Académique Documents
Professionnel Documents
Culture Documents
Systèmes d’information :
Un système d'information est généralement défini par l'ensemble des
données et des ressources matérielles et logicielles de l'entreprise permettant de
les stocker ou de les faire circuler.
Sécurité Informatique :
La sécurité informatique c’est l’ensemble des moyens mis en oeuvre pour
réduire la vulnérabilité d’un système contre les menaces accidentelles ou
intentionnelles.
L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on
croit être.
La confidentialité, consistant à assurer que seules les personnes
autorisées aient accès aux ressources échangées.
La disponibilité, permettant de maintenir le bon fonctionnement du
système d'information.
Mesures de
sécurité
Implémentation
validation
Politique de sécurité :
Sert à décrire de quelle manière le risque global sera diminué (avec risque
résiduel):
Décrire les différents éléments du système d’info et les règles qui s’y appliquent
(classification des infos, découpage en zones, règles de protection pour chaque
zone, etc…)
2
5. Établissement d’une politique de sécurité :
Suite à l’étude des risques et avant de mettre en place des mécanismes de
protection, il faut préparer une politique à l'égard de la sécurité.
Une politique de sécurité vise à définir les moyens de protection à mettre en
œuvre.
• Identifier les risques et leurs conséquences.
• Elaborer des règles et des procédures à mettre en œuvre pour les risques
identifiés.
• Surveillance et veille technologique sur les vulnérabilités découvertes.
• Actions à entreprendre et personnes à contacter en cas de détection d'un
problème.
8. Notion d'audit :
3
Chapitre 2-3 : Cryptographie
Cryptographie :
Cryptographie moderne :
1- Cryptographie symétrique :
Ou cryptographie a clé privée
On utilise la même clé pour chiffrer et déchiffrer un message (ke = kd = k).
Les deux communicants doivent être en possession de cette clé.
4
Avantage :
Il est très rapide
Inconvénient :
La distribution des clés reste le problème majeur du cryptage conventionnel
surtout lorsque Le nombre de communicants devient grand.
2- Cryptographie asymétrique :
Un message chiffré avec une clé publique ne peut être déchiffré qu’avec la clé
privée correspondante.
5
Signature numérique Fonction de hachage :
Certificats numériques :
Les certificats numériques simplifient la tâche qui consiste à déterminer si une
clé publique appartient réellement à son détenteur supposé.
Un certificat numérique se compose de:
Une clé publique.
Des informations sur le certificat. (Informations sur l'« identité » de
l’utilisateur : nom, ID utilisateur, etc.)
Une ou plusieurs signatures numériques.
La signature numérique d'un certificat permet de déclarer que ses informations
ont été attestées par une autre personne ou entité.
Les certificats sont émis par une autorité de certification (Certificate Authority – