Chapitre1 : généralités

Systèmes d’information :
Un système d'information est généralement défini par l'ensemble des
données et des ressources matérielles et logicielles de l'entreprise permettant de
les stocker ou de les faire circuler.

Sécurité Informatique :
La sécurité informatique c’est l’ensemble des moyens mis en oeuvre pour
réduire la vulnérabilité d’un système contre les menaces accidentelles ou
intentionnelles.

2. Exigences fondamentales et objectifs :

Origine des attaques :
50% interne  utilisateur malveillant, erreur involontaire,…

50% externe  Piratage, virus, intrusion,..

La sécurité informatique vise généralement cinq principaux objectifs :

 L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on
croit être.
 La confidentialité, consistant à assurer que seules les personnes
autorisées aient accès aux ressources échangées.
 La disponibilité, permettant de maintenir le bon fonctionnement du
système d'information.

 La non répudiation, permettant de garantir qu'une transaction ne peut

être niée.
 L'authentification, consistant à assurer que seules les personnes
autorisées aient accès aux ressources.
La sécurité recouvre ainsi plusieurs aspects : respect de la vie privée
(informatique et liberté).

4. Étude (analyse) des risques :

 Quelle est la valeur des équipements, des logiciels et surtout des

informations ?
 Quel est le coût et le délai de remplacement ?
 Faire une analyse de vulnérabilité des informations contenues sur les
ordinateurs en réseau (programmes d'analyse des paquets, logs…).
 Quel serait l’impact sur la clientèle d'une information publique concernant
des intrusions sur les ordinateurs de la société ?
1
Démarche (Méthodologie ?) pour sécuriser un système d’information
dans un réseau :

Analyse de la situation Analyse de risques Politique de

sécurité

Mesures de
sécurité

Implémentation

validation

Analyse de la situation : identifier le contexte du système à sécuriser.« On ne

sécurise pas de la même manière une maison, une banque ou une gare »

Analyse des risques : (suite)

Diminuer le risque global auquel le système est exposé

Politique de sécurité :
Sert à décrire de quelle manière le risque global sera diminué (avec risque
résiduel):
Décrire les différents éléments du système d’info et les règles qui s’y appliquent
(classification des infos, découpage en zones, règles de protection pour chaque
zone, etc…)

Mesures de sécurité : Ensemble de mesures techniques (FireWall, Antivirus,

IDS, ...) ou organisationnelles ( procédure de secours, nomination responsable
sécurité, …) qui vont permettre d’appliquer la politique de sécurité.

Implémentation Installation et implémentation des différentes mesures

Validation :Validation des mesures implémentées afin de vérifier qu’elles

offrent la protection voulue (Audits, scans de vulnérabilité, tests d’intrusion,
etc…)

2
5. Établissement d’une politique de sécurité :
Suite à l’étude des risques et avant de mettre en place des mécanismes de
protection, il faut préparer une politique à l'égard de la sécurité.
Une politique de sécurité vise à définir les moyens de protection à mettre en
œuvre.
• Identifier les risques et leurs conséquences.
• Elaborer des règles et des procédures à mettre en œuvre pour les risques
identifiés.
• Surveillance et veille technologique sur les vulnérabilités découvertes.
• Actions à entreprendre et personnes à contacter en cas de détection d'un
problème.

6. Éléments d’une politique de sécurité :


 Défaillance matérielle (vieillissement, défaut…)
 Défaillance logicielle (bugs, MAJ…)
 Accidents (pannes, incendies, inondations…)
 Erreur humaine (Formation)
 Vol via des dispositifs physique (disques et bandes).
 Virus provenant de disquettes
 Piratage et virus réseau (plus complexe )

7. Principaux défauts de sécurité :

 Installation des logiciels et matériels par défaut.
 Mises à jours non effectuées.
 Mots de passe inexistants ou par défaut.
 Authentification faible.
 l'état actif d'insécurité, c'est-à-dire la non connaissance par
l'utilisateur des fonctionnalités du système.
 l'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de
sécurité mis en place.

8. Notion d'audit :

Un audit de sécurité consiste à s'appuyer sur un tiers de confiance afin de valider

les moyens de protection mis en œuvre.

L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de

sécurité est correctement appliquée et que l'ensemble des dispositions prises
forme un tout cohérent.

3
 Chapitre 2-3 : Cryptographie

La cryptographie : L'information est modifiée selon une méthode préétablie afin

de la rendre incompréhensible. Il existe deux grandes catégories :

 Par transposition : l'ordre des éléments d'une information est modifiée

(caractères d'une phrase, pixels d'une image, ...)
 Par substitution : les éléments d'une information sont remplacés par
d'autres (remplacer tous les A par B, B par C, etc...)

Cryptographie :

 Message clair : Cette expression désigne le message original n'ayant subi

aucune modification
 Clé : La clé désigne l'information permettant de chiffrer et de déchiffrer un
message
 Chiffrement : Processus de transformation d'un message M de telle
manière à le rendre incompréhensible :
Basé sur une fonction de chiffrement E
On génère ainsi un message chiffré C = E(M)

Déchiffrement : Processus de reconstruction du message clair à partir du

message chiffré :
Basé sur une fonction de déchiffrement D On a donc D(C) = D(E(M)) = M
En pratique : E et D sont généralement paramétrées par des clefs Ke et Kd :
Eke(M) = C Dkd(C)=M

Définitions Cryptographie et cryptanalyse :


La cryptographie est la science qui utilise les mathématiques pour le cryptage
et le décryptage de données.
La cryptanalyse est l'étude des informations cryptées, afin d'en découvrir le
secret.
La cryptologie englobe la cryptographie et la cryptanalyse

Cryptographie moderne :

1- Cryptographie symétrique :

Ou cryptographie a clé privée
On utilise la même clé pour chiffrer et déchiffrer un message (ke = kd = k).
Les deux communicants doivent être en possession de cette clé.

4
Avantage :
Il est très rapide
Inconvénient :
La distribution des clés reste le problème majeur du cryptage conventionnel
surtout lorsque Le nombre de communicants devient grand.

2- Cryptographie asymétrique :

Chaque entité possède une paire de clés :

Une clé publique, connue par toutes les autres entités et utilisée pour chiffrer
un message donné,
Une clé privée qui ne doit être connue que par l’entité qui possède la paire en
question, et qui est utilisée pour déchiffrer un message

Un message chiffré avec une clé publique ne peut être déchiffré qu’avec la clé
privée correspondante.

RSA le premier protocole a clef publique :



Alice choisit deux grands nombres premiers p et q et calcule: n = p*q et z=(p-1)(q-1)
Elle choisit un entier e qui n'a pas de facteur commun avec z (premiers entre eux).
Elle calcule d tel que (ed-1) est exactement divisible par z.
Elle déduit : Clé publique = (n,e) et clé privée =(n,d)

Grâce à sa clé public, Bob peut chiffrer son message avec la formule RSA. Mais il
ne peut plus le déchiffrer, car RSA est impossible à inverser, à moins de connaître
p et q.
Alice reçoit le message chiffré de Bob et peut le déchiffrer grâce à p et q.
Bob veut envoyer un message m à Alice :
chiffrement : c = me mod n Alice reçoit le message c et calcule :
déchiffrement : m = cd mod n = (me mod n)d mod n

Exemple: p=5, q=7, m=12

Exemple : p=5, q=7, donc n=35 et z=24
Alice choisit e=5 et déduit d=29
Bob : (chiffrement) : m=12, me=248832, c=me mod n = 17.
Alice : (déchiffrement) : c=17,
cd=48196857210675091411825223072000 m = cd mod n = 12.

5
Signature numérique Fonction de hachage :

Certificats numériques :
Les certificats numériques simplifient la tâche qui consiste à déterminer si une
clé publique appartient réellement à son détenteur supposé.
Un certificat numérique se compose de:
Une clé publique.
Des informations sur le certificat. (Informations sur l'« identité » de
l’utilisateur : nom, ID utilisateur, etc.)
Une ou plusieurs signatures numériques.
La signature numérique d'un certificat permet de déclarer que ses informations
ont été attestées par une autre personne ou entité.

Les certificats sont émis par une autorité de certification (Certificate Authority – CA)

6
Exemple certificat X.509

Principe des Certificats numériques

Alice fait une requête de certification d'une clé publique auprès d'une autorité
de certification.
Cette dernière vérifie la véracité des infos contenues dans ce certificat
(authentifications des infos) puis le certificat est émis dans un annuaire
Bob récupère la clé publique d'Alice via l'annuaire, récupère aussi un certificat
auti-signé via l'autorité de certification et vérifie son intégrité grâce à la signature
de la CA.

Les Communications sécurisées :

Les protocoles d’accès distant à une machine tels que Telnet, rlogin, etc.. Sont
limités:
 Circulation des mots de passe en clair
 Authentification faible basée sur le numéro IP (Cas du protocole rlogin)
 Commandes à distance non sécurisées.
 Transferts de fichiers non sécurisés.

7
Solution : l’utilisation du protocole SSH SSH utilise la cryptographie
asymétrique (RSA) et symétrique
Le protocole SSH Principe

Un serveur SSH dispose d'un couple de clefs stocké dans le répertoire /etc/ssh
et généré lors du lancement du serveur
Lorsqu'un client SSH se connecte au serveur, ce dernier envoie sa clé publique
au client.
Le client génère une clé secrète (chiffrement symétrique), et l'envoie au
serveur, en cryptant l'échange avec la clé publique du serveur.
Le serveur déchiffre la clé secrète avec sa clé privée.
Pour prouver au client qu'il est bien le bon serveur (authentification du serveur),
il crypte un message standard avec la clé secrète et l'envoie au client.
Si le client retrouve le message standard en utilisant la clé secrète, il a la preuve
que le serveur est le vrai.
Une fois la clé secrète échangée, le client et le serveur peuvent alors établir un
canal sécurisé (grâce à la clé secrète partagée).

Faille du protocole SSH :

-Attaque à base de la méthode Man In The Middle

-L’attaquant se place entre le client et le serveur afin d’intercepter les clés de
l’encryptage.

SSL/TLS SSL(Secure Socket Layer):

Se situe entre la couche application et la couche transport.

Garantit l'authentification, l'intégrité et la confidentialité.
Développer par netscape et largement utilisé pour la sécurisation des sites www
(https).

Réseau VPN (réseau privé virtuel) :

VPN utilise le protocole IPSEC qui est composé de quatre protocoles :

1-Le protocole AH (Authentification Host) ce protocole permet de garantir

l'authenticité des paquets échangés en leur inscrivant une somme de contrôle
(entête du paquet + données du paquet) chiffrée.

2-Le protocole ESP (Encapsuling Security Payload) : Ce protocole permet de

chiffrer toutes les données du paquet garantissant leur confidentialité

3-Le protocole IPComp : Ce protocole permet de compresser un paquet avant

de le chiffrer avec ESP

4-Le protocole IKE (Internet Key Exchange) : Ce protocole est utilisé pour
l'échange des clés pour les différents chiffrements.
8
Les applications sécurisées

L'outil PGP :
Est un logiciel de cryptographie qui est bien adapté à l'utilisation sur Internet.
PGP est une combinaison des fonctionnalités de la cryptographie de clé publique
et de la cryptographie de clé secrète : C'est un système hybride
PGP utilise en plus la compression des données afin de renforcer la sécurité
des informations, de réduire le temps de transmission et d'économiser l'espace
disque.

Chiffrement et déchiffrement PGP :

PGP crée une clé de session à usage unique. Cette clé correspond à un nombre
aléatoire, généré par les déplacements aléatoires de la souris et les séquences
de frappes de touche. Pour crypter un texte clair, la clé de session utilise un
Algorithme de chiffrement symétrique conventionnel (DES, AES,...). Une fois les
données codées, la clé de session est chiffrée à l'aide de la clé publique du
destinataire (à l'aide d'une méthode de chiffrement asymétrique).
La clé de session chiffrée ainsi que le texte chiffré est transmis au destinataire.
Le processus de décryptage est inverse : le destinataire utilise sa clé privée
pour récupérer la clé de session temporaire qui permettra ensuite de déchiffrer
le texte chiffré.

Le protocole Kerberos :
Kerberos est un protocole d'authentification réseau .
Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce
principe renforce la sécurité du système et empêche que des personnes non
autorisées interceptent les mots de passe des utilisateurs.
L'ensemble repose sur un chiffrement symétrique (clefs privées).

Le protocole Kerberos éléments :

Dans un réseau simple utilisant Kerberos, on distingue:

Le client (C), il a sa propre clé privée KC
Le centre de distribution de clés
(KDC pour key distribution center), il connaît les clés privées
KC et KTGS (appelé aussi AS: Authentication Server)
Le serveur de tickets (TGS pour ticket granting server),
il a une clé privée KTGS et connaît la clé privée KS du serveur
Le serveur (S), il dispose aussi d'une clé privée KS

9
Chapitre 4 : Menaces (failles de sécurité, Attaques et vulnérabilités)

Messagerie électronique
La messagerie électronique constitue un véritable outil de travail et de
productivité pour les organisations, elle est le plus souvent considéré comme une
application stratégique, voir critique.

Les Risques
La perte, l’interception, l’altération et la destruction de messages.
Inondation de messages.
La divulgation d’informations confidentielles.
Des messages peuvent être introduits, rejoués, mélangés, supprimés ou
retardés

Forgé un mail :
SMTP utilise des connexions TCP sur le port 25 Il connaît quelques simples
commandes comme :
HELO (annonce d’un serveur)
Mail From: (définition expéditeur)
Rcpt To: (définition destinataire)
Data: (définition du contenu)

Exemple
telnet mail1.epfl.ch 25
Trying 128.178.7.12...
Connected to mail1.epfl.ch.
Escape character is ’^]’.
220 mail1.epfl.ch ESMTP
HELO batcave.com
250 mail1.epfl.ch
MAIL FROM: batman@batcave.com
250 ok
RCPT TO: philippe.okamp@epfl.ch
250 ok DATA
354 go ahead
Is it a bird?
Is it a plane? or is it just a forged e-mail? .
250 ok 1004541790 qp 14607
QUIT 221 mail1.epfl.ch
Connection closed by foreign host.

10
Spams ou pourriel
E-mail non-sollicité, non-ciblé, à très grand tirage
L’adresse source est toujours falsifiée
Un message est déposé dans une centaine de serveurs SMTP avec une liste
de >10k destinations chaque fois
Les serveurs abusés envoient fidèlement une copie à chaque destinataire
Recherche aléatoire de destination

Spam Dégâts :
Les serveurs abusés sont surchargés (souvent plus de 24h)
L’ISP peut menacer de couper la ligne
Inclusions dans listes noires
Encombrer inutilement une partie de la bande-passante
Ces frais supplémentaires se répercutent sur les abonnés

Spam Protection :

Serveur :
interdire le relais
Source :
Liste noire de serveurs
Contenu : Filtre anti-spam
Mots-clés, format
Données annexes (temps de transit, nombre de destinataires…)
Listes noires de spams connus

Virus :
fragment qui se propage à l’aide d’autres Programmes
Portion de code inoffensive ou destructrice capable de se reproduire et de se
propager.
Types: Virus boot Virus dissimulé dans les exécutables

- Échange de disquettes
- Pièces jointes au courrier électronique
- Exécutables récupérés sur Internet

Vers :
Programme autonome
Proches des virus mais capables de se propager sur d'autres ordinateurs à
travers le réseau.

11
Cheval de Troie troyen, trojan horse, trojan :

Le “troyen” est un programme malicieux (ou utile) qui en cache un autre.
Le programme caché est en principe un “keylogger”.
Le premier programme malicieux ( principal ) ouvre les ports de
communication.
Le deuxième programme malicieux, le “keylogger” copie toutes ces données ,
elles seront envoyées et connues par le programmeur de ce code malicieux.
Ordinateur téléguidé donc botnet

Effet des Virus et malwares


Perte de données
Perte de temps de travail
Perte d’image de marque
Intrusion, vol
Perte de confidentialité

12
 Chapitre 5 : Vulnérabilités applicatives

Services réseaux (daemons).
Les applications téléchargées (applet java, …).
Les applications web (scripts cgi, …)

Les vulnérabilités peuvent être dues:

Backdoors : laissées volontairement ou involontairement sur un service par le
programmeur
Erreurs de programmation :
Débordements de tampons (buffer overflow)
Entrées utilisateurs mal validées
Les problèmes de concurrence
Chaînes de format

Buffer Overflow (la pile) :

-Lors de l’exécution d’un programme qui fait

appel a une procédure, le processeur sauve
l’adresse de retour dans la pile, lorsque la
procédure se terminera le processeur retournera
à l’adresse spécifiée et continuera son travail...

-Si (par hasard !) une procédure écrivait plus

d’octets (bytes) dans une variable locale afin
que la taille nécessaire à son stockage dans
la pile dépasse celle de l’adresse de retour,
on appellerait ceci un Buffer Overflow.

Il est possible donc d’indiquer au

programme une nouvelle adresse de retour
contenant un code totalement différent
(code pirate ).
Le programme sautera alors
automatiquement à l’adresse spécifiée. . .
Forcer le programme à sauter vers une
adresse ou est situé un code assembleur
destiné par exemple à exécuter un shell
UNIX (/bin/sh).

13
Attaques sur les applications web :
Les Risques

Pertes de données par des actes malveillants
Publication de données confidentielles
Vol d'identité permettant à un pirate d'avoir un accès administrateur ou sur une
zone payante.
Les abus de ressources qui pourraient ralentir les services du site.
Détournement de site

SQL injection :

Exemple 1

SELECT * FROM utilisateurs WHERE nom="$nom";

SELECT * FROM utilisateurs WHERE nom="toto";
Il suffit à un pirate de saisir un nom tel que :
toto" OR 1=1 OR nom ="titi
SELECT * FROM utilisateurs WHERE nom="toto" OR 1=1 OR nom ="titi";

Exemple 2
SELECT nom, pw FROM database WHERE nom= "'+$nom+'" AND
password = "'+$pw+'"
SELECT nom, pw FROM database WHERE nom = " Titi" AND password =
"Toto"
Pour de nom = admin "/* et pw = maison
SELECT nom, pw FROM database WHERE nom ="admin" /* " AND pw =
"maison"
Pour de nom = " OR True OR nom= " et pw = bla
SELECT nom, pw FROM database WHERE nom = " " OR True OR nom= "
" AND password = " bla"

Precautions :

Vérifier le format des données saisies.
Ne pas afficher la requête ou une partie de la requête.
Supprimer les comptes utilisateurs non utilisées et les comptes par défaut
Eviter les comptes sans mot de passe.
Restreindre au minimum les privilèges des comptes utilisés

14
CSS/XSS (Cross Site Scripting) Regard suisse :

l’une des attaques les plus utilisées par les pirates.
Objectif: pénétrer dans les applications Web.
Principe: Consiste à forcer un site web à exécuter du code HTML ou des scripts
saisis par l’utilisateur dans un champ d’un formulaire ou à travers un lien d’un
site web.
Cas 1
Afficher les messages déposés par les internautes
Un pirate dépose un script qui dirige les internautes vers un autre serveur
Game over

