Académique Documents
Professionnel Documents
Culture Documents
Département d’Informatique
Rapport
L’Attaque informatique
Promotion : 2019/2020
Tables des matières
I. Introduction........................................................................3
II. Historique............................................................................3
2. les solutions........................................................................8
V. Conclusion.........................................................................10
VI. Références.........................................................................10
I. Introduction
La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des
réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet.
La transmission d’informations sensibles et le désir d’assurer la confidentialité de celles-ci
est devenu un point primordiale dans la mise en place de réseaux informatiques. Ce document
a pour but de présenter globalement la manière dont les ”Hackers” opèrent afin de pénétrer les
systèmes informatiques en espérant qu’il aide à pallier à ce type de problème de plus en plus
fréquent. . .
Ce rapport présente l’attaque informatique en générale et les différentes attaques dans le cas de TCP/IP , qu’un
pirate peut utiliser à l’encontre des machines d’un réseau. Nous aborderons ce sujet au travers des principales
attaques réseaux, des attaques via les applications et des attaques de type déni de service.
II. Historique
Certaines histoires d'intrusions sont bien connues, elles ont été relayées par les médias, et font
aujourd'hui partie de la légende du piratage informatique. Quelques faits :
En 1986, de nombreux ordinateurs du gouvernement U.S. ont été infiltrés par des
pirates Ouest Allemands enrôlés par le KGB. Chris Stoll, l'administrateur système qui
découvrit les faits, en a tiré un livre devenu désormais un classique: The Coockoo's
Egg (L’œuf de coucou).
En 1988, l'Internet Worm (ver ), un programme qui s'auto- reproduisait, contamina le
système informatique académique de tout le pays.
En 1994, un ingénieur de MCI communication a été inculpé pour avoir intercepté
60.000 numéros de cartes téléphoniques depuis un central téléphonique.
En 1995, Kevin Mitnick, 31 ans, a été arrêté après une longue carrière de délinquant
informatique, comprenant le vol de 20.000 numéros de cartes de crédits, en pénétrant
des ordinateurs de Pacific Bell, Digital Equipment Corporation et en détournant pour
environ 1 million de dollars d'informations volées.
Cependant, aussi inquiétantes que puissent être ces histoires, elles ne représentent qu'une, infime partie du
problème. Accompagnant la croissance du nombre de machines interconnectées dans Internet et la conscience
dans le grand public du développement des "Autoroutes de l'Information", le nombre d'intrusions explose
littéralement. La nécessité d’une protection efficace s’est donc naturellement imposée.
Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et
logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente
un patrimoine essentiel de l'entreprise, qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou
logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
L'intégrité : c'est-à-dire garantir que les données sont bien celles que l'on croit être .
La confidentialité : consistant à assurer que seules les personnes autorisées aient accès aux ressources
échangées .
La disponibilité : permettant de maintenir le bon fonctionnement du système
d'information .
La non répudiation : permettant de garantir qu'une transaction ne peut être niée .
L'authentification : consistant à assurer que seules les personnes autorisées aient accès
aux ressources.
IV. Les attaques informatiques en générale
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque.
Une « attaque » : est l'exploitation d'une faille d'un système informatique (Système d’exploitation, logiciel ou
bien même de l'utilisateur) à des fins non connues par l'exploitant du systèmes et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur chaque machine
connectée. Ces attaques sont pour la plupart lancées automatiquement à partir de machines infectées (par
des virus, chevaux de Troie, vers, etc.), à l'insu de leur propriétaire. Plus rarement il s'agit de l'action de pirates
informatiques .Afin de contrer ces attaques il est indispensable de connaître les principaux types d'attaques afin
de mettre en œuvre des dispositions préventives.
voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ;
utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau sur lequel il est situé possède
une bande passante élevée.
a) Scan de ports.
b) IP Spamming.
c) IP Sniffing.
d) IP Spoofing.
e) Source Routing.
f) Fragmentation.
h) Déni de service
a) Scan de ports :
b) IP Spamming :
Inonder de messages un serveur (ou plus rarement une station) : indisponibilité de service : « déni de service »
Ennemie FW
Interieur
Internet
<<Destroy>>
Exemple :
Le spamming consiste à envoyer plusieurs milliers de messages identiques à une boite aux lettres pour la faire
saturer. En effet, les mails ne sont pas directs, ainsi lorsque le courrier sera relevé, celui-ci mettra beaucoup trop
de temps et la boite à la lettre sera alors inutilisable.
