Vous êtes sur la page 1sur 72

TELECOMMUNICATIONS ET INFORMATIQUE

ADMINISTRATION ET SECURITE RESEAUX

Etude et mise en œuvre d’un


outil de sécurisation des
réseaux
Août 2019

DEDICACE
Sous la direction de et soutenu par
Présenté
M. Oumar Samba BA
Mlle Mariama DIALLO
Enseignant- Chercheur ESMT

M. Mouhamed
M. Mamadou Lamine DIALLO
Gaye SAMB
A nos très chers parents Gestionnaire Réseaux/Système MESRI
Maître de stage

1
Amadou et Momar Gueye DIALLO,
Oumy NDIAYE et Tabara SYLLA

Toutes les lettres ne sauraient trouver les mots qu’il faut… Tous
les mots ne sauraient exprimer la gratitude, l’amour, le respect,
la reconnaissance que nous éprouvons envers vous. Aussi, c’est
tout simplement que nous vous dédions ce mémoire. Puisse le
tout puissant vous donner santé, bonheur et longue vie afin que
nous puissions vous combler à notre tour.

A nos frères et à nos sœurs, à nos amis et à tous nos


proches

Qu’ils trouvent ici le témoignage de notre profond amour.

REMERCIEMENTS

2
Tout d’abord le bon DIEU, le tout Puissant, qui nous a donné la
force et le courage d’aller au bout de nos efforts ;

Nos parents et familles respectives pour leur soutien et leur


encouragement.

Nous tenons à préciser que ce travail n’aurait pas vu le jour sans


la participation de certaines personnes qui ont su apporter au
moment propice leurs contributions:

Mr Adama NANTOUME, notre responsable pédagogique ;


Mr Oumar Samba BA, notre encadreur, pour ses conseils et sa
disponibilité ;
Mr Mamadou Gaye SAMB, maitre de stage qui nous a accueillis
à bras ouvert au sein du CRSI avec toute son équipe;
Nous ne pouvons terminer sans dire un grand Merci au corps
professoral de l’ESMT pour la formation, les conseils et
l’accompagnement établi en nous guidant et nous encourageant
pour que nous correspondions au mieux aux attentes
pédagogiques dont les structures d’accueil ont besoin.
SIGLES ET ABBREVIATIONS

ACID: Analysis Control for Intrusions Databases


BASE: Basic Analysis and Security Engine
CTI: Cyber Threat Intelligence

3
HIPAA: Health Insurance Portability and Accountability Act of 1996
HTTP: Hyper Text Transfer Protocol
ICMP: Internet Control Message Protocol
IDEA: International Data Encryption Algorithm
IDMEF: Intrusion Detection Message Exchange Format
IDS: Intrusion Detection System
IP: Internet Protocol
IPS: Intrusion Prevention System
NASL: Nessus Attack Scripting Language 
NETBIOS: Network Basic Input Output System
PCI DSS: Payment Card Industry Data Security Standard
RAID: Redundant Array Independant Disk
RSSI : Responsable Securité des Systèmes d’Informations
SI : Système d’Informations
SIEM : Security Information Event Management
SOC: Security Operations Center
SQL: Structured Query Language
SMTP : Simple Mail Transport Protocol
SNMP : Simple Network Management Protocol
SSI : Sécurité des Systèmes d’Informations  
TELNET: Terminal Network
XML: Extensible Markup Language

LISTE DES FIGURES

Figure 1 : Organigramme du MESRI, Ministère de l’Enseignement Supérieure, de


la formation, de la Recherche et de l’Innovation……………………………………
Figure 2 : Architecture du MESRI…………………………………………………

4
Figure 3 : Démarche utilisée lors des tests d’intrusion…………………………….
Figure 4 : Exemples d’outils utilisés lors des tests d’intrusion……………………
Figure 5 : Tests d’intrusion externe……………………………………………….
Figure 6 : Fonctionnement de NESSUS………………………………………….
Figure 7 : Architecture d’OSSEC…………………………………………………
Figure 8 : Architecture simple de PRELUDE…………………………………….
Figure 9 : Architecture décentralisée de PRELUDE…………………………….
Figure 10 : Relais inversé de PRELUDE…………………………………………
Figure 11 : Architecture de SNORT…………………………………………….

SOMMAIRE
SOMMAIRE………………………………………………………………………...
INTRODUCTION………………………………………………………………….
1. PRESENTATION GENERALE DU LIEU DE STAGE………………………
1.1. Historique et missions du MESRI Ministère de l’Enseignement Supérieur, de la Recherche et
de l’Innovation………………………………………………………………………………………
1.2. Organisation et fonctionnement………………………………………………………………...

5
1.3. Cadre technique : le CRSI, Centre des Réseaux et Systèmes d’Informations……………….

2. LES INTRUSIONS DANS LES RESEAUX INFORMATIQUES……………


2.1 Définitions
………………………………………………………………………………………
2.2 Types d’intrusions……………………………………………………………………………
2.3 Outils liés aux tests d'intrusion…………………………………………………………………

3. LES OUTILS DE SECURISATION…………………………………………...


3.1. Enjeu de sécurisation des réseaux……………………………………………………………
3.2. Présentation des IDS & IPS…………………………………………………………………….
3.3. Présentation des SIEM…………………………………………………………………………

4. ETUDE COMPARATIVE DES OUTILS DE SECURISATION…………….


4.1. NESSUS……………………………………………………………………………………….
4.2. OSSEC………………………………………………………………………………………….
4.3. PRELUDE……………………………………………………………………………………...
4.4. SNORT…………………………………………………………………………………………
4.5. Synthèse comparative………………………………………………………………………….

5. MISE EN ŒUVRE DE LA SOLUTION RETENUE………………………….


5.1 Installation et Configuration…………………………………………………………………...
5.2 Tests possibles………………………………………………………………………………….
5.3 Recommandations………………………………………………………………………………

CONCLUSION………………………………………………………………….......

6
INTRODUCTION
Du fait de la démocratisation des moyens de connexion à l’Internet due à une pratique des prix de
plus en plus attractifs par les différents fournisseurs d’accès, et d’une couverture géographique de
plus en plus importante, le nombre d’internautes utilisant des connexions de type haut débit ne
cesse de croître. Avec ces types de connexion, les internautes restent en ligne longtemps, ce qui
les expose davantage à la convoitise de personnes mal intentionnées qui voient en eux des
ressources à utiliser afin, par exemple, d’augmenter leur notoriété dans le monde des pirates. En

7
effet, un pirate peut prendre le contrôle d’un tel poste afin d’attaquer une institution de l’Etat ou
un acteur de l’Internet connu, tel qu’un portail ou un site de vente en ligne.

Les entreprises et les particuliers se voient donc confrontés de façon quotidienne à des vers, des
virus, des attaques de tous types ou des tentatives d’intrusions. La sécurité est plus que jamais
une problématique d’actualité et nous pouvons facilement le constater.

Un moyen rapide de connaître l’étendue de la fragilité de son environnement, vis à vis des
attaques diverses et variées, est d’effectuer des tests d’intrusions qui permettent d’avoir une liste
des failles de vulnérabilités potentielles. Ces informations permettent en effet, soit par recherche
sur l’Internet, soit par l’emploi d’outils dédiés de retenir et de mettre en place une solution de
sécurisation.

C’est dans ce contexte que le sujet Etude et mise en œuvre d’un outil de sécurisation de réseaux
nous a été proposé. L’objectif visé est de proposer, à la fin d’une étude comparative exhaustive
un outil qui répond aux besoins de l’entreprise en terme de sécurité.
Pour mener à bien notre travail, nous allons, après avoir présenté l’entreprise d’accueil, étudier
les différentes techniques d’instructions pour comprendre l’importance de sécuriser son réseau.
Nous allons ensuite faire une étude comparative des outils de sécurisation pour en choisir un qui
répond aux objectifs de la sécurisation de l’entreprise. Nous terminerons par la mise en œuvre de
l’outil retenu ainsi que des recommandations pour l’amélioration.

8
1. PRESENTATION GENERALE DU LIEU DE
STAGE

1.1. Historique et missions du MESRI, Ministère de l’Enseignement


Supérieur, de la Recherche et de l’Innovation

Depuis les indépendances, l’instance de l’enseignement supérieur et la recherche scientifique au


Sénégal a connue de nombreux changements causés par une instabilité. Ce qui fut la cause de la
création de plusieurs directions.

9
La Direction des Affaires Scientifiques et Techniques en 1968 est érigé en Délégation Générale à
la Recherche Scientifique et Technique en 1973 (DGRST) ensuite en Secrétariat d’Etat à la
Recherche Scientifique et Technique en 1979.
En 1983 le département est érigé en Ministère de la Recherche Scientifique et Technique qui sera
ensuite supprimé en 1986 pour laisser place à la Délégation des Affaires Scientifiques et
Technique le (DAST).
En 1995, elle fut encore érigée en département ministériel puis dissolu en 2000 et le DAST a été
de nouveau rattaché au Ministère de l’Enseignent Supérieur qui devient le Ministère de
l’Enseignement Supérieur et de la Recherche. Supprimé en 2001 pour être rattaché au Ministère
de l’Education Nationale elle redevient depuis 2009 le Ministère de l’Enseignement Supérieure et
de le Recherche.
Divisé en deux entités, le ministère a pour mission au niveau de la direction générale de
l’enseignement supérieur de faire la mise en œuvre de la politique nationale en matière
d’Enseignement supérieur. A ce titre et sous l’autorité du Ministre, elle joue un rôle de
coordination, d’harmonisation et de mutualisation des ressources humaines et matérielles. Au
niveau de la direction générale de la recherche le but est d’élaborer une vision stratégique pour la
recherche et l’innovation, mettre en place des stratégies permettant de susciter l’intérêt du secteur
privé pour la recherche dans les universités, définir les mécanismes d’encouragement de
l’excellence dans la recherche et l’innovation…

Les objectifs du ministère sont définis en plusieurs décisions qui sont étalées sur la période de
2013 à 2017 intitulées comme suit :

• Réorienter le système d’enseignement supérieur vers les sciences, la technologie, les formations
professionnelles courtes ;
• Mettre les Technologies de l’Information et de la Communication (TIC) au cœur du
développement de l’enseignement supérieur et de la recherche pour améliorer l’accès à
l’enseignement supérieur et l’efficacité du système ;
• Améliorer le pilotage du système d’enseignement supérieur et de recherche et réformer la
gouvernance des établissements publics d’enseignement supérieur ;
• Instaurer une culture de la paix au sein des Etablissements publics d’enseignement supérieur ;
• Favoriser la carrière des enseignants, des chercheurs et du personnel administratif, technique et
de service ;
• Faire de l’étudiant un acteur de sa formation, favoriser sa réussite et améliorer ses conditions de
vie ;
• Renforcer la carte universitaire pour favoriser l’accès, diversifier l’offre de formation et assurer
la qualité de l’enseignement supérieur ;
• Donner un nouvel élan à la recherche et à l’innovation ;
• Ouvrir l’espace sénégalais de l’enseignement supérieur et de la recherche à l’Afrique et au
monde ;
• Améliorer la gestion des budgets et ressources propres des universités par la mise en place de
procédures et mécanismes modernes et transparents ;

10
• Investir dans l’enseignement supérieur et la recherche à la hauteur de notre nouvelle ambition.

