Ce programme est plus subtil que Strobe, car il manipule les informations échangées
lors des communications entre les ordinateurs. Lorsqu’un ordinateur souhaite transmettre

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 3


Janvier 2005 - version du 18/01/05

un message, il envoie tout d’abord un signal nommé SYN, destiné à la synchronisation des
deux ordinateurs. Le programme qui le reçoit répond par un double signal (un d’accord,
ACK, et un de synchronisation, SYN), et par une valeur de temporisation qui sera utilisée
pour régler la transmission des données (voir Une escroquerie Internet) et, en outre, ralentir
le temps de réaction de l’ordinateur émetteur. Ce dernier envoie enfin un signal d’accord,
ACK ; puis les salutations achevées, il transmet son message, qui se termine par un signal
FIN. Le destinataire retourne alors un signal d’accord, pour indiquer qu’il a bien reçu le
message.

Un scanner de ports furtif ne respecte pas ce protocole (voir Les transmissions de


messages) : il envoie un signal FIN prématuré à plusieurs canaux de connexion de l’or-
dinateur récepteur. De ce fait, le programme récepteur n’envoie aucune réponse, mais il
transmet sur chaque canal un signal RST pour demander de recommencer la procédure. Ce
signal RST, contrairement aux signaux ACK et SYN est caractéristique de l’ordinateur qui
l’envoie : il fournit des informations importantes au pirate, telles le type d’ordinateur et les
démons en service. Cependant, sans les triples salutations, il n’identifie aucune connexion
et n’enregistre pas la transmission dans ses comptes rendus d’opérations. Le scanner de
port furtif sonde un ordinateur en toute discrétion.

Sur un site du réseau Internet, Nau trouve un scanner de port furtif performant écrit
en langage C. Nau doit le compiler, c’est-à-dire le traduire dans le langage de son
ordinateur. Cependant, chaque version d’Unix est unique, et Nau n’a jamais étudié la

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 4


Janvier 2005 - version du 18/01/05

programmation. Il n’en a jamais eu besoin, car tous les logiciels qu’un pirate désire sont en
libre-service gratuit sur le réseau Internet. Reste à savoir les traduire.

Le jeune Surcouf a suivi un parcours différent. Un ami technicien lui a appris com-
ment gérer un système informatique. Puis il s’est perfectionné en affrontant son ami
dans des jeux d’attaque et de défense de systèmes informatiques. Ils ont ensuite aidé le
fournisseur d’accès Internet à renforcer sa propre sécurité. Surcouf a alors été embauché à
temps partiel, en parallèle avec des études d’informatique.

Nau le pirate a donc commis sa première erreur : attaquer Surcouf, corsaire confirmé.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 5


Janvier 2005 - version du 18/01/05

Le repérage des lieux ...


Au petit matin, Nau a traduit le programme. En quelques minutes, le scanner de
ports furtifs lui fournit la liste des services proposés par boucanier.fr à des personnes
dûment répertoriées. Un programme assurant la sécurité de l’interpréteur des commandes
- pour qu’elles soient exécutables - grâce à des connexions codées et un serveur de site
Internet retiennent son attention. Le coeur de Nau s’accélère. Un canal de connexion s’est
entrouvert au moment de son examen. Un autre intrus l’a-t-il précédé ? A-t-il maintenu
une porte dérobée pour pénétrer dans le système ?

La sonnerie d’un messager de poche réveille Surcouf. Un programme de détection nommé


Etherpeek, installé sur le réseau d’ordinateurs boucanier.fr, a décelé l’examen des canaux
de connexion par Nau. Surcouf se précipite au bureau et, assis devant sa station de travail
(un ordinateur performant), il fait le guet. Installés uniquement sur son propre ordinateur,
ses meilleurs programmes de défense ne fonctionnent que lorsqu’il est aux commandes,
afin d’éviter tout assaut de l’extérieur. Cependant, Surcouf n’observe aucune manoeuvre :
malgré la tentation, Nau, guidé par son intuition de pirate, a abandonné l’assaut.

Tout de même intrigué, Surcouf analyse les comptes rendus d’opérations de son ordi-
nateur et retrouve l’adresse du message pirate. Par courrier électronique, il informe le
fournisseur d’accès de Nau de la tentative d’effraction et lui demande des informations
sur le compte du pirate. La clause de confidentialité des clients empêche la requête d’aboutir.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 6


Janvier 2005 - version du 18/01/05

Toutefois, trois soirs plus tard, Nau découvre que son mot de passe n’est plus va-
lable : son fournisseur d’accès lui apprend que son compte a été supprimé parce qu’il a
utilisé un scanner de ports furtif.

Plus déterminé que jamais, Nau revient quelques minutes plus tard sur le réseau In-
ternet grâce à un téléphone et à une carte bancaire. Il doit être prudent. De ce nouveau
compte, il se connecte sur un de ses comptes piratés chez un autre fournisseur d’accès,
et il apprend que le site informatique boucanier.fr appartient à la Société Boucaniers, qui
produit de la viande fumée.

Nau tente alors de se connecter au réseau boucanier.fr par le canal inhabituel repéré
trois nuits plus tôt. La réponse est cinglante : ”Espèce de marin d’eau douce ! Pensais-tu
vraiment trouver un passage secret ?” Puis le programme associé au canal transmet des
données incohérentes et envoie un courrier électronique au système administrateur du
fournisseur d’accès dénonçant la tentative de piratage. Quelques minutes plus tard, la
connexion de Nau est supprimée.

Mieux vaut contourner le pare-feu sur la pointe des pieds plutôt que de le passer en
force. D’un autre compte, également piraté, Nau tente, par une simple commande saisie
sur le clavier, de dresser la liste des ordinateurs du réseau boucanier.fr.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 7


Janvier 2005 - version du 18/01/05

La commande ne fournit aucun résultat utilisable : Surcouf a probablement configuré


le réseau de sorte que les données adressées à n’importe quel ordinateur transitent d’abord
par un programme central, qui les redistribue ensuite. Cette méthode empêche les intrus
d’accéder à l’intérieur du pare-feu.

Après avoir converti l’adresse informatique boucanier.fr en un nombre, Nau utilise un


scanner d’adresses informatiques, puis il teste les 50 adresses numériques immédiatement
inférieures et supérieures. Peut-être appartiennent-elles à des ordinateurs du réseau bou-
canier.fr, car les adresses numériques des ordinateurs d’un réseau sont souvent proches ?
Hélas, non.

Avec une autre commande, il découvre alors un second réseau appartenant à la Société
Boucaniers : boucanum.fr, dont l’adresse numérique est éloignée de celle de boucanier.fr.
Le scanner d’adresses découvre alors cinq ordinateurs dont l’adresse est numériquement
proche de celle du réseau boucanum.fr.

Par précaution, Nau se connecte de son compte piraté à un autre compte piraté et,
de là, vers un autre compte, d’où il exécute d’autres scanners de ports furtifs. Ces étapes
supplémentaires engorgeront toute procédure judiciaire, puisque celle-ci nécessiterait trois
mandats de perquisition. Échaudé, il utilise également un programme nommé Root kit,
grâce auquel il effacera toute trace de son activité dans les comptes rendus utilisés pour
détecter les activités douteuses et les modifications des fichiers de configuration de cet

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 8


Janvier 2005 - version du 18/01/05

ordinateur.

De son galion, Nau examine les ordinateurs de boucanier.fr et de boucanum.fr connectés


au réseau Internet. Le scanner de ports furtif se glisse au travers du pare-feu vers chacun
d’eux. Cependant la manoeuvre a été détectée par le programme Etherpeek, qui prévient
à nouveau Surcouf.

Celui-ci déboule dans son bureau ; il identifie rapidement l’origine du scanner et alerte
l’administratrice du système du troisième compte de Nau. Cependant, le programme Root
kit dissimule Nau, qui continue avec impudence, grâce au scanner furtif et au logiciel
Strobe, de chercher une adresse informatique non protégée par le pare-feu. Celui-ci ne fait
que lui transmettre un flot de données incohérentes.

Cet afflux soudain convainc l’administratrice du compte de Nau qu’un agresseur est à
l’oeuvre. Elle déconnecte alors tout le système du réseau : la connexion de Nau s’arrête
dans un sifflement.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 9


Janvier 2005 - version du 18/01/05

À la recherche d’horaires décalés


Nau suppose alors que de nombreuses stations de travail non connectées au réseau
boucanier.fr sont utilisées par des employés de la Société Boucaniers pour travailler chez
eux. Ces ordinateurs, reliés directement, ne sont pas protégés par le pare-feu. La probabilité
est grande : avec un modem, n’importe qui peut relier un ordinateur personnel à une ligne
téléphonique.

Grâce à un logiciel de numérotation téléphonique automatique nommé Shokdial, Nau


appelle chacune des lignes téléphoniques de la Société Boucaniers. Au siège de la société,
les gardiens de nuit entendront sonner successivement les postes sans comprendre de quoi
il retourne.

A 2 heures 57, un modem répond au programme Shokdial : Nau est alors face à une
station de travail de la marque Silicon Graphics : ”Boucaniers SA. Département merca-
tique. Irix 6.3” (Irix est une forme d’Unix). Nau a enfin trouvé une porte d’accès au fief de
Surcouf.

Assez d’élégance ; Nau décide d’utiliser la force. Il exécute un programme qui se connecte
autant de fois que nécessaire pour découvrir le mot de passe d’un compte administrateur,
c’est-à-dire un accès sans restrictions dans ses possibilités d’action, duquel il pourra agir
en toute liberté. Le possesseur de cet ordinateur Irix aura peut-être autorisé la connexion

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 10


Janvier 2005 - version du 18/01/05

à distance sur le compte administrateur.

La recherche de mot de passe commence avec les mots et les noms courants, puis le
programme teste des groupes de signes moins naturels ; l’exploration peut durer des mois,
voire des années. Cependant Nau est chanceux. Vers 5 heures, le prénom ”Nancy” est
identifié : le compte administrateur est accessible !

