République Algérienne Démocratique et Populaire

Ministère de l’enseignement Supérieur et de la Recherche

Scientifique

Université de Batna2 Mostepha Benboulaid

Faculté des Mathématiques et d’Informatique

Département d’Informatique

Rapport

L’Attaque informatique

Présenté par : Bessoufi Yousra

Option : réseaux et system distribué

Dirigé par : Bilami Azeddine

Promotion : 2019/2020
Tables des matières

I. Introduction........................................................................3

II. Historique............................................................................3

III. Objectif de la sécurité d’informatique..................................3

IV. Les attaques informatique en générale................................4

1. les différents Types d'attaques possible dans le cas TCP/IP 4

2. les solutions........................................................................8

V. Conclusion.........................................................................10

VI. Références.........................................................................10
 I. Introduction

La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des
réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet.
La transmission d’informations sensibles et le désir d’assurer la confidentialité de celles-ci
est devenu un point primordiale dans la mise en place de réseaux informatiques. Ce document
a pour but de présenter globalement la manière dont les ”Hackers” opèrent afin de pénétrer les
systèmes informatiques en espérant qu’il aide à pallier à ce type de problème de plus en plus
fréquent. . .
Ce rapport présente l’attaque informatique en générale et les différentes attaques dans le cas de TCP/IP , qu’un
pirate peut utiliser à l’encontre des machines d’un réseau. Nous aborderons ce sujet au travers des principales
attaques réseaux, des attaques via les applications et des attaques de type déni de service.

II. Historique

Certaines histoires d'intrusions sont bien connues, elles ont été relayées par les médias, et font
aujourd'hui partie de la légende du piratage informatique. Quelques faits :
 En 1986, de nombreux ordinateurs du gouvernement U.S. ont été infiltrés par des
pirates Ouest Allemands enrôlés par le KGB. Chris Stoll, l'administrateur système qui
découvrit les faits, en a tiré un livre devenu désormais un classique: The Coockoo's
Egg (L’œuf de coucou).
 En 1988, l'Internet Worm (ver ), un programme qui s'auto- reproduisait, contamina le
système informatique académique de tout le pays.
 En 1994, un ingénieur de MCI communication a été inculpé pour avoir intercepté
60.000 numéros de cartes téléphoniques depuis un central téléphonique.
 En 1995, Kevin Mitnick, 31 ans, a été arrêté après une longue carrière de délinquant
informatique, comprenant le vol de 20.000 numéros de cartes de crédits, en pénétrant
des ordinateurs de Pacific Bell, Digital Equipment Corporation et en détournant pour
environ 1 million de dollars d'informations volées.
Cependant, aussi inquiétantes que puissent être ces histoires, elles ne représentent qu'une, infime partie du
problème. Accompagnant la croissance du nombre de machines interconnectées dans Internet et la conscience
dans le grand public du développement des "Autoroutes de l'Information", le nombre d'intrusions explose
littéralement. La nécessité d’une protection efficace s’est donc naturellement imposée.

III. Objectif de la sécurité d’informatique

Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et
logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système d'information représente
un patrimoine essentiel de l'entreprise, qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou
logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
L'intégrité : c'est-à-dire garantir que les données sont bien celles que l'on croit être .
La confidentialité : consistant à assurer que seules les personnes autorisées aient accès aux ressources
échangées .
La disponibilité : permettant de maintenir le bon fonctionnement du système
d'information .
La non répudiation : permettant de garantir qu'une transaction ne peut être niée .
L'authentification : consistant à assurer que seules les personnes autorisées aient accès
aux ressources.
IV. Les attaques informatiques en générale

Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque.

Une « attaque » : est l'exploitation d'une faille d'un système informatique (Système d’exploitation, logiciel ou
bien même de l'utilisateur) à des fins non connues par l'exploitant du systèmes et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur chaque machine
connectée. Ces attaques sont pour la plupart lancées automatiquement à partir de machines infectées (par
des virus, chevaux de Troie, vers, etc.), à l'insu de leur propriétaire. Plus rarement il s'agit de l'action de pirates
informatiques .Afin de contrer ces attaques il est indispensable de connaître les principaux types d'attaques afin
de mettre en œuvre des dispositions préventives.