1.2. Organisation et fonctionnement

Dans le contexte d’une demande croissante de formation supérieur qui est le fruit des efforts
d’extension dans de domaine de l’enseignement élémentaire, moyen et secondaire, l’état du
SENEGAL a mis en place le Plan de développement de l'Enseignement supérieur et de la
Recherche (PDESR) 2013-2017. Ce plan met l'accent sur le renforcement de la carte universitaire
pour faciliter l'accès, la diversification de l'offre de formation, l'amélioration de la qualité de
l'enseignement et surtout le renforcement des outils de gouvernance. Dès lors, il s’est avéré
opportun de réactualiser le dispositif organisationnel du ministère de l'Enseignement supérieur et
de la Recherche en vue d'optimiser davantage le pilotage du plan.

A ce titre, le nouveau décret d’organisation propose la création de nouvelles structures parmi


lesquelles on a plusieurs structures et services.

Le ministère de l'Enseignement supérieur et de la Recherche comprend :

- le Cabinet et les Services rattachés ;


- le Secrétaire général et les Services rattachés ;
- les Directions générales ;
- les Directions.

1.2.1 Les services et organismes rattachés au Cabinet

Elles sont aux nombres de cinq :

1-L’inspection interne :
Elle est chargée d'effectuer toute mission de vérification et de contrôle qui lui est confiée par le
Ministre.

2-La Cellule de Communication :


Sous l'autorité du ministre de l'Enseignement supérieur et de la Recherche, elle est chargée de la
communication institutionnelle du département.

3-Le Centre National de Documentation Scientifique et Technique (CNDST) :


Il est chargé :
- de coordonner l'action des organismes constituant le réseau national d'information et de
documentation scientifiques et techniques ;
- de promouvoir toute action d'intérêt commun susceptible de renforcer les moyens d'information
et de documentation scientifiques et techniques.

11
4-L'Office national du Baccalauréat :
L’Office national du Baccalauréat est chargé de l'organisation de l'examen du baccalauréat de
l'enseignement secondaire général. En outre, l'Office national du Baccalauréat participe à
l'organisation du concours général des classes de premières et de terminales.

5-Le Centre des réseaux et des Systèmes d'information :


Le Centre des Réseaux et des systèmes d'information est chargé de la promotion de
l'interconnexion de tous les établissements d'enseignement supérieur et la mise en place d'un
Système d'Information et de Gestion de l'Enseignement supérieur et de la Recherche (SI GESR).

1.2.2 Le secrétaire général et les services rattachés

Le Secrétaire général du ministère de l'Enseignement supérieur et de la Recherche est nommé par


décret sur proposition du Premier Ministre.

Il est chargé :

- de la coordination des activités des différents services du ministère dont il s'assure du bon
fonctionnement ;
- de la préparation et du contrôle de l'exécution des décisions ministérielles ;
- des relations et de la coordination avec les autres départements ministériels en vue de
l'exécution des décisions interministérielles ;
- de l'information du ministre sur l'état de son département et tout particulièrement sur la gestion
des crédits du ministère ;
- du contrôle et de la présentation au ministre des actes soumis à sa signature ;
- de la gestion du courrier et des archives du ministère.

Les services qui lui sont rattachés sont :

• La Cellule de passation des marchés publics qui est chargée de veiller à la qualité des dossiers
de passation des marchés ainsi qu'au bon fonctionnement de la commission des marchés du
ministère.

• La Cellule des Etudes et de la Planification qui est chargée :


- de la supervision des plans d'étude et de recherche ;
- du suivi de l'élaboration des documents de planification stratégique du secteur de
l'Enseignement supérieur et de la Recherche ;
- de l'accompagnement et du suivi-évaluation des projets et programmes, nécessaires à la mesure
de la performance ;
- d'élaborer des rapports d'activités périodiques et de rendre compte au ministre du niveau
d'atteinte des objectifs et des éventuelles difficultés rencontrées.

12
• Le Bureau du courrier commun qui est chargé :
- de l'enregistrement et de la numérotation du courrier arrivée et départ ;
- de la distribution interne et externe du courrier ;
- et de l'archivage du courrier.

1.2.3 Les directions générales

• La Direction générale de l'Enseignement supérieur (DGES) :


Elle comprend des Directions et des Services rattachés qui sont :
- le Bureau d'accueil et d'orientation ;
- le Bureau administratif et financier ;
- la Direction de l'Enseignement supérieur public ;
- la Direction de l'Enseignement supérieur privé ;
- la Direction du Financement des Etablissements d'enseignement supérieur (DFEES) ;
- la Direction des Etudes et de la Coopération (DEC) ;
- la Direction des Affaires académiques et juridiques (DAAJ).

• La Direction générale de la Recherche (DGR).


Elle comprend :
- la Direction des Stratégies et de la Planification de la Recherche (DSPR) ;
- la Direction de l'Innovation, de la Valorisation, de la Propriété intellectuelle et du transfert
technologique.
- la Direction du Financement de la Recherche scientifique et du Développement
technologique (DFRSDT) ;
- la Direction de Promotion de la Culture scientifique (DPCS).

1.2.4 Les Directions :

• La Direction des Bourses


Elle a pour mission :
- de traiter et de suivre toutes les questions relatives aux bourses et allocations d'études et de stage
au Sénégal et à l'Etranger ;
- d'assurer, en liaison avec les organismes gestionnaires, le contrôle pédagogique des attributaires
des bourses d'enseignement supérieur tant à l'étranger qu'au Sénégal et la tenue d'un fichier
permanent des intéressés ;
- de veiller au respect des engagements souscrits par les bénéficiaires.

13
• La Direction de la maintenance, des constructions et des équipements de l'Enseignement
supérieur (DMCEES)
Elle est chargée :
- d'élaborer les projets de construction et d'équipement ;
- d'élaborer la politique d'entretien et de maintenance du patrimoine bâti et des équipements
universitaires et en assurer la maîtrise d'œuvre ;
- d'évaluer les besoins en construction et en entretien et planifier leur exécution ;
- d'évaluer chaque année les crédits nécessaires pour les projets à réaliser ;
- de coordonner toutes les interventions en matière d'infrastructures et d'équipements en milieu
universitaire ;
- de gérer le patrimoine immobilier du ministère de l'enseignement supérieur et de la recherche ;
- de valider, en relation avec les services compétents de l'urbanisme, les projets de construction
d'infrastructures des établissements d'Enseignement supérieur privés, soumis à l'avis du ministère
en charge de l'Enseignement supérieur.

• La Direction de l'Administration générale et de l'Equipement (DAGE)


Elle est chargée :
- de la préparation, de la coordination et de l'exécution du budget ;
- de la gestion du personnel et du matériel.

14
Figure 1 : Organigramme du Ministère de l’Enseignement Supérieur de la
Recherche

1.3. Cadre technique : le CRSI, Centre des Réseaux et Systèmes


d’Informations

1.3.1 Présentation de la CRSI

Sous l'autorité du ministre de l'Enseignement supérieur et de la Recherche, le Centre des réseaux


et des systèmes d'information est chargé de la gestion de l'ensemble des équipements et logiciels
ainsi que du développement et du fonctionnement des applications du ministère.

A ce titre, il est chargé :

15
- de la gestion de l'interconnexion de tous les établissements d'enseignement supérieur ;
- de la mise en place d'une bibliothèque virtuelle pour le partage des ressources numériques ;
- du développement et du bon fonctionnement des applications intéressant l'ensemble des
Institutions d'Enseignement supérieur ;
- des actions de formation des personnels des Institutions d'Enseignement supérieur en matière de
Technologies de l'Information et de la Communication ;
- de la gestion du Système d'Information et de Gestion de l'Enseignement supérieur et de la
Recherche (SIGESR).

Il comprend :

- la division des systèmes d'informations et de la statistique de l'enseignement supérieur et de la


recherche (non encore fonctionnelle) ;
- la division de la gestion et de la maintenance du réseau de l'enseignement supérieur et de la
recherche ;
- la division du développement et de la maintenance des applications.

 Divisions et rôle de la CRSI

La division de la gestion du réseau de l’enseignement supérieur et de la recherche est chargée de


la mise en place au sein du ministère d’un réseau informatique capable d’interconnecter tous les
établissements d’enseignement supérieur à travers plusieurs projets. On peut citer le projet de la
mise en place de salle serveur dans les établissements et les directions du ministère mais aussi de
la connexion par fibre optique des sites, l’accès internet mutualisé à haut débit et une plateforme
de liaisons spécialisées pour sites distants et la mise en service d’une liaison internet haut débit de
2 x 155 Méga.
Au sein de cette division, nous avions eu à assurer la maintenance du parc informatique (logiciel
et matériel), du réseau informatique et téléphonique (câblage, configuration), de la supervision du
réseau (mise en place d’un réseau optimale, fiable et sure) mais aussi de l’extension de celui-ci.
On a aussi la charge de suivre la bonne marche de tous les projets informatiques entamés
(fourniture, installation d’équipement réseau) dans les autres sites ou directions du ministère mais
aussi de faire des interventions comme aide support technique.

16
La division du développement et de la maintenance des applications s’occupe de la mise en place
des plateformes web nécessaire à la gestion de l’orientation scolaire des étudiants, de l’attribution
de leur bources mais aussi de toutes les autres informations relatives aux activités du ministère. Il
s’agit :

 D’une application d’orientation des nouveaux bacheliers : www.campusen.sn;


 D’une application de gestion informatisée des bourses;
 D’un système d’information de l’enseignement supérieur et de la recherche.

Le fonctionnement de ces deux directions est sous le financement du Gouvernement du Sénégal,


de la Banque mondiale mais aussi de l’ARTP.

1.3.2 Architecture du MESRI et problématique

Le principal risque induit par la transformation numérique est la professionnalisation de la


cybercriminalité face à un niveau de protection des entreprises nettement insuffisant.

En analysant l’architecture du MESRI, nous remarquons qu’aucun logiciel, application ou


dispositif lié à la supervision ou à la sécurité n’a été mis en place.

17
Figure 2 : Architecture du Réseau de MESRI

18
2.LES INTRUSIONS DANS LES
RESEAUX INFORMATIQUES

19
2.1. Définitions

L'intrusion est la pénétration dans un réseau ou dans une organisation par une personne étrangère,
appelée pirate ou hacker, à cette organisation ou à ce réseau
Les tests d’intrusion constituent une tentative autorisée de simuler les activités d’un pirate qui
veut s’approprier des ressources qui ne sont pas les siennes, ou nuire au bon fonctionnement d’un
système d’informations, par exemple en le rendant indisponible.
Ces tests permettent d’avoir une image claire de la sécurité globale d’une entreprise ou d’un
accès Internet chez un particulier. Ils correspondent à des attaques simulées d’un réseau. Ils
permettent de tester la robustesse de la sécurité, d’apprécier l’efficacité des mécanismes mis en
œuvre. Il est ainsi possible de savoir si les mécanismes mis en place permettent de stopper ou non
un attaquant malintentionné.
Les tests d’intrusion ne peuvent pas se réduire à la simple utilisation d’un logiciel de détection
automatique de vulnérabilités par balayage. Ils sont bien plus, en particulier ils nécessitent
l’intervention d’une équipe de professionnels compétents qui eux vont identifier et qualifier les
failles de manière plus réfléchie et auront à l’esprit les conséquences des tests qu’ils effectueront.
Néanmoins, les scanners de vulnérabilité présentent un certain intérêt dans leur caractère
automatique mais ils ne suffisent pas à eux seuls à obtenir une bonne détermination des failles de
vulnérabilité que présente un réseau.

2.2. Types d’intrusions

Il existe plusieurs types d’intrusions.

 Le cheval de Troie est un logiciel d'apparence légitime conçu pour effectuer de façon
cachée des actions à l'insu de l'utilisateur. Il tente de diffuser, détruire ou détourner des
informations ou encore permettre à un pirate de prendre à distance le contrôle de
l'ordinateur.
Il se distingue uniquement des vers et des virus par le fait qu’il a été entièrement conçu
pour ressembler à une application normale, alors qu’il s’agit d’un instrument d’attaque.

 Le ver ou Worm est un logiciel malveillant qui n'a pas besoin d'un programme hôte pour
se reproduire. Un ver exécute un code et installe des copies de lui-même dans la mémoire
de l’ordinateur infecté en vue de l’espionner, ce qui infecte par la suite d’autres
ordinateurs hôtes. De ce fait, il va permettre l'accès de pirates à l'ordinateur, détruire les
données contenues par l'ordinateur...

20
 Le virus est un logiciel malveillant capable d'infecter d'autres programmes en les
modifiant pour y inclure une copie de lui-même. Il nécessite l'exécution du programme
hôte pour s'activer. Il se développe et entraîne corruption, perturbation et/ou destruction.

 Le pourriel ou spam est une communication électronique non sollicitée et expédiée en


masse à des fins malhonnêtes ou publicitaires. [W2]

 L'adware ou advertising supported software est un logiciel qui permet d'afficher des
bannières publicitaires.

 Les spywares ou mouchards installent sur l'ordinateur d'un utilisateur un logiciel espion
et envoient régulièrement, et sans que l'utilisateur en soit conscient, des informations
statistiques sur les habitudes de celui-ci. L'essor de ce type de logiciel est associé à celui
d'Internet qui lui sert de moyen de transmission de données.

 Le phishing ou hameçonnage est une technique utilisée par des pirates pour obtenir des
renseignements personnels dans le but de perpétrer une usurpation d'identité. Cette
technique consiste par exemple à faire croire à la victime qu'elle s'adresse à sa banque et à
subtiliser ses coordonnées bancaires pour ainsi pour pratiquer des malversations.

2.3. Outils liés aux tests d’intrusion

Pour commencer, intéressons-nous à la démarche utilisée lors des tests d’intrusion afin
d’identifier les outils présents à chaque étape.

Figure 3 : Démarche utilisée lors des tests d’intrusion [W4]

21
Nous avons 3 étapes. Dans le cas des hackers, l’intrusion s’arrête ici à la deuxième étape. Ils
nettoient généralement les traces laissées par leur passage. Dans le cas d’un audit de sécurité, il
faut alors fermer les brèches ouvertes, puis passer à l’étape suivante ; la phase de restitution.

Figure 4 : Exemples d’outils utilisés lors des tests d’intrusion [W4]

2.3.1 Etape de collecte d’informations publiques


La commande Whois permet d’obtenir des informations publiques correspondant au réseau
cible : nom du serveur DNS, nom du responsable, numéro de téléphone, adresse e-mail,
description du réseau etc.

2.3.2 Etape de cartographie du réseau cible


Les outils utilisés dans cette étape permettent de récolter des informations relatives à la topologie
du réseau afin de déterminer sa structuration. Parmi ces outils, nous pouvons trouver :
 Nmap qui est un scanner de réseau. Il permet de savoir quels sont les ports ouverts,
fermés ou filtrés, ainsi que le système d’exploitation autorisé et sa version. Il permet par
exemple de scanner un ensemble d’adresses IP en précisant la méthode de scan utilisée,
les types de ports tels que les ports UDP, en tentant d’identifier la machine cible et en
sauvegardant le résultat dans un fichier.

 Siphon permet de découvrir la topologie de la portion de réseau sur laquelle se trouve la


machine où nous le lançons. Il indique les systèmes d’exploitation présents sur les

22
machines, les ports ouverts, les machines qui ont le droit de se connecter au réseau. Il est
ainsi possible de savoir pour quelle machine nous devons-nous faire passer, afin de
contourner les Firewalls.

 Dsniff permet de visualiser les paquets présents sur le réseau et ainsi de récupérer des
clefs en sniffant (sniffer). C’est un ensemble d'outils d'analyse de trafic réseau et de
détection de mot de passe écrits par le chercheur en sécurité et fondateur de la startup,
Dug Song, pour analyser différents protocoles d'application et extraire les informations
pertinentes.

 Finger permet d’obtenir des comptes valides. En général, le démon correspondant est
désactivé.

2.3.3 Etape d’identification des vulnérabilités


L’objectif est d’identifier les failles potentielles présentes sur le réseau en utilisant des scanners
de vulnérabilité tels que Nessus. L’utilisation de ces logiciels n’est pas très discrète. En effet,
étant donné que ces logiciels testent des failles bien connues des NIDS, ils sont facilement
repérables. Les NIDS sont des systèmes de détection d'intrusion basés au niveau d’un réseau. Si
nous souhaitons rester discrets, lors de l’audit de vulnérabilité, il est préférable de rechercher les
vulnérabilités existantes sur Internet, sur des sites tels que Security Focus
(www.securityfocus.com). Les autres outils d’audit de vulnérabilité sont abordés un peu plus
loin.
Une fois un certain nombre de vulnérabilités identifiées, il est alors nécessaire d’éliminer les
failles non fondées. Pour cela nous utilisons des petits programmes appelés Exploits. Leur
objectif est d’exploiter les vulnérabilités auxquelles ils correspondent. Ils sont programmés dans
divers langages. Il n’y a pas d’automatisation qui permet l’utilisation ensembliste des Exploits
mais il existe néanmoins des bibliothèques dédiées.

2.3.4 Etape d’exécution des scénarii


Nous pouvons distinguer deux ensembles de produits utilisés dans cette étape, ceux qui
permettent de s’introduire sur un ordinateur ou un serveur et ceux qui permettent de se procurer
des privilèges auxquels nous n’avons normalement pas accès.

 Outils d’intrusion
Finger et Rusers permettent de trouver des comptes valides. Ce sont des commandes
système de base d’Unix.
Exploits permettent d’exploiter des vulnérabilités afin d’avoir accès à un poste.

23
Netcat est un utilitaire multifonctions pour le réseau. Il fonctionne en client ou serveur en
utilisant le protocole TCP. Il permet de simuler des services et d’écouter l’activité
correspondant à un port donné.
Certains outils permettent la récupération de l’information qui circule sur le réseau. Nous
pouvons citer par exemple : Sniffer, TCPdump, Siphon, Ethereal.
Ces outils permettent donc de s’introduire sur des serveurs. Par exemple, dans le cas où
un routeur supporte la source routing, il est possible de recourir à IP spoofing. L’IP
spoofing est une technique qui permet à une machine d’être authentifiée auprès d’une
autre au moyen de paquets semblant émaner d’une adresse source habilitée. Cette
technique peut être faite en deux étapes. Nous plaçons un alias sur l’interface réseau d’un
poste, ensuite, nous utilisons une propriété du protocole IP qui est la possibilité de choisir
la route à emprunter. Netcat permet alors d’établir une connexion Telnet en précisant la
route à emprunter.

 Outils permettant l’élévation de privilèges


John the ripper qui permet d’obtenir des mots de passe en clair à partir des mots de
passe cryptés.
Exploits qui permettent par exemple de devenir administrateur.
Dsniff qui ne capture que les mots de passe. Il supporte divers protocoles (SNMP,
NetBIOS) et peut être utilisé avec des services tels que Telnet.

24
3.LES OUTILS DE SECURISATION

25
3.1Enjeu de la sécurisation des réseaux

Le nombre de services disponibles sur l’Internet ne cesse de croître chaque jour, ainsi que le
nombre de machines qui se connectent de façon permanente. Ceci a pour conséquence
d’augmenter les risques liés au fait d’être présent sur Internet et de subir des attaques.

La problématique de sécurisation est liée à une démarche complexe qui revêt un caractère
cyclique. En effet, l’évolution rapide des technologies et du parc informatique des entreprises fait
que la question de la sécurité se pose de façon récurrente. Par exemple, l’apparition des réseaux
sans fils (Wi-Fi) a introduit de nouveaux types de vulnérabilités. Il en va de même lorsque nous
ajoutons un nouveau poste dans un réseau d’entreprise. Si sa configuration n’est pas faite de
façon correcte, ceci peut permettre des intrusions dans une partie du réseau.
La sécurisation d’un réseau n’est pas simple à réaliser. Le réseau est constitué d’un ensemble de
systèmes hétérogènes. De nombreux services, qui ne cessent d’évoluer, sont disponibles. Les
personnes en charge de la sécurité telles que les administrateurs réseau, ont à leur disposition
toute une panoplie d’outils :
 Des logiciels spécialisés dans la protection tels que les firewalls dont le rôle est de filtrer
les paquets circulants entre le réseau et l’Internet, ou les logiciels anti-virus qui permettent
de détecter et éradiquer les virus.
 Des technologies dédiées permettant le cryptage des données circulant sur le réseau telles
que les protocoles sécurisés.
 Des outils de surveillance, des journaux de traces et des logiciels de détection d’intrusion
IDS.
 Pour finir, des scanners de vulnérabilités qui permettent de mettre en évidence les failles
présentées par le réseau, que peuvent exploiter les pirates afin de corrompre le système.
Ces scanners sont utilisés lors des tests d’intrusions effectués par les administrateurs
réseaux pour anticiper les intrusions non désirées.

3.2Présentation des IDS & IPS

Un IDS est un dispositif ou une application logicielle qui surveille un réseau ou des systèmes à la
recherche d'activités malveillantes ou de violations de la politique. Toute activité malveillante ou
violation est généralement signalée à un administrateur ou collectée de manière centralisée à
l'aide d'un système SIEM. L’IDS permet de surveiller, contrôler et de détecter.

26
Un IPS est un outil des spécialistes en sécurité des systèmes d'information, similaire aux IDS,
permettant de prendre des mesures afin de diminuer les impacts d'une attaque. C'est un IDS actif,
il détecte un balayage automatisé, l'IPS peut bloquer les ports automatiquement. Les IPS peuvent
donc parer les attaques connues et inconnues.
Les IDS/IPS sont devenus des composants critiques d’une architecture de sécurité informatique.
Les types d'IDS/IPS s'étendent des ordinateurs simples aux grands réseaux.

Les classifications les plus courantes sont :


 Les systèmes de détection/prévention d’intrusion sur réseau (NIDS/NIPS) et
 Les systèmes de détection/prévention d’intrusion sur base hôte (HIDS/HIPS).
Un élément essentiel dans l’architecture IDS/IPS est la sonde qui est chargée de collecter les
informations brutes.
Un IDS est essentiellement un Sniffer couplé avec un moteur qui analyse le trafic selon des
règles. Ces règles décrivent un trafic à signaler. L’IDS peut analyser les couches Réseau (IP,
ICMP), Transport (TCP, UDP) et Application (HTTP, Telnet). Selon le type de trafic, l’IDS
accomplit certaines actions comme :
 Journaliser l’événement ;
 Avertir un système avec un message (appel SNMP) ;
 Avertir un humain avec un message (courrier électronique, SMS, interface Web) ;
 Amorcer certaines actions sur un réseau ou hôte exemple mettre fin à une connexion
réseau, ralentir le débit des connexions, etc. (rôle actif).
La principale différence entre un IDS (réseau) et un IPS (réseau) tient principalement en 2
caractéristiques :
1. Le positionnement en coupure sur le réseau de l’IPS et non plus seulement en écoute sur
le réseau pour l’IDS (traditionnellement positionné comme un sniffer sur le réseau).
2. La possibilité de bloquer immédiatement les intrusions et ce quel que soit le type de
protocole de transport utilisé et sans reconfiguration d’un équipement tierce, ce qui induit
que l’IPS est constitué en natif d’une technique de filtrage de paquets et de moyens de
blocage (drop connection, drop offending packets, block intruder …).

3.3Présentation des SIEM

SIEM combine la gestion des informations de sécurité (SIM) et la gestion des événements de
sécurité (SEM). Le premier porte sur l'analyse et la création de rapports sur les données de
journal et le stockage à long terme, tandis que le second porte sur la surveillance et les
notifications en temps réel. SIEM les combine et inclut une analyse et une corrélation en temps

27
réel. SIEM est également désigné sous le nom Security Information Event Management pour
souligner l’effet de la technologie sur l’ensemble du système, même si l’accent est mis sur la
sécurité.
L’objectif du SIEM est de :
 Fournir des rapports sur les incidents et événements liés à la sécurité, tels que les
connexions des utilisateurs, les activités malveillantes, les flux de données ;

 Envoyer des alertes si l'analyse montre une activité non conforme aux règles de sécurité.

Les SIEM assurent différentes fonctions à savoir :

1. La collecte
Les logiciels SIEM prennent en entrée les événements collectés du SI, les journaux système des
équipements : pare-feu, routeur, serveur, base de données. Ils prennent en compte différents
formats (Syslog, traps SNMP etc.)

2. La normalisation
Les traces brutes sont stockées sans modification pour garder leur valeur juridique. On parle de
valeur probante.
Ces traces sont généralement copiées puis normalisées sous un format plus lisible. En effet, la
normalisation permet de faire des recherches multicritères, sur un champ ou sur une date. Ce sont
ces événements qui seront enrichis avec d'autres données puis envoyés vers le moteur de
corrélation.

3. L’agrégation
Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions,
puis envoyés vers le moteur de corrélation.

4. La corrélation
Les règles de corrélation permettent d'identifier un événement qui a causé la génération de
plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a manipulé tel équipement…).
Elles permettent aussi de remonter une alerte via un trap, un courriel, SMS ou ouvrir un ticket si
la solution SIEM est interfacée avec un outil de gestion de tickets.

28
5. Le reporting
Les SIEM permettent également de créer et générer des tableaux de bord et des rapports. Ainsi,
les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le
SI (nombre d'attaques, nombre d'alertes par jour…).

6. L’archivage
Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un
archivage à valeur probante permet de garantir l'intégrité des traces.
Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement
ou autre pour garantir l'intégrité des traces.

7. Le rejeu des événements


La majorité des solutions permettent également de rejouer les anciens événements pour mener
des enquêtes post-incident. Il est également possible de modifier une règle et de rejouer les
événements pour voir son comportement.

29
4.ETUDE COMPARATIVE DES OUTILS
DE SECURISATION

30
4.1Nessus :

4.1.1 Historique

Nessus est l’un des nombreux scanners de vulnérabilités utilisés lors des missions d’évaluation
des vulnérabilités et des tests de pénétration y compris les attaques malveillantes. C’est un outil
d’analyse de sécurité à distance pouvant déclencher une alerte. Pour ce faire, il exécute plus d’un
millier de contrôles sur un ordinateur donné et vérifie si l’une de ces attaques peut être utilisée
pour pénétrer dans l’ordinateur.

Le projet Nessus a été lancé par Renaud Deraison en 1998 pour fournir à la communauté
Internet un scanner de sécurité à distance gratuit. En octobre 2005, Tenable Network Security, la
société cofondée par Renaud Deraison, a modifié Nessus 3 en une licence exclusive (à code
source fermé).
Aujourd’hui, le produit existe toujours sous deux formats : une version gratuite limitée et une
option d’abonnement payant complète. Nessus est disponible pour Linux, Windows et Mac OS
X.
Nessus est un excellent outil utilisé par les administrateurs de tout ordinateur (ou groupe
d’ordinateurs) connecté à Internet pour protéger leurs domaines de vulnérabilités faciles que les
pirates et les virus cherchent à exploiter.
Il faut noter que Nessus n’est pas une solution de sécurité complète, il s’agit plutôt d’une petite
partie d’une bonne stratégie de sécurité. Nessus ne peut pas empêcher de manière active les
attaques. C’est à l’administrateur de système d’accorder ces vulnérabilités afin de créer une
solution de sécurité.

4.1.2 Architecture

31
Figure 5 : Tests d’intrusion externe [W4]

Nessus est basé sur une architecture Client/serveur qui permet de multiples configurations. En
effet, il est possible de placer le démon de Nessus à l’extérieur du réseau sur l’Internet afin
d’effectuer des séries de tests externes. Le client est à l’intérieur de réseau. Il permet de contrôler
et de configurer le serveur qui effectue l’attaque proprement dite de la machine cible. Il est ainsi
possible d’avoir une vision claire des services effectivement vulnérables à partir d’Internet.
Nessus intègre d’importantes bases de connaissances relatives aux services proposés sur divers
systèmes d’exploitation, aux failles de vulnérabilité et aux résolutions des problèmes créés par la
présence de ces failles. La base de données a l’avantage d’être largement évolutive grâce au
système de plug-in.
En effet, chaque test de sécurité se présente sous la forme d’un plug-in extérieur. Il est possible
d’écrire ses propres tests sous forme de plug-in à l’aide d’un langage de script dédié NASL. De
plus, des plug-ins correspondant aux failles de sécurité les plus récentes sont disponibles sur
Internet. Ces plug-in, sur un système d’exploitation de type Linux, sont placés dans le répertoire

32
dédié /Usr/lib/Nessus/plugin/. Dans l’interface cliente, il est possible de choisir les plug-ins que
nous voulons prendre en compte.
De plus, Nessus utilise des logiciels tiers s’ils sont disponibles : exemple le scanner de port Nmap
qui fournit des fonctionnalités avancées dans le domaine du balayage de port. Les attaques brute-
force ont pour l’objectif de trouver un mot de passe valide. Ce sont des méthodes d’analyse de
chiffrement où toutes les clefs possibles sont systématiquement essayées. Elles sont généralement
basées sur un générateur ou un dictionnaire. Le fait que Nessus utilise des logiciels tiers tient du
principe qu’il est nécessaire d’implémenter de nouveau ce qui existe déjà et répond parfaitement
aux besoins.

4.1.3 Fonctionnement

Afin de maîtriser le fonctionnement de Nessus et des autres outils de sécurité d’analyse de ports,
il est nécessaire de comprendre que différents services (tels qu’un serveur Web, un serveur
SMTP, un serveur FTP, etc…) sont accessibles sur un serveur distant. La plupart du trafic réseau
de haut niveau, tel que les courriers électroniques, les pages Web… parvient à un serveur via un
protocole de haut niveau également qui est transmis de manière fiable par un flux TCP. Pour
empêcher différents flux d’interférer les uns avec les autres, un ordinateur divise sa connexion
physique au réseau en milliers de chemins logiques, appelés ports. Raison pour laquelle, pour
accéder à un serveur Web nous devons nous connecter au port 80 (le port HTTP standard), mais
si nous voulons nous connecter à un serveur SMTP (pour la messagerie) sur la même machine,
nous utilisons plutôt le port 25.
Chaque ordinateur possède des milliers de ports, qui peuvent tous avoir ou non des services à leur
écoute. Nessus fonctionne en testant chaque port sur un ordinateur, en déterminant quel service y
est exécuté, puis en testant ce service pour s’assurer qu’il ne contient aucune vulnérabilité
pouvant être utilisée par un pirate informatique pour mener une attaque malveillante.
Nessus est appelé « scanner à distance » car il n’est pas nécessaire de l’installer sur un ordinateur
pour le tester. Au lieu de cela, vous pouvez l’installer sur un seul ordinateur et tester autant
d’ordinateurs que vous le souhaitez.

33
Figure 6 : Fonctionnement de NESSUS [W4]

Le principe de fonctionnement de Nessus est le suivant :


1. Le client se connecte et s’identifie.

2. Le client et le serveur s’échangent leurs certificats afin de crypter les données et que le
serveur puisse authentifier le client. Les certificats sont des fichiers chiffrés qui
permettent d’authentifier les différents intervenants lors des transactions sur Internet.

3. Le serveur informe le client des différents tests et options disponibles.

4. Le client envoie les différents paramétrages au serveur.

34
5. Le serveur Nessus effectue un balayage de la cible à l’aide des différents scanners de port
à sa disposition. Le scanner de port employé peut être Nmap.

6. La réalisation du scan.

7. Les informations récoltées lors du scan sont enregistrées dans la base de données.

8. Le serveur Nessus effectue les tests correspondant aux données recueillies lors du
balayage des ports.

9. Les plug-ins de test analysent la cible en se reposant sur la base de données.

10. Les plug-ins enregistrent les informations relatives aux tests dans la base de données.

11. Toutes les informations sont envoyées au serveur Nessus lors de l’exécution des tests.

12. Les informations récoltées ainsi que leurs analyses sont mises à la disposition de
l’utilisateur.

4.2 OSSEC :

4.2.1 Historique

OSSEC est un système de détection d’intrusion basé sur un hôte, libre et à source ouverte.
C’est une plate-forme pour surveiller et contrôler vos systèmes. Il associe tous les aspects de
HIDS (détection d'intrusion sur hôte), de surveillance des journaux et de gestion des incidents de
sécurité (SIM) / gestion des informations de sécurité et des événements (SIEM) dans une solution
simple, puissante et à code source ouvert.
Il fournit une détection d'intrusion pour la plupart des systèmes d'exploitation, y compris Linux,
OpenBSD, FreeBSD, OS X, Solaris et Windows.
OSSEC est conforme aux exigences de la norme PCI DSS qui est un standard de sécurité des
données s'appliquant aux différents acteurs de la chaîne monétique.

En juin 2008, le projet OSSEC et tous les droits d'auteur détenus par Daniel B. Cid, le
responsable du projet, ont été acquis par Third Brigade, Inc. Ils ont promis de continuer à
contribuer à la communauté open source et à étendre l'assistance et la formation commerciales
aux utilisateurs -Communauté open source OSSEC.

35
En mai 2009, Trend Micro a acquis Third Brigade et le projet OSSEC, avec la promesse de le
maintenir libre et ouvert.
En 2018, Trend a publié le nom de domaine et le code source à la fondation OSSEC.
Le projet OSSEC est actuellement géré par Atomicorp, qui gère la version gratuite et à source
ouverte, et propose également une version commerciale améliorée.

4.2.2 Architecture

OSSEC est composé de plusieurs pièces. Il dispose d'un gestionnaire central pour la surveillance
et la réception d'informations provenant d'agents, de syslog, de bases de données et de
périphériques sans agent. C’est la pièce maîtresse du déploiement OSSEC. Il stocke les bases de
données de vérification de l'intégrité des fichiers, les journaux, les événements et les entrées
d'audit du système. Toutes les règles, décodeurs et principales options de configuration sont
stockés de manière centralisée dans le gestionnaire ; ce qui facilite l'administration, même d'un
grand nombre d'agents.
Les agents se connectent au serveur sur le port 1514 / UDP. La communication vers ce port doit
être autorisée pour que les agents puissent communiquer avec le serveur.

L'agent est un petit programme, ou un ensemble de programmes, installé sur les systèmes à
surveiller. L'agent collectera les informations et les transmettra au responsable pour analyse et
corrélation. Certaines informations sont collectées en temps réel, d'autres périodiquement. Par
défaut, sa mémoire et son encombrement processeur sont très faibles, ce qui n’affecte pas
l’utilisation du système.

L’agent s'exécute avec un utilisateur disposant de peu de privilèges (généralement créé lors de
l'installation) et dans une prison chroot isolée du système. La majeure partie de la configuration
de l'agent peut être poussée du gestionnaire.
Il faut noter qu’OSSEC peut uniquement être installé en tant qu'agent sur les plates-formes
Microsoft Windows. Ces systèmes nécessiteront un serveur OSSEC, fonctionnant sous Linux ou
un autre système de type Unix.
Pour les systèmes sur lesquels un agent ne peut pas être installé, le support sans agent peut
permettre d'effectuer des vérifications d'intégrité. Les analyses sans agent peuvent être utilisées
pour surveiller les pares-feux, les routeurs et même les systèmes Unix.

36
Figure 7 : Architecture d’OSSEC [W16]

L'avantage d'OSSEC est de pouvoir monitorer des serveurs distants appelés agents.
Ce diagramme montre le gestionnaire central qui reçoit les événements des agents et les journaux
système des périphériques distants. Lorsqu'un élément est détecté, les réponses actives peuvent
être exécutées et l'administrateur est averti.

4.2.3 Fonctionnement

OSSEC est doté de caractéristiques principales qui facilitent son fonctionnement telles que :
a) Une vérification de l’intégrité des fichiers :
Toute attaque contre vos réseaux et vos ordinateurs présente un point commun : ils modifient
vos systèmes d’une manière ou d’une autre. L'objectif de la vérification de l'intégrité des
fichiers (ou FIM - surveillance de l'intégrité des fichiers) est de détecter ces modifications et
de vous alerter lorsqu'elles se produisent. Il peut s'agir d'une attaque, d'une utilisation abusive
par un employé ou même d'une faute de frappe par un administrateur. Toute modification de
fichier, de répertoire ou de registre vous sera signalée.
Couvre les sections PCI DSS 11.5 et 10.5.5.

37
b) Un journal de surveillance :
Votre système d'exploitation veut vous parler, mais savez-vous écouter ? Chaque système
d'exploitation, application et périphérique de votre réseau génère des journaux (événements)
pour vous informer de ce qui se passe. OSSEC collecte, analyse et corrèle ces journaux pour
vous permettre de savoir s’il se passe quelque chose de suspect (attaque, mauvaise utilisation,
erreur, etc.). Voulez-vous savoir quand une application est installée sur votre poste client ?
Ou quand quelqu'un change une règle dans votre pare-feu ? En surveillant vos journaux,
OSSEC vous en informera.
Couvre la section 10 PCI DSS.

c) Une détection des rootkits :


Les pirates informatiques veulent cacher leurs actions, mais en utilisant la détection de
rootkits, vous pouvez être averti lorsque le système est modifié de la même manière que les
rootkits.

d) Une réponse active :


Une réponse active permet à OSSEC de prendre des mesures immédiates lorsque des alertes
spécifiées sont déclenchées. Cela peut empêcher la propagation d'un incident avant qu'un
administrateur puisse prendre des mesures.

Il est possible d’utiliser OSSEC suivant 3 modes à savoir :


 Local ;
 Client/ Serveur ;
 Hybride.

Pour maintenir la sécurité et la confidentialité des messages, des données ou des informations sur
un réseau informatique, un certain cryptage serait nécessaire pour créer des messages, des
données. Raison pour laquelle la communication client-serveur est chiffrée par Blowfish qui est
un algorithme de chiffrement symétrique (ou à clé secrète) par blocs.
Blowfish utilise une taille de bloc de 64 bits et la clé de longueur variable peut aller de 32 à 448
bits. Elle est basée sur l'idée qu'une bonne sécurité contre les attaques de cryptanalyse peut être
obtenue en utilisant de très grandes clés pseudo-aléatoires.
Blowfish présente une bonne rapidité d'exécution excepté lors d'un changement de clé, il est
environ cinq fois plus rapide que Triple DES et deux fois plus rapide qu’IDEA. Malgré son âge,
il demeure encore solide du point de vue cryptographique avec relativement peu d'attaques

38
efficaces sur les versions avec moins de tours. La version complète avec 16 tours est à ce jour
entièrement fiable et la recherche exhaustive reste le seul moyen pour l'attaquer.
Ensuite, la compression de ces données ou informations intervient avec la Zlib.
Zlib est une bibliothèque logicielle de compression de données. Elle implémente l'algorithme de
compression deflate et peut créer des fichiers au format gzip. Cette bibliothèque est très
largement utilisée, grâce à sa taille réduite, son efficacité et sa souplesse d'utilisation.

L’analyse des journaux de logs locaux ou distants et le processus de scan en temps réel ou
programmable sont les méthodes d’Audit utilisées.

4.3 PRELUDE SIEM :

Prelude est un système SIEM (Security Information and Event Management) sans agent,
universel et hybride. Prélude recueille, normalise, trie, regroupe, corrèle et rapporte tous les
événements liés à la sécurité indépendamment du produit marque ou licence. Les événements de
sécurité sont normalisés au format IDMEF, ce qui permet une prise en charge native de presque
tous les événements liés à la sécurité provenant d'un équipement informatique.
Bref c'est un outil de pilotage de la sécurité. Prelude collecte et centralise les informations de
sécurité de l'entreprise pour offrir un point central de pilotage. Grâce à l'analyse et la corrélation
des journaux et des flux, Prelude SIEM alerte en temps réel des tentatives d'intrusions et des
menaces sur le réseau. Prelude SIEM offre plusieurs outils d'investigation et de reporting sur les
Big Data permettant d'identifier les signaux faibles qui peuvent préfigurer des menaces
persistantes avancées. Enfin, Prelude SIEM dispose de tous les outils d'aide à l'exploitation pour
simplifier le travail des opérateurs et la gestion des risques.
Prelude SIEM implémente nativement le format standard IDMEF (RFC 47651) recommandé par
le Référentiel Général d'Interopérabilité v2. Prelude SIEM est capable de gérer tout type de
format de journaux et grâce à ce format Prelude SIEM est nativement "compatible IDMEF" avec
de nombreuses sondes de sécurité OpenSource : AuditD, Nepenthes, NuFW, OSSEC (en), Pam,
Samhain (en), Sancp, Snort, Suricata, Kismet, etc.
Depuis 2016, au travers du "Prelude IDMEF Partner Program", Prelude SIEM est maintenant
"compatible IDMEF" avec de très nombreuses sondes commerciales.
Prelude SIEM implémente toutes les fonctions d'un SIEM au travers de ses trois modules
(ALERTE (SEM), ARCHIVE (SIM) et ANALYSE) et est ainsi considéré comme la seule
alternative 100% SIEM Française et Européenne complète sur le marché.

39
4.3.1 Historique 

Le nom "Prelude" a été choisi par le créateur du logiciel parce que le premier objectif de Prelude,
grâce à son module ALERTE, est de détecter en temps réel le "prélude" d'une attaque. Cette
spécificité s'explique par sa capacité à fédérer de nombreux outils de détection complétée par
l'analyse des traces et des journaux qui rend très complexe la possibilité pour les "attaquants" de
passer au travers de ces protections sans déclencher une alerte.

4.3.2 Architecture

Le système Prelude est constitué de plusieurs composants dont :


 Prelude Manager :

Prelude-Manager est un serveur à haute disponibilité qui accepte les connexions


sécurisées des capteurs distribués et / ou d'autres gestionnaires et enregistre les alertes
reçues sur un support spécifié par l'utilisateur (base de données, fichier journal, courrier,
etc.). Le serveur planifie et établit les priorités de traitement en fonction du caractère
critique et de la source des alertes.
Prelude Manager est un concentrateur capable de gérer un grand nombre de connexions et
de traiter un grand nombre d'alertes. Il utilise une file d'attente de planification par client
afin de traiter les alertes par gravité de manière équitable entre les clients.
Le gestionnaire Prelude Manager est livré avec plusieurs plug-in, tels que des plug-ins de
filtrage (critères idmef, seuillage, etc.) ou des plug-ins de génération de rapports, tels que
le plug-in SMTP, qui envoie automatiquement des e-mails contenant une description
textuelle des alertes à une liste de destinataires configurée.