Cas 2
Envoyer un courrier électronique a une victime qui contient un code dans le
sujet
Récupérer les cookies de l’internaute
Lire le courrier jusqu’à l’expiration du cookie
Game over

Cas 3
Envoi d’un courrier à la victime lui demandant de se rendre à une URL.
(ex: site de banque en ligne de la victime).
URL Fausse.
Le serveur renvoi une erreur en réaffichant L’URL
L’URL redirige la victime à une page semblable
Game Over (récupéré les mots de passes)

15
 Chapitre 6-7 : Attaques et vulnérabilités des réseaux

Hacker cracker
Ces informaticiens sont: Personnes qui s’autoproclament des "hackers''.
Généralement discrets Adolescents de sexe masculin
Anti-autoritaristes S’introduisant à distance dans les systèmes
Motivés par la curiosité. informatiques

piratent des systèmes téléphoniques.

Utilisent des outils écrit par d’autres personnes
(trouvés sur Internet).

Objectifs des attaques :

Désinformer
Empêcher l'accès à une ressource
Prendre le contrôle d'une ressource
Récupérer de l'information présente sur le système
Constituer un réseau de « botnet » (ou réseau de machines zombies)

Cible des pirates : Les états, Serveurs militaires, Banques, Universités, Tout le
monde.
Définitions :

Noeud malicieux :
Unité malveillante (écoute puis attaque)

Attaquant actif-n-m :
Attaquant qui possède m noeuds malicieux et qui compromis n noeuds

Attaques externes :
Attaques lancées par un noeud qui n’appartient pas au réseau ou bien qui n’est
pas autorisé à y accéder

Attaques internes :
Attaques lancées par des noeuds internes compromis ou malveillants.
C’est le type de menace le plus sévère
Les mécanismes proposés pour lutter contre les attaques externes sont
inefficaces devant ce type d’attaques

16
Attaques passives :

Écoute des lignes
Analyse de trafic
Plus facile avec le sans fil
C’est une préparation d’une attaque active
La Solution :
Assurer la confidentialité des échanges.

Attaques actives :

Détruire des messages

Injecter des messages erronés
Modifier des messages et usurper l'identité d'un noeud.
La Solution doit:
Assurer la disponibilité, l'intégrité, l'authentification et la non
répudiation

Segment TCP :
Le champ Flags :

ACK: Le paquet est un accusé de réception
FIN : L’émetteur a atteint la fin de son flot de données.
RST: Réinitialiser la connexion.
SYN: Synchroniser les numéros de séquence pour initialiser une connexion.
PSH: Fonction push.

Ouverture de connexion Fermeture de connexion

17
Attaques réseaux :
IP Spoofing Principe :
IP Spoofing: Forger l'adresse source d'un paquet et à abusez de la confiance
de cette source.
Plus facile à utiliser avec les protocoles basés sur UDP.

IP Spoofing Attaque à base de TCP :

Comment deviner L’ISN d’une machine ?

Dans certaines implémentations de pile
TCP/IP prochain ISN peut que soit prédit.
Un pirate procède comme suite:
Il ouvre quelques connexions (par exemple
SMTP) pour obtenez les ISN courants et leurs
méthodes d’incrémentation.
Il lance sa connexion forgé qui utilise le
dernier ISN incrémenté selon la méthode détectée.
Il peut lancer des connexions forgés multiples avec différentes augmentations en
espérant qu'au moins une est correct.

Exemple :

Comment empêcher une machine de répondre ?

18
DOS (déni de service) :

Attaque destinée à empêcher l’utilisation d’une machine ou d’un service.
Plus souvent utilisé pour saturer un routeur ou un serveur.
Attaque très simple à mettre en oeuvre (outils faciles à trouver) et très
difficile à empêcher.

DOS local DOS par le réseau

Epuisement des ressources Consommation de bande passante
Saturation de l'espace disque SYN flood
répertoires récursifs mailbombing
boucle infinie de fork () …etc
…etc

DOS: Exemple SYN Flood


Attaque par inondation de SYN avec une adresse source usurpée (spoofée) et
inaccessible.
La machine cible doit gérer une liste de connexions dans l ’état SYN_RECV .
Le pirate sature cette liste.
La machine victime ignore les prochaines connexions
Attaque visible si la commande netstat –an indique un grand nombre de
connexions
Se protéger contre SYN Flood : Une file FIFO (file circulaire)

ARP Spoofing :

Pollution des caches arp avec de fausses associations adresse mac/adresse IP.
Permet des attaques de type "man in the middles.

Se protéger contre ARP Spoofing :

- Utiliser des associations statiques,
- Surveiller les changements d'association

19
DNS Cache poisoning :

Sniffer :
De nombreux protocoles utilisent une authentification en texte clair
En visualisant la circulation sur un réseau, nous pouvons obtenir les noms
d'utilisateurs et les mots de passe == sniffer
Les sniffers Utilisent des sockets en mode « promiscuous »
socket (AF_INET,SOCK_RAW,IPPROTO_RAW)

Smurf :
Envoie d'une trame ICMP "echo request « ping » sur une adresse de diffusion.
Exemple: ping 193.49.200.255
Objectif :
Utilisée pour déterminer les machines actives sur une plage IP donnée.
Ecrouler une machine

Se protéger Contre Smurf :

Interdire la réponse aux trames

ICMP sur les adresses de diffusion:
– Au niveau routeur
– Au niveau machine

20
Réussite de l’attaque ingénierie sociale
Les personnes ne sont pas formées à la notion de sécurité informatique
Comment ça ! :
Disquettes ou sauvegardes jetées à la poubelle
Papiers ou l’on note ses mots de passe jetés à la poubelle
Echange de mot de passe par MSN!!!!!

(DDOS)Distributed Denial Of Service:

Type d ’attaque très à la mode.

L ’objectif est d ’écrouler une machine
et/ou saturer la bande passante de la victime.
Nécessite plusieurs machines corrompues.

Se protegé contre DDOS:

Etre attentif aux ports ouverts
find_ddos sur http://www.nipc.gov

But d’une attaque DDOS :

Un botnet de 1000 machines peut saturer la bande passante d’une grande
entreprise (1000 * 128Kb/s = 128 Mb/s).
Une entreprise peut acheter les services d’un « bot herders » pour attaquer un
concurrent.
« Ddos extortion »: des pirates peuvent menacer des sites de commerce en
ligne (Exemple: la société Canbet en Angleterre).

Les « botnets » :
Réseau de machines contrôlées par un « bot herder » ou « botmaster ».

Utilisation des botnets :


Envoyer du spam
Vol d’informations sensibles (keylogger).
Installer des spywares.
Paralyser un réseau en déni de services (ddos)
Installer un site web malicieux (phishing)

21
Intrusion :
Prise de contrôle totale ou partielle d’un système distant
la réalisation d’une menace (c ’est une attaque).
Les conséquences peuvent être catastrophiques : vol, fraude, incident
diplomatique, chantage…etc

Solution: Firewall et systèmes de détection d’intrusion.

La méthode des hackers :

1-Collecte d’information :
- Détermination des champs d’activités
- Recensement des éléments du réseau
- Interrogation des serveurs DNS
- Utiliser les techniques d’Ingénierie sociale

2-Balayage systématique Scanner :

- En connaissant les adresses IP, nous pouvons lancer un scan pour trouver des
cibles intéressantes.
- Le scanner va essayer de se connecter à tous les services voulu sur toutes les
machines appartenant à une plage d'adresses

22
3-Enumération des services :
- Dans cette phase, il faut trouver des informations sur les services disponibles
(TCP et UDP).
- Chercher aussi des : Systèmes d’exploitation Fournisseur d’un logiciel Version
d’un logiciel (ou service)

4-Intrusion :
-Par la recherche d'une vulnérabilité connue qui n'a pas encore été corrigé
(patcher), nous pouvons pénétrer dans un système.

5-Escalation (extension) of privileges :

- Chercher à augmenter ses privilèges.
exemple :l'installation d'un petit script que l'administrateur exécute par erreur .
- Le pirate peut installer un sniffeur.

6-Plundering :
- Le vol de mots de passe.
- La recherche des informations, des documents ou des emails contenants des
mots de passe

7-Effacer la trace :
- Correction de logs avec des outils automatiques
-Dissimulation d'intrusion à l'aide de rootkits pour masquer la présence du hacker

23
 Chapitre 8 : Protections

On considère généralement que la majorité des problèmes de sécurité sont

situés entre la chaise et le clavier).
Quelles sont les solutions donc !!!

FORMATION DES UTILISATEURS :

Charte d’entreprise :
Obliger les employés à lire et signer un document précisant (Charte):
Leurs droits
Leurs devoirs
Montrer leurs responsabilités individuelles.

POSTE DE TRAVAIL :
Les postes de travail Windows doivent être protégés individuellement par des:
Antivirus
Anti Spywares
Firewall personnels (Firewall Windows)
Mise à jour de correction des vulnérabilités

ANTIVIRUS :

Méthodes de détections :
*Analyse des signatures  Utilise une base de données de signatures
*Analyse du code  Analyse du code statique Analyse du code dynamique
(analyser le comportement des applications )
*Contrôle d’intégrité  vérifier si les fichiers exécutables du système ont été
modifiés. …etc

Analyse du code : Méthodes approximatives qui utilise les méthodes heuristiques

Avantages
N’a pas besoin de base de signatures
Détecter les nouvelles attaques non reconnu par les antivirus par signature
Inconvénients
Mathématiquement la solution n’est pas parfaite.
Génère beaucoup de fausses alertes