Les motivations des attaques peuvent être de différentes sortes :

obtenir un accès au système ;

voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ;

glaner des informations personnelles sur un utilisateur ;

récupérer des données bancaires ;

s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;

troubler le bon fonctionnement d'un service ;

utiliser le système de l'utilisateur comme « rebond » pour une attaque ;

utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau sur lequel il est situé possède
une bande passante élevée.

1. les différents Types d’attaques possibles dans le cas TCP/IP

Attaques Réseau (faille protocole TCP/IP) :

a) Scan de ports.

b) IP Spamming.

c) IP Sniffing.

d) IP Spoofing.

e) Source Routing.

f) Fragmentation.

g) Man in the Middle.

h) Déni de service

a) Scan de ports :

But : obtenir liste des services offerts par un serveur

 Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont
actifs

Intérêt : exploiter une faille éventuelle d’un des services

b) IP Spamming :

Inonder de messages un serveur (ou plus rarement une station) : indisponibilité de service : « déni de service »

Ennemie FW

Interieur
Internet

<<Destroy>>

Exemple :

Le spamming consiste à envoyer plusieurs milliers de messages identiques à une boite aux lettres pour la faire
saturer. En effet, les mails ne sont pas directs, ainsi lorsque le courrier sera relevé, celui-ci mettra beaucoup trop
de temps et la boite à la lettre sera alors inutilisable.

c) L’analyse de réseaux (Sniffing):

 Definition : Les sniffer réseau sont très souvent utilisés par les administrateurs réseau pour capturer le
trafic à des fins d'archives (pour une analyse future) ou d'analyse de problèmes. Mais ces outils sont
également utilisés par des pirates à des fins biens moins éthiques, comme le vol de mot de passe.
 Le système pirate se situe sur le réseau local et capture tous les paquets réseau transitant sur ce réseau
afin d’obtenir des mots de passe, etc.
 Grâce à des outils tels qu’Ethereal ou Win Dump/TCP Dump, le sniffer peut analyser tous les paquets IP
ainsi que les protocoles contenus dans les données du paquet.
 En revanche, lorsque le réseau s’appuie sur une étoile commutée, (Switch) les choses deviennent un peu
plus difficiles.
 En effet, dans un réseau non commuté, les données sont envoyées à toutes les machines du réseau.
Toutefois, dans une utilisation normale les machines ignorent les paquets qui ne leur sont pas destinés.
Ainsi, en utilisant l'interface réseau dans un mode spécifique (appelé généralement mode promiscues) il
est possible d'écouter tout le trafic passant par un adaptateur réseau (une carte réseau Ethernet, une
carte réseau sans fil, etc.).

Exemple :

Soit une entreprise possédant 100 ordinateurs reliés entre eux grâce à un hub .Maintenant, si un pirate écoute
le trafic réseau entre 8h et 10h (heure de connection du personnel), il pourra lire tous les noms d’utilisateurs ainsi
que leur mot de passe.

d) Usurpation d’adresse (Spoofing) :

 • Définition: Attaque vers la sécurité, lorsqu’une machine se présente comme étant une autre.

• Spoofing des adresses MAC

– Modification de l’adresse MAC de la carte réseau

– Difficile d’être capturé.

Configuration nécessaire pour le Non Blind Spoofing: l’ordinateur ’A’ va demander une connexion sur
l’ordinateur ’C’ alors que l’ordinateur ’B’ espionne le trafic sur le réseau local. Il est donc possible pour l’ordinateur
’B’ d’interrompre la relation entre ’A’ et ’C’ puis de se faire passer pour l’ordinateur ’A’ car il a accès aux numéros
de séquence (SEQ) et d’acknoledgment (ACK).