 Libprelude :

Libprelude est une bibliothèque qui garantit des connexions sécurisées entre tous les
capteurs et Prelude Manager. Libprelude fournit une interface de programmation (API)
pour la communication avec les sous-systèmes Prelude. Il fournit les fonctionnalités
nécessaires pour générer et émettre des alertes IDMEF avec Prelude et automatise la
sauvegarde et la retransmission de données en cas d'interruption temporaire de l'une des
composants du système.

40
Libprelude facilite également la création de logiciels tiers "Prelude Aware" (capables de
communiquer avec les composants Prelude). Cette bibliothèque fournit des
fonctionnalités communes utiles utilisées par tous les capteurs.

 LibpreludeDB :

La bibliothèque PreludeDB fournit une couche d’abstraction selon le type et le format de


la base de données utilisée pour stocker les alertes IDMEF. Il permet aux développeurs
d’utiliser facilement et efficacement la base de données Prelude IDMEF sans se soucier
de SQL et d’y accéder indépendamment du type / format de la base de données.

 Prelude-LML :

Prelude-LML est un analyseur de journaux qui permet à Prelude de collecter et d'analyser


des informations provenant de tous types d'applications, émettant des journaux ou des
messages syslog, afin de détecter les activités suspectes et de les transformer en alertes
Prelude-IDMEF. Prelude-LML gère les alertes générées par un grand nombre
d’applications.

 Prelude-Correlator :

Prelude-Correlator permet de réaliser des corrélations multi-flux grâce à un puissant


langage de programmation permettant d'écrire des règles de corrélation. Prelude-
Correlator est un moteur de corrélation basé sur des règles Python. Il a la capacité de se
connecter et d'extraire des alertes à partir d'un serveur Prelude-Manager distant, et de
mettre en corrélation les alertes entrantes en fonction du jeu de règles fourni. Lorsque la
corrélation est réussie, des alertes de corrélation IDMEF sont déclenchées.

 Prewikka :
Prewikka est l'interface graphique utilisateur web officielle du système Prelude Universal
SEM. Prewikka, qui fournit de nombreuses fonctionnalités, facilite le travail des
utilisateurs et des analystes. Prewikka donne également accès à des outils externes tels
que whois et traceroute.
Précédemment expliqué ci-dessus, Prelude est divisé en plusieurs composants. Les
capteurs sont responsables de la détection des intrusions et signalent les alertes de manière
centralisée à l'aide d'une connexion TLS à un serveur "prélude-manager". Le serveur
prélude-manager peut ensuite traiter ces alertes et les transmettre à un support spécifié par

41
l'utilisateur (base de données MySQL, base de données PostgreSQL, fichier XML, tout
format fourni, à condition qu'un plug-in de rapport lui soit attribué).
La console Prelude peut ensuite être utilisée pour afficher ces alertes.
Voici un exemple simple de la façon dont les différents composants Prelude interagissent

Figure 8 : Architecture simple de Prelude

Vous pouvez faire une architecture décentralisée avec l'extension commerciale disponible
à partir de CS-SI comme ceci :

Figure 9 : Architecture décentralisée de Prelude


Ou bien celle-ci :

42
Figure 10 : Relais inversé de Prelude

4.3.3 Fonctionnement

Afin d’extraire l’essentiel de l’information nécessaire aux exploitants pour piloter la sécurité de
l’entreprise, les événements envoyés à Prelude passent par différentes étapes résumées ci-
dessous. C’est ce traitement systématique sur les données disponibles qui permet la détection en
profondeur capable de repérer des événements « standards » mais aussi des déviations par rapport
à des attitudes normales. Pour ce faire, Prelude SIEM combine des méthodes de détection «
classiques » avec les dernières techniques d’analyse comportementale ou encore de machine
Learning auxquelles s’ajoutent les techniques d’enrichissement (CTI).
Les différentes étapes d’une détection d’intrusion sont les suivantes :

 Centralisation :
Prelude SIEM centralise toutes les traces de votre système d'information (syslog, netflow,
fichiers, etc.) et les archive dans une base sécurisée avant l'analyse.
 Détection :
Au sein des traces, Prelude recherche des indices de tentatives d'intrusion en combinant
plusieurs techniques de détection : la détection classique basée sur la stratégie de
surveillance de l'entreprise, la détection externe basée sur les renseignements de la
communauté (CTI) et enfin les nouvelles techniques d'analyse de données à base de
machine Learning pour identifier les comportements déviants. Prelude implémente ainsi
les principes d'une Détection d'Intrusion En Profondeur.
 Normalisation :
Prelude SIEM normalise tous les événements notables ou suspicieux au format standard
IDMEF (RFC 4765). Grâce à ce format, les événements sont enrichis afin de faciliter les
processus d'automatisation et de corrélation mais aussi afin de fournir le maximum
d'informations à l'opérateur (contextualisation des alertes) pour lui permettre de réagir
rapidement et efficacement.

43
 Corrélation :
Prelude SIEM propose plusieurs moteurs de corrélation, en fonction des besoins de
chaque scénario de corrélation. L'utilisateur peut construire son scénario de corrélation à
partir de l'IHM en "drag & drop". Il est aussi possible d'automatiser la création de règle à
l'aide du méta-langage "EasyCorrel" et enfin pour les besoins les plus avancés, l'opérateur
a la possibilité de développer ses règles et ses algorithmes de traitement directement à
partir de scripts Python profitant ainsi de toute la richesse de ce langage.
Prelude SIEM est le seul SIEM à proposer plusieurs techniques de corrélation permettant
de définir tout type de scénario d’attaque.

 Agrégation :
Au niveau des interfaces, l'opérateur a la possibilité d'agréger, trier, filtrer les
informations pour mieux en comprendre les causes et les relations. Les informations
corrélées peuvent être représentées sous différentes formes graphiques en fonction des
besoins. Le calcul de l'agrégation ainsi que les attributs agrégés sont calculés
dynamiquement offrant ainsi toute liberté à l'opérateur.
 Notification :
Prelude propose un tableau de pilotage des menaces suggérant un classement opérationnel
des alertes. Sans quitter cet écran, l’opérateur a accès à de nombreux outils pour faciliter
le traitement de ces menaces (outils d'investigation, accès aux informations d'inventaires
et de vulnérabilités, détail des champs IDMEF, accès direct aux résultats d'analyse
comportementale, etc.). En complément, pour les équipes plus modestes, Prelude SIEM
propose offre de nombreuses fonctions de filtrages qui permettent d'alerter les opérateurs
directement sur leur messagerie ou sur leur téléphone mobile en fonction de la gravité des
alertes en évitant le « spam ». Prelude SIEM propose aussi toutes les fonctions de
programmation création/programmation et de rapports techniques ou fonctionnels à
destination des directions de l'entreprise (DG, DSI, Finances, RH, etc.).

4.4 SNORT :

4.4.1 Historique

Snort est un système de détection d'intrusion (ou NIDS) libre publié sous licence GNU GPL. À
l'origine écrit par Marty Roesch (en), il appartient actuellement à Sourcefire. Des versions
commerciales intégrant du matériel et des services de supports sont vendus par Sourcefire. Snort

44
est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à
son succès.
Snort est capable d'effectuer aussi en temps réel des analyses de trafic et de logger les paquets sur
un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et
peut être utilisé pour détecter une grande variété d'attaques et de sondes comme des dépassements
de buffers, scans, attaques sur des CGI, sondes SMB, essai d'OS fingerprintings et bien plus.

Snort pour effectuer ces analyses se fonde sur des règles. Celles-ci sont écrites par Sourcefire ou
bien fournies par la communauté. Snort est fourni avec certaines règles de base mais cependant,
comme tout logiciel, Snort n'est pas infaillible et demande donc une mise à jour régulière.

Snort peut également être utilisé avec d'autres projets open sources tels que SnortSnarf, ACID,
sguil et BASE (qui utilise ACID) afin de fournir une représentation visuelle des données
concernant les éventuelles intrusions.

4.4.2 Architecture

Figure 11 : Architecture de Snort

L’architecture de SNORT est modulaire et est composée de :


 Un noyau de base :au démarrage, ce noyau charge un ensemble de règles, compile,
optimise et classe celles-ci. Durant l’exécution, le rôle principal du noyau est la
capture de paquets.
 Une série de pré – processeurs, ceux-ci améliorent les possibilités de SNORT en
matière d’analyse et de recomposition du trafic capturé. Ils reçoivent les paquets
directement capturés, éventuellement les retravaillent puis les fournissent au
moteur de recherche de signatures.

45
 Une série d’analyses est ensuite appliquée aux paquets. Ces analyses se composent
principalement de comparaisons de différents champs des headers des protocoles
(IP, ICMP, TCP et UDP) par rapport à des valeurs précises.
 Après la détection d’intrusion, une série de « output plugins » permet de traiter
cette intrusion de plusieurs manières : envoie vers un fichier log, envoie d’un
message d’alerte vers un serveur Syslog, stocker cette intrusion dans une base de
données SQL.

4.4.3 Emplacement
L’emplacement physique de la sonde SNORT sur le réseau a un impact considérable sur
son efficacité.
Dans le cas d’une architecture classique, composée d’un Firewall et d’une DMZ, trois
positions sont généralement envisageables :
 Avant le Firewall ou le routeur filtrant : dans cette position, la sonde occupe une place de
premier choix dans la détection des attaques de sources extérieures visant l’entreprise.
SNORT pourra alors analyser le trafic qui sera éventuellement bloqué par le Firewall. Les
deux inconvénients de cette position du NIDS sont : primo, le risque engendré par un
trafic très important qui pourrait entraîner une perte de fiabilité et secundo, étant situé
hors du domaine de protection du firewall, le NIDS est alors exposé à d'éventuelles
attaques pouvant le rendre inefficace.

 Sur la DMZ : dans cette position, la sonde peut détecter tout le trafic filtré par le Firewall
et qui a atteint la zone DMZ. Cette position de la sonde permet de surveiller les attaques
dirigées vers les différents serveurs de l’entreprises accessibles de l’extérieur.

 Sur le réseau interne : le positionnement du NIDS à cet endroit nous permet d’observer les
tentatives d’intrusion parvenues à l’intérieur du réseau d’entreprise ainsi que les tentatives
d’attaques à partir de l'intérieur. Dans le cas d’entreprises utilisant largement l'outil
informatique pour la gestion de leurs activités ou de réseaux fournissant un accès à des
personnes peu soucieuses de la sécurité (réseaux d’écoles et d’universités), cette position
peut revêtir un intérêt primordial.

4.4.4 Fonctionnement

a) Les préprocesseurs de SNORT

Les préprocesseurs permettent d’étendre les fonctionnalités de SNORT. Ils sont exécutés
avant le lancement du moteur de détection et après le décodage du paquet IP.

46
Le paquet IP peut être modifié ou analysé de plusieurs manières en utilisant le mécanisme
de préprocesseur.
Les préprocesseurs sont chargés et configurés avec le mot-clé préprocesseur. Le format
de la directive préprocesseur dans les règles de SNORT est :
preprocessor <nom> : <options>

Exemple de préprocesseur :
Le détecteur portscan : ce préprocesseur permet de :
 enregistrer le début et la fin d’un scan de ports à partir d’une seule adresse IP.
 lorsqu'un fichier de log est spécifié, ce préprocesseur journalise les IP et les ports
scannés ainsi que le type du scan.
Exemple : Preprocessor portscan 192.168.1.0/24 /var/log/snort

b) Les règles de SNORT

Les règles de SNORT sont composées de deux parties distinctes : le header et les options.
Le header permet de spécifier le type d’alerte à générer (alert, log et pass) et d’indiquer
les champs de base nécessaires au filtrage : le protocole ainsi que les adresses IP et ports
sources et destination.
Les options, spécifiées entre parenthèses, permettent d’affiner l’analyse, en décomposant
la signature en différentes valeurs à observer parmi certains champs du header ou parmi
les données.
Exemple de règle :
Alert tcp any any -> 192.168.1.0/24 80 (flags : A ; \content : “passwd” ; msg : “detection
de `passwd’ “ ;)
Cette règle permet de générer un message d’alerte “detection de passwd” lorsque le trafic
à destination d’une machine du réseau local 192.168.1.0/24 vers le port 80, contient la
chaîne « passwd » (spécifié par l’utilisation du mot-clé « content »), et que le flag ACK
du header TCP est activé (flags : A).

4.5 SYNTHESE COMPARATIVE

47
Outils Avantages Inconvénients
NESSUS +Open Source -Peut surcharger le réseau
inutilement
+Extensibilité
-Faux positifs possibles
+Assistance sur les correctifs
-Peut figer des applications
+Contrairement aux autres locales (nécessite le
scanners, il n’émet aucune redémarrage de ces
hypothèse concernant la applications)
configuration du serveur
OSSEC +Multi OS, gratuit, libre et -Peut générer beaucoup de
facile à installer mails

+Peu gourmand en ressources -Agrégation de mails pas


et en compétences toujours respectée

+Exigence de conformité : -Support Windows inférieur


PCI et HIPAA au reste même s’il y a de nets
progrès avec les dernières
+Alertes en temps réel, versions
surveillance d’agents et sans
agents
SNORT +Logiciel libre, gratuit et -Les sondes NIDS peuvent
Open source être vulnérables par rapport à
des attaques DOS
+Une très grande
communauté -Nécessite une étude avant le
placement des sondes
+Mise à jour régulière de la
base des signatures -Nombreuses fonctionnalités
payantes
+Nombreux Plugins
documentations riches

Prelude SIEM +Construit sur un cœur Open -Nombreux faux positifs


Source
-Durée de mis en place
+Client léger Web 2.0
-Dépendance totale du bon
+Architecture hiérarchisée et fonctionnement des sondes
décentralisée réseaux

+Conforme aux normes : -Génération d’alertes


IDMEF, IODEF, http, XML, totalement dépendante des
SSL…. logs fournis par les

48
équipements réseaux
+Performances, modularité,
souplesse et résilience

Après avoir établi une étude comparative sur les quatre solutions de sécurisation proposées ci-
dessus, nous avons décidé que la solution plus convenable est OSSEC parce qu’elle répond
fidèlement aux besoins de l’entreprise.
Beaucoup de personnes ignorent que les SIEM sont beaucoup plus que des IDS/IPS, des
agrégations de logs, des « machine Learning system ».

5.MISE EN ŒUVRE DE LA SOLUTION


RETENUE
49
5.1Installation et configuration

5.1.1 Installation coté serveur

 Installation des dépendances OSSEC


OSSEC nécessite PHP, gcc, libc et Apache Web Server. Installez-les en lançant
les commandes ci-dessous :
sudo apt install -y wget unzip make gcc build-essential
sudo apt install -y php php-cli php-common libapache2-mod-php apache2-utils
sendmail inotify-tools

 Téléchargement d’OSSEC
Une fois les dépendances installées, la prochaine installation est destinée à OSSEC
HIDS. Le code source d'OSSEC est disponible sur Github.
Vérifiez la dernière version avant de télécharger. Au moment d'écrire ces lignes, le
dernier en date est 3.1.0.
wget https://github.com/ossec/ossec-hids/archive/3.1.0.tar.gz

 Extraction du fichier compressé


Une fois téléchargé, extrayez le fichier avec la commande suivante :
tar -xvzf 3.1.0.tar.gz
Cette extraction créera un dossier, déplacez-vous vers ce dossier et exécutez le
script d'installation.
cd ossec-hids-3.1.0

50
./install.sh
La configuration commencer a aussitôt après la compilation du script
d’installation.

 Configuration et installation d’OSSEC


 Définir la langue
 Définir le type d’installation (serveur, local, agent, hybride)
 Notification par e-mail (si vous avez installé un serveur SMTP, répondez y)
 Adresse mail par lequel les notifications seront envoyées (par exemple
admin@lptiasr.sn). Il faut que cette adresse corresponde avec celle que
vous avez créé dans votre serveur de messagerie.
 Adresse IP de votre serveur SMTP
Et pour le reste de la configuration laissez les options par défaut.
A la fin de la configuration tapez sur Entrée.

 Téléchargement et installation de l’interface graphique


git clone https://github.com/ossec/ossec-wui.git
sudo mv ossec-wui /srv
cd /srv/ossec-wui
./setup.sh

 Configuration de l’interface graphique


Après l’exécution du script setup, il vous sera demandé de définir un nom
d’utilisateur et un mot de passe pour pouvoir accéder à l’interface graphique
d’OSSEC.
Puis choisissez www-data comme utilisateur d’Apache autorisé à accéder à
l’interface graphique.

 Création d’un hôte virtuel Apache


Nano /etc/apache2/sites-enabled/ossec-wui.conf
Mettez dans ce fichier ces quelques lignes :

51
<VirtualHost *:80>
DocumentRoot /srv/ossec-wui/
ServerName ossec.lptiasr.sn
ServerAlias www.ossec.lptiasr.sn
ServerAdmin admin@example.com

<Directory /srv/ossec-wui/>
Options +FollowSymlinks
AllowOverride All
Require all granted
</Directory>

ErrorLog /var/log/apache2/moodle-error.log
CustomLog /var/log/apache2/moodle-access.log combined
</VirtualHost>
Remplacez lptiasr.sn par votre nom de domaine puis enregistrez le fichier et
quittez.

 Activation du module rewrite


Il faudra activer le module rewrite et redémarrer le serveur web Apache.
sudo a2enmod rewrite
sudo systemctl restart apache2

 Accès à l’interface graphique


Démarrez le serveur grâce à la commande : /var/ossec/bin/ossec-control start.
Puis ouvrez http://ossec.lptiasr.sn dans votre navigateur Web et authentifiez-vous
auprès du tableau de bord.

52
A la connexion vous devriez avoir une page comme ci-dessous :

5.1.2 Installation coté client(agent)

 Installation d’un agent sous Linux

Rappelons que l’installation d’un serveur OSSEC ne se fait que sous Linux. L’installation
de l’agent se fait de la même façon avec des questions en moins en choisissant le type
d’installation(agent) et en validant les options par défaut. Vous devriez aussi spécifier
l’adresse IP du serveur OSSEC. Et aussi l’installation d’une interface graphique ne sera
pas nécessaire.

53
 Installation d’un agent sous Windows

Après avoir téléchargé le setup d’OSSEC le plus récent, lancez-le, vous devriez avoir une
image comme celle-ci :

Cliquez sur Next, vous devriez avoir la fenêtre sur l’acceptation de la licence.

54
Cliquez sur I Agree la fenêtre sur le choix des composants à installer doit
s’ouvrir :

Cliquez sur Next, la fenêtre pour l’emplacement du logiciel à installer doit


s’ouvrir. Laissez le choix par défaut et cliquez sur Install

55
Laissez le processus d’installation se terminer puis cliquez sur Next. Et voila
l’installation est terminée. Décochez la case et cliquez sur Finish

56
Cliquez sur la touche Windows et exécutez en tant qu’Administrateur le logiciel
nouvellement installé. Il ne vous restera plus qu’à mettre l l’adresse IP du serveur
OSSEC et de coller la clé d’authentification générée par le serveur pour cet agent.

5.1.3 Ajout des agents au niveau du serveur et importation des clés vers les agents

 Agent avec système d’exploitation Linux/Unix

Tout d’abord allez au niveau du serveur et démarrez le gestionnaire d’agents OSSEC avec
la commande /var/ossec/bin/manage_agents.

57
Choisissez l’option A et renseignez le nom, l’adresse IP et l’ID de l’agent
nouvellement créée. Et enfin vous pouvez confirmer l’ajout.

Retournez au menu principal et choisissez l’option E pour extraire la clé


d’authentification générée par le serveur pour l’agent. Puis saisissez l’ID de
l’agent dont vous voulez extraire la clé. Et enfin vous pouvez copier la clé.

58
Déplacez-vous au niveau de l’agent et démarrez le gestionnaire d’agents OSSEC
en tapant la commande /var/ossec/bin/manage_agents. Choisissez l’option I pour
pouvoir importer la clé d’authentification générée par le serveur. Collez la clé puis
appuyez sur Entrée et confirmez l’ajout de l’agent.

Quittez le gestionnaire d’agents et redémarrez le serveur et démarrez l’agent avec


les commandes respectives /var/ossec/bin/ossec-control restart et

59
/var/ossec/bin/ossec-control start. Normalement quand vous actualisez l’interface
graphique du serveur vous devriez voir l’agent nouvellement créée.

NB : Pour l’extraction de la clé d’authentification générée par le serveur, il est


recommandé de couper la clé pour des raisons de sécurité.

 Agent avec système d’exploitation Windows


L’agent OSSEC qui fonctionne sous Windows s’ajoute de la même façon que celui
fonctionnant sous Linux. Après l’extraction de la clé d’authentification générée par le
serveur pour l’agent Windows, déplacez-vous vers l’agent et exécutez en tant
qu’administrateur le logiciel OSSEC qui se trouve dans le menu Démarrer de Windows.
Saisissez l’adresse IP du serveur OSSEC et copiez la clé d’authentification puis cliquez
sur Save et enfin cliquez sur Manage puis sur Start OSSEC. Le statut devrait passer de
Stopped à Running.