Nau est ravi. Il crée une fenêtre de dialogue entre lui et le système d’exploitation de
l’ordinateur, d’où il dispose des mêmes pouvoirs que l’administrateur. Puis il renforce
sa position en transférant un programme Root kit pour la discrétion et un programme
Sniffer sur l’ordinateur de sa nouvelle victime : toute saisie et toute connexion seront
enregistrées par le programme Sniffer dans un fichier dissimulé. Le programme Root kit
permet également de créer un chemin d’accès supplémentaire que Nau baptise ”revanche” ;
mot de passe ”MoRtSurCf”.

Nau termine sa nuit en déterminant que le compte administrateur auquel il a accédé


est connecté sur l’ordinateur picasso du réseau boucanum.fr. Grâce au programme Root
kit, l’utilisateur normal de l’ordinateur picasso ne remarquera pas que son ordinateur est
maintenant commandé par quelqu’un d’autre. Surcouf ne détecte qu’une tentative d’in-
trusion dans boucanum.fr à partir du réseau Internet. Ce nouvel incident l’inquiète, mais,
faute d’informations suffisantes, il ne peut rien faire.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 11


Janvier 2005 - version du 18/01/05

Deux nuits plus tard, Nau se connecte sur l’ordinateur picasso et examine les comptes
rendus du programme Sniffer. Toutes les informations concernant le trafic interne du
réseau sont codées, mais le programme Sniffer a enregistré la connexion de quelqu’un, de
l’ordinateur picasso sur un autre ordinateur du nom de fantasia. Nau passe maintenant à
l’abordage d’une nouvelle zone du réseau.

Cet ordinateur fantasia est une station de travail de type SPARC, utilisée pour la création
d’animations en images de synthèse, peut-être des génériques pour la télévision. C’est
certainement un serveur auquel accèdent de nombreux autres ordinateurs. Nau cherche un
fichier de mots de passe. Peut-être en trouvera-t-il certains valables sur d’autres ordinateurs
à l’intérieur du réseau de la société.

Il localise ce fichier, mais n’y trouve que des ”x” : l’information est probablement dissimulée
ailleurs. Peu importe : utilisant le protocole de transfert de fichiers, Nau provoque une
erreur qui oblige fantasia à transférer une partie de sa mémoire vive dans le compte que
Nau s’est créé. Cette procédure est un ”délestage de fichier core” (voir Le délestage d’un
fichier ”core”), qui permet normalement aux programmeurs de découvrir des indices lors
d’une panne de programme. Des mots de passe codés sont parfois stockés dans la mémoire
vive. Lors d’une connexion, l’ordinateur code le mot de passe saisi par l’utilisateur et le
compare aux mots de passe déjà codés du fichier caché. Lorsque les deux coı̈ncident, la
connexion est autorisée. Grâce au délestage, Nau récupère le fichier de mots de passe
codés. Il lance son programme de recherche de mots de passe : il va falloir patienter...

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 12


Janvier 2005 - version du 18/01/05

Impatient, Nau élabore déjà sa prochaine manoeuvre. Avec un système d’exploitation


Unix, lorsqu’un programme fournit trop de données à un espace de mémoire temporaire,
nommé tampon, les informations en excès dépassent la capacité du tampon et s’écoulent
dans d’autres zones de la mémoire de l’ordinateur. Nau utilise ces dépassements de capacité
(voir Le dépassement de capacité d’un TAMPON) pour introduire dans la station de travail
SPARC un programme grâce auquel il peut exécuter d’autres commandes et d’autres
programmes. Ravi de son dernier forfait, Nau installe un autre programme Sniffer et un
autre Root kit. Ce dernier ne masquera son oeuvre qu’une fois activé ; le forban efface donc
les traces de ses premières activités.

Une dernière chose à faire encore. Quelqu’un est-il autorisé à se connecter sur fanta-
sia à partir du réseau Internet ? D’une simple commande qui affiche l’enregistrement de
toutes les connexions sur fantasia, Nau constate que des utilisateurs prénommés nancy et
vangogh sont récemment entrés sur fantasia par le réseau à partir du site pemmican.fr, qui
se situe en dehors du pare-feu de la Société Boucaniers. Au matin, Nau s’effondre, terrassé
par le sommeil, mais satisfait : bientôt, il vaincra la Société Boucaniers.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 13


Janvier 2005 - version du 18/01/05

La mise à mort
Le lendemain soir, Nau se présente sous une fausse adresse informatique chez pem-
mican.fr. Puis, en testant des signaux de synchronisation sur pemmican.fr, il détermine
la valeur de temporisation qu’utilise pemmican.fr et falsifie sa propre origine. Il installe
alors un programme Sniffer sur pemmican.fr et un interpréteur sécurisé pour se connecter
en toute sécurité sur fantasia. Une commande lui fournit la liste des connexions actives
à l’intérieur du réseau de la Société Boucaniers, où il découvre un nouvel ordinateur :
”admin.boucanier.fr”. L’ordinateur de Surcouf ?

Parallèlement, Nau essaie chaque nouveau mot de passe et le nom d’utilisateur as-
socié, découverts par son programme de recherche sur les ordinateurs du site boucanier.fr.
Hélas, aucun ne fonctionne ailleurs que sur fantasia, qu’il a déjà conquis.

Cependant, cette déconvenue est largement compensée par fantasia, qui lui fournit l’en-
registrement de ce qu’a tapé l’utilisateur vangogh lorsqu’il a mis à jour la page Internet
de la société. Nau y trouve le mot de passe nécessaire au piratage de la page Internet
de la Société Boucaniers. Par ailleurs, son programme Sniffer installé sur l’ordinateur
picasso lui indique qu’une certaine Nancy a utilisé cet ordinateur pour se connecter par
une porte dérobée sur le compte administrateur d’admin.boucanier.fr, dissimulée derrière
un programme Root kit.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 14


Janvier 2005 - version du 18/01/05

Il se glisse juste derrière elle et essaie de se connecter sur tous les ordinateurs de
boucanier.fr. Hélas, Surcouf a été prudent : sur le réseau boucanier.fr, même les pouvoirs
d’administrateur n’autorisent pas l’accès à d’autres ordinateurs sans nouveaux mots de
passe. Nau est bloqué. Il retourne à l’assaut du site Internet. De son propre ordinateur, il
installe une nouvelle version du site spécialement préparée.

Aujourd’hui, Surcouf travaille tard, il étudie les comptes rendus où apparaı̂t un nombre
inhabituel de connexions par le système commercial. Que s’est-il passé ? L’aide de l’admi-
nistratrice du système de pemmican.fr, une collègue qui lui est redevable, l’aidera sûrement.

La sonnerie du téléphone retient Surcouf au moment de partir. Un client se plaint de


la séquence pornographique affichée sur le site Internet de la Société Boucaniers. Après
vérification, Surcouf débranche rapidement le câble Ethernet, le cordon ombilical qui relie
la société au réseau Internet.

Nau enrage de voir son chef-d’oeuvre d’obscénité détruit aussi vite. Il s’inquiète également
d’avoir laissé autant de traces derrière lui : il se connecte par modem sur l’ordinateur
picasso - un accès qu’ignore Surcouf - et reformate complètement le disque dur de l’or-
dinateur d’administration du système. Le système de la société est hors service. Surcouf
ne rassemblera aucun indice. Surcouf redémarre rapidement l’ordinateur d’administration,
mais c’est trop tard : il devra complètement réinstaller les logiciels. Cependant, Nau ignore
qu’un programme de détection Etherpeek, installé sur un des ordinateurs du réseau, a

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 15


Janvier 2005 - version du 18/01/05

enregistré ses activités...

Nau est irrité : il noie boucanier.fr sous un flot de données. Peu après, Surcouf reçoit la
plainte d’une représentante de la société qui n’arrive pas à se connecter sur le serveur de
courrier électronique.

Le lendemain, Surcouf, exténué, demande au directeur technique de la Société Bouca-


niers l’autorisation de nettoyer complètement tous les ordinateurs du réseau et de changer
les mots de passe. Cependant, une telle mesure, bien que prudente, nécessiterait l’arrêt du
système pour plusieurs jours. Le directeur refuse.

Nau a franchi depuis longtemps la frontière légale du piratage. Néanmoins, la Direc-


tion de la surveillance du territoire, occupée par plusieurs affaires de piratage de réseaux
d’ordinateurs des facultés et des grandes écoles ne peut aider Surcouf. Il doit rassembler
seul les preuves.

Puisque le forban est resté connecté alors que le système n’était plus relié physique-
ment au réseau de l’Internet, Surcouf soupçonne l’existence d’un modem piraté dans les
bureaux. Son propre numéroteur téléphonique automatique découvre bientôt la brèche
utilisée par Nau.

Il réinstalle alors sur son ordinateur d’administration un système propre, puis met en

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 16


Janvier 2005 - version du 18/01/05

place un logiciel antipirates, nommé T-Sight, qui contrôle tous les ordinateurs du réseau de
la société. Surcouf prépare également un piège : le logiciel T-Sight guettera la prochaine
connexion sur admin.boucanier.fr et dirigera l’intrus sur un ordinateur ”prison” où le cou-
pable sera maı̂trisé et identifié. Surcouf, avec une équipe de programmeurs, camoufle sa
prison en un système multi-utilisateurs et y place des données financières factices en guise
d’appât.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 17


Janvier 2005 - version du 18/01/05

Le comble de l’orgueil
Deux jours plus tard, à 20 heures 17, quelqu’un s’introduit dans l’ordinateur ad-
min.boucanier.fr. C’est Nau ! Pourquoi est-il revenu si tôt ? Nau a beaucoup apprécié - il
en a même ri aux larmes - que les pirates de l’informatique et les chaı̂nes de télévision
parlent de ses talents. Il se sent invincible. Erreur...

Trop pressé, il se connecte sans les précautions habituelles sur pemmican.fr, puis sur
l’ordinateur fantasia. Appâté par le leurre, il se dirige rapidement vers la prison. Au comble
de l’excitation, il examine ce qu’il croit être des données financières importantes.

De son côté, Surcouf analyse rapidement les informations fournies par le programme
T-Sight et obtient le mot de passe que Nau utilise pour pirater fantasia. Il suit ainsi
l’intrus jusqu’à pemmican.fr. L’administratrice de ce réseau, prévenue au restaurant par
son téléphone portable, contacte Surcouf.

Pendant que Nau recopie un énorme fichier contenant des numéros de cartes bancaires
factices, Surcouf installe un programme Sniffer sur pemmican.fr. et consulte le compte de
Nau dans cet ordinateur, car il a négligemment utilisé le même mot de passe pour tous ses
comptes. Quelques minutes avant que Nau ait fini de recopier le fichier et se déconnecte,
Surcouf retrouve le fichier de cartes bancaires volé sur le compte souscrit par Nau.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 18


Janvier 2005 - version du 18/01/05

Les informations obtenues suffisent à la Direction de la surveillance du territoire, qui


contacte le fournisseur et obtient l’identité de Nau. Munie de ces preuves, dont les comptes
rendus détaillés fournis par le programme Etherpeek, le bureau du juge d’instruction délivre
un mandat d’arrêt.

L’appartement de Nau est perquisitionné, et son ordinateur confisqué. Le disque dur


de l’ordinateur révélera tout, même ce qui a été effacé. Un laboratoire identifie ses viola-
tions passées, notamment celle d’une grande institution bancaire parisienne.

Nau est mis en examen pour piratage informatique. Au procès, face à une juge in-
transigeante, Nau tente de négocier un compromis, malgré les dizaines de milliers de francs
de dégâts occasionnés. Peine perdue, Jean Nau, dit l’Olonnais, purge aujourd’hui une peine
de deux ans d’emprisonnement.

Carolyn Meinel est écrivain scientifique spécialiste du piratage informatique.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 19


Janvier 2005 - version du 18/01/05

Un peu d’histoire ...


• 1969 : Naissance d’Unix (version originale par Thomson et Ritchie)
• 1971 : Version 1
• 1972 : Version 2 - Invention de l’email par Ray Tomlinson
• 02/11/1988 : Robert Morris introduit le premier ”ver” informatique
auto-reproductible sur l’Internet et qui se répand sur de nombreuses
machines de type SUN et VAX
• 12/1989 : RFC1135 http://www.cis.ohio-state.edu/htbin/
rfc1135.txt explique les mécanismes de l’attaque du ver ”Morris”
• Depuis 1995 : le trafic Internet double tous les 3 mois
• Un tiers des sociétés françaises ont un site Web. Plus de la moitié
pour les sociétés US.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 20


Janvier 2005 - version du 18/01/05

Quelques chiffres ...


• Nombre d’internautes en France
✓ 2000 : 8.46 millions
✓ 2001 : 11.9 millions
• Nombre d’internautes en Europe
✓ 2000 : 95 millions
✓ 2002 : 148 millions
✓ 2005 : 246 millions

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 21


Janvier 2005 - version du 18/01/05

Quelques chiffres
• 64% des sociétés interrogées ont déclaré avoir des failles de sécurité
(CSI 1998)
• 95% des attaques ne sont pas détectées et ne sont pas signalées. (FBI
1997)
• 1 intrusion sur 3 réussie alors que le site est équipé d’un firewall. (CSI)
• 80% des brèches de sécurité sont interne. (Scotland Yard - CCU)
• 74% des sociétés interrogées ne testent pas la sécurité de leur site
Web. (KPMG 1998)

• Principale raison des incidents informatique :


✓ virus : 76%
✓ acte de malveillance interne : 42%
✓ acte de malveillance externe : 25%
✓ erreurs par inadvertance : 70%
✓ espionnage industriel : ?

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 22


Janvier 2005 - version du 18/01/05

Vente en ligne
• Selon la Sofres, le nombre d’internautes dans le monde ayant acheté
en ligne s’est accru de 50% en un an pour atteindre 15% du total.
• Cette population est évaluée à 350 millions par Telcordia.
• La sécurité des paiements demeure le principal frein au développement
du cybercommerce pour 25% des 42 000 internautes interrogées de
mars à mai 2001.
• Les Américains sont les plus confiants (33% d’internautes acheteurs)
• Les franconautes - bien que plus nombreux qu’auparavant (+5 points
en un an) - ne sont que 12% à consommer en ligne.

Source : Le Monde Informatique

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 23


Janvier 2005 - version du 18/01/05

Évolution du marché mondial de la sécurité


Entre 1998 et 2002

• En baisse :
✓ Antivirus : de 54.6% à 46.9%
✓ Firewall : de 33.1% à 27.1%
✓ Proxy : 3.3% à 2.7%
• En hausse :
✓ Authentification : de 3.5% à 6.8%
✓ VPN : de 2.9% à 12.4%
✓ Outils de détection : de 2.6% à 4.2%

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 24


Janvier 2005 - version du 18/01/05

Exemples d’utilisation d’Internet


• Un puissant média de communication
✓ Web TV
✓ Sites de sociétés, d’associations, ...
✓ Site de presse
✓ Mail, SMS, ...
✓ Bases de données
✓ Site Web perso
• Les nouveaux outils
✓ Intranet
✓ WAP, téléphonie
✓ PDA connecté (ex Palm Pilot)

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 25


Janvier 2005 - version du 18/01/05

Exemples d’utilisation d’Internet (2)


• Commerce en ligne
✓ Tourisme : réservation de billets de spectacles, de voyage
✓ Paiement en ligne
✓ Grande distribution : http://www.telemarket.fr
✓ Banque, bourse
• Bientôt ...
✓ Consultation en ligne : banquier, notaire, avocat
✓ Médecine en ligne : consultation + échange du dossier médical

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 26


Janvier 2005 - version du 18/01/05

La sécurité : problématique
• Audit de sécurité • Se protéger à l’intérieur
✓ Quels sont les machines uti- ✓ Connaı̂tre les personnes de
lisées l’entreprise
✓ Quels type de réseaux, ✓ Autorisation - exclusion : Cf
✓ Quels sont les systèmes, politique interne
✓ Quels type d’applications ✓ Qui fait quoi ?
• Se protéger des intrusions • Avec quoi se protéger ?
✓ Quelles sont-elles ? ✓ Connaı̂tre les outils de
✓ Les types d’intrusion sécurisation
✓ Les journaux (logs) ✓ Connaı̂tre les outils d’audit
✓ Caractériser les tentatives, les ✓ Connaı̂tre les fonctionnalités
comportements douteux de filtrage des éléments actifs
du réseau

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 27


Janvier 2005 - version du 18/01/05

En résumé : la méthode
• 1. Analyser les besoins et les risques ➠ audit de l’architecture
• 2. Déterminer les outils et les techniques à utiliser : adopter une
politique de sécurité
✓ Stratégie des mots de passe
✓ Gestion des accès
✓ Gestion des certificats et des signatures
✓ Gestion des clés
• 3. Mettre en place la tracabilité ➠ mise en place de journaux (logs),
outils de surveillances

oublier une étape = 0 sécurité

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 28


Janvier 2005 - version du 18/01/05

L’intégrité
• Les 4 propriétés de l’intégrité sont :
✓ Non-modification
✓ Non-suppression
✓ Non-rajout
✓ Non-création

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 29


Janvier 2005 - version du 18/01/05

On sécurise après ... mais il est trop tard !


• Grande confiance dans les éditeurs de logiciel (Cf : Microsoft et PPTP
http://www.counterpane.com/pptp-faq.html)
• Politique de l’autruche : tant que l’on a rien détecté on ne s’inquiète
pas !
✓ Votre site web a-t-il été attaqué au cours des 12 derniers mois
(Source FBI)
☞ OUI : 47%
☞ NON : 20%
☞ Ne sait pas : 33%
• Niveau technique insuffisant
• Pas de veille technologique dans le domaine
• Il faut que ça marche, pas de vision à long terme
• Mauvaise classification des risques

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 30


Janvier 2005 - version du 18/01/05

C’est facile d’être un cracker ? ... Oui !


Fort Sophistication des outils de piratage

Niveau de compétences requis

Faible

1980 1985 1990 1995 2000 Source : Philippe Jouvelierl

Fig. 1: Piratage vs compétences

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 31


Janvier 2005 - version du 18/01/05

Les besoins de sécurité dans le temps


• La connexion à Internet
✓ ADSL, câble, ISDN, ...
✓ Firewall, masquerader
✓ Politique d’accès
• Le changement d’architecture
✓ Fermée à ouverte
✓ Méthodologie d’accès
• La connexion Extranet
✓ Protection aux accès distants
✓ Méthodologie d’accès
✓ Sectorisation du réseau interne

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 32


mail
Janvier 2005 - version du 18/01/05

33
DMZ

Emmanuel.Lochin@lip6.fr
WWW

       
       
LAN

       
       
       
       
       
       
       
                                     
Connections à Internet

                             
                             
                             
                             
                             
                             
                             
                             
@

                             
                             
                             
                             
                                                       
                                                       
                                                         

RTC
                                                         
                       
                                  




Laboratoire d’Informatique de Paris 6


                                                       
                                                       
                                                        

                                                         
                                                        
                                                       

RNIS
                         
                         
LAN
                         
                         
                         
                           
   
                             
   
                             
 
                         
Janvier 2005 - version du 18/01/05

Les attaques
• Attaques sur les bases de données de mots de passe
• Découvertes de la topologie réseau ➠ savoir où attaquer
• Le sniffing : analyse des protocoles ➠ écouter, analyser puis modifier
ou créer car on connaı̂t la structure de l’application C/S
• Le spamming : on inonde de message votre boite aux lettres
• Le spoofing (attaque par masquerade) : on prend l’identité de quel-
qu’un
• Le flooding (attaque TCP SYN) : on inonde une interface
• Le rejeu (conséquence du spoofing)
• Déni de service (conséquence du flooding)
• Cheval de troie
• Virus

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 34


Janvier 2005 - version du 18/01/05

Les virus
• Fléau toujours d’actualité et surtout (voire uniquement) présent dans
le monde Windows
• Historiquement : existence de quelques virus et vers Unix, Novell,
Linux
• Possèdent une classification selon leur degré de pénétration et une
autre selon leur de dangerosité
• Quelques récents exemples :
✓ 18 juillet 2001 : CodeRed : exploit sur IIS. Parcourt les @IP
aléatoirement pour se reproduire et tente des attaques par déni de
service
✓ 25 juillet 2001 : Sircam : propagation par email infecté. Dispose
de son propre serveur SMTP pour se propager et collecte sur votre
client mail les adresses de ses prochaines victimes.
✓ 18 septembre 2001 : Nimda : cumule les meilleures techniques
d’intrusion, premier ver à se répandre (entre autre) par des sites
web. C’est le ver le plus rapide

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 35


Janvier 2005 - version du 18/01/05

Les virus - suite

Type d’infection | 1996 1997 1998 1999 2000 2001


-----------------+------------------------------------
Vers | 0 0 0 4 5 8
Macro | 1 3 4 5 5 2
Boot | 5 6 4 0 0 0

Source : CNET/Security Portal, MessageLabs, Sophos


• Une vingtaine en 1989 ➠ 6000 en 1995. Aujourd’hui 80000 virus
connu,
• Un email sur 2 sera infecté d’ici 2014,
• Le record de propagation : Slammer (Sapphire), qui avait infecté
350000 machines en 10 minutes le 25/01/03,
• SoBig F a lui généré 2,6 emails en 24h00.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 36


Janvier 2005 - version du 18/01/05

Les virus - suite


• 33% des internautes sont infectés par un spyware ou un cheval de
Troie (EarthLink & Webroot) ;
• 20 minutes : c’est la durée de survie d’un PC non protégé contre les
virus au lieu de 40 minutes en 2003 (Internet Storm Center) ;
• 35 milliards de spams envoyés en 2004 contre 15 milliard en 2003.
• 75000 euros d’amendes et 5 ans de prisons : peine pour un diffuseur
volontaire de virus.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 37


Janvier 2005 - version du 18/01/05

Chevaux de Troie
• Définition : programme ou code non autorisé, placé dans un pro-
gramme sain, soit par ajout soit par modification du code existant.
• en raison des fonctions qu’il peut exécuter il peut s’apparenter à un
virus
• à la différence du virus, il n’est pas nuisible pour le système, c’est plus
un espion
• ses fonctions sont par exemple :
✓ voler des mots de passes
✓ voler des fichiers en les copiant

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 38


Janvier 2005 - version du 18/01/05

Accès cachés ➠ backdoor


• s’apparente à un cheval de Troie
• permet à un utilisateur informé d’effectuer une action secrète sur un
logiciel
• ou encore : trappe ouverte sur un système par exemple : modification
du /bin/login pour qu’il ne prenne pas en compte /etc/passwd
• présent dans les root-kits
• à ne pas prendre à la légère de nombreux programmes ont une
backdoor ”standard”
• comment détecter un root-kit : utiliser un algorithme d’empreinte tel
MD5
• utilisation de logiciels spécialisés comme CHKROOTKIT : http:
//www.chkrootkit.com

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 39


Janvier 2005 - version du 18/01/05

Les précautions à prendre


• Être au courant des nouveaux virus en s’abonnant à une mailing list
d’éditeurs de logiciels anti-virus afin d’appliquer les patchs nécessaire.
• Utiliser des antivirus différent sur la passerrelle (ex : procmail security)
et sur les postes de travail (Mc Affee, Norton ... pour le monde
Windows)
• Interdire tout contenu exécutable (exe, VBS, ...)et filtrer le code
HTML des emails. Envoyer et recevoir en TEXTE !
• Ne pas autoriser les exécutions de scripts sur les postes de travail
• Utiliser des clients de messagerie et des navigateurs n’utilisant pas
ActiveX (technologie propriétaire Microsoft)

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 40


Janvier 2005 - version du 18/01/05

Le déni de service
• Réel fléau au mettre titre que les bombes email
• Paralyse tout les hôtes exécutant la pile TCP/IP
• Novembre 1988 : affaire Morris, plus de 5000 machines paralysées
pendant plusieurs heures
✓ attaque du ver par débordement de tampon.
✓ à l’époque ➠ désastre pour les centres de recherche et universitaire,
✓ aujourd’hui ➠ plusieurs millions de francs de pertes.
• On en trouve maintenant plein l’Internet :
✓ http ://www.rootshell.com : bonk.c
✓ http ://www.rootshell.com : land.c
✓ etc

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 41


Janvier 2005 - version du 18/01/05

L’IP sniffing
• consiste pour un intrus à ”écouter” le trafic en transit sur le réseau
✓ pour prendre connaissance du contenu des messages mails
✓ mot de passe
✓ conversation secrète non protégée
• peut être réalisé en interne sur une station de travail
• il faut être sur le réseau à analyser
• outil utilisé aussi par les administrateurs pour déboguer le réseau
comme :
✓ tcpdump
✓ ethereal
✓ sniffit
• toute communication devrait s’effectuer par ssh
• personne ne doit être root pour passer la carte réseau en promiscuous
mode ➠ detecteur de promiscuous mode

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 42


Janvier 2005 - version du 18/01/05

L’IP spoofing
• On usurpe l’identité d’une personne
• But : établissement d’une communication en se faisant passer pour
quelqu’un d’autre
• Insérer des données dans une communication existante
• Faisable en :
✓ modifiant son adresse matérielle et en prenant celle de l’émetteur
✓ création de messages ICMP en vue de rediriger des paquets IP vers
la station de l’intrus.
✓ compromission du DNS
✓ etc

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 43


Janvier 2005 - version du 18/01/05

L’IP flooding
• c’est un déni de service
• inondation d’une destination par des paquets IP
• But : empêcher la station de traiter les paquets légitimes
• cas d’utilisation de TCP/IP : attaque SYN flooding
✓ inondation de SYN : demande d’ouverture de connexion TCP
✓ pour chaque SYN reçu : renvoi d’un SYN ACK et conservation en
mémoire de l’ensemble des connections en attente d’un ACK du
client
✓ la mémoire se remplit, elle possède une taille finie ➠ satura-
tion et impossibilité d’accepter d’autres demandes d’ouverture de
connexion
✓ combiné à l’IP Spoofing, en usurpant l’identité d’une station cliente,
le serveur accepte comme légitime la connexion.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 44


Janvier 2005 - version du 18/01/05

Attaques sur les codes binaires


• buffer overflow ➠ mailing-list http://www.cert.org ➠ MAJ
immédiate
-----BEGIN PGP SIGNED MESSAGE-----

NetBSD Security Advisory 2003-009


=================================

Topic: sendmail buffer overrun in prescan() address parser

Version: NetBSD-current: source prior to Mar 30, 2003


NetBSD 1.6: affected
NetBSD-1.5.3: affected
NetBSD-1.5.2: affected
NetBSD-1.5.1: affected
NetBSD-1.5: affected
pkgsrc: prior to sendmail-8.12.9

Severity: Remote root compromise

Fixed: NetBSD-current: March 30, 2003


NetBSD-1.6 branch: March 30, 2003 (1.6.1 will include the fix)
NetBSD-1.5 branch: April 1, 2003
pkgsrc: sendmail-8.12.9 corrects this issue

Abstract
========

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 45


Janvier 2005 - version du 18/01/05

- From the CERT advisory:

There is a remotely exploitable vulnerability in sendmail that


could allow an attacker to gain control of a vulnerable sendmail
server. Address parsing code in sendmail does not adequately check
the length of email addresses. An email message with a specially
crafted address could trigger a stack overflow. This vulnerability
was discovered by Michal Zalewski.

This vulnerability is different than the one described in CA-2003-07.

It is a different vulnerability than NetBSD SA2003-002.

(...)

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 46


Janvier 2005 - version du 18/01/05

Les parades
• Au niveau ...
✓ échange des données
☞ Le chiffrement (par l’utilisation de ssh, sftp) : un algorithme
de chiffrement nous donne la certitude de la réception ➠ seule
la personne à qui est destinée le message est capable de le
déchiffrer.
☞ L’authentification : un algorithme d’authentification nous donne
la certitude de l’émetteur. A ne pas confondre avec l’identifica-
tion qui n’est pas une preuve de l’identité.
☞ La non répudiation (preuve de l’origine : X509, preuve de la
remise : horodatage)
☞ MD5 (intégrité des données)
✓ réseau
☞ Le contrôle d’accès
☞ L’authentification
☞ Firewall
☞ Les journaux

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 47


Janvier 2005 - version du 18/01/05

Utiliser SSH
• existe en version libre http://www.openssh.org et version commer-
ciale http://www.ssh.com libre pour une utilisation personnelle.
• Attention ! N’est pas à l’abri de bug de version : Cf bug CRC32
• Deux versions SSH1 et SSH2
• SSH1 utilise RSA et SSH2 RSA et DSA
• Possibilité de redirection de ports et de tunneling
• Existe un SSF pour le territoire français plus d’actualité maintenant

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 48


Janvier 2005 - version du 18/01/05

SSH1 vs SSH2
SSH 1 SSH2
------------------------------------------------------------------------------
conception monolithique séparation des couches authentification
connexion et transport

intégrité via CRC32 peu fiable intégrité via HMAC (hash cryptographique)

un seul canal par session nombre indéterminé de canaux par session

négociation du seul chiffrement négociations plus détaillées (chiffrement


symétrique du tunnel, clé de session symétrique, clés publiques, compression)
unique pour les deux sens clés de session, compression, intégrité
séparées dans les deux sens

RSA seulement pour l’algo clé-pub RSA et DSA pour l’algo clé-pub

clé de session transmise par le clé de session négociées avec un protocole


client Diffie-Hellman

clé de session valable pour toute clés de sessions renouvelées


la session

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 49


Janvier 2005 - version du 18/01/05

Les algorithmes de chiffrement


• En cryptographie deux familles de chiffrement existent :
✓ Les algorithmes symétriques
☞ ils utilisent la même clé pour chiffrer et déchiffrer le message
☞ il faut donc un canal sécurisé d’échange de la clé, ce canal n’est
pas forcément informatique (rencontre, enveloppe cachetée)
☞ DES (Data Encryption Standard)
✓ Les algorithmes asymétriques
☞ ils utilisent un couple de clés : une publique et une privée
☞ la clé privée n’est connue que par une et une seule entité
☞ la clé publique est largement diffusée au sein du réseau.
☞ RSA (Rivest Shamir Adleman) : repose sur des problèmes
mathématiques utilisant la théorie des modulos et des nombres
premier.
✓ On utilise RSA pour l’établissement de la communication et une
clé DES pour l’échange de l’information.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 50


Janvier 2005 - version du 18/01/05

Le chiffrement de Vernam - 1917


• utilisé comme clé pour le chiffrement symétrique
• méthode pouvant être inviolable principe du masque jetable (ou
chiffrement de Vernam)
• utilisé une seule et unique fois
• longueur masque = longueur message
• masque est composé de lettres alphabétiques aléatoire
• problème : pas ”scalable”
• message de 20Mo ➠ clé de 20Mo

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 51


Janvier 2005 - version du 18/01/05

chiffrement par substitution


• plus une technique générique qu’une catégorie d’algo
• chaque lettre du message est remplacé par une autre suivant une règle
précise
• la règle peut être une phrase appliquée comme masque, un décalage,
...
• algorithme de Jules César, décalage de 3
• faible niveau de sécurité : cassable par analyse de la répétition des
motifs car il conserve l’ordre des caractères du texte en clair
• on augmente le niveau avec la substitution poly-alphabétique ➠ la
position de chaque lettre correspond à un alphabet de déchiffrement

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 52


Janvier 2005 - version du 18/01/05

exemple de chiffrement par transposition


• c’est un codage changeant l’ordre des caractères sans les déguiser
• clé ➠ crypto
• texte ➠ ”Seriez vous capable de décrypter ce texte”

CRYPTO

SERIEZ
VOUSCA
PABLED
EDECRY
PTERCE
TEXTE

• Nous donne chiffrer verticalement :

SVPEPTREOADTEYRUBEEXPISLCRTTECERCEOZADYE

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 53


Janvier 2005 - version du 18/01/05

Casser un cryptogramme
• Attaque statistique : il faut connaı̂tre la langue du langage, pour la
France on a :
✓ A : 8.4%
✓ B : 0.8%
✓ C : 3.3%
✓ etc
• Attaque en texte chiffré : l’attaquant possède plusieurs texte chiffré
avec la même clé et essaie de déduire le texte et si possible la clé du
message par correspondance
• Attaque en texte clair connu, idem que ci dessus mais possède le
message déchiffré
• etc

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 54


Janvier 2005 - version du 18/01/05

DES : Data Encryption Standard


• Standard assez ancien ➠ date du début des années 1960, ayant
finalement bien tenu
• Arrivée de la technologie des circuits intégrés ➠ travail sur des circuits
combinatoires complexes permettant d’automatiser :
✓ la méthode de substitution
✓ la méthode de transposition
• Utilisation du DES en cascade ➠ 3DES
• Excellente performance en vitesse de cryptage
• Niveau de sécurité pour une solution à clés privées très correct pour
des applications ne nécessitant pas une confidentialité de haut niveau
(militaire)
• Le DES 56 est probablement peu sûr pour un attaquant ayant de gros
moyens mais performant et trop coûteux à casser pour des applications
habituelles.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 55


Janvier 2005 - version du 18/01/05

IDEA : International Data Encryption Algorithm


• Autre solution de chiffrement par blocs de 64 bits basé sur 8 étages
facilement réalisable de manière matérielle ou logicielle
• Considéré par les spécialistes comme l’un des meilleurs cryptosystème
à cèle privée
• Longueur de clé élevée : 128 bits
• Selon les circuits chiffrement et déchiffrement coûteux
• Les attaques semblent difficile mais le système est assez récent : 1990

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 56


Janvier 2005 - version du 18/01/05

RSA : Rivest Shamir Adelman


• Révolution dans la cryptographie : la cryptographie à clef publique
• On calcule n = pq
• Algorithme complexe basé sur la complexité de factoriser un grand
entier n avec deux entiers premiers (p, q). n ayant pour taille : 320,
512, 1024 bits.
• La taille conditionne bien évidemment la lenteur de l’algorithme
• Génération d’une clé publique et privée
• Problèmes du RSA :
✓ trouver de manière probabiliste de grande nombres premiers
✓ choisir des clés publiques et secrètes assez longues
✓ réaliser des opérations mathématiques complexes rapidement
✓ méthode sûre si l’on respecte certaines contraintes de longueur de
clé et d’usage
✓ personne depuis 2500 ans n’a trouvé de solution rapide au problème
de factorisation

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 57


Janvier 2005 - version du 18/01/05

KERBEROS
• protocole d’authentification d’une partie tierce de confiance développé
par le MIT
• il ne fait pas de chiffrement
• basé sur une cryptographie empêchant un attaquant d’écouter le
dialogue d’un client à son insu afin de se faire passer pour lui plus
tard
• il permet de prouver son identité à un serveur sans envoyer de données
dans le réseau
• ainsi un tiers ne peut découvrir le code d’authentification

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 58


Janvier 2005 - version du 18/01/05

PGP

Annuaire des
clés publiques

Clé A
Clé B
Clé Z

A B
Clé privée Clé privée

Fig. 2: PGP

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 59


Janvier 2005 - version du 18/01/05

Arithmétique des clés


Hyp : Soit A et B possédant chacun une clé publique et et une clé privée

KPAubKPAri[Texte ] = Texte
KPAriKPAub[Texte ] = Texte
KPAubKPAub[Texte ]#Texte
KPAriKPAri[Texte ]#Texte

Codage Décodage
KPBubKPAri[Texte ] KPAubKPBri[Texte ]
KPAubKPBri[Texte ] KPBubKPAri[Texte ]
KPAubKPAub[Texte ] KPAriKPAri[Texte ]
KPAriKPAri[Texte ] KPAubKPAub[Texte ]
Tab. 1: Codage et décodage.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 60


Janvier 2005 - version du 18/01/05

La signature électronique
• Relativement simple à mettre en oeuvre
• On signe avec sa clé privée
• Le récepteur vérifie l’identité en appliquant au message
✓ sa clé secrete (pour déchiffrer le message)
✓ puis la clé publique de l’émetteur
• La clé publique de l’émetteur provenant de l’autorité de certification
se porte garante du couple identité/certificat.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 61


Janvier 2005 - version du 18/01/05

Signature (suite) : X509


• Norme datant de 1988 révisée en 1993 afin d’augmenter son efficacité
• Environnement d’authentification ISO
• L’algorithme RSA a été recommandé mais pas imposé
• Structure les certificats

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 62


Janvier 2005 - version du 18/01/05

Signature (suite) : PKCS


• Public Key Cryptography Standard
• Effort de standardisation de la société : RSA Data Security avec l’aide
de Netscape et Sun ...
• PKCS comporte plusieurs sections :
✓ PKCS#1 décrit une méthode de chiffrement/déchiffrement RSA
✓ PKCS#3 description de l’échange des clefs selon Diffie-Hellman
✓ PKCS#5 méthode de chiffrement à clef secrete
✓ PKCS#6 décrit le format de certificat se superposant à X509. On
peut extraire un certificat X509 de PKCS#6.
✓ PKCS#8 décrit le format des clefs privées
✓ PKCS#10 définit la syntaxe d’une demande de certificat
✓ PKCS#11 API
✓ PKCS#12 Format de stockage de toutes les infos couvertes par les
niveaux précédents.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 63


Janvier 2005 - version du 18/01/05

Privacy-Enhanced Mail
• PEM est un standard de l’IETF : RFC 1421, 1422, 1423, 1434
• C’est une surcouche d’X 509
• Définit la manière et la technique d’échanger des messages de manière
sûre
• Il couvre :
✓ le chiffrement
✓ l’authentification
✓ l’intégrité des messages
✓ la gestion de clefs
• Actuellement : grosse utilisation de PGP dans les clients mails

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 64


Janvier 2005 - version du 18/01/05

Sécuriser les formulaires avec SSL


• Certificats
✓ c’est une attestation crée et remise par une autorité fournissant la
preuve que la clé publique appartient à un détenteur légitime
✓ rôle : garantir l’identité de leur détenteurs ➠ en fait : garantie
d’être sur le vrai serveur.
✓ garantie liée au tiers certificateur car émis et signé par un tiers de
confiance
✓ port 443 : https
✓ chiffrement des données entre le serveur et le navigateur
✓ Il est associé à une clé publique
✓ La clé privée n’est jamais divulguée par le détenteur du certificat
✓ Les certificats sont stockés dans un annuaire.
• il permet :
✓ L’identification/l’authentification, l’horodatage.
✓ La signature électronique et la non répudiation.
✓ Le chiffrement et la confidentialité à l’aide des tunnels ”VPN”

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 65


Janvier 2005 - version du 18/01/05

Sécuriser les formulaires avec SSL (2)


• La confiance
✓ Il faut avoir confiance en l’autorité de certification
✓ Délivré par Verisign, GTE, Axenet(France), une société (pour son
usage propre)
• Comment obtenir un certificat ?
✓ On génère un couple de clé pri — clé pub
✓ Envoi d’une demande de certificat à l’autorité de certification (CA)
➠ seulement la clé publique
✓ Le CA doit valider l’utilisateur et génère le certificat
✓ Le certificat peut être alors diffusé par l’utilisateur ou la CA

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 66


Janvier 2005 - version du 18/01/05

Autorité de certification (CA)


• peuvent avoir une ou plusieurs des missions ci-dessous
✓ authentification
✓ certification de la signature électronique
✓ certification des paiements : dans ce cas, le CA doit posséder un
accord avec un établissement bancaire

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 67


Janvier 2005 - version du 18/01/05

Sécuriser son Web avec SSL


• La sécurité sur http a considérablement évolué
• L’avancée principale a été le développement de protocoles sécurisés,
le plus intéressant : Secure Socket Layer
• Protocole sécurisé SSL
✓ Protocole développé par Netscape Communications
✓ Système trois-tiers qui emploie le cryptage RSA et DES ainsi qu’un
contrôle d’intégrité basé sur MD5
✓ Un document intitulé The SSL Protocol (IDraft), a été écrit par
Alan O. Freier et Philip Karlton (Netscape Communications), avec
Paul C. Kocher.
☞ http://home.netscape.com/eng/ssl3/ssl-toc.html
• SSL utilise une technique de chiffrement à clef publique.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 68


Janvier 2005 - version du 18/01/05

Sécuriser son Web avec SSL (2)


1. Pour sécuriser la connexion, le serveur envoie au client une clef publique
que celui-ci utilisera pour chiffrer les données que seul le serveur pourra
déchiffrer avec sa clef privée.
2. Éventuellement, et à la demande du serveur, le client peut à son tour
envoyer sa clé publique afin d’effectuer une authentification mutuelle et
s’assurer de l’identité de chacun.
3. Enfin, le client et le serveur négocient et partagent une clef et une
méthode de chiffrement pour le transferts des données : c’est la clé de
session.
• Il existe une implémentation libre de SSL nommée OpenSSL
• C’est une bibliothèque regroupant toutes les fonctionnalités SSL
• Ce n’est pas l’unique implémentation libre, il existe également SSLeay
✓ Les sources sont disponibles sur les sites suivant
☞ http://www.openssl.org
☞ http://www.ssleay.org

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 69


Janvier 2005 - version du 18/01/05

Apache versus IIS

• http://solutions.journaldunet.com/0212/021218\_web.shtml

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 70


Janvier 2005 - version du 18/01/05

HTTPS
• HTTPS est le terme utilisé pour définir un protocole HTTP over SSL
• le flux transitant entre le client et le serveur est alors chiffré
• Différence entre HTTP dialoguant sur le port 80 et HTTPS dialoguant
sur le port 443
• Il existe de nombreuses implémentations d’HTTPS dont des
implémentations libre
✓ On peut les trouver aux adresses suivante :
☞ http://www.modssl.org
☞ http://www.apache-ssl.org
✓ le site officiel du serveur apache étant à l’adresse :
☞ http://www.apache.org
• mod ssl est une dérivation d’apache-ssl et s’utilise semble t-il prati-
quement de la même manière

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 71


Janvier 2005 - version du 18/01/05

Sécuriser les échanges : les VPN


• Pourquoi utiliser un VPN plutôt qu’une LS ? Le coût.
• Internet : vaste champs de connections à sécuriser.
• Transfix, X25, LS FT
• IPSec
• Peut être combiné à un rappel automatique
• Utilisable au niveau :
✓ physique : réseau radio, Wi-Fi, cellulaire
✓ niveau 2 : cryptage ATM, Frame relay
✓ niveau 3-4 : IPSec
✓ niveau applicatif : SSL (tunnels SSH), PGP, S/MIME, ECommerce
• Principaux protocoles de VPN :
✓ PPTP : Point to Point Tunneling Protocol de Microsoft
✓ L2F : Layer Two Forwarding de Cisco
✓ L2TP : Layer Two Tunneling Protocol de l’IETF (PPTP+L2F)

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 72


     
   
     
   
     
   
     
   
     
   
Janvier 2005 - version du 18/01/05

73

Emmanuel.Lochin@lip6.fr

Les concentrateurs VPN

Fig. 3: Concentrateurs VPN

Routeur


   

   

   

   
    
    
    
    
Firewall

    
    
    
    
    
    

Laboratoire d’Informatique de Paris 6


    
    
    
    

Concentrateur VPN
LAN
Janvier 2005 - version du 18/01/05

IPSec : IP Security Protocol


• Standard défini par l’IETF concernant :
✓ authentification et intégrité (pour contrer l’IP Spoofing )
✓ confidentialité par l’utilisation du chiffrement (afin de contrer le
sniffing )
✓ protection contre le rejeu d’informations
• Il fonctionne suivant deux modes :
✓ Tunnel : paquets IP encapsulés et chiffrés dans un nouveau paquet
IP
✓ Transport : protection des données transportées dans le paquet IP

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 74


Janvier 2005 - version du 18/01/05

IPSec : IP Security Protocol


• Pour assurer ces services, IPSec utilise deux mécanismes :
✓ AH - RFC 2402 : Authentification Header, il contient une somme
de contrôle, un numéro de séquence afin d’éviter le rejeu. Pour le
mode Tranport, il y a insertion du champs AH
✓ ESP - RFC 2406 : Encapsulating Security Payload, permet de
garantir l’intégrité, l’authentification et la confidentialité des data-
grammes. Un entête ESP est placé après l’en tête IP et les reste
du datagramme est chiffré
• Problème ➠ incompatibilité avec le NAT

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 75


Janvier 2005 - version du 18/01/05

Transaction électronique et sécurité


• Cybercad : d’Europay France en collaboration avec le CA. Seul
système avec signature électronique ➠ pas de répudiation possible.
• E-COM : dispositif de paiement sécurisé par carte à puce. Il a été défini
par le Groupement des Cartes Bancaires qui a adapté le protocole SET
(Secure Eletronic Transaction) développé par Mastercard et VISA et
reconnu mondialement.
• Cybermut : du Crédit Mutuel. Possède son propre serveur d’authenti-
fication SSL : https ://www.credimutuel.fr. Un contrat est signé entre
le commerçant, le CM et l’hébergeur (ALLNET)
• Télécommerce : de FT. La sécurité est assurée par FT qui fait office
de tiers de confiance entre le commerçant et le client.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 76


Janvier 2005 - version du 18/01/05

Sécurité et réseaux sans-fil


• WiFi, Hyperlan, BlueTooth
• problèmes :
✓ des écoutes ➠ chiffrement
✓ de l’accès au réseau sans-fil ➠ identification et authentification du
client et du réseau
• sécurité pour assurer une QoS sur le réseau
• contrôle de la bande passante

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 77


Janvier 2005 - version du 18/01/05

Firewall
• Firewall : dans un immeuble, structure protégeant du feu
• Firewall ne protège pas de tout. Politique de sécurité.
• Il est utilisé :
✓ Pour maintenir les intrus dehors
✓ Pour maintenir les gens dedans

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 78


Janvier 2005 - version du 18/01/05

79Emmanuel.Lochin@lip6.fr
Local Area Network

Local Area Network


Qu’est-ce que c’est ?

Firewall

Firewall

Laboratoire d’Informatique de Paris 6


Local Area Network
                                  
                                  
                                  
                                  
                                  
Internet @
                                  
                                  
                                  
                                  
                                  
                                  
                                  
                                  
                                  
                                  
                                  
Janvier 2005 - version du 18/01/05

Quelques définitions
Passerelle : dispositif assurant la jonction entre un réseau local et un
réseau externe.

Routeur : passerelle à protocoles identiques.

Proxy : relaye des requêtes HTTP, FTP, Telnet, ... vers les serveurs
de l’Internet. Ce serveur est spécifique à un service internet particulier, on
trouve donc des proxy ftp, proxy web, proxy telnet ... Permet le caching en
option. Dans la pratique, on rencontre surtout des proxy web.

Reverse proxy : pour les extranets ➠ relaye des requêtes vers des
serveurs interne.

Caching : mise en cache des informations HTTP.

Masquerader : serveur masquant un réseau local de l’Internet.

Firewall : serveur protégeant un réseau interne d’un réseau externe et


possédant les propriétés suivantes :

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 80


Janvier 2005 - version du 18/01/05

Propriétés du firewall
• Toute communication de l’extérieur vers l’intérieur et inversement doit
passer par le firewall,
• Seules les communications autorisées définies par la politique locale
de sécurité pourront passer,
• Le firewall, lui-même, est immunisé contre les intrusions.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 81


Janvier 2005 - version du 18/01/05

Types de pare-feux
1. Pare-feux filtrants : pare-feux IP bloquant tout le trafic sauf celui
sélectionné. Accès transparent. Combinable au masquerading. Équivalent
à un routeur avec filtre.
2. Serveurs mandataires (proxy, bastions) : ils réalisent les connexions
réseaux à votre place. Serveur indirect : SOCKS, TIS, FWTK, ... Ils
sont difficiles à configurer et ne sont pas transparents pour l’utilisateur.
(configuration HTTP et FTP pour passer par le proxy)

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 82


Janvier 2005 - version du 18/01/05

Pare-feux filtrants
• Ils fonctionnent au niveau réseau,
• On autorise l’entrée ou la sortie de données si autorisation,
• On filtre les paquets en fonction de leur type, source, destination et
port, champs TOS.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 83


Janvier 2005 - version du 18/01/05

Pare-feux filtrants (2)

• Ils sont assimilables à un routeur ➠ bonne connaissance d’IP.


• L’analyse des données étant faible, ils sont peu gourmands en ressources.
• Pas de contrôle par mot de passe.
• En plus de l’information des en-têtes de paquet on connaı̂t l’interface d’entrée :
✓ cela permet de détecter les tentatives de masquerading,
✓ l’écriture correcte des règles et donc la séparation des sous-réseaux.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 84


Janvier 2005 - version du 18/01/05

85
• Également connu sous le nom de Network Address Translation, permet

alors comme la seule IP (et donc la seule machine) connectée au


de cacher un ensemble de machines derrière une passerelle apparaissant

192.168.1.3/24
192.168.1.100

Emmanuel.Lochin@lip6.fr
192.168.1.2/24
192.168.1.100

192.168.1.1/24
192.168.1.100
192.168.1.100
Le Masquerading

• Attention ! Ce n’est pas du routage.

Masquerader
132.221.125.10

Laboratoire d’Informatique de Paris 6


                                 
                                 
                                 
                                 
                                 
                                 

Internet @
                                 

réseau.
                                 
                                 
                                 
                                 
                                 
                                 
                                 
                                 
                                 
Janvier 2005 - version du 18/01/05

Rappel sur l’adressage IP


Classe A : 1.0.0.0 à 126.0.0.0 / 8 ou 255.0.0.0

Classe B : 128.0.0.0 à 191.255.0.0 / 16 ou 255.255.0.0

Classe C : 192.0.0.0 à 223.255.255.255 / 24 ou 255.255.255.0

Classe D : 224.0.0.0 : Multicast

Classe E : 240.0.0.0 : Expérimental

IP non routable, dite privée [RFC 1597] :

• 10.x.x.x / 8
• 172.16.1.x / 16 à 172.16.31.x / 16
• 192.168.1.x / 24

Les autres adresses sont dites routables et donc présente sur Internet

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 86


Janvier 2005 - version du 18/01/05

IP privée IP publique ... pourquoi faire ?

Mauvaise config Bonne config

Sous-réseau : 217.16.6.0 / 24 Sous-réseau : 192.168.1.0 / 24


Passerelle : 217.12.6.100 Passerelle : 192.168.1.100
Étendue : 217.16.6.1/24 à 217.16.6.25/24 Étendue : 192.168.1.1/24 à 192.168.1.25/24

En effet, nslookup www.yahoo.fr renvoie : 217.12.6.25

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 87


Janvier 2005 - version du 18/01/05

Possibilité de connexion
• Bien se protéger c’est tout interdire (telnet, ftp, finger) sur le firewall.
Pas de port ouvert, pas de connexion possible. Mais aussi réfléchir à
la politique de sécurité :

- Ce qui n’est pas explicitement autorisé est interdit ... ou

- Ce qui n’est pas explicitement autorisé est interdit ?


• Voir les fichiers /etc/services et /etc/inetd.conf
• Attention aux requêtes DNS.
• Utilité de NTP (Network Time Protocol) pour synchroniser les serveurs
entre eux et avoir des journaux cohérents.
• SMTP, POP3, tout dépend de l’emplacement des serveurs
• N’UTILISER QUE SSH (Secure Shell) et SCP (Secure Copy) pour
se connecter.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 88


Janvier 2005 - version du 18/01/05

La Demilitarized Zone (DMZ)


• Zone non soumise au contrôle du firewall
• Peut être utilisée pour les serveurs DNS, FTP, mail, www et les
machines “ouvertes” en général.
• La DMZ est en autarcie. Pas de connexion au sous-réseau local
possible depuis une machine de la DMZ.
• Non obligatoire, peut contenir une machine leurre.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 89


Janvier 2005 - version du 18/01/05

90
192.168.1.3/24
192.168.1.100

Emmanuel.Lochin@lip6.fr
192.168.1.2/24
192.168.1.100

192.168.1.1/24
192.168.1.100
192.168.1.100
DMZ (2)

Masquerader
Firewall
132.221.125.10

Laboratoire d’Informatique de Paris 6


                                 
                                 
                                 
                                 
                                 
132.227.125.11

Internet @
                                 
                                 
                                 
                                 
                                 
                                 
                                 
                                 
                                 
                                 
                                 
Janvier 2005 - version du 18/01/05

Exemple d’architecture complète

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 91


Janvier 2005 - version du 18/01/05

Serveur mandataire
• Principe : connexion en 2 temps : on se connecte au serveur puis à
l’Internet.
• Peut faire office de cache pour les pages web récemment consultées.
Cache paramétrable.
• C’est le serveur mandataire qui gère toutes les connections et peut
donc les enregistrer. Pour HTTP, on mémorise toutes les URL. Pour
FTP, tous les fichiers téléchargés. C’est la fonction d’enregistrement.
• Peut demander une authentification de l’utilisateur avant la sortie vers
l’extérieur. Fonctionnement identique à une authentification du type
de connexion Internet. On peut demander une connexion pour chaque
site !
• Peut interdire la connexion en fonction de mots inappropriés, analyser
la présence de virus, contrôler la durée, l’heure de connexion et de
déconnexion ... C’est la fonction de filtrage.
• Évidemment très impopulaire auprès des utilisateurs.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 92


Janvier 2005 - version du 18/01/05

Architecture de pare-feu
• Il existe de nombreuses manières de concevoir un réseau avec pare-feu.
Tout dépend de ce que l’on attend de celui-ci.
• Il faut analyser le type de connexion : ADSL, câble, modem, routeur
ou carte RNIS, ligne spécialisée ...
• Certains modems (ADSL, câble) possèdent des fonctions d’IP Filte-
ring, ce sont en quelque sorte des routeurs.
• La LS (ligne spécialisée) vers un FAI (fournisseur d’accès internet) nous
“éloigne” du routeur que possède le FAI et donc de ses fonctionnalités.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 93


Janvier 2005 - version du 18/01/05

Quelques exemples (1)

Machines vers l’extérieur


LAN

Internet @









Routeur Système











HUB











Filtrant/











Pare-Feu




















nonfiltrant


























Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 94


Janvier 2005 - version du 18/01/05

Quelques exemples (2)

LAN

Internet @





Routeur Système





Filtrant/


Pare-Feu





nonfiltrant







Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 95


Janvier 2005 - version du 18/01/05

96Emmanuel.Lochin@lip6.fr
LAN
Quelques exemples (3)

Pare-Feu
Système

        
modem

        
        
        
        
        
        

Laboratoire d’Informatique de Paris 6


                 
                 
FAI
                 
                 
                 
                 
                 
                 
Internet @
Janvier 2005 - version du 18/01/05

Réseau du LIP6

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 97


Janvier 2005 - version du 18/01/05

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 98


Janvier 2005 - version du 18/01/05

Performance : types de machines et de logiciels


• Pare-feu filtrant : 486 DX2 66 (plutôt P100), RAM 16Mo, 200Mo
DD.
• Serveur mandataire avec fort trafic (50 connections simultanées) :
Pentium II 266 Mhz, RAM 64Mo , 2Go DD pour les traces.
• Linux, BSD (Open, Free, Net) inclus dans le kernel.
• On utilise une machine pour en faire un routeur, à laquelle on applique
des règles précises de firewalling.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 99


Janvier 2005 - version du 18/01/05

Évaluation du filtres de paquets


• Où est le filtrage ? Entrée, sortie, les deux ?
• Quels attributs peuvent être vérifiés ? Protocole, port d’origine, port
destination, les deux ?
• Filtrage de liaisons établies ?
• Comment sont gérés les protocoles autres que TCP et UDP ?
• Langage des filtres compréhensible ? Pouvez-vous contrôler l’applica-
tion des règles ?
• Qu’arrive-t-il aux paquets rejetés ? Sont-ils enregistrés ? Si oui com-
ment ?
• Quels sont les logs (enregistrement) possible ? Qui s’en occupe ?

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 100


Janvier 2005 - version du 18/01/05

Principe pour le filtrage


• Il est basé sur les adresses. Il font donc qu’elles soient correctes (Cf.
rappel sur l’adressage IP). Il faut donc une vérification de cohérence
en entrée :

- Extérieur : pas de classe D (si refus de multicast), E et non d’adresses


non routable,
- Intérieur : pas d’IP publique ou d’adresses n’appartenant pas à
l’étendu du réseau.

• Si un paquet ne satisfait pas les règles : DROP !


• Si violation des règles : message à root@domaine.com par exemple.
• Pas de renvoi d’ICMP en cas d’erreur. Cela pourrait aider les pirates
à comprendre la politique de sécurité.
• Bien faire attention à l’ordre des règles et aux entrées et sorties.
• Bien faire attention aux caractéristiques des protocoles (numéro de
port usités)

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 101


Janvier 2005 - version du 18/01/05

Caractéristiques des protocoles


Protocole UDP/TCP Port SRC Port DST Commentaires
Telnet sortant TCP P>1023 23
Telnet entrant TCP 23 P>1023
FTP sortant TCP P>1023 21 connexion de contrôle
FTP entrant TCP 21 P>1023
FTP sortant TCP 20 P’>1023 connexion données
FTP entrant TCP P’>1023 20
DNS lookup TCP/UDP P>1023 53 client -> serveur
DNS lookup TCP/UDP 53 53 serveur -> serveur
NTP UDP P>1023 123 client -> serveur
NTP UDP 123 P>1023 serveur -> client
HTTP TCP P>1023 80 en général ...
cache HTTP TCP P>1023 ... souvent 8080
SNMP UDP P>1023 161, 162

ICMP : problème car pas de notion de port ... c’est donc du tout ou rien. Si on autorise
PING tout passe y compris Redirect, si pas de ICMP pas de TRACEROUTE et pas de
PING

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 102


Janvier 2005 - version du 18/01/05

Le cas du FTP
• Démocratiser sftp !
• Mode actif : pb de sécurité. Pourquoi ?
✓ x>1024 –(Syn1,Ack0)-> 21
✓ x>1024 <-(Syn1,Ack1)– 21
✓ x>1024 –(Syn0,Ack1)-> 21
✓ puis échange des données :
✓ x+1>1024 <-(Syn1,Ack0)– 20
✓ x+1>1024 –(Syn1,Ack1)-> 20
• Solutions : filtrage à état, proxy ou mode passif :
✓ passive mode : serveur envoie le port ”y” au client
✓ x>1024 –(Syn1,Ack0)-> y>1024
✓ x>1024 <-(Syn1,Ack1)– y>1024

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 103


Janvier 2005 - version du 18/01/05

Deux types de filtrage


• Filtrage stateless :
✓ Peu gourmand en CPU
✓ Baser uniquement sur la table de firewalling
• Filtrage statefull :
✓ Très gourmand en CPU car dynamique
✓ Pb de passage à l’échelle : nb de connexions simultanées

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 104


Janvier 2005 - version du 18/01/05

Un firewall c’est bien ... mais !


• Histoire du port 53 en connexion depuis 1 heure
• Il faut le coupler à un logiciel de détection d’intrusion : snort
✓ http://www.snort.org/ : The Open Source Network Intrusion
Detection System

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 105


Janvier 2005 - version du 18/01/05

Je peux dormir tranquille ?


OUI :

• Si j’ai la maı̂trise totale des règles


• Si j’ai la maı̂trisé totale du réseau (pas de portes dérobées : modems)
• Si je contrôle mes logs
• Si je test régulièrement la fiabilité de mon pare-feu
• Si je mets à jour son noyau et que je le ”patche” régulièrement
• Si je me tiens au courant des nouvelles attaques
• Si je consulte les sites de sécurité (www.securite.org,
www.rootshell.org, www.ossir.org, www.cru.org, www.anticode.com,
...) et que je suis abonné à une mailing-list “sérieuse”

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 106


Janvier 2005 - version du 18/01/05

Configuration de Netfilter (IPtables)


• Afin de vérifier que le noyau supporté a été compilé avec l’option
Netfilter, il faut vérifier que ip conntrack et ip tables apparaissent
bien avec la commande dmesg :
✓ dmesg | grep ip conntrack
✓ dmesg | grep ip tables
• sinon :
✓ modprobe ip tables
✓ modprobe ip nat ftp
✓ modprobe ip nat irc
✓ modprobe iptable filter
✓ modprobe iptable mangle
✓ modprobe iptable nat
• si on a besoin de pouvoir forwarder les paquets IP (pour faire office
de routeur) :
✓ echo 1 > /proc/sys/net/ipv4/ip forward

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 107


Janvier 2005 - version du 18/01/05

Utilisation
• Dans la configuration de base les paquets passent par trois chaı̂nes de
règles :
✓ INPUT : par laquelle passent tous les paquets entrant par une
interface,
✓ FORWARD : par laquelle passent tous les paquets qui sont transmis
d’une interface à une autre,
✓ OUTPUT : par laquelle passent tous les paquets avant de sortir d
une interface.
• Les quatres comportements les plus courants sont :
✓ ACCEPT : On laisse passer le paquet,
✓ REJECT : On rejette le paquet et on envoie le paquet d erreur
associé,
✓ LOG : Enregistre une notification du paquet dans syslog,
✓ DROP : Le paquet est ignoré aucune réponse n’est envoyé.

