Concept de Sécurité Réseau

État actuel de la cybersécurité
3.1.1
État actuel des affaires

Les cybercriminels disposent désormais de l'expertise et des outils nécessaires pour détruire les
infrastructures et les systèmes critiques. Leurs outils et techniques continuent d'évoluer.
Les cybercriminels portent les logiciels malveillants à des niveaux de sophistication et d'impact
sans précédent. Ils sont de plus en plus habiles à utiliser des techniques de furtivité et d'évasion
pour cacher leur activité. Enfin, les cybercriminels exploitent des lacunes de sécurité non
défendues.
Les failles de sécurité du réseau peuvent perturber le commerce électronique, entraîner la perte
de données d'entreprise, menacer la vie privée des personnes et compromettre l'intégrité des
informations. Ces violations peuvent entraîner une perte de revenus pour les entreprises, le vol
de propriété intellectuelle, des poursuites judiciaires et peuvent même menacer la sécurité
publique.
Le maintien d'un réseau sécurisé garantit la sécurité des utilisateurs du réseau et protège les
intérêts commerciaux. Les organisations ont besoin d'individus capables de reconnaître la vitesse
et l'échelle auxquelles les adversaires amassent et perfectionnent leurs cyberarmes. Tous les
utilisateurs doivent connaître les termes de sécurité du tableau.
Légende du tableau
Conditions de sécurité Description
Un atout est tout ce qui a de la valeur pour l'organisation. Cela comprend les personnes,
Actifs
l'équipement, les ressources et les données.
Une vulnérabilité est une faiblesse d'un système, ou de sa conception, qui pourrait être
Vulnérabilité
exploitée par une menace.
Une menace est un danger potentiel pour les actifs, les données ou les fonctionnalités du
Menace
réseau d'une entreprise.
Exploit Un exploit est un mécanisme qui tire parti d'une vulnérabilité.
L'atténuation est la contre-mesure qui réduit la probabilité ou la gravité d'une menace ou d'un
Atténuation
risque potentiel. La sécurité du réseau implique plusieurs techniques d'atténuation.
Le risque est la probabilité qu'une menace d'exploiter la vulnérabilité d'un actif, dans le but
Risque d'affecter négativement une organisation. Le risque est mesuré à l'aide de la probabilité de
survenance d'un événement et de ses conséquences.
Les actifs doivent être identifiés et protégés. Les vulnérabilités doivent être corrigées avant
qu'elles ne deviennent une menace et ne soient exploitées. Des techniques d'atténuation sont
nécessaires avant, pendant et après une attaque.
3.1.2
Vecteurs d'attaques de réseau
Un vecteur d'attaque est un chemin par lequel un acteur menaçant peut accéder à un serveur, un
hôte ou un réseau. Les vecteurs d'attaque proviennent de l'intérieur ou de l'extérieur du réseau
d'entreprise, comme le montre la figure. Par exemple, les acteurs de la menace peuvent cibler un
réseau via Internet, pour interrompre les opérations du réseau et créer une attaque par déni de
service (DoS).
Remarque : une attaque DoS se produit lorsqu'un périphérique ou une application réseau est
incapable de fonctionner et n'est plus capable de prendre en charge les demandes d'utilisateurs
légitimes.
Un utilisateur interne, tel qu'un employé, peut accidentellement ou intentionnellement:
• Volez et copiez des données confidentielles sur des supports amovibles, des e-mails, des logiciels
de messagerie et d'autres supports.
• Compromettre les serveurs internes ou les périphériques d'infrastructure réseau.
• Déconnectez une connexion réseau critique et provoquer une panne de réseau.
• Connectez une clé USB infectée à un système informatique d'entreprise.
Les menaces internes ont le potentiel de causer des dommages plus importants que les
menaces externes car les utilisateurs internes ont un accès direct au bâtiment et à ses
équipements d'infrastructure. Les employés peuvent également avoir connaissance du réseau
d'entreprise, de ses ressources et de ses données confidentielles.
Les professionnels de la sécurité réseau doivent mettre en œuvre des outils et appliquer des
techniques pour atténuer les menaces externes et internes.
Perte de données
Les données sont probablement l'atout le plus précieux d'une organisation. Les données
organisationnelles peuvent inclure des données de recherche et développement, des données de
vente, des données financières, des données sur les ressources humaines et juridiques, des
données sur les employés, des données sur les entrepreneurs et des données sur les clients.
La perte de données ou l'exfiltration de données se produit lorsque des données sont

intentionnellement ou involontairement perdues, volées ou divulguées vers le monde
extérieur. La perte de données peut entraîner:
• Dommages à la marque et perte de réputation

• Perte d'avantage concurrentiel
• Perte de clients
• Perte de revenus
• Contentieux / action en justice entraînant des amendes et des sanctions civiles
• Coûts et efforts importants pour informer les parties concernées et se remettre de la violation
Les vecteurs de perte de données courants sont affichés dans le tableau.

Légende du tableau
Vecteurs de perte de données Description
Les e-mails ou messages instantanés interceptés peuvent être capturés et révéler des
Courriel / réseautage social
informations confidentielles.
Si les données ne sont pas stockées à l'aide d'un algorithme de cryptage, le voleur
Appareils non chiffrés
peut récupérer des données confidentielles précieuses.
Appareils de stockage dans le Les données sensibles peuvent être perdues si l'accès au cloud est compromis en
cloud raison de paramètres de sécurité faibles.
Un des risques est qu'un employé puisse effectuer un transfert non autorisé de
Média amovible données sur une clé USB. Un autre risque est qu'une clé USB contenant des données
d'entreprise précieuses pourrait être perdue.
Les données confidentielles doivent être détruites lorsqu'elles ne sont plus

Copie conforme
nécessaires.
Les mots de passe ou les mots de passe faibles qui ont été compromis peuvent fournir
Contrôle d'accès inapproprié
à un acteur de la menace un accès facile aux données de l'entreprise.
Les professionnels de la sécurité réseau doivent protéger les données de

l'organisation. Différents contrôles de prévention de la perte de données (DLP) doivent être mis
en œuvre, combinant des mesures stratégiques, opérationnelles et tactiques.
3.1.4
Le pirate
Dans la rubrique précédente, vous avez obtenu un aperçu de haut niveau du paysage actuel de
la cybersécurité, y compris les types de menaces et de vulnérabilités qui affectent tous les
administrateurs réseau et architectes. Dans cette rubrique, vous en apprendrez plus sur les types
particuliers d'acteurs de menace.
Hacker est un terme couramment utilisé pour décrire un acteur menaçant. À l'origine, le terme
désignait quelqu'un qui était un expert en informatique qualifié tel qu'un programmeur et un hack
était une solution intelligente. Le terme a ensuite évolué pour devenir ce que nous en savons
aujourd'hui.
Comme indiqué dans le tableau, les termes hacker chapeau blanc, hacker chapeau noir et
hacker chapeau gris sont souvent utilisés pour décrire un type de pirate informatique.
Légende du tableau
Type de pirate Description
Ce sont des hackers éthiques qui utilisent leurs compétences en programmation à des fins
Hackers au chapeau bonnes, éthiques et légales. Les pirates blancs peuvent effectuer des tests de pénétration du
blanc réseau pour tenter de compromettre les réseaux et les systèmes en utilisant leurs
connaissances des systèmes de sécurité informatique pour découvrir les vulnérabilités du
Légende du tableau
Type de pirate Description
réseau. Les vulnérabilités de sécurité sont signalées aux développeurs pour qu'ils les
corrigent avant que les vulnérabilités ne puissent être exploitées.
Ce sont des individus qui commettent des crimes et font des choses sans doute contraires à
l'éthique, mais pas pour un gain personnel ou pour causer des dommages. Les hackers
Hackers chapeau gris
chapeau gris peuvent divulguer une vulnérabilité à l'organisation affectée après avoir
compromis leur réseau.
Ce sont des criminels contraires à l'éthique qui compromettent la sécurité des ordinateurs et
Hackers du chapeau
des réseaux à des fins personnelles ou pour des raisons malveillantes, telles que des attaques
noir
sur des réseaux.
Remarque : Dans ce cours, nous n'utiliserons pas le terme hacker en dehors de ce

module. Nous utiliserons le terme d'acteur de la menace. Le terme d'acteur de menace inclut les
pirates. Mais l'acteur de la menace comprend également tout appareil, personne, groupe ou État-
nation qui est, intentionnellement ou non, à l'origine d'une attaque.
3.2.2
Évolution des hackers

Le piratage a commencé dans les années 1960 avec la panique du téléphone, ou phreaking, qui
fait référence à l'utilisation de fréquences audio pour manipuler les systèmes téléphoniques. À
cette époque, les commutateurs téléphoniques utilisaient diverses tonalités pour indiquer
différentes fonctions. Les premiers pirates informatiques ont réalisé qu'en imitant une tonalité à
l'aide d'un sifflet, ils pouvaient exploiter les commutateurs téléphoniques pour passer des appels
longue distance gratuits.
Au milieu des années 1980, des modems informatiques étaient utilisés pour connecter des
ordinateurs aux réseaux. Les pirates ont écrit des programmes de «numérotation de guerre» qui
composaient chaque numéro de téléphone dans une zone donnée à la recherche
d'ordinateurs. Lorsqu'un ordinateur était trouvé, des programmes de craquage de mots de passe
étaient utilisés pour y accéder.
Le tableau affiche les termes de piratage modernes et une brève description de chacun.
Légende du tableau
Terme de piratage Description
Ce sont des adolescents ou des hackers inexpérimentés exécutant des scripts, des outils et
Script Kiddies
des exploits existants, pour causer du tort, mais généralement sans but lucratif.
Légende du tableau
Terme de piratage Description
Courtier en Ce sont généralement des hackers chapeau gris qui tentent de découvrir des exploits et de
vulnérabilité les signaler aux vendeurs, parfois pour des prix ou des récompenses.
Ce sont des hackers chapeau gris qui protestent publiquement contre des organisations ou
Hacktivistes des gouvernements en publiant des articles, des vidéos, en divulguant des informations
sensibles et en effectuant des attaques de réseau.
Ce sont des hackers black hat qui sont soit des travailleurs indépendants, soit des employés
Les cybercriminels
de grandes organisations de cybercriminalité.
Ce sont des hackers à chapeau blanc ou à chapeau noir qui volent les secrets du
gouvernement, recueillent des renseignements et sabotent les réseaux. Leurs cibles sont les
Parrainé par l'État
gouvernements étrangers, les groupes terroristes et les entreprises. La plupart des pays du
monde participent dans une certaine mesure au piratage par l'État.
3.2.3
Cybercriminels
On estime que les cybercriminels volent des milliards de dollars aux consommateurs et aux
entreprises. Les cybercriminels opèrent dans une économie souterraine où ils achètent, vendent
et échangent des boîtes à outils d'attaque, du code d'exploitation zero day, des services de
botnet, des chevaux de Troie bancaires, des enregistreurs de frappe, et bien plus encore. Ils
achètent et vendent également les informations privées et la propriété intellectuelle qu'ils
volent. Les cybercriminels ciblent les petites entreprises et les consommateurs, ainsi que les
grandes entreprises et des secteurs entiers.
3.2.4
Hacktivistes
Deux exemples de groupes hacktivistes sont Anonymous et l'Armée électronique syrienne. Bien
que la plupart des groupes hacktivistes ne soient pas bien organisés, ils peuvent causer des
problèmes importants aux gouvernements et aux entreprises. Les hacktivistes ont tendance à
s'appuyer sur des outils assez basiques et disponibles gratuitement.
3.2.5
Hackers sponsorisés par l'État

Les pirates informatiques parrainés par l'État créent un code d'attaque avancé et personnalisé,
souvent en utilisant des vulnérabilités logicielles jusqu'alors inconnues appelées vulnérabilités
zero-day. Un exemple d'attaque parrainée par l'État concerne le malware Stuxnet qui a été créé
pour endommager les capacités d'enrichissement nucléaire de l'Iran.
3.3.2
Introduction aux outils d'attaque

Pour exploiter une vulnérabilité, un acteur de la menace doit disposer d'une technique ou d'un
outil. Au fil des ans, les outils d'attaque sont devenus plus sophistiqués et hautement
automatisés. Ces nouveaux outils nécessitent moins de connaissances techniques pour être mis
en œuvre.
Dans la figure, faites glisser le cercle blanc sur la chronologie pour afficher la relation entre la
sophistication des outils d'attaque et les connaissances techniques requises pour les utiliser.
montre une barre avec sophistication d'attaque à gauche et une barre avec des connaissances
techniques à droite. En 1985, les attaques n'étaient pas très sophistiquées et nécessitaient
beaucoup de connaissances techniques. Au fil du temps, la sophistication des attaques s'est
accrue et les connaissances techniques requises ont diminué.
Sophistication des outils d'attaque par rapport aux

connaissances techniques
Haut
Moyen
Faible
Sophistication des outils d'attaque
Connaissance technique
3.3.3
Évolution des outils de sécurité

Le piratage éthique implique de nombreux types d'outils différents utilisés pour tester le réseau et
sécuriser ses données. Pour valider la sécurité d'un réseau et de ses systèmes, de nombreux
outils de test de pénétration du réseau ont été développés. Il est regrettable que bon nombre de
ces outils puissent être utilisés par les pirates black hat à des fins d'exploitation.
Les hackers Black Hat ont également créé de nombreux outils de piratage. Ces outils sont créés
explicitement pour des raisons néfastes. Les hackers chapeau blanc doivent également savoir
comment utiliser ces outils lors des tests de pénétration du réseau.
Le tableau met en évidence les catégories d'outils de test d'intrusion courants. Remarquez
comment certains outils sont utilisés par les chapeaux blancs et les chapeaux noirs. Gardez à
l'esprit que la liste n'est pas exhaustive car de nouveaux outils sont toujours en cours de
développement.
Légende du tableau
Outil de test de
Description
pénétration
Les outils de craquage de mot de passe sont souvent appelés outils de récupération de mot de passe et peuvent
être utilisés pour craquer ou récupérer un mot de passe. Ceci est accompli soit en supprimant le mot de passe
Crackers de mot de d'origine, après avoir contourné le cryptage des données, soit par la découverte pure et simple du mot de passe.
passe Les pirates de mot de passe font des suppositions à plusieurs reprises afin de déchiffrer le mot de passe.
Des exemples d'outils de craquage de mot de passe incluent John the Ripper, Ophcrack, L0phtCrack, THC Hydra,
RainbowCrack et Medusa.
Les outils de piratage sans fil sont utilisés pour pirater intentionnellement un réseau sans fil afin de détecter
Outils de piratage
les vulnérabilités de sécurité. Des exemples d'outils de piratage sans fil incluent Aircrack-ng, Kismet, InSSIDer,
sans fil
KisMAC, Firesheep et NetStumbler.
Les outils d'analyse réseau sont utilisés pour sonder les périphériques réseau, les serveurs et les hôtes à la
Outils d' analyse et
recherche de ports TCP ou UDP ouverts. Des exemples d'outils d'analyse incluent Nmap, SuperScan,
de piratage
de réseau Angry IP Scanner et NetScanTools.
Outils de fabrication Ces outils sont utilisés pour sonder et tester la robustesse d'un pare-feu à l'aide de paquets forgés spécialement
de paquets conçus. Les exemples incluent Hping, Scapy, Socat, Yersinia, Netcat, Nping et Nemesis.
Renifleurs de Ces outils sont utilisés pour capturer et analyser les paquets dans les LAN Ethernet ou WLAN traditionnels.
paquets Les outils incluent Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy et SSLstrip.
Détecteurs de Il s'agit d'un vérificateur d'intégrité des répertoires et des fichiers utilisé par les chapeaux blancs pour détecter
rootkit les root kits installés. Les exemples d'outils incluent AIDE, Netfilter et PF: OpenBSD Packet Filter.
Fuzzers pour Les Fuzzers sont des outils utilisés par les acteurs de la menace pour découvrir les vulnérabilités de sécurité d'un
rechercher des
vulnérabilités ordinateur. Des exemples de fuzzers incluent Skipfish, Wapiti et W3af.
Outils médico- Ces outils sont utilisés par les hackers white hat pour détecter toute trace de preuve existant dans un ordinateur. D
légaux incluent Sleuth Kit, Helix, Maltego et Encase.
Ces outils sont utilisés par les chapeaux noirs pour faire de l'ingénierie inverse des fichiers binaires lors de
Débogueurs
l'écriture
Légende du tableau
Outil de test de
Description
pénétration
d'exploits. Ils sont également utilisés par les chapeaux blancs lors de l'analyse des logiciels malveillants.
Les outils de débogage incluent GDB, WinDbg, IDA Pro et Immunity Debugger.
Ce sont des systèmes d'exploitation spécialement conçus et préchargés avec des outils optimisés pour le piratage
Piratage des
systèmes . Des exemples de systèmes d'exploitation de piratage spécialement conçus incluent Kali Linux, Knoppix,
d'exploitation
ç BackBox Linux.
Les outils de cryptage utilisent des schémas d'algorithmes pour encoder les données afin d'empêcher tout accès
Outils de
non autorisé aux données cryptées. Des exemples de ces outils incluent VeraCrypt, CipherShed, OpenSSH,
chiffrement
OpenSSL, Tor, OpenVPN et Stunnel.
Outils d'exploitation Ces outils identifient si un hôte distant est vulnérable à une attaque de sécurité. Des exemples d'outils
des vulnérabilités d'exploitation de vulnérabilité incluent Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit et Netsparker.
Ces outils analysent un réseau ou un système pour identifier les ports ouverts. Ils peuvent également être
Scanners de utilisés pour rechercher les vulnérabilités connues et analyser les machines virtuelles, les périphériques BYOD et
vulnérabilité les bases de données client. Des exemples d'outils incluent Nipper, Secunia PSI, Core Impact, Nessus v6, SAINT
et Open VAS.
Remarque : la plupart de ces outils sont basés sur UNIX ou Linux; par conséquent, un
professionnel de la sécurité doit avoir une solide expérience UNIX et Linux.
3.3.4
Types d'attaques
Les acteurs de la menace peuvent utiliser les outils d'attaque mentionnés précédemment, ou une
combinaison d'outils, pour créer des attaques. Le tableau affiche les types d'attaques
courants. Cependant, la liste des attaques n'est pas exhaustive car de nouvelles vulnérabilités
d'attaque sont constamment découvertes.
Légende du tableau
Type d'attaque Description
C'est à ce moment qu'un acteur menaçant capture et «écoute» le trafic réseau. Cette attaque est
Attaque d'écoute
également appelée sniffing ou snooping.
Attaque de Si les acteurs de la menace ont capturé le trafic de l'entreprise, ils peuvent modifier les données du paquet
modification de
données à l'insu de l'expéditeur ou du destinataire.
Attaque d'usurpation Un acteur de la menace construit un paquet IP qui semble provenir d'une adresse valide à l'intérieur de
d'adresse IP l'intranet de l'entreprise.
Si les acteurs de la menace découvrent un compte d'utilisateur valide, les acteurs de la menace ont les mêmes
Attaques basées sur droits que l'utilisateur réel. Les acteurs de la menace pourraient utiliser ce compte valide pour obtenir des
les mots de passe listes d'autres utilisateurs, des informations sur le réseau, modifier les configurations de serveur et de réseau, et
modifier, réacheminer ou supprimer des données.
Une attaque DoS empêche l'utilisation normale d'un ordinateur ou d'un réseau par des utilisateurs valides.
Attaque par déni de Une attaque DoS peut inonder un ordinateur ou l'ensemble du réseau de trafic jusqu'à ce qu'un arrêt se produise
service en raison de la surcharge. Une attaque DoS peut également bloquer le trafic, ce qui entraîne une perte d'accès
aux ressources du réseau par les utilisateurs autorisés.
Attaque de l'homme Cette attaque se produit lorsque les acteurs de la menace se sont positionnés entre une source et une destination
du milieu Ils peuvent désormais surveiller, capturer et contrôler activement la communication de manière transparente.
Si un acteur de la menace obtient une clé secrète, cette clé est appelée clé compromise.
Attaque par clé
Une clé compromise peut être utilisée pour accéder à une communication sécurisée sans que l'expéditeur ou
compromise
le destinataire ne soit au courant de l'attaque.
Un sniffer est une application ou un appareil qui peut lire, surveiller et capturer les échanges de données réseau
Attaque de renifleur et lire les paquets réseau. Si les paquets ne sont pas chiffrés, un sniffer fournit une vue complète des
données à l'intérieur du paquet.
Malware
3.4.1
Présentation des logiciels malveillants
Maintenant que vous connaissez les outils utilisés par les pirates informatiques, cette rubrique
vous présente différents types de logiciels malveillants que les pirates utilisent pour accéder aux
appareils finaux.
Les appareils finaux sont particulièrement sujets aux attaques de logiciels malveillants. Il est
important de connaître les logiciels malveillants, car les auteurs de menaces comptent sur les
utilisateurs pour installer des logiciels malveillants afin d'exploiter les failles de sécurité.
Virus et chevaux de Troie

Le premier type de malware informatique, et le plus courant, est un virus. Les virus nécessitent
une action humaine pour se propager et infecter d'autres ordinateurs. Par exemple, un virus peut
infecter un ordinateur lorsqu'une victime ouvre une pièce jointe à un e-mail, ouvre un fichier sur
une clé USB ou télécharge un fichier.
Le virus se cache en s'attachant à un code informatique, un logiciel ou des documents sur

l'ordinateur. Lorsqu'il est ouvert, le virus s'exécute et infecte l'ordinateur.
Les virus peuvent:
• Modifiez, corrompez, supprimez des fichiers ou effacez des disques entiers.

• Cause des problèmes de démarrage de l'ordinateur et des applications corrompues.
• Capturez et envoyez des informations sensibles aux acteurs de la menace.
• Accédez aux comptes de messagerie et utilisez-les pour vous propager.
• Restez en sommeil jusqu'à ce qu'il soit convoqué par l'acteur menaçant.
Les virus modernes sont développés à des fins spécifiques telles que celles répertoriées dans le
tableau.
Légende du tableau
Types de virus Description
Virus du secteur Le virus attaque le secteur de démarrage, la table de partition de fichiers ou le système de
d'amorçage fichiers.
Virus du micrologiciel Le virus attaque le micrologiciel de l'appareil.
Le virus utilise de manière malveillante la fonction de macro MS Office ou d'autres

Virus de macro
applications.
Virus de programme Le virus s’insère dans un autre programme exécutable.
Virus de script Le virus attaque l'interpréteur du système d'exploitation utilisé pour exécuter des scripts.
Les acteurs de la menace utilisent des chevaux de Troie pour compromettre les hôtes. Un cheval
de Troie est un programme qui semble utile mais qui contient également du code malveillant. Les
chevaux de Troie sont souvent fournis avec des programmes en ligne gratuits tels que des jeux
informatiques. Des utilisateurs sans méfiance téléchargent et installent le jeu, ainsi que le cheval
de Troie.
Il existe plusieurs types de chevaux de Troie décrits dans le tableau.
Légende du tableau
Type de cheval de Troie Description
Accès à distance Le cheval de Troie permet un accès à distance non autorisé.
Envoi de données Le cheval de Troie fournit à l'auteur de la menace des données sensibles, telles que des mots de passe.
Destructeur Le cheval de Troie corrompt ou supprime des fichiers.
Le cheval de Troie utilisera l'ordinateur de la victime comme périphérique source pour lancer des attaques
Procuration
et effectuer d'autres activités illégales.
FTP Le cheval de Troie active les services de transfert de fichiers non autorisés sur les appareils finaux.
Désactivateur de logiciel de
Le cheval de Troie empêche les programmes antivirus ou les pare-feu de fonctionner.
sécurité
Déni de service (DoS) Le cheval de Troie ralentit ou arrête l'activité du réseau.
Le cheval de Troie tente activement de voler des informations confidentielles, telles que les numéros de
Enregistreur de frappe
carte de crédit, en enregistrant les touches saisies dans un formulaire Web.
Les virus et les chevaux de Troie ne sont que deux types de logiciels malveillants utilisés par les
auteurs de menaces. Il existe de nombreux autres types de logiciels malveillants qui ont été
conçus à des fins spécifiques.
3.4.3
Autres types de logiciels malveillants

Le tableau présente des détails sur de nombreux types de logiciels malveillants.
Légende du tableau
Malware Description
• Les logiciels publicitaires sont généralement distribués en téléchargeant des logiciels en ligne.
• Les logiciels publicitaires peuvent afficher des publicités non sollicitées à l'aide de fenêtres contextuelles de
navigateur Web, de nouvelles barres d'outils ou de rediriger de manière inattendue une page Web vers un
Adware autre site Web.
• Les fenêtres contextuelles peuvent être difficiles à contrôler car les nouvelles fenêtres peuvent apparaître plus
rapidement que l'utilisateur ne peut les fermer.
• Les ransomwares refusent généralement à un utilisateur l'accès à ses fichiers en chiffrant les fichiers, puis en
Ransomware affichant un message demandant une rançon pour la clé de déchiffrement.
• Les utilisateurs sans sauvegarde à jour doivent payer la rançon pour déchiffrer leurs fichiers.
Légende du tableau
Malware Description
• Le paiement est généralement effectué par virement bancaire ou par crypto-monnaies telles que Bitcoin.
• Les rootkits sont utilisés par les menaces pour obtenir un accès au niveau du compte administrateur à un
ordinateur.
• Ils sont très difficiles à détecter car ils peuvent modifier le pare-feu, la protection antivirus, les fichiers
système et même les commandes du système d'exploitation pour masquer leur présence.
Rootkit • Ils peuvent fournir une porte dérobée aux acteurs de la menace en leur donnant accès au PC, en leur
permettant de télécharger des fichiers et d'installer de nouveaux logiciels à utiliser dans une attaque DDoS.
• Des outils spéciaux de suppression de rootkit doivent être utilisés pour les supprimer, ou une réinstallation
complète du système d'exploitation peut être nécessaire.
• Similaire aux logiciels publicitaires, mais utilisé pour collecter des informations sur l'utilisateur et les envoyer
aux acteurs de la menace sans le consentement de l'utilisateur.
Spyware • Les logiciels espions peuvent être une menace faible, collectant des données de navigation, ou peuvent
constituer une menace élevée pour capturer des informations personnelles et financières.
• Un ver est un programme auto-répliqué qui se propage automatiquement sans actions de l'utilisateur en
exploitant les vulnérabilités d'un logiciel légitime.
Ver • Il utilise le réseau pour rechercher d'autres victimes avec la même vulnérabilité.
• Le but d'un ver est généralement de ralentir ou de perturber les opérations du réseau.
Présentation des attaques de réseau

Comme vous l'avez appris, il existe de nombreux types de logiciels malveillants que les pirates
peuvent utiliser. Mais ce ne sont pas les seuls moyens par lesquels ils peuvent attaquer un
réseau, voire une organisation.
Lorsque des logiciels malveillants sont livrés et installés, la charge utile peut être utilisée pour
provoquer diverses attaques liées au réseau.
Pour atténuer les attaques, il est utile de comprendre les types d'attaques. En catégorisant les
attaques réseau, il est possible de traiter des types d'attaques plutôt que des attaques
individuelles.
Les réseaux sont sensibles aux types d'attaques suivants:
• Attaques de reconnaissance
• Attaques d'accès
• Attaques DoS
..
3.5.3
Attaques de reconnaissance
La reconnaissance est la collecte d'informations. C'est analogue à un voleur qui inspecte un
quartier en faisant du porte-à-porte en faisant semblant de vendre quelque chose. Ce que le
voleur fait en réalité, c'est chercher des maisons vulnérables dans lesquelles s'introduire par
effraction, comme des résidences inoccupées, des résidences avec des portes ou des fenêtres
faciles à ouvrir, et ces résidences sans systèmes de sécurité ni caméras de sécurité.
Les acteurs de la menace utilisent des attaques de reconnaissance (ou de reconnaissance) pour
effectuer une découverte et une cartographie non autorisées de systèmes, de services ou de
vulnérabilités. Les attaques de reconnaissance précèdent les attaques d'accès ou les attaques
DoS.
Certaines des techniques utilisées par les acteurs malveillants pour mener des attaques de
reconnaissance sont décrites dans le tableau.
Légende du tableau
Technique Description
L'acteur de la menace recherche des informations initiales sur
Effectuer une requête d'informations sur une cible une cible. Divers outils peuvent être utilisés, notamment la
recherche Google, le site Web des organisations, le whois, etc.
La requête d'informations révèle généralement l'adresse réseau
Lancer un balayage ping du réseau cible de la cible. L'acteur de la menace peut désormais lancer un balayage
ping pour déterminer quelles adresses IP sont actives.
Ceci est utilisé pour déterminer quels ports ou services sont
Lancer une analyse des ports des adresses IP actives disponibles. Des exemples de scanners de ports incluent Nmap,
SuperScan, Angry IP Scanner et NetScanTools.
Il s'agit d'interroger les ports identifiés pour déterminer le type et
la version de l'application et du système d'exploitation en cours

Exécutez des scanners de vulnérabilité
d'exécution sur l'hôte. Des exemples d'outils incluent Nipper,
Secuna PSI, Core Impact, Nessus v6, SAINT et Open VAS.
Exécutez des outils d'exploitation L'acteur de la menace tente maintenant de découvrir des services
Légende du tableau
Technique Description
vulnérables qui peuvent être exploités. Il existe une variété d'outils
d'exploitation des vulnérabilités, notamment Metasploit, Core
Impact, Sqlmap, Social Engineer Toolkit et Netsparker.
Attaques d'accès
Les attaques d'accès exploitent les vulnérabilités connues des services d'authentification, des
services FTP et des services Web. Le but de ces types d'attaques est d'accéder à des comptes
Web, des bases de données confidentielles et d'autres informations sensibles.
Les acteurs de la menace utilisent des attaques d'accès sur les périphériques réseau et les
ordinateurs pour récupérer des données, obtenir un accès ou pour faire passer les privilèges
d'accès au statut d'administrateur.
Attaques de mot de passe
Lors d'une attaque par mot de passe, l'acteur de la menace tente de découvrir les mots de passe
système critiques à l'aide de diverses méthodes. Les attaques de mot de passe sont très
courantes et peuvent être lancées à l'aide de divers outils de craquage de mots de passe.
Attaques d'usurpation d'identité
Lors d'attaques par usurpation d'identité, l'appareil de l'acteur de la menace tente de se faire
passer pour un autre appareil en falsifiant les données. Les attaques d'usurpation d'identité
courantes incluent l'usurpation d'adresse IP, l'usurpation d'adresse MAC et l'usurpation
DHCP. Ces attaques par usurpation d'identité seront abordées plus en détail plus loin dans ce
module
Les autres attaques d'accès incluent:
• Exploitations de confiance
• Redirection de port
• Attaques de l'homme du milieu
• Attaques par débordement de tampon
….
Dans une attaque d'exploitation de confiance, un acteur de la menace utilise des privilèges non
autorisés pour accéder à un système, compromettant éventuellement la cible. Cliquez sur Lecture
dans la figure pour afficher un exemple d'exploitation de la confiance.
Attaques d'ingénierie sociale
L'ingénierie sociale est une attaque d'accès qui tente de manipuler des individus pour qu'ils
exécutent des actions ou divulguent des informations confidentielles. Certaines techniques
d'ingénierie sociale sont effectuées en personne tandis que d'autres peuvent utiliser le téléphone
ou Internet.
Les ingénieurs sociaux comptent souvent sur la volonté des gens d'être utiles. Ils s'attaquent
également aux faiblesses des gens. Par exemple, un acteur de la menace pourrait appeler un
employé autorisé pour un problème urgent nécessitant un accès immédiat au réseau. L'acteur de
la menace pourrait faire appel à la vanité de l'employé, invoquer l'autorité en utilisant des
techniques de dénomination ou faire appel à l'avidité de l'employé.
Des informations sur les techniques d'ingénierie sociale sont présentées dans le tableau.
Légende du tableau
Attaque d'ingénierie sociale Description
Un acteur de la menace prétend avoir besoin de données personnelles ou