60
Redémarrez le serveur puis vérifier au niveau de l’interface graphique du serveur
si l’agent Windows est ajouté avec le statut Active.

61
5.2Tests possibles

Après avoir implanter notre architecture ainsi que ses différents composants (Serveur Mail,
Serveur Web, Serveur de logs, etc.), nous devrons effectuer des tests d’intrusion ou
pentesting pour auditer le niveau de sécurité de notre architecture. De ce fait nous avons placé
une machine fonctionnant avec le système d’exploitation Kali Linux à partir de laquelle nous
attaquerons notre réseau local. Voici notre architecture :

Le but de notre pentesting est de vérifier si des alertes seront émises par les HIDS
fonctionnant dans le réseau local au niveau du serveur de logs.

Kali Linux est système d‘exploitation avec une multitude d’outils nous permettant de faire
d’efficaces tests d’intrusions. Notre choix s’est tourné alors vers Metasploit qui est un outil
très efficace et très facile d’utilisation de pentesting. Son but est de fournir des informations
sur les vulnérabilités de système informatiques et d’aider à la pénétration et au
développement de signatures pour les IDS. Il fournit deux interfaces possibles : en ligne de
commande et graphique (Armitage). Pour le cas de notre pentesting, nous allons utiliser
Armitage pour faciliter l’utilisation de Metasploit.

Tout d’abord ouvrir le terminal de Kali et taper la commande armitage. Une fenêtre Connect
devrait s’ouvrir.

62
Puis on vous demandera de démarrer le serveur Metasploit, cliquez sur Oui.

63
La barre de progression de connexion au serveur Metasploit s’affichera. Vous aurez un
message d’erreur du type « Connexion refusée » au niveau de la barre de progression c’est
tout à fait normal, n’annulez pas la connexion. Et si vous recevez un message d’erreur qui dit
qu’il ne voit pas la base de données, il vous suffira juste de taper msfdb init qui initialisera la
base de données de serveur Metasploit puis recommencer les depuis le début avec la
commande armitage.

La page d’accueil s’ouvrira enfin on vous demandera de saisir l’adresse IP de la machine


Kali.

64
Comme vous le voyez Armitage c’est une interface très simple. Tout d’abord on va
commencer par scanner le réseau local afin de détecter tous les hôtes s’y trouvant. Pour
scanner un réseau, il faut appuyer sur Hosts, puis sur Nmap scan et enfin sur Quick Scan (OS
Detect). Après avoir identifié les hotes, vous pouvez choisir votre cible principale et
appliquer la même procédure mais au lieu de Nmap Scan, vous cliquez sur MSF Scans, alors
on vous listera tous les ports ouverts de la cible choisie.

Vous pouvez même connaitre les différents services installés sur la cible. Pour cela il faut
faire un clic-droit sur la cible puis vous cliquez sur Services. Et automatiquement la console
vous indiquera les différents services ainsi que leurs numéros de port et les protocoles
intervenant dans le fonctionnement du service.

65
Après avoir découvert tous les services et leurs ports respectifs, la question à se poser est
« Est-ce que ces services ont une vulnérabilité ou faille que nous pourrions exploiter ? ». Pour
cela il faut lancer un scan de vulnérabilités sur la cible, on sélectionne la cible puis on clique
sur Attacks et enfin Find Attacks. Un scan de vulnérabilités se lancera automatiquement.
Mais malheureusement pour nous la machine cible qu’on veut attaquer fonctionne avec un
système d’exploitation Windows 10. De ce fait toutes les mises à jour et toutes les brèches
ont été comblées, contrairement aux versions précédentes.
Mais bon l’idée est de ce pentesting est de savoir est-ce que le HIDS mis en place au niveau
de l’hôte détecte une intrusion.
Nous allons essayer une autre attaque, ce sera une attaque par Login et nous allons voir
comment OSSEC va réagir à cela.

Pour cela il faut faire un clic-droit sur la machine cible, puis cliquez sur login et enfin sur
l’une des options qu’on vous proposera. Une fenêtre s’ouvrira et vous mettez un nom
d’utilisateur et un mot de passe. Puis vous cliquez sur Reverse TCP Connection puis sur
Lauch. Et automatiquement Metasploit lancera l’attaque, vous pourrez consulter les
évenements de la console pour avoir si l’attaque a réussi ou pas.

66
De ce fait maintenant allons vérifier si le HIDS a détecté la tentative d’intrusion.

Comme vous le voyez OSSEC nous donnes toutes les informations concernant la tentative
d’intrusion.

5.3 Recommandations
A partir du test récemment fait, nous vous recommandons de :
 Au niveau de l’architecture, placer un routeur juste après le firewall.
 Mettre en place certains équipements de sécurité réseau comme les NIDS, les
Honey-Pot
 Changer les ports standards et utiliser d’autres ports pour le fonctionnement des
services.
 Veiller à ce que les systèmes d’exploitation soient tout le temps à jour car des
vulnérabilités peuvent être découvertes du jour au lendemain.

67
CONCLUSION

Notre insertion dans l’un des services les plus stratégiques de notre pays nous a permis d’enrichir
nos connaissances en Administration et Sécurité Réseaux. Cependant, beaucoup de vulnérabilités
sont notées dans les réseaux des structures publiques comme privées. L’objectif de ce travail a été
d’appréhender les problématiques liés aux détection d’intrusion dans les réseaux informatiques.
Pour cela, une étude comparative basée sur plusieurs critères a été faite afin de mettre en place
une solution de sécurisation pouvant répondre aux besoins de l’entreprise.

Après mûre réflexion, nous sommes convaincus qu’OSSEC est la solution la plus adaptée. Nous
nous sommes alors comportés en tant qu’attaquant « White Hacker » afin de s’infiltrer sur le
réseau et d’en identifier les vulnérabilités potentielles. L’HIDS a su nous donner toutes les
informations concernant cette intrusion. L’une des difficultés qui a été un frein à la mise en
œuvre de notre solution de sécurisation a été le manque de ressources nécessaires.

Afin de mettre en pratique nos connaissances en développement d’applications, nous avions


voulu mettre en place un système de messagerie instantanée avec OSSEC afin de prévenir
l’Administrateur réseau via des dispositifs portatifs comme les téléphones portables, les PDA…
Ceci va permettre de faciliter son travail puisque la réception et la vérification de mails n’est pas
toujours évidente.

68
WEBOGRAPHIE
[B1] Le guide complet de la gestion des logs et événements, par le Dr Anton
Chuvakin, 16/06/2016; https://www.netiq.com/documentation/
[W1] http://www.mesr.gouv.sn/ Site du Ministère de l’Enseignement Supérieur, de
la Formation et de la Recherche, consulté le 30 Juillet 2019 ;
[W2] http://why.cybercrim.over-blog.com/article-les-differents-types-d-intrusion-
70626587.html?, consulté le 10 Juillet 2019 ;
[W 3] https://www.ivision.fr/pourquoi-et-comment-realiser-un-test-dintrusion-
informatique/, consulté le 10 Juillet 2019 ;
[W4]https://repo.zenksecurity.com/Protocoles_reseaux_securisation/Les%20tests
%20d%20intrusion%20dans%20les%20reseaux%20Internet%20l.outil
%20Nessus.pdf, consulté le 10 Juillet 2019 
[W5] https://fr.qwerty.wiki/wiki/Intrusion_detection_system,
https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_d%C3%A9tection_d
%27intrusion , consulté le 13 Juillet 2019 
[W6] https://www.commentcamarche.net/contents/237-systemes-de-detection-d-
intrusion-ids
[W7] https://fr.wikipedia.org/wiki/Security_information_management_system,
consulté le 30 Juillet 2019 
[W 8] https://fr.tenable.com/products/nessus, consulté le 5 Juillet 2019 ;
[W 9] https://www.atomicorp.com/ consulté le 10 Juin 2019.
[W 10] https://www.prelude-siem.com/prelude-siem/ consulté le 4 Aout 2019
[W 11] https://www.prelude-siem.com/pourquoi-choisir-prelude-siem/ consulté le 4
Aout 2019
69
[W 12] https://fr.wikipedia.org/wiki/Prelude_SIEM consulté le 4 Aout 2019
[W 13] https://www.prelude-siem.org/projects/prelude/wiki/ManualUser consulté
le 5 Aout 2019
[W 14] https://connect.ed-diamond.com/MISC/MISC-070/Mise-en-place-du-
SIEM-Prelude-en-entreprise-Retour-d-experience#4.Pointsfaibles consulté le 5
Aout 2019
[W 15] https://www.snort.org/documents#OfficialDocumentation consulté le 5
Aout 2019
[W16] https://www.ossec.net/docs/manual/ossec-architecture.html consulté le 29
Mai 2019

70
ANNEXES

71
Table des matières

DEDICACE………………………………………………………………………………………..2
REMERCIEMENTS………………………………………………………………………………3
SIGLES ET ABBREVATIONS…………………………………………………………………..4
LISTE DES FIGURES……………………………………………………………………………5
SOMMAIRE……………………………………………………………………………………...6
INTRODUCTION………………………………………………………………………………..8
1. PRESENTATION DU LIEU DE STAGE………………………………………………..9
1.1 Historique et missions du MESRI……………………………………………………10
1.2 Organisation et fonctionnement……………………………………………………...11
1.3 Cadre technique : le CRSI, le Centre des Réseaux et Systèmes d’Information……...15
2. LES INTRUSIONS DANS LES RESEAUX INFORMATIQUES……………………...19
2.1 Définitions……………………………………………………………………………20
2.2 Types d’intrusions……………………………………………………………………20
2.3 Outils liés aux tests d’intrusion………………………………………………………21
3. LES OUTILS DE SECURISATION…………………………………………………….25
3.1 Enjeu de sécurisation des réseaux……………………………………………………26
3.2 Présentation des IDS\IPS…………………………………………………………….26
3.3 Présentation des SIEM ………………………………………………………………27
4. ETUDE COMPARATIVE DES OUTILS DE SECURISATION………………………30
4.1 NESSUS……………………………………………………………………………..31
4.2 OSSEC………………………………………………………………………………35
4.3 PRELUDE…………………………………………………………………………..39
4.4 SNORT……………………………………………………………………………...44
4.5 Synthèse comparative……………………………………………………………….47
5. MISE EN ŒUVRE DE LA SOLUTION RETENUE…………………………………..49
5.1 Installation et Configuration………………………………………………………...50
5.2 Tests possibles………………………………………………………………………62
5.3 Recommandations…………………………………………………………………..67
CONCLUSION………………………………………………………………………………....68
WEBOGRAPHIE………………………………………………………………………………69
ANNEXES………………………………………………………………………………..........71

72