Exemple :
Ce type d’utilisation de l’IP Spoofing est
relativement plus
Intéressante (en termes d’accès) que les deux
précédentes. La Connection Hijacking
Permet de s’infiltrer dans une connection TCP
existante dans le but de l’utiliser pour son
Propre intérêt. Pour cela, il faut qu’une connection TCP utilisant par exemple Telnet
Soit déjà établie entre deux stations (’A’ et ’C’ dans notre cas). Comme toujours, nous
Avons également besoin d’une troisième machine (’B’) pour analyser les paquets émis
Sur le réseau. Cette technique nécessite plus de ”précision” que les deux précédente
car il faut savoir jongler avec les numéros de séquence (SEQ) ainsi qu’avec les numéros
d’acknoledgment.
Voici en quelques lignes comment fonctionne ce type d’attaque: l’objectif de cette manipulation
est de récupérer une connection existante, on dit Hijacker une connection. Le
protocole TCP sépare les bons des mauvais paquets `a l’aide de leurs numéros SEQ/ACK.
Si l’on arrive à faire en sorte que la station ’C’ ne croit plus aux paquets de la station qui
avait établie la connection (station ’A’) mais par contre aux paquets forgés par la station
’B’ (paquets spoofés en tant que station ’A’) il est possible de continuer `a ”profiter” de
la connection en utilisant des paquets de numéros SEQ/ACK valides pour la station ’C’.
Une fois arrivé à ce niveau, nous avons récupéré la connection: la station ’A’ est ”perdue”
et la station ’C’ accepte sans problème nos données.
La question qui se pose alors est: ”Comment faire en sorte que la station ’A’ émette des paquets
dont les numéros SEQ/ACK soient rejet´es par la station ’C’ ?”. Il suffit simplement
d’insérer, au bon moment, dans le flux de données, un paquet supplémentaire que seuls
les stations ’B’ et ’C’ connaitront. Dans ce cas, le serveur ’C’ acceptera bien les données
et mettra `a jour le numéro d’acknoledgment (ACK). La station ’A’ continuera de tenter
d’envoyer des paquets avec l’ancien numéro de séquence (SEQ) qui ne seront donc plus
acceptés par le serveur ’B’. la figure suivante présente à l’aide de paquets TCP le fonctionnement
de cette technique.
Cette technique n’est utile que pour pénétrer les systèmes utilisant des systèmes d’authentification
de type One-Time Password. L’utilisation de ces systèmes rend l’utilisation des
techniques de Sniffing inopérantes car les mots de passe ne sont jamais transmis sur le réseau (notion de
Challenge, cf. ”Les mécanismes d’authentification”).
e) Source Routing

• Routage par la source :

– Force le routeur à envoyer la réponse vers l@ Source contenue dans le paquet.

– Attention : même si cela ne correspond pas à ses tables de routage : usurpation d’identité

Le Source Routing : le protocole IP possède une option appelée Source Routing autorisant la
spécification du chemin que doivent suivre les paquets IP. Ce chemin est constitué d’une suite
d’adresses IP des routeurs que les paquets vont devoir emprunter. Il suffit au pirate d’indiquer un
chemin, pour le retour des paquets, jusqu’à un routeur qu’il contrôle. De nos jours, la plupart des
implémentations des piles TCP/IP rejettent les paquets avec cette option;
Le Routage : les tables des routeurs utilisant le protocole de routage RIP peuvent être modifiées
en leur envoyant des paquets RIP avec de nouvelles indications de routage . Ceci dans le but de router les
paquets vers un routeur que le pirate maîtrise.

f) Fragmentation
 Cette attaque outrepasse la protection des équipements de filtrage IP. Pour sa mise en pratique, les pirates
utilisent deux méthodes : les Tiny Fragments et le Fragment Over lapping. Ces attaques étant historiques, les
pare-feux actuels les prennent en compte depuis longtemps dans leur implémentation.

Exemple :

L'astuce est de modifier les numéros de séquence afin de générer des blancs ou des recouvrements lors du
réassemblage par la pile IP cible.
Aujourd'hui, comme pour le Ping de la mort, cette technique n'est plus viable du fait que les piles IP ont
toutes évoluées.

g) Man in the Middle

• Un pirate, pour être efficace, doit rester discret et indétecté, voire indétectable. Pour cela, la méthode idéale
est de se placer entre deux machines comme un équipement normal du réseau (tel qu’un routeur par
exemple).

• L’attaque man-in-the-middle consiste à faire passer les échanges réseau entre deux systèmes par le biais
d’un troisième, sous le contrôle du pirate. Ce dernier peut transformer à sa guise les données à la volée,
tout en masquant à chaque acteur de l’échange la réalité de son interlocuteur.

• Il existe différentes architectures pour cette attaque.

L’objectif principal de cette attaque est de détourner le trafic entre deux machines. Cela pour intercepter,
modifier ou détruire les données transmises au cours de la communication. Cette attaque est plus un
concept qu’une attaque à part entière. Il existe plusieurs attaques mettant en œuvre ce principe du Man
in The Middle, comme le DNS Man in the Middle qui qu’une utilisation du DNS Spoofing pour
détourner le trafic entre un client et un serveur Web. De même, une application récente a été élaborée pour
détourner du trafic SSH.

Exemple :
 Soit deux ordinateur A et B voulant dialoguer .maintenant , si un pirate décide de se faire passer pour
l’ordinateur A auprès de B et de B auprès de A , ainsi, toute communication vers A ou B passera par le pirate ,
l’homme de milieu.

h) Déni de service

Une « attaque par déni de service » est une attaque ayant pour but de rendre indisponible un service,
d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

 l’inondation d’un réseau afin d’empêcher son fonctionnement ;

 la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;
 l’obstruction d’accès à un service à une personne en particulier ;
 également le fait d’envoyer des millions de kilooctets à une box wifi.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur
web ou empêcher la distribution de courriel dans une entreprise. L’attaquant hacker n’a pas forcément besoin de
matériel sophistiqué. Ainsi, certaines attaques DoS (attaque par déni de service) peuvent être exécutées avec des
ressources limitées contre un réseau beaucoup plus grand et moderne. On appelle parfois ce type d’attaque
« attaque asymétrique » (en raison de la différence de ressources entre les protagonistes). Un hacker avec un
ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des réseaux beaucoup plus
importants.

2. les solutions

1. Protection par pare-feu (firewall):

 Mobilité :
– contrôle du trafic (filtrage de paquet)
– filtrage applicatif (FTP, HTTP, …) entrée/sortie
– filtrage des ports entrée/sortie
 Avantage :
– Bonne protection
 Inconvénient :
– nécessite d’être « suivi » de près => moyen HUMAIN
FIREWALL : en coupure entre l’extérieur et l’intérieur :

Extérieur Firewall Intérieur

3. VPN :
 Mobilité :
– les utilisateurs/collaborateurs connectés à Internet par modem/FAI peuvent accéder au
VPN : client VPN client sur leur machine + attribution dynamique d’une adresse locale
au VPN
 Avantage :
 – transparence
– sécurité
– coût
– disponibilité d’Internet
 Inconvénient :
– tous les LANs doivent être sécurisés (sécurité globale)
– infrastructure physique partagée => qualité de service/performances moindres qu’une
LS

Site Site Site

Intranet/Internet
Site
Site
Site Site
4. Antivirus : Est un logiciel qui a pour but de détecter et de supprimer les virus d’un system informatique .
5. Utilisation un Switch (commutateur) plutôt qu’un hub.
6. Utiliser des protocoles chiffrés pour les informations sensible comme les mots de passe.
7. Utiliser un détecteur de sniffer .

8. Pour les réseaux sans fils il est conseillé de réduire la puissance des matériels de telle façon à ne couvrir que la
surface nécessaire. Cela n'empêche pas les éventuels pirates d'écouter le réseau mais réduit le périmètre
géographique dans lequel ils ont la possibilité de le faire.

V. Conclusion

Actuellement, le problème est de correctement définir les risques engendrés par la criminalité
informatique. Il faut pour cela avoir une vision globale du problème et connaitre globalement
les techniques utilisés par les nouveaux flibustiers. Il s’agira ensuite d’analyser correctement les
vulnérabilités propre à chaque site, de définir le niveau de sécurité requis et enfin de mettre en
place une politique de sécurité acceptable. Lors de cette ´etape il faut bien veiller à examiner le
problème tant du coté de l’administrateur que de celui du simple utilisateur afin de ne pas en créer de nouveaux.

VI. Références
1. Projet.piratage.free.fr/protections.html
2. IP Spoofing Demystified - Phrack 48 : www.phrack.org/
3. Deamon9, Route, Infinity, IP-spoofing Demystified, Phrack Magazine, 7, 1996.
4. http://www.commentcamarche.net/contents/protect/firewall.php3
5. https://tpesecuriteinformatique.wordpress.com/
6. https://web.maths.unsw.edu.au/~lafaye/CCM/index.html