Prétexte
financières pour confirmer l'identité du destinataire.
Un acteur de la menace envoie un e-mail frauduleux déguisé en source légitime et
Hameçonnage fiable pour inciter le destinataire à installer un logiciel malveillant sur son appareil ou
à partager des informations personnelles ou financières.
Un acteur de la menace crée une attaque de phishing ciblée adaptée à une personne
Hameçonnage
ou à une organisation spécifique.
Aussi connu sous le nom de courrier indésirable, il s'agit d'un courrier électronique
Pourriel non sollicité qui contient souvent des liens nuisibles, des logiciels malveillants ou
du contenu trompeur.
Parfois appelé «Quid pro quo», c'est quand un acteur de la menace demande
Quelque chose pour quelque chose des informations personnelles à une partie en échange de quelque chose comme
un cadeau.
Un acteur menaçant laisse une clé USB infectée par un logiciel malveillant dans
Appâtage un lieu public. Une victime trouve le lecteur et l'insère sans méfiance dans son
ordinateur portable, installant involontairement un logiciel malveillant.

Légende du tableau
Attaque d'ingénierie sociale Description
Ce type d'attaque est celui où un acteur menaçant prétend être quelqu'un qu'il n'est
Imitation
pas pour gagner la confiance d'une victime.
C'est là qu'un acteur de la menace suit rapidement une personne autorisée dans
Talonnage
un endroit sécurisé pour accéder à une zone sécurisée.
C'est là qu'un acteur menaçant regarde discrètement par-dessus l'épaule de

Surf à l'épaule
quelqu'un pour lui voler ses mots de passe ou d'autres informations.
C'est là qu'un acteur menaçant fouille dans les poubelles pour découvrir des
Plongée en benne
documents confidentiels.
La boîte à outils d'ingénierie sociale (SET) a été conçue pour aider les pirates informatiques et
autres professionnels de la sécurité des réseaux à créer des attaques d'ingénierie sociale pour
tester leurs propres réseaux.
Les entreprises doivent sensibiliser leurs utilisateurs aux risques de l'ingénierie sociale et
développer des stratégies pour valider les identités par téléphone, par e-mail ou en personne.
La figure montre les pratiques recommandées qui doivent être suivies par tous les utilisateurs.
Attaques DoS et DDoS

Une attaque par déni de service (DoS) crée une sorte d'interruption des services réseau pour les
utilisateurs, les appareils ou les applications. Il existe deux principaux types d'attaques DoS:
• Quantité écrasante de trafic - L'acteur de la menace envoie une énorme quantité de données à
un débit que le réseau, l'hôte ou l'application ne peut pas gérer. Cela ralentit les temps de
transmission et de réponse. Il peut également planter un appareil ou un service.
• Paquets formatés de manière malveillante - L'acteur de la menace envoie un paquet formaté de
manière malveillante à un hôte ou à une application et le destinataire est incapable de le
gérer. Cela entraîne un fonctionnement très lent du périphérique récepteur ou une panne.
3.6.2
IPv4 et IPv6
IP ne vérifie pas si l'adresse IP source contenue dans un paquet provient réellement de cette
source. Pour cette raison, les acteurs de la menace peuvent envoyer des paquets en utilisant une
adresse IP source usurpée. Les acteurs de la menace peuvent également altérer les autres
champs de l'en-tête IP pour mener leurs attaques. Les analystes de sécurité doivent comprendre
les différents champs des en-têtes IPv4 et IPv6.
Certaines des attaques IP les plus courantes sont présentées dans le tableau.
Légende du tableau
Techniques d'attaque IP Description
Les acteurs de la menace utilisent les paquets d'écho ICMP
(Internet Control Message Protocol) pour découvrir les sous-réseaux

Attaques ICMP
et les hôtes sur un réseau protégé, pour générer des attaques par
inondation DoS et pour modifier les tables de routage des hôtes.
Les acteurs de la menace tentent d'empêcher les utilisateurs
Attaques d' amplification et de réflexion légitimes d'accéder aux informations ou aux services à l'aide
d'attaques DoS et DDoS.
Les acteurs de la menace usurpent l'adresse IP source d'un paquet
Répondre aux attaques d'usurpation d'identité IP pour effectuer une usurpation aveugle ou une usurpation non
aveugle.
Les acteurs de la menace se positionnent entre une source et une
destination pour surveiller, capturer et contrôler de manière
Attaque de l'homme du milieu (MITM) transparente la communication. Ils pourraient espionner en
inspectant les paquets capturés, ou modifier les paquets et les
transmettre à leur destination d'origine.
Les acteurs de la menace ont accès au réseau physique, puis utilisent

Détournement de session
une attaque MITM pour détourner une session.
3.6.3
Attaques ICMP
Les acteurs de la menace utilisent ICMP pour les attaques de reconnaissance et d'analyse. Ils
peuvent lancer des attaques de collecte d'informations pour cartographier une topologie de
réseau, découvrir quels hôtes sont actifs (accessibles), identifier le système d'exploitation hôte
(empreinte digitale du système d'exploitation) et déterminer l'état d'un pare-feu. Les acteurs de la
menace utilisent également ICMP pour les attaques DoS.
Remarque : ICMP pour IPv4 (ICMPv4) et ICMP pour IPv6 (ICMPv6) sont sensibles à des types
d'attaques similaires.
Les réseaux doivent avoir un filtrage strict de la liste de contrôle d'accès ICMP (ACL) à la
périphérie du réseau pour éviter les sondages ICMP à partir d'Internet. Les analystes de sécurité
devraient être en mesure de détecter les attaques liées à ICMP en examinant le trafic capturé et
les fichiers journaux. Dans le cas des grands réseaux, les dispositifs de sécurité tels que les
pare-feu et les systèmes de détection d'intrusion (IDS) détectent de telles attaques et génèrent
des alertes aux analystes de sécurité.
Les messages ICMP courants présentant un intérêt pour les acteurs de la menace sont
répertoriés dans le tableau.
Légende du tableau
Messages ICMP utilisés par les pirates Description
Ceci est utilisé pour effectuer la vérification de l'hôte et

Demande d'écho ICMP et réponse d'écho
les attaques DoS.
Ceci est utilisé pour effectuer des attaques de reconnaissance et

ICMP inaccessible
d'analyse du réseau.
Réponse de masque ICMP Ceci est utilisé pour mapper un réseau IP interne.
Ceci est utilisé pour inciter un hôte cible à envoyer tout le trafic via
Redirections ICMP
un appareil compromis et à créer une attaque MITM.
Ceci est utilisé pour injecter de fausses entrées de route dans la

Découverte du routeur ICMP
table de routage d'un hôte cible.
Attaques d'amplification et de réflexion

Les acteurs de la menace utilisent souvent des techniques d'amplification et de réflexion pour
créer des attaques DoS. L'exemple de la figure illustre comment une technique d'amplification et
de réflexion appelée attaque Schtroumpf est utilisée pour submerger un hôte cible.
Remarque : De nouvelles formes d'attaques par amplification et réflexion telles que les attaques
par réflexion et amplification basées sur DNS et les attaques par amplification NTP (Network
Time Protocol) sont désormais utilisées.
Les acteurs de la menace utilisent également des attaques d'épuisement des ressources. Ces
attaques consomment les ressources d'un hôte cible soit pour le planter soit pour consommer les
ressources d'un réseau.
3.6.6
Attaques d'usurpation d'adresse

Les attaques d'usurpation d'adresse IP se produisent lorsqu'un acteur menaçant crée des
paquets avec de fausses informations d'adresse IP source pour masquer l'identité de l'expéditeur
ou se faire passer pour un autre utilisateur légitime. L'acteur de la menace peut alors accéder à
des données autrement inaccessibles ou contourner les configurations de sécurité. L'usurpation
d'identité est généralement incorporée dans une autre attaque telle qu'une attaque Schtroumpf.
Les attaques d'usurpation d'identité peuvent être non aveugles ou aveugles:
• Usurpation d'identité non aveugle - L'acteur de la menace peut voir le trafic envoyé entre l'hôte
et la cible. L'acteur de la menace utilise l'usurpation d'identité non aveugle pour inspecter le paquet
de réponse de la victime cible. L'usurpation non aveugle détermine l'état d'un pare-feu et la
prédiction du numéro de séquence. Il peut également détourner une session autorisée.
• Usurpation aveugle - L'acteur de la menace ne peut pas voir le trafic qui est envoyé entre l'hôte et
la cible. L'usurpation aveugle est utilisée dans les attaques DoS.
Les attaques d'usurpation d'adresse MAC sont utilisées lorsque les acteurs de la menace ont
accès au réseau interne. Les acteurs de la menace modifient l'adresse MAC de leur hôte pour
qu'elle corresponde à une autre adresse MAC connue d'un hôte cible, comme illustré dans la
figure. L'hôte attaquant envoie alors une trame sur tout le réseau avec l'adresse MAC
nouvellement configurée. Lorsque le commutateur reçoit la trame, il examine l'adresse MAC
source.
Un serveur et un acLe commutateur écrase l'entrée actuelle de la table CAM et attribue l'adresse
MAC au nouveau port, comme illustré dans la figure. Il transmet ensuite les trames destinées à
l'hôte cible à l'hôte attaquant.teur de la menace sont connectés au même commutateur. Le
serveur a une adress
En-tête de segment TCP

Alors que certaines attaques ciblent IP, cette rubrique traite des attaques qui ciblent TCP et UDP.
Les informations de segment TCP apparaissent immédiatement après l'en-tête IP. Les champs
du segment TCP et les indicateurs du champ Bits de contrôle sont affichés dans la figure.
Le diagramme montre les champs d'un en-tête de segment TCP. Les champs et leur longueur en
bits sont: port source (16), port de destination (16), numéro de séquence (32), numéro
d'acquittement (32), longueur d'en-tête (4), réservé (6), bits de contrôle (6), fenêtre (16), somme
de contrôle (16), urgent (16), options (0 ou 32 le cas échéant). Les champs d'en-tête sont suivis
des données de la couche d'application (la taille varie).
20 octetsBit (0)Mors (15)Mors (16)Mors (31)Port source (16)Port de destination (16)Numéro de séquence (32)Numéro
d'accusé de réception (32)Longueur d'en-tête (4)Fenêtre (16)Somme de contrôle (16)Urgent (16)Options (0 ou 32 le cas
échéant)Données de la couche d'application (la taille varie)Réservé (6)
Bits de contrôle (6)
Voici les six bits de contrôle du segment TCP:
• URG - Champ de pointeur urgent significatif

• ACK - Champ d'acquittement significatif
• PSH - Fonction Push
• RST - Réinitialiser la connexion
• SYN - Synchroniser les numéros de séquence
• FIN - Plus de données de l'expéditeur
..
3.7.2
Services TCP
TCP fournit ces services:
Livraison fiable - TCP incorpore des accusés de réception pour garantir la livraison, au lieu de
s'appuyer sur des protocoles de couche supérieure pour détecter et résoudre les erreurs. Si un
accusé de réception en temps opportun n'est pas reçu, l'expéditeur retransmet les données. Le fait
d'exiger des accusés de réception des données reçues peut entraîner des retards importants. Les
exemples de protocoles de couche application qui utilisent la fiabilité TCP incluent HTTP, SSL /
TLS, FTP, les transferts de zone DNS, etc.
Contrôle de flux - TCP implémente le contrôle de flux pour résoudre ce problème. Plutôt que
d'acquitter un segment à la fois, plusieurs segments peuvent être acquittés avec un seul segment
d'acquittement.
Communication avec état - La communication avec état TCP entre deux parties se produit
pendant l'établissement de liaison TCP à trois. Avant que les données ne puissent être transférées
à l'aide de TCP, une connexion en trois étapes ouvre la connexion TCP, comme illustré dans la
figure. Si les deux parties acceptent la connexion TCP, les données peuvent être envoyées et
reçues par les deux parties en utilisant TCP.
Attaques TCP
Les applications réseau utilisent des ports TCP ou UDP. Les acteurs de la menace effectuent des
analyses de port des appareils cibles pour découvrir les services qu'ils offrent.
Attaque TCP SYN Flood
L'attaque TCP SYN Flood exploite la poignée de main TCP à trois. La figure montre qu'un acteur
de la menace envoie continuellement des paquets de demande de session TCP SYN avec une
adresse IP source usurpée de manière aléatoire à une cible. Le périphérique cible répond avec
un paquet TCP SYN-ACK à l'adresse IP usurpée et attend un paquet TCP ACK. Ces réponses
n'arrivent jamais. Finalement, l'hôte cible est submergé par des connexions TCP semi-ouvertes
et les services TCP sont refusés aux utilisateurs légitimes.
Attaque TCP SYN Flood…..
Attaque de réinitialisation TCP
Une attaque de réinitialisation TCP peut être utilisée pour mettre fin aux communications TCP
entre deux hôtes. TCP peut mettre fin à une connexion d'une manière civilisée (c'est-à-dire
normale) et non civilisée (c'est-à-dire abrupte).
La figure montre la manière civilisée lorsque TCP utilise un échange à quatre voies composé
d'une paire de segments FIN et ACK de chaque point de terminaison TCP pour fermer la
connexion TCP.
La manière non civilisée est lorsqu'un hôte reçoit un segment TCP avec le bit RST défini. Il s'agit
d'une manière abrupte de supprimer la connexion TCP et d'informer l'hôte récepteur d'arrêter
immédiatement d'utiliser la connexion TCP.
Un acteur menaçant pourrait effectuer une attaque de réinitialisation TCP et envoyer un paquet
usurpé contenant un TCP RST à un ou aux deux points de terminaison.
Détournement de session TCP
Le détournement de session TCP est une autre vulnérabilité TCP. Bien que difficile à mener, un
acteur de la menace prend le contrôle d'un hôte déjà authentifié lorsqu'il communique avec la
cible. L'acteur de la menace doit usurper l'adresse IP d'un hôte, prédire le numéro de séquence
suivant et envoyer un ACK à l'autre hôte. En cas de succès, l'acteur de la menace peut envoyer,
mais pas recevoir, les données du périphérique cible.
3.7.4
En-tête et fonctionnement du segment UDP

UDP est couramment utilisé par DNS, TFTP, NFS et SNMP. Il est également utilisé avec des
applications en temps réel telles que le streaming multimédia ou la VoIP. UDP est un protocole
de couche de transport sans connexion. Il a une surcharge beaucoup plus faible que TCP car il
n'est pas orienté connexion et n'offre pas les mécanismes sophistiqués de retransmission, de
séquençage et de contrôle de flux qui assurent la fiabilité. La structure de segment UDP, illustrée
dans la figure, est beaucoup plus petite que la structure de segment de TCP.
Bien que UPD soit normalement appelé non fiable, contrairement à la fiabilité de TCP, cela ne
signifie pas que les applications qui utilisent UDP ne sont pas toujours fiables, ni que UDP est un
protocole inférieur. Cela signifie que ces fonctions ne sont pas fournies par le protocole de la
couche transport et doivent être implémentées ailleurs si nécessaire.
La faible surcharge d'UDP le rend très souhaitable pour les protocoles qui effectuent des
transactions de demande et de réponse simples. Par exemple, l'utilisation de TCP pour DHCP
introduirait un trafic réseau inutile. Si aucune réponse n'est reçue, l'appareil renvoie la demande.
3.7.5
Attaques UDP
UDP n'est protégé par aucun cryptage. Vous pouvez ajouter un chiffrement à UDP, mais il n'est
pas disponible par défaut. L'absence de cryptage signifie que n'importe qui peut voir le trafic, le
modifier et l'envoyer à sa destination. La modification des données dans le trafic modifiera la
somme de contrôle 16 bits, mais la somme de contrôle est facultative et n'est pas toujours
utilisée. Lorsque la somme de contrôle est utilisée, l'acteur de la menace peut créer une nouvelle
somme de contrôle basée sur la nouvelle charge utile de données, puis l'enregistrer dans l'en-
tête en tant que nouvelle somme de contrôle. Le périphérique de destination trouvera que la
somme de contrôle correspond aux données sans savoir que les données ont été modifiées. Ce
type d'attaque n'est pas largement utilisé.
Attaques d'inondation UDP
Vous êtes plus susceptible de voir une attaque d'inondation UDP. Lors d'une attaque par
inondation UDP, toutes les ressources d'un réseau sont consommées. L'acteur menaçant doit
utiliser un outil comme UDP Unicorn ou Low Orbit Ion Cannon. Ces outils envoient un flot de
paquets UDP, souvent depuis un hôte usurpé, vers un serveur du sous-réseau. Le programme
balaiera tous les ports connus en essayant de trouver des ports fermés. Cela entraînera la
réponse du serveur avec un message de port ICMP inaccessible. Comme il existe de nombreux
ports fermés sur le serveur, cela crée beaucoup de trafic sur le segment, qui utilise la plus grande
partie de la bande passante. Le résultat est très similaire à une attaque DoS.
Vulnérabilités ARP
Plus tôt dans ce module, vous avez découvert les vulnérabilités avec IP, TCP et UDP. La suite de
protocoles TCP / IP n'a jamais été conçue pour la sécurité. Par conséquent, les services qu'IP
utilise pour les fonctions d'adressage telles que ARP, DNS et DHCP ne sont pas non plus
sécurisés, comme vous le découvrirez dans cette rubrique.
Les hôtes diffusent une demande ARP à d'autres hôtes sur le segment pour déterminer l'adresse
MAC d'un hôte avec une adresse IP particulière. Tous les hôtes du sous-réseau reçoivent et
traitent la demande ARP. L'hôte avec l'adresse IP correspondante dans la requête ARP envoie
une réponse ARP.
Tout client peut envoyer une réponse ARP non sollicitée appelée «ARP gratuit». Cela se produit
souvent lorsqu'un appareil démarre pour la première fois pour informer tous les autres appareils
du réseau local de l'adresse MAC du nouvel appareil. Lorsqu'un hôte envoie un ARP gratuit, les
autres hôtes du sous-réseau stockent l'adresse MAC et l'adresse IP contenues dans l'ARP gratuit
dans leurs tables ARP.
Cette fonctionnalité d'ARP signifie également que n'importe quel hôte peut prétendre être le
propriétaire de n'importe quelle adresse IP ou MAC. Un acteur menaçant peut empoisonner le
cache ARP des périphériques sur le réseau local, créant une attaque MITM pour rediriger le
trafic. L'objectif est de cibler un hôte victime et de lui faire changer sa passerelle par défaut vers
le périphérique de l'acteur de la menace. Cela place l'acteur de la menace entre la victime et tous
les autres systèmes en dehors du sous-réseau local.
Attaques DNS
Le protocole DNS (Domain Name Service) définit un service automatisé qui correspond aux
noms de ressources, tels que www.cisco.com, avec l'adresse réseau numérique requise, telle
que l'adresse IPv4 ou IPv6. Il inclut le format des requêtes, des réponses et des données et
utilise des enregistrements de ressources (RR) pour identifier le type de réponse DNS.
La sécurisation du DNS est souvent négligée. Cependant, il est essentiel au fonctionnement

d'un réseau et doit être sécurisé en conséquence.
Les attaques DNS incluent les éléments suivants:
• Attaques de résolveur ouvert DNS

• Attaques furtives DNS
• Attaques par observation de domaine DNS
• Attaques par tunnel DNS
Attaques DNS Open Resolver
De nombreuses organisations utilisent les services de serveurs DNS ouverts publiquement tels
que GoogleDNS (8.8.8.8) pour fournir des réponses aux requêtes. Ce type de serveur DNS est
appelé un résolveur ouvert. Un résolveur ouvert DNS répond aux requêtes des clients en
dehors de son domaine administratif. Les résolveurs ouverts DNS sont vulnérables à plusieurs
activités malveillantes décrites dans le tableau.
Légende du tableau
Vulnérabilités du
Description
résolveur DNS
Les acteurs de la menace envoient des informations de ressource d'enregistrement (RR) falsifiées et falsifiées à un
Attaques résolveur DNS pour rediriger les utilisateurs de sites légitimes vers des sites malveillants. Les attaques
d'empoisonnement du d'empoisonnement du
cache DNS cache DNS peuvent toutes être utilisées pour informer le résolveur DNS d'utiliser un serveur de noms malveillant
qui fournit des informations RR pour des activités malveillantes.
Les acteurs de la menace utilisent des attaques DoS ou DDoS sur les résolveurs ouverts DNS pour augmenter
Attaques le volume des attaques et masquer la véritable source d'une attaque. Les acteurs de la menace envoient
d'amplification et de des messages DNS aux résolveurs ouverts en utilisant l'adresse IP d'un hôte cible.
réflexion DNS Ces attaques sont possibles car le résolveur ouvert répondra aux requêtes de toute personne posant
une question.
Une attaque DoS qui consomme les ressources des résolveurs ouverts DNS.
Attaques d'utilisation Cette attaque DoS consomme toutes les ressources disponibles pour affecter négativement les opérations
des ressources DNS du résolveur ouvert DNS. L'impact de cette attaque DoS peut nécessiter le redémarrage du résolveur ouvert
DNS ou l'arrêt et le redémarrage des services.
Attaques furtives DNS
Pour masquer leur identité, les acteurs de la menace utilisent également les techniques de
furtivité DNS décrites dans le tableau pour mener leurs attaques.
Légende du tableau
Techniques de furtivité DNS Description
Les acteurs de la menace utilisent cette technique pour cacher leurs sites de phishing
et de livraison de logiciels malveillants derrière un réseau en évolution rapide d'hôtes
DNS compromis.
Flux rapide
Les adresses IP DNS sont continuellement modifiées en quelques minutes. Les botnets
utilisent souvent des techniques Fast Flux pour empêcher efficacement la détection de
serveurs malveillants.
Les acteurs de la menace utilisent cette technique pour changer rapidement le nom
Flux IP double d'hôte en mappages d'adresses IP et pour changer également le serveur de noms faisant autorité.
Cela augmente la difficulté d'identifier la source de l'attaque.
Les acteurs de la menace utilisent cette technique dans les logiciels malveillants
Algorithmes de génération de pour générer de manière aléatoire des noms de domaine qui peuvent ensuite
domaine être utilisés comme points de rendez-vous vers leurs serveurs de commande et de
contrôle (C&C).
Attaques d'occultation de domaine DNS
L'observation de domaine implique que l'acteur de la menace collecte les informations

d'identification du compte de domaine afin de créer silencieusement plusieurs sous-domaines
à utiliser pendant les attaques. Ces sous-domaines pointent généralement vers des serveurs
malveillants sans alerter le propriétaire réel du domaine parent.
3.8.5
Tunnel DNS
Les acteurs de la menace qui utilisent le tunnel DNS placent le trafic non DNS dans le trafic
DNS. Cette méthode contourne souvent les solutions de sécurité lorsqu'un acteur de la menace
souhaite communiquer avec des bots à l'intérieur d'un réseau protégé ou exfiltrer des données
de l'organisation, telles qu'une base de données de mots de passe. Lorsque l'acteur de la
menace utilise le tunnel DNS, les différents types d'enregistrements DNS sont modifiés. Voici
comment fonctionne le tunneling DNS pour les commandes CnC envoyées à un botnet:
1. Les données de commande sont divisées en plusieurs blocs codés.

2. Chaque bloc est placé dans une étiquette de nom de domaine de niveau inférieur de la requête
DNS.
3. Comme il n'y a pas de réponse du DNS local ou en réseau pour la requête, la demande est
envoyée aux serveurs DNS récursifs du FAI.
4. Le service DNS récursif transmettra la requête au serveur de noms faisant autorité de l'acteur de
la menace.
5. Le processus est répété jusqu'à ce que toutes les requêtes contenant les morceaux de soient
envoyées.
6. Lorsque le serveur de noms faisant autorité de l'acteur de la menace reçoit les requêtes DNS des
périphériques infectés, il envoie des réponses pour chaque requête DNS, qui contiennent les
commandes CnC encapsulées et codées.
7. Le malware sur l'hôte compromis recombine les morceaux et exécute les commandes cachées
dans l'enregistrement DNS.
Pour arrêter le tunnel DNS, l'administrateur réseau doit utiliser un filtre qui inspecte le trafic
DNS. Faites très attention aux requêtes DNS qui sont plus longues que la moyenne ou à celles
qui ont un nom de domaine suspect. Les solutions DNS, comme Cisco OpenDNS, bloquent
une grande partie du trafic de tunnel DNS en identifiant les domaines suspects.
3.8.6
DHCP
Les serveurs DHCP fournissent dynamiquement des informations de configuration IP aux
clients. La figure montre la séquence typique d'un échange de messages DHCP entre le client
et le serveur.
Le graphique montre l'échange de messages entre un client et un serveur DHCP pendant les
opérations DHCP normales. Tout d'abord, le client envoie un message DHCPDISCOVER de
diffusion au serveur avec le message, je voudrais demander une adresse. Le serveur répond
avec un message DHCPOFFER unicast disant, je suis DHCPsvr1. Voici une adresse que je
peux offrir. Les informations contenues dans ce message sont: l'adresse IP de 192.168.10.15,
le masque de sous-réseau de 255.255.255.0, la passerelle par défaut de 192.168.10.1 et la
durée du bail de 3 jours. Le client répond avec un message DHCPREQUEST diffusé disant,
j'accepte l'offre d'adresse IP. Le serveur répond par un message DHCPACK en monodiffusion
disant: Votre acceptation est confirmée.
Fonctionnement DHCP normal

IP address: 192.168.10.15Subnet mask: 255.255.255.0Default Gateway: 192.168.10.1Lease
time: 3 days
ServeurClientDHCPOFFER
UnicastDHCPACK
Unicast
Diffusion DHCPDISCOVER
Diffusion DHCPREQUEST"Je voudrais demander une adresse.""Je suis DHCPsvr1. Voici une
adresse que je peux offrir.""J'accepte l'offre d'adresse IP.""Votre acceptation est reconnue."
Dans la figure, un client diffuse un message de découverte DHCP. Le serveur DHCP répond
avec une offre unicast qui inclut les informations d'adressage que le client peut utiliser. Le
client diffuse une requête DHCP pour indiquer au serveur que le client accepte l'offre. Le
serveur répond par un accusé de réception unicast acceptant la demande.
3.8.7
Attaques DHCP
Attaque d'usurpation DHCP
Une attaque d'usurpation DHCP se produit lorsqu'un serveur DHCP non autorisé est connecté au
réseau et fournit de faux paramètres de configuration IP aux clients légitimes. Un serveur non
autorisé peut fournir diverses informations trompeuses:
• Passerelle par défaut incorrecte - L'acteur de la menace fournit une passerelle non valide ou
l'adresse IP de son hôte pour créer une attaque MITM. Cela peut passer totalement inaperçu
lorsque l'intrus intercepte le flux de données à travers le réseau.
• Mauvais serveur DNS - L'acteur de la menace fournit une adresse de serveur DNS incorrecte
pointant l'utilisateur vers un site Web malveillant.
• Mauvaise adresse IP - L'acteur de la menace fournit une adresse IP non valide, une adresse IP
de passerelle par défaut non valide, ou les deux. L'acteur de la menace crée alors une attaque
DoS sur le client DHCP.
Supposons qu'un acteur de la menace a réussi à connecter un serveur DHCP non autorisé à un
port de commutateur sur le même sous-réseau que les clients cibles. Le but du serveur non
autorisé est de fournir aux clients de fausses informations de configuration IP.
Confidentialité, intégrité et disponibilité

Il est vrai que la liste des types d'attaques réseau est longue. Mais il existe de nombreuses
bonnes pratiques que vous pouvez utiliser pour défendre votre réseau, comme vous l'apprendrez
dans cette rubrique.
La sécurité du réseau consiste à protéger les informations et les systèmes d'information contre
tout accès, utilisation, divulgation, perturbation, modification ou destruction non autorisés.
La plupart des organisations suivent la triade de la sécurité des informations de la CIA:
• Confidentialité - Seuls les individus, entités ou processus autorisés peuvent accéder aux
informations sensibles. Cela peut nécessiter l'utilisation d'algorithmes de cryptage cryptographique
tels que AES pour crypter et décrypter les données.
• Intégrité - Fait référence à la protection des données contre toute modification non autorisée. Il
nécessite l'utilisation d'algorithmes de hachage cryptographiques tels que SHA.
• Disponibilité - Les utilisateurs autorisés doivent avoir un accès ininterrompu aux ressources et
données importantes. Cela nécessite la mise en œuvre de services, de passerelles et de liens
redondants.
La figure montre la triade CIA comprenant la confidentialité, l'intégrité et la disponibilité.
Triade de la CIA
ConfidentialitéIntégritéDisponibilité
3.9.2
L'approche de défense en profondeur

Pour garantir des communications sécurisées sur les réseaux publics et privés, vous devez
sécuriser les périphériques, notamment les routeurs, les commutateurs, les serveurs et les
hôtes. La plupart des organisations utilisent une approche de défense en profondeur de la
sécurité. Ceci est également connu comme une approche en couches. Cela nécessite une
combinaison de périphériques réseau et de services fonctionnant ensemble. Considérez le
réseau dans la figure.
Tous les périphériques réseau, y compris le routeur et les commutateurs, sont renforcés, ce qui
signifie qu'ils ont été sécurisés pour empêcher les acteurs de la menace d'accéder et de falsifier
les périphériques.
Ensuite, vous devez sécuriser les données lorsqu'elles transitent par divers liens. Cela peut
inclure le trafic interne, mais il est plus important de protéger les données qui voyagent en dehors
de l'organisation vers les succursales, les sites de télétravailleurs et les sites partenaires.
3.9.3
Pare-feu
Un pare-feu est un système, ou un groupe de systèmes, qui applique une politique de contrôle
d'accès entre les réseaux. Cliquez sur Lecture dans la figure pour afficher une animation du
fonctionnement d'un pare-feu.
Tous les pare-feu partagent certaines propriétés communes:
• Les pare-feu résistent aux attaques réseau.