Exemple :
Soit une entreprise possédant 100 ordinateurs reliés entre eux grâce à un hub .Maintenant, si un pirate écoute
le trafic réseau entre 8h et 10h (heure de connection du personnel), il pourra lire tous les noms d’utilisateurs ainsi
que leur mot de passe.
Configuration nécessaire pour le Non Blind Spoofing: l’ordinateur ’A’ va demander une connexion sur
l’ordinateur ’C’ alors que l’ordinateur ’B’ espionne le trafic sur le réseau local. Il est donc possible pour l’ordinateur
’B’ d’interrompre la relation entre ’A’ et ’C’ puis de se faire passer pour l’ordinateur ’A’ car il a accès aux numéros
de séquence (SEQ) et d’acknoledgment (ACK).
Exemple :
Ce type d’utilisation de l’IP Spoofing est
relativement plus
Intéressante (en termes d’accès) que les deux
précédentes. La Connection Hijacking
Permet de s’infiltrer dans une connection TCP
existante dans le but de l’utiliser pour son
Propre intérêt. Pour cela, il faut qu’une connection TCP utilisant par exemple Telnet
Soit déjà établie entre deux stations (’A’ et ’C’ dans notre cas). Comme toujours, nous
Avons également besoin d’une troisième machine (’B’) pour analyser les paquets émis
Sur le réseau. Cette technique nécessite plus de ”précision” que les deux précédente
car il faut savoir jongler avec les numéros de séquence (SEQ) ainsi qu’avec les numéros
d’acknoledgment.
Voici en quelques lignes comment fonctionne ce type d’attaque: l’objectif de cette manipulation
est de récupérer une connection existante, on dit Hijacker une connection. Le
protocole TCP sépare les bons des mauvais paquets `a l’aide de leurs numéros SEQ/ACK.
Si l’on arrive à faire en sorte que la station ’C’ ne croit plus aux paquets de la station qui
avait établie la connection (station ’A’) mais par contre aux paquets forgés par la station
’B’ (paquets spoofés en tant que station ’A’) il est possible de continuer `a ”profiter” de
la connection en utilisant des paquets de numéros SEQ/ACK valides pour la station ’C’.
Une fois arrivé à ce niveau, nous avons récupéré la connection: la station ’A’ est ”perdue”
et la station ’C’ accepte sans problème nos données.
La question qui se pose alors est: ”Comment faire en sorte que la station ’A’ émette des paquets
dont les numéros SEQ/ACK soient rejet´es par la station ’C’ ?”. Il suffit simplement
d’insérer, au bon moment, dans le flux de données, un paquet supplémentaire que seuls
les stations ’B’ et ’C’ connaitront. Dans ce cas, le serveur ’C’ acceptera bien les données
et mettra `a jour le numéro d’acknoledgment (ACK). La station ’A’ continuera de tenter
d’envoyer des paquets avec l’ancien numéro de séquence (SEQ) qui ne seront donc plus
acceptés par le serveur ’B’. la figure suivante présente à l’aide de paquets TCP le fonctionnement
de cette technique.
Cette technique n’est utile que pour pénétrer les systèmes utilisant des systèmes d’authentification
de type One-Time Password. L’utilisation de ces systèmes rend l’utilisation des
techniques de Sniffing inopérantes car les mots de passe ne sont jamais transmis sur le réseau (notion de
Challenge, cf. ”Les mécanismes d’authentification”).
e) Source Routing
– Attention : même si cela ne correspond pas à ses tables de routage : usurpation d’identité
Le Source Routing : le protocole IP possède une option appelée Source Routing autorisant la
spécification du chemin que doivent suivre les paquets IP. Ce chemin est constitué d’une suite
d’adresses IP des routeurs que les paquets vont devoir emprunter. Il suffit au pirate d’indiquer un
chemin, pour le retour des paquets, jusqu’à un routeur qu’il contrôle. De nos jours, la plupart des
implémentations des piles TCP/IP rejettent les paquets avec cette option;
Le Routage : les tables des routeurs utilisant le protocole de routage RIP peuvent être modifiées
en leur envoyant des paquets RIP avec de nouvelles indications de routage . Ceci dans le but de router les
paquets vers un routeur que le pirate maîtrise.
f) Fragmentation
Cette attaque outrepasse la protection des équipements de filtrage IP. Pour sa mise en pratique, les pirates
utilisent deux méthodes : les Tiny Fragments et le Fragment Over lapping. Ces attaques étant historiques, les
pare-feux actuels les prennent en compte depuis longtemps dans leur implémentation.