24
Solution :
Utiliser les méthodes de détections conjointement.
Un antivirus doit être mis à jour et vérifier automatiquement
Un antivirus doit être utilisé à tous les niveaux du réseau d’une entreprise

Les niveaux du réseau d’une entreprise

Niveau 1 Postes de travail :

Tous les ordinateurs de bureau doivent être protégés par un antivirus
La mise à jour doit être automatique
Il faut gérer le cas des nouvelles machines insérées (les laptops surtout)

Niveau 2 Les serveurs de fichiers :

Les serveurs de fichiers contiennent des fichiers de plusieurs utilisateurs
Une infection peut être très dangereuse Il faut donc :
Analyser tous les fichiers lors de l'écriture ou de la lecture
Des MAJ automatiques et quotidiennes
Une Analyse automatique des logs

Niveau 3 Les serveurs mails :

Il faut analyser les emails avant de les placés dans la boîte du destinataire
Le logiciel antivirus doit être capable de faire face à tout type de pièces jointes
(même les fichiers zippés)
Le logiciel antivirus doit éliminer les virus détectés et doit informer
l'expéditeur, le destinataire et l'administrateur par e-mail
L'expéditeur malveillant peut être mis sur une liste noire
Régulièrement, une mise à jour du logiciel de serveur mail est nécessaire

25
Niveau 4
Les proxies mail
Isoler les serveurs de messagerie de l'Internet
Les attaques (DOS et autres) touchent le proxy et non pas les serveurs internes
Interception de virus avant même qu'ils ne pénètrent dans le réseau interne
Une maintenance 24/7 et une mise à jour sont nécessaire

Les proxies web et ftp

Les proxies web et ftp analysent tous les documents accessibles et éliminent
les virus détectés

Niveau 5 filtre général :

Il filtre les pièces jointes qui ne sont pas utiles .exe .bat .vbs,.pif , .scr, .shs
Principe: Interdire par défaut, et préciser les types autorisés .doc, .xls,…etc
(tout est interdit sauf a,b,c…)

26
 Chapitre 9 : Protections Réseau (Firewall)

Firewall (pare-feu) :
Un firewall dans un réseau doit empêcher la propagation d'une attaque, tout
en permettant la circulation du trafic autorisé.
Un pare-feu se compose d'un ou plusieurs composants.
Un firewall est inefficace contre les attaques situées du coté intérieur

Firewall principes de base :

Moindre privilège
Défense en profondeur
Goulet d’étranglement
Interdiction par défaut
Participation de l'utilisateur
Simplicité

Moindre privilège :
Ne pas accorder aux utilisateurs du réseau protégé par le pare feu des droits
dont il n’ont pas la nécessité
Exemple:
Interdire le P2P dans une entreprise
Les utilisateurs réguliers ne doivent pas être des administrateurs

Défense en profondeur :
Utiliser les moyens de protection à tous les niveaux possibles, ce principe évite
de laisser entrer dans le réseau des communications indésirables.
Exemple:
Installer des Anti virus à plusieurs niveaux.
Sécuriser les machines même celles qui sont protégées par le pare feu

Goulet d’étranglement :
Toutes les communications entrant ou sortant du réseau doivent transiter par le
pare feu. En effet, il ne faut pas de points d’entrée ou de sortie du réseau non
contrôlés.
Exemple: Eviter l’utilisation des modems sauvages.

Interdiction par défaut :

Interdire par défaut tout transit à travers le pare feu et ne laissé passé que
celui qui est explicitement autorisé, évitant ainsi tout transit involontairement
accepté .

27
Participation de l'utilisateur :
Nous devons comprendre les besoins de l'utilisateur et s’assurer que les raisons
de restrictions sont bien mis dans.

Simplicité :
Les règles de filtrage du pare feu doivent être les plus simples et donc les plus
compréhensibles possible afin d’éviter toute erreur de la part de l’administrateur
et de ses successeurs

Firewall Type 1 :

Firewall Logiciel
Un poste de travail standard avec un logiciel pare-feu
Exemple: (IP Cop, IPTables,…etc)

Firewall matériel
Une boîte noire spéciale (qui contient aussi un logiciel)
Exemple: (CISCO PIX, CISCO IOS, Junipr,…etc)

Logiciel VS matériel :
Un pare-feu logiciel hérite toutes les vulnérabilités du système d’exploitation sur
lequel ils s’exécute.
L’architectures du pare-feu logiciel est connu, donc c’est plus facile à exploiter
ses vulnérabilités (exemple : buffer overflow)

Firewall Type 2 :
Firewall sans mémoire :
Ne se souvient pas des paquets qu'il a déjà vu

Firewall avec mémoire :

Garde une trace des paquets qui passent par lui.
Reconstruit l’état de chaque connexion