• Les pare-feu sont les seuls points de transit entre les réseaux d'entreprise internes et les réseaux
externes, car tout le trafic passe par le pare-feu.
• Les pare-feu appliquent la politique de contrôle d'accès.
Il y a plusieurs avantages à utiliser un pare-feu dans un réseau:
• Ils empêchent l'exposition des hôtes, des ressources et des applications sensibles à des
utilisateurs non approuvés.
• Ils assainissent le flux de protocole, ce qui empêche l'exploitation des failles de protocole.
• Ils bloquent les données malveillantes des serveurs et des clients.
• Ils réduisent la complexité de la gestion de la sécurité en déchargeant la majeure partie du contrôle
d'accès au réseau sur quelques pare-feu du réseau.
Les pare-feu présentent également certaines limitations:
• Un pare-feu mal configuré peut avoir de graves conséquences pour le réseau, comme devenir un
point de défaillance unique.
• Les données de nombreuses applications ne peuvent pas être transmises à travers les pare-feu en
toute sécurité.
• Les utilisateurs peuvent rechercher de manière proactive des moyens de contourner le pare-feu
pour recevoir du matériel bloqué, ce qui expose le réseau à une attaque potentielle.
• Les performances du réseau peuvent ralentir.
• Le trafic non autorisé peut être tunnelé ou masqué afin qu'il apparaisse comme trafic légitime à
travers le pare-feu.
3.9.4
IPS
Pour vous défendre contre des attaques rapides et évolutives, vous aurez peut-être besoin de
systèmes de détection et de prévention économiques, tels que des systèmes de détection
d'intrusion (IDS) ou des systèmes de prévention d'intrusion (IPS) plus évolutifs. L'architecture du
réseau intègre ces solutions aux points d'entrée et de sortie du réseau.
Les technologies IDS et IPS partagent plusieurs caractéristiques, comme le montre la figure. Les
technologies IDS et IPS sont toutes deux déployées en tant que capteurs. Un capteur IDS ou IPS
peut se présenter sous la forme de plusieurs appareils différents:
• Un routeur configuré avec le logiciel Cisco IOS IPS

• Un appareil spécialement conçu pour fournir des services IDS ou IPS dédiés
• Un module réseau installé dans une appliance de sécurité adaptative (ASA), un commutateur ou
un routeur
..
Les technologies IDS et IPS détectent des modèles dans le trafic réseau à l'aide de
signatures. Une signature est un ensemble de règles qu'un IDS ou un IPS utilise pour détecter
une activité malveillante. Les signatures peuvent être utilisées pour détecter les violations graves
de la sécurité, pour détecter les attaques réseau courantes et pour collecter des
informations. Les technologies IDS et IPS peuvent détecter des modèles de signature atomique
(paquet unique) ou des modèles de signature composite (multi-paquet).
3.9.5
Appliances de sécurité du contenu

Les appliances de sécurité de contenu incluent un contrôle précis des e-mails et de la navigation
Web pour les utilisateurs d'une organisation.
Appliance de sécurité de messagerie Cisco (ESA)
L'appliance Cisco Email Security (ESA) est un appareil spécial conçu pour surveiller le protocole
SMTP (Simple Mail Transfer Protocol). Le Cisco ESA est constamment mis à jour par des flux en
temps réel de Cisco Talos, qui détecte et corrèle les menaces et les solutions en utilisant un
système de surveillance de base de données mondial. Ces données de renseignement sur les
menaces sont extraites par Cisco ESA toutes les trois à cinq minutes.
Appliance de sécurité Web Cisco (WSA)
L'appliance de sécurité Web Cisco (WSA) est une technologie d'atténuation des menaces Web. Il
aide les organisations à relever les défis de la sécurisation et du contrôle du trafic Web. Cisco
WSA combine une protection avancée contre les logiciels malveillants, une visibilité et un
contrôle des applications, des contrôles de politique d'utilisation acceptable et des rapports.
Cisco WSA offre un contrôle complet sur la manière dont les utilisateurs accèdent à
Internet. Certaines fonctionnalités et applications, telles que le chat, la messagerie, la vidéo et
l'audio, peuvent être autorisées, limitées avec des limites de temps et de bande passante, ou
bloquées, selon les besoins de l'organisation. Le WSA peut effectuer la mise en liste noire des
URL, le filtrage des URL, l'analyse des logiciels malveillants, la catégorisation des URL, le filtrage
des applications Web et le chiffrement et le déchiffrement du trafic Web.
Sécuriser les communications

Les organisations doivent fournir une assistance pour sécuriser les données lorsqu'elles
transitent par les liens. Cela peut inclure le trafic interne, mais il est encore plus important de
protéger les données qui transitent en dehors de l'organisation vers les succursales, les sites de
télétravailleurs et les sites partenaires.
Voici les quatre éléments des communications sécurisées:
• Intégrité des données - Garantit que le message n'a pas été modifié. Toute modification des
données en transit sera détectée. L'intégrité est assurée par l'implémentation d'algorithmes de
génération de hachage Message Digest version 5 (MD5) ou Secure Hash Algorithm (SHA).
• Authentification de l'origine - Garantit que le message n'est pas une falsification et provient
réellement de qui il déclare. De nombreux réseaux modernes garantissent l'authentification avec
des protocoles, tels que le code d'authentification de message de hachage (HMAC).
• Confidentialité des données - Garantit que seuls les utilisateurs autorisés peuvent lire le
message. Si le message est intercepté, il ne peut pas être déchiffré dans un délai raisonnable. La
confidentialité des données est mise en œuvre à l'aide d'algorithmes de chiffrement symétriques et
asymétriques.
• Non-répudiation des données - Garantit que l'expéditeur ne peut pas répudier ou réfuter la
validité d'un message envoyé. La non-répudiation repose sur le fait que seul l'expéditeur possède
les caractéristiques ou la signature uniques pour la façon dont ce message est traité.
La cryptographie peut être utilisée presque partout où il y a communication de données. En fait,

la tendance est que toutes les communications soient cryptées.
3.10.3
Intégrité des données

Les fonctions de hachage sont utilisées pour garantir l'intégrité d'un message. Ils garantissent
que les données des messages n'ont pas changé accidentellement ou intentionnellement.
Fonctions de hachage
Il existe trois fonctions de hachage bien connues.
MD5 avec Digest 128 bits
MD5 est une fonction unidirectionnelle qui produit un message haché de 128 bits, comme indiqué
sur la figure. MD5 est un algorithme hérité qui ne devrait être utilisé que lorsqu'aucune meilleure
alternative n'est disponible. Utilisez plutôt SHA-2.
Algorithme de hachage SHA

SHA-1 est très similaire aux fonctions de hachage MD5, comme le montre la figure. Plusieurs
versions existent. SHA-1 crée un message haché de 160 bits et est légèrement plus lent que
MD5. SHA-1 a des défauts connus et est un algorithme hérité. Utilisez SHA-2 lorsque cela est
possible.
SHA-2
Cela inclut SHA-224 (224 bits), SHA-256 (256 bits), SHA-384 (384 bits) et SHA-512 (512
bits). SHA-256, SHA-384 et SHA-512 sont des algorithmes de nouvelle génération et doivent être
utilisés dans la mesure du possible.
Bien que le hachage puisse être utilisé pour détecter des changements accidentels, il ne peut
pas être utilisé pour se prémunir contre des changements délibérés. Il n'y a pas d'informations
d'identification uniques de l'expéditeur dans la procédure de hachage. Cela signifie que n'importe
qui peut calculer un hachage pour n'importe quelle donnée, s'il dispose de la fonction de hachage
correcte.
Par exemple, lorsque le message traverse le réseau, un acteur de menace potentiel pourrait
intercepter le message, le modifier, recalculer le hachage et l'ajouter au message. L'appareil
récepteur ne validera que le hachage ajouté.
Par conséquent, le hachage est vulnérable aux attaques man-in-the-middle et n'assure pas la
sécurité des données transmises. Pour fournir l'intégrité et l'authentification d'origine, quelque
chose de plus est nécessaire.
Comme le montre la figure, un HMAC est calculé à l'aide de tout algorithme cryptographique qui
combine une fonction de hachage cryptographique avec une clé secrète. Les fonctions de
hachage sont à la base du mécanisme de protection des HMAC.
Seuls l'expéditeur et le destinataire connaissent la clé secrète, et la sortie de la fonction de

hachage dépend désormais des données d'entrée et de la clé secrète. Seules les parties ayant
accès à cette clé secrète peuvent calculer le résumé d'une fonction HMAC. Cela élimine les
attaques man-in-the-middle et fournit une authentification de l'origine des données.
Si deux parties partagent une clé secrète et utilisent les fonctions HMAC pour l'authentification,
un résumé HMAC correctement construit d'un message qu'une partie a reçu indique que l'autre
partie était l'expéditeur du message. C'est parce que l'autre partie possède la clé secrète.
La figure montre l'algorithme de hachage hmac
e883aa0b24c09f
Valeur de hachage authentifiée de longueur fixeDonnées de longueur arbitraireClef secrèteFonction de
hachageMessage en texte clair
3.10.6
Confidentialité des données

Il existe deux classes de cryptage utilisées pour assurer la confidentialité des données. Ces deux
classes diffèrent dans la manière dont elles utilisent les clés.
Les algorithmes de chiffrement symétriques tels que (DES), 3DES et Advanced Encryption
Standard (AES) reposent sur le principe que chaque partie communicante connaît la clé pré-
partagée. La confidentialité des données peut également être assurée à l'aide d'algorithmes
asymétriques, notamment Rivest, Shamir et Adleman (RSA) et l'infrastructure à clé publique
(PKI).
Cryptage symétrique
Les algorithmes symétriques utilisent la même clé pré-partagée pour crypter et décrypter les
données. Une clé pré-partagée, également appelée clé secrète, est connue de l'expéditeur et du
destinataire avant que toute communication cryptée puisse avoir lieu.
Pour illustrer le fonctionnement du cryptage symétrique, prenons un exemple où Alice et Bob