Exemple :
L'astuce est de modifier les numéros de séquence afin de générer des blancs ou des recouvrements lors du
réassemblage par la pile IP cible.
Aujourd'hui, comme pour le Ping de la mort, cette technique n'est plus viable du fait que les piles IP ont
toutes évoluées.
• Un pirate, pour être efficace, doit rester discret et indétecté, voire indétectable. Pour cela, la méthode idéale
est de se placer entre deux machines comme un équipement normal du réseau (tel qu’un routeur par
exemple).
• L’attaque man-in-the-middle consiste à faire passer les échanges réseau entre deux systèmes par le biais
d’un troisième, sous le contrôle du pirate. Ce dernier peut transformer à sa guise les données à la volée,
tout en masquant à chaque acteur de l’échange la réalité de son interlocuteur.
L’objectif principal de cette attaque est de détourner le trafic entre deux machines. Cela pour intercepter,
modifier ou détruire les données transmises au cours de la communication. Cette attaque est plus un
concept qu’une attaque à part entière. Il existe plusieurs attaques mettant en œuvre ce principe du Man
in The Middle, comme le DNS Man in the Middle qui qu’une utilisation du DNS Spoofing pour
détourner le trafic entre un client et un serveur Web. De même, une application récente a été élaborée pour
détourner du trafic SSH.
Exemple :
Soit deux ordinateur A et B voulant dialoguer .maintenant , si un pirate décide de se faire passer pour
l’ordinateur A auprès de B et de B auprès de A , ainsi, toute communication vers A ou B passera par le pirate ,
l’homme de milieu.
h) Déni de service
Une « attaque par déni de service » est une attaque ayant pour but de rendre indisponible un service,
d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :
L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur
web ou empêcher la distribution de courriel dans une entreprise. L’attaquant hacker n’a pas forcément besoin de
matériel sophistiqué. Ainsi, certaines attaques DoS (attaque par déni de service) peuvent être exécutées avec des
ressources limitées contre un réseau beaucoup plus grand et moderne. On appelle parfois ce type d’attaque
« attaque asymétrique » (en raison de la différence de ressources entre les protagonistes). Un hacker avec un
ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des réseaux beaucoup plus
importants.
2. les solutions
3. VPN :
Mobilité :
– les utilisateurs/collaborateurs connectés à Internet par modem/FAI peuvent accéder au
VPN : client VPN client sur leur machine + attribution dynamique d’une adresse locale
au VPN
Avantage :
– transparence
– sécurité
– coût
– disponibilité d’Internet
Inconvénient :
– tous les LANs doivent être sécurisés (sécurité globale)
– infrastructure physique partagée => qualité de service/performances moindres qu’une
LS
8. Pour les réseaux sans fils il est conseillé de réduire la puissance des matériels de telle façon à ne couvrir que la
surface nécessaire. Cela n'empêche pas les éventuels pirates d'écouter le réseau mais réduit le périmètre
géographique dans lequel ils ont la possibilité de le faire.
V. Conclusion
Actuellement, le problème est de correctement définir les risques engendrés par la criminalité
informatique. Il faut pour cela avoir une vision globale du problème et connaitre globalement
les techniques utilisés par les nouveaux flibustiers. Il s’agira ensuite d’analyser correctement les
vulnérabilités propre à chaque site, de définir le niveau de sécurité requis et enfin de mettre en
place une politique de sécurité acceptable. Lors de cette ´etape il faut bien veiller à examiner le
problème tant du coté de l’administrateur que de celui du simple utilisateur afin de ne pas en créer de nouveaux.
VI. Références
1. Projet.piratage.free.fr/protections.html
2. IP Spoofing Demystified - Phrack 48 : www.phrack.org/
3. Deamon9, Route, Infinity, IP-spoofing Demystified, Phrack Magazine, 7, 1996.
4. http://www.commentcamarche.net/contents/protect/firewall.php3
5. https://tpesecuriteinformatique.wordpress.com/
6. https://web.maths.unsw.edu.au/~lafaye/CCM/index.html