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 108


Janvier 2005 - version du 18/01/05

Utilisation (2)
• Principales options de iptables :
✓ N : Création d une nouvelle chaı̂ne,
✓ X : Suppression d une chaı̂ne vide,
✓ P : Changement de la politique par défaut d’une chaı̂ne,
✓ L : Liste les règles d’une chaı̂ne,
✓ F : Élimine toutes les règles d une chaı̂ne.
• Enfin pour les modifications de chaı̂nes :
✓ A : Ajoute une règle à la fin d’une chaı̂ne,
✓ I : Insère une nouvelle règle a une position donnée,
✓ R : Remplace une règle donnée dans une chaı̂ne,
✓ D : Efface une règle dans une chaı̂ne (numéro d’ordre ou règle).

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 109


Janvier 2005 - version du 18/01/05

Exemples
• Pour supprimer les règles actives :
iptables -F
iptables -F -t nat
iptables -X
• Pour nater sur l’interface eth0 :
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
• Empêcher les ping des autres machines :
iptables -A INPUT -s 192.168.1.217 -p icmp icmp-type
echo-reply -j DROP
• Refuser tout trafic TCP sauf ce qui provient de l’adresse IP
192.168.1.217 :
iptables -A INPUT -p tcp source ! 192.168.1.217 -j DENY

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 110


Janvier 2005 - version du 18/01/05

Exemple de script de firewalling IPF sous NetBSD

# Regles du 21/12/01 - E. Lochin


#
# Regle commune: on n’accepte pas de fragments trop courts
block in log quick all with short

# regles commune: on n’accepte pas de packets de ou a destinations de


# reseaux non routes (comme definis par la RFC 1918)
block in quick on ep0 from 10.0.0.0/8 to any
block in quick on ep0 from 192.168.0.0/16 to any
block in quick on ep0 from 172.16.0.0/16 to any
block in quick on ep0 from any to 10.0.0.0/8
block in quick on ep0 from any to 192.168.0.0/16
block in quick on ep0 from any to 172.16.0.0/16

# A partir de la on a des groupes de regles, pour differentes classes de


# paquets en fonctions des adresses sources/destination.
# xx0 = destination, xx1 = source

# un groupe pour source/destination loopback

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 111


Janvier 2005 - version du 18/01/05

# On bloque sauf si c’est sur l’interface lo0


block in quick from any to 127.0.0.0/8 head 100
block in quick from 127.0.0.0/8 to any head 101
pass in on lo0 from any to any group 100
pass in on lo0 from any to any group 101

################################################################################
# Un groupe pour le 132.227.74.99 (interface de sortie)
################################################################################
# pour commencer, on bloque tout ce qui entre de la dorsale
block return-icmp in log quick from any to 132.227.74.99 head 105
# UDP: laisse passer ssh, ntp, http, ou ports utilisateurs(=clients) (sauf NFS)
pass in quick proto udp from any to any port = ntp group 105
pass in quick proto tcp from any to any port = ssh group 105
pass in quick proto tcp from any to any port = http group 105
pass in log quick proto tcp from any to any port = ftp flags S/SA group 105
pass in quick proto tcp from any to any port = ftp-data flags S/SA group 105
pass in quick proto tcp from any port = ftp-data to any port 1023 >< 2049 flags S/SA gr
pass in quick proto tcp from any port = ftp-data to any port 2049 >< 3306 flags S/SA gr
pass in quick proto tcp from any port = ftp-data to any port 3306 >< 6000 flags S/SA gr
pass in quick proto tcp from any port = ftp-data to any port 30000 >< 65535 flags S/SA

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 112


Janvier 2005 - version du 18/01/05

#pass in log proto tcp from rp.lip6.fr to 132.227.74.99 port = smtp group 105
pass in log quick proto tcp from any to any port = smtp flags S/SA group 105
# on coupe toutes les autre demandes de connexion (flag s/sa)
block return-rst in quick proto tcp from any to any flags S/SA group 105
pass in quick proto tcp from any to any group 105
# on bloque nfs
block return-icmp in quick proto udp from any to any port = 2049 group 105
# on laisse passer les reponses vers les clients
pass in quick proto udp from any to any port > 1023 group 105
# connexion TCP vers 60.30 et 60.2 pour DNS
# on laisse entrer les reponses aux requetes DNS
pass in quick proto udp from 132.227.74.34 to any group 105
pass in quick proto udp from 132.227.60.30 to any group 105
pass in quick proto udp from 132.227.60.2 to any group 105
# icmp. on laisse passer le protocole icmp pour ping par exemple
pass in quick proto icmp from any to any group 105

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 113


Janvier 2005 - version du 18/01/05

L’importance des logs

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 114


Janvier 2005 - version du 18/01/05

daily output for Mon May 5 03 :15 :01 CEST 2003


Uptime: 3:15AM up 11 days, 14:58, 0 users, load averages: 0.56, 0.23, 0.18

Checking subsystem status:

disks:
Filesystem 1K-blocks Used Avail Capacity iused ifree %iused Mounted on
/dev/sd1a 148440 43699 97319 30% 1389 35985 3% /
mfs:8 103 51 47 52% 1642 372 81% /dev
/dev/sd1k 5680265 345707 5050544 6% 19962 1405636 1% /usr
/dev/sd1e 495670 2 470884 0% 3 124411 0% /tmp
/dev/sd1f 1985639 3906 1882451 0% 239 496079 0% /root
/dev/sd1g 1984958 1 1885709 0% 1 496317 0% /safe
/dev/sd1h 1984958 1 1885709 0% 1 496317 0% /ftp
/dev/sd1i 1985639 439561 1446796 23% 2 496316 0% /web
/dev/sd1j 2977685 292621 2536179 10% 70843 674371 9% /pkgsrc
/dev/sd0d 693823 506338 152793 76% 3132 170754 1% /home

Last dump(s) done (Dump ’>’ file systems):

network:
Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Colls

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 115


Janvier 2005 - version du 18/01/05

ep0 1500 <Link> 00:a0:24:7e:f2:86 618139 0 1057614 0 0


ep0 1500 fe80::%ep0/64 fe80::2a0:24ff:fe7e:f286%ep0 618139 0 1057614 0
ep0 1500 132.227.74.32/27 132.227.74.36 618139 0 1057614 0 0
ep0 1500 2001:660:10c:4a::/64 2001:660:10c:4a:2a0:24ff:fe7e:f286 618139 0 105
0 0
lo0 33220 <Link> 18 0 18 0 0

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 116


Janvier 2005 - version du 18/01/05

daily insecurity output for Mon May 5 03 :15 :01 CEST 2003

Checking the /etc/master.passwd file:


Login daemon is off but still has a valid shell (/sbin/nologin)
Login operator is off but still has a valid shell (/sbin/nologin)
Login bin is off but still has a valid shell (/sbin/nologin)
Login news is off but still has a valid shell (/sbin/nologin)
Login games is off but still has a valid shell (/sbin/nologin)
Login postfix is off but still has a valid shell (/sbin/nologin)
Login ntpd is off but still has a valid shell (/sbin/nologin)
Login sshd is off but still has a valid shell (/sbin/nologin)
Login nobody is off but still has a valid shell (/sbin/nologin)
Login ingres is off but still has a valid shell (/sbin/nologin)
Login melangeur has more than 8 characters.

Checking dot files.


user elo .forward file is group writeable

Checking special files and directories.


dev: permissions (0755, 01777)
dev/fd: gid (0, 5)

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 117


Janvier 2005 - version du 18/01/05

Où se situe les services de protection ?


LES COUCHES HAUTES
• Couche 7 de l’OSI : Application
✓ Application de sécurité bout en bout : PGP
✓ X509
• Couches 5-6 de l’OSI : Session, Présentation
✓ Communication sécurisée type SSL
✓ Communication sécurisée entre client et serveur de transactions :
Session Security Protocol
✓ Sécuritée WAP
✓ Authentification GSM avec carte SIM
✓ Authentification Kerberos pour application C/S

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 118


Janvier 2005 - version du 18/01/05

Où se situe les services de protection ?


LES COUCHES BASSES
• Couche 3-4 de l’OSI : Réseau, Transport
✓ IPsec
✓ Sécurité VPN
✓ Tunnelling
✓ Sécurité IPv6
• Couche 1-2 de l’OSI (Physique, Liaison)
✓ à ce niveau la vitesse est essentielle
✓ il n’y a pas d’encryption ou alors de manière hard
✓ la sécurité repose sur les couches hautes

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 119


Janvier 2005 - version du 18/01/05

Références bibliographiques
• Quelques livres et documents intéressants ...
✓ Sécurité optimale, écrit par un hacker, Campus Presse
✓ Réseaux, Andrew Tanenbaum, InterEditions
✓ Le commerce électronique, études du ministère de l’économie des
finances et de l’industrie, Les Editions de Bercy
✓ www.nw.com : croissance du nombre de serveurs Internet
✓ La RFC 1244 : donnent diverses définitions sur la sécurité

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 120


Janvier 2005 - version du 18/01/05

Fin
Document réalisé avec LATEX le 24 janvier 2005.
Style de document foils.
Dessins réalisés avec xfig.

Emmanuel Lochin, Emmanuel.Lochin@lip6.fr


http://www-rp.lip6.fr/~lochin

Laboratoire d’Informatique de Paris 6 Emmanuel.Lochin@lip6.fr 121