vivent à différents endroits et souhaitent échanger des messages secrets via le système de
messagerie. Dans cet exemple, Alice souhaite envoyer un message secret à Bob.
Sur la figure, Alice et Bob ont des clés identiques pour un seul cadenas. Ces clés ont été
échangées avant l'envoi de tout message secret. Alice écrit un message secret et le met dans
une petite boîte qu'elle verrouille à l'aide du cadenas avec sa clé. Elle envoie la boîte à Bob. Le
message est verrouillé en toute sécurité à l'intérieur de la boîte lorsque la boîte fait son chemin
dans le système du bureau de poste. Lorsque Bob reçoit la boîte, il utilise sa clé pour
déverrouiller le cadenas et récupérer le message. Bob peut utiliser la même boîte et le même
cadenas pour envoyer une réponse secrète à Alice.
Aujourd'hui, les algorithmes de chiffrement symétriques sont couramment utilisés avec le trafic
VPN. En effet, les algorithmes symétriques utilisent moins de ressources CPU que les
algorithmes de chiffrement asymétrique. Le cryptage et le décryptage des données sont rapides
lors de l'utilisation d'un VPN. Lorsque vous utilisez des algorithmes de chiffrement symétriques,
comme tout autre type de chiffrement, plus la clé est longue, plus il faudra de temps à quelqu'un
pour découvrir la clé. La plupart des clés de chiffrement sont comprises entre 112 et 256
bits. Pour garantir la sécurité du chiffrement, utilisez une longueur de clé minimale de 128
bits. Utilisez une clé plus longue pour des communications plus sécurisées.
Des algorithmes de cryptage symétrique bien connus sont décrits dans le tableau.
Légende du tableau
Algorithmes de
Description
chiffrement symétriques
Il s'agit d'un ancien algorithme de chiffrement symétrique. Il peut être utilisé en mode de
Norme de chiffrement des
données chiffrement de flux, mais fonctionne généralement en mode bloc en chiffrant les données dans une
(DES)
taille de bloc de 64 bits. Un chiffrement de flux crypte un octet ou un bit à la fois.
Il s'agit d'une version plus récente de DES, mais elle répète trois fois le processus de l'algorithme DES.
3DES
L'algorithme de base a été bien testé sur le terrain depuis plus de 35 ans. Il est considéré comme très
(Triple DES)
fiable lorsqu'il est mis en œuvre avec des durées de vie de clé très courtes.
Légende du tableau
Algorithmes de
Description
chiffrement symétriques
AES est un algorithme sécurisé et plus efficace que 3DES. C'est un algorithme de cryptage symétrique
Norme de chiffrement populaire et recommandé. Il offre neuf combinaisons de clé et de longueur de bloc en utilisant une
avancé
(AES) longueur de clé variable de 128, 192 ou 256 bits pour crypter des blocs de données de 128, 192 ou 256 bits
de long.
SEAL est un algorithme de cryptage symétrique alternatif plus rapide à DES, 3DES et AES. Il utilise une clé
Algorithme de chiffrement
optimisé par logiciel de chiffrement de 160 bits et a un impact moindre sur le processeur par rapport aux autres algorithmes
(SEAL)
logiciels.
Cet algorithme a été développé par Ron Rivest. Plusieurs variantes ont été développées, mais le RC4 est
Algorithmes de la
série Rivest Ciphers (RC) le plus utilisé. RC4 est un chiffrement de flux et est utilisé pour sécuriser le trafic Web en SSL et TLS.
3.10.8
Cryptage asymétrique
Les algorithmes asymétriques, également appelés algorithmes à clé publique, sont conçus de
sorte que la clé utilisée pour le chiffrement soit différente de la clé utilisée pour le déchiffrement,
comme indiqué dans la figure. La clé de déchiffrement ne peut pas, dans un laps de temps
raisonnable, être calculée à partir de la clé de chiffrement et vice versa.
Les algorithmes asymétriques utilisent une clé publique et une clé privée. Les deux clés sont
capables du processus de cryptage, mais la clé jumelée complémentaire est requise pour le
décryptage. Le processus est également réversible. Les données chiffrées avec la clé publique
nécessitent la clé privée pour déchiffrer. Les algorithmes asymétriques assurent la confidentialité,
l'authentification et l'intégrité en utilisant ce processus.
Étant donné qu'aucune des parties n'a de secret partagé, des longueurs de clé très longues
doivent être utilisées. Le chiffrement asymétrique peut utiliser des longueurs de clé comprises
entre 512 et 4 096 bits. Les longueurs de clé supérieures ou égales à 1 024 bits peuvent être
fiables, tandis que les longueurs de clé plus courtes sont considérées comme non fiables.
Voici des exemples de protocoles qui utilisent des algorithmes à clé asymétrique:
• Internet Key Exchange (IKE) - Il s'agit d'un composant fondamental des VPN IPsec.
• Secure Socket Layer (SSL) - Ceci est maintenant implémenté en tant que norme IETF
Transport Layer Security (TLS).
• Secure Shell (SSH) - Ce protocole fournit une connexion d'accès à distance sécurisée aux
périphériques réseau.
• Pretty Good Privacy (PGP) - Ce programme informatique fournit la confidentialité et
l'authentification cryptographiques. Il est souvent utilisé pour augmenter la sécurité des
communications par courrier électronique.
Les algorithmes asymétriques sont nettement plus lents que les algorithmes symétriques. Leur
conception est basée sur des problèmes de calcul, tels que la factorisation de très grands
nombres ou le calcul de logarithmes discrets de très grands nombres.
Parce qu'ils sont lents, les algorithmes asymétriques sont généralement utilisés dans les
mécanismes cryptographiques à faible volume, tels que les signatures numériques et l'échange
de clés. Cependant, la gestion des clés des algorithmes asymétriques a tendance à être plus
simple que les algorithmes symétriques, car généralement l'une des deux clés de chiffrement ou
de déchiffrement peut être rendue publique.
Des exemples courants d'algorithmes de chiffrement asymétrique sont décrits dans le tableau.
Légende du tableau
Algorithme de
Longueur
chiffrement Description
de clé
asymétrique
L'algorithme Diffie-Hellman permet à deux parties de se mettre d'accord sur une clé qu'elles
512, 1024, peuvent utiliser pour crypter les messages qu'elles souhaitent s'envoyer.
Diffie-Hellman
2048, 3072, La sécurité de cet algorithme dépend de l'hypothèse qu'il est facile d'élever un nombre à
(DH)
4096 une certaine puissance, mais difficile de calculer quelle puissance a été utilisée étant donné
le nombre et le résultat.
Norme de signature
numérique (DSS)
DSS spécifie DSA comme algorithme pour les signatures numériques. DSA est un algorithme
et
512 - 1024 à clé publique basé sur le schéma de signature ElGamal. La vitesse de création de signature est
algorithme de
similaire à RSA, mais est 10 à 40 fois plus lente pour la vérification.
signature numérique
(DSA)
RSA est destiné à la cryptographie à clé publique basée sur la difficulté actuelle de factoriser de
Algorithmes de
très grands nombres. C'est le premier algorithme connu pour être adapté à la signature ainsi
chiffrement Rivest,
512 à 2048 qu'au cryptage. Il est largement utilisé dans les protocoles de commerce électronique et on
Shamir et Adleman
pense qu'il est sécurisé grâce à des clés suffisamment longues et à l'utilisation d'implémentations
(RSA)
à jour.
Un algorithme de chiffrement à clé asymétrique pour la cryptographie à clé publique qui est basé
sur l'accord de clé Diffie-Hellman. Un inconvénient du système ElGamal est que le message
EIGamal 512 - 1024
chiffré devient très gros, environ deux fois la taille du message d'origine et pour cette raison,
il n'est utilisé que pour les petits messages tels que les clés secrètes.
La cryptographie à courbe elliptique peut être utilisée pour adapter de nombreux algorithmes
Techniques de
160 cryptographiques, tels que Diffie-Hellman ou ElGamal. Le principal avantage de la cryptographie
courbe elliptique
que les clés peuvent être beaucoup plus petites.
Diffie-Hellman
Diffie-Hellman (DH) est un algorithme mathématique asymétrique où deux ordinateurs génèrent
une clé secrète partagée identique sans avoir communiqué auparavant. La nouvelle clé partagée
n'est jamais réellement échangée entre l'expéditeur et le destinataire. Cependant, comme les
deux parties le savent, la clé peut être utilisée par un algorithme de cryptage pour crypter le trafic
entre les deux systèmes.
Voici trois exemples de cas où DH est couramment utilisé:
• Les données sont échangées à l'aide d'un VPN IPsec.

• Les données sont cryptées sur Internet en utilisant SSL ou TLS.
• Les données SSH sont échangées.

Concept de Sécurité Réseau

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Concept de Sécurité Réseau

Transféré par

Droits d'auteur :

Formats disponibles

État actuel de la cybersécurité

État actuel des affaires

Exploit Un exploit est un mécanisme qui tire parti d'une vulnérabilité.

Un utilisateur interne, tel qu'un employé, peut accidentellement ou intentionnellement:

La perte de données ou l'exfiltration de données se produit lorsque des données sont

• Dommages à la marque et perte de réputation

Les vecteurs de perte de données courants sont affichés dans le tableau.

Les données confidentielles doivent être détruites lorsqu'elles ne sont plus

Les professionnels de la sécurité réseau doivent protéger les données de

Type de pirate Description

Type de pirate Description

Remarque : Dans ce cours, nous n'utiliserons pas le terme hacker en dehors de ce

Évolution des hackers

Terme de piratage Description

Terme de piratage Description

Hackers sponsorisés par l'État

Introduction aux outils d'attaque

Sophistication des outils d'attaque par rapport aux

Sophistication des outils d'attaque

Évolution des outils de sécurité

Type d'attaque Description

modifier, réacheminer ou supprimer des données.

aux ressources du réseau par les utilisateurs autorisés.

données à l'intérieur du paquet.

Virus et chevaux de Troie

Le virus se cache en s'attachant à un code informatique, un logiciel ou des documents sur

Les virus peuvent:

• Modifiez, corrompez, supprimez des fichiers ou effacez des disques entiers.

Virus du micrologiciel Le virus attaque le micrologiciel de l'appareil.

Le virus utilise de manière malveillante la fonction de macro MS Office ou d'autres

Virus de programme Le virus s’insère dans un autre programme exécutable.

Il existe plusieurs types de chevaux de Troie décrits dans le tableau.

Accès à distance Le cheval de Troie permet un accès à distance non autorisé.

Destructeur Le cheval de Troie corrompt ou supprime des fichiers.

Déni de service (DoS) Le cheval de Troie ralentit ou arrête l'activité du réseau.

Autres types de logiciels malveillants

Présentation des attaques de réseau

Les réseaux sont sensibles aux types d'attaques suivants:

L'acteur de la menace recherche des informations initiales sur

recherche Google, le site Web des organisations, le whois, etc.

La requête d'informations révèle généralement l'adresse réseau

ping pour déterminer quelles adresses IP sont actives.

Ceci est utilisé pour déterminer quels ports ou services sont

SuperScan, Angry IP Scanner et NetScanTools.

Il s'agit d'interroger les ports identifiés pour déterminer le type et

la version de l'application et du système d'exploitation en cours

Secuna PSI, Core Impact, Nessus v6, SAINT et Open VAS.

vulnérables qui peuvent être exploités. Il existe une variété d'outils

d'exploitation des vulnérabilités, notamment Metasploit, Core

Impact, Sqlmap, Social Engineer Toolkit et Netsparker.

Attaques de mot de passe

Attaques d'usurpation d'identité

Les autres attaques d'accès incluent:

Attaque d'ingénierie sociale Description

Un acteur de la menace prétend avoir besoin de données personnelles ou

Un acteur de la menace envoie un e-mail frauduleux déguisé en source légitime et

à partager des informations personnelles ou financières.

ordinateur portable, installant involontairement un logiciel malveillant.

Attaque d'ingénierie sociale Description

C'est là qu'un acteur menaçant regarde discrètement par-dessus l'épaule de

Attaques DoS et DDoS

Techniques d'attaque IP Description

Les acteurs de la menace utilisent les paquets d'écho ICMP

(Internet Control Message Protocol) pour découvrir les sous-réseaux