Firewall avec mémoire VS SYN Flooding

28
Firewall Filtrage :
Le filtrage permet de limiter le trafic au services utiles. Plusieurs types de
filtrage:
Filtrage par : IP source ou destination
Filtrage par : Protocoles (TCP, UDP, ICMP,…etc)
Filtrage par : Flags et options (ACK, SYN,…etc)
Filtres Applicatifs (proxy HTTP, FTP, SMTP,…etc)

Firewall Translation d’adresses NAT :

Translation d’adresses NAT Principe :

On utilise les adresses privées dans le réseau interne et une ou plusieurs
adresses publiques pour communiquer sur internet.
Quand un paquet quitte le réseau interne, on remplace son adresse source par
l’adresse publique
Quand un paquet arrive du net , on remplace son adresse destination par une
adresse privé
On utilise une table NAT pour stocker le lien entre une adresse privée et une
adresse publique

NAT dynamique :
Initialement, la table NAT est vide.
Quand un paquet quitte le réseau interne, on remplace son adresse source par
une adresse publique
On stock l’adresse et le port source et destination du paquet
Quand un paquet arrive du net , on cherche le noeud correspondant et on
remplace l’adresse destination du paquet par celle du noeud trouvé

29
Lorsque deux connexions sont différenciées seulement par leurs adresses
internes nous avons une collision
Solution :
Utilisé des adresses publiques différentes
Changer le port source d’une des connexions
Problème: NAT dynamique n’accepte pas les connexions entrantes

NAT statique :
Principe:
Associer une adresse IP publique à une adresse IP privé (association fixe).
Permet seulement à un ordinateur interne d’étre invisible depuis l’extérieur
Problème.

On n’économise pas d’adresses publiques

Problème et si on à par exemple deux serveur FTP à l’intérieur du réseau privé ?

Avantages et inconvénients du NAT :

Avantages :
Cache la structure interne du réseau
Offre une Protection automatique
Moins d'adresses publiques, donc des coûts limités (NAT Dynamique)
Facile de réorganiser le réseau interne
Inconvénients :
Certains protocoles ne Permettent pas des modifications de paquet

30
Firewall Authentification :
Le FW peut demander l'authentification avant d’établir une connexion
De l’intérieur vers internet
limiter l'accès a Internet seulement aux utilisateurs privilégiés
De internet vers l’intérieur
pour autoriser l'accès aux ressources internes pour les employés qui voyagent
L'authentification peut être basée sur une base de données locale ou une base
de données centrale

Firewall Autres fonctions :

Accès de réseau à distance (VPN)
Chiffrement
Analyse de paquet
Journalisation

Exemple d’architectures des Firewalls :

Firewall Personnel Firewall NAT+ Filtrage

Firewall Zone démilitarisé (DMZ)

31
DMZ (Zone démilitarisé) :
Dans certains sites on place les
serveurs liés aux services Internet
dans une « zone démilitarisée »
(DMZ), les accès en provenance
d’Internet ne peuvent voir que ces
machines et les utilisateurs de
l’entreprise doivent passer par les
machines de la DMZ pour accéder à
Internet.

Firewall Tableau Règles de filtrage :

Les proxies : Type de proxy :

Relai entre deux entités Proxy HTTP
Analyse le contenu des données de l’application Proxy FTP
Permet de faire du cache Proxy DNS
Permet d’effectuer certains filtres Proxy SOCKS
Permet de faire des statistiques Proxy HTTPS
Proxy Inverse


Systèmes de détection d’intrusion (IDS) :


Principe : Détection d’une intrusion sur le réseau (NIDS) ou sur une machine
(IDS).
Deux type de Système : Comportementale et par scénarios.


32
L’approche comportementale :
L’approche consiste à détecter une intrusion en fonction du comportement
passé de l’utilisateur
Principe : dresser un profil utilisateur établi selon ses habitudes et déclencher
une alerte lorsqu’un événement hors profil se produit

L’approche par scénario :

Cette approche consiste à détecter une intrusion en fonction du comportement
actuel de l’utilisateur et non de ses actions passées.
L’approche s’appuie sur la connaissance des techniques utilisées par les
attaquants pour déduire des scénarios typiques

Résumer des Fonctionnalités actuelles d'un firewall :

Filtrage sur adresses IP/Protocole.
• Intelligence artificielle pour détecter le trafic anormal.
• Filtrage applicatif
– HTTP (restriction des URL accessibles).
– Anti Spam.
– Antivirus, Anti-Logiciel malveillant
• Translation d'adresses (NAT),
• Tunnels IPsec, PPTP, L2TP,
• Identification des connexions,
• Serveur Web pour offrir une interface de configuration agréable.
• Relai applicatif (proxy),
• Détection d'intrusion (IDS)
• Prévention d'intrusion (IPS)


Conclusions :
Le seul système informatique qui est vraiment sûr est un système éteint et
débranché, enfermé dans un blockhaus sous terre, entouré par des gaz mortels
et des gardiens hautement payés et armés.
Même dans ces conditions, je ne parierais pas ma vie dessus.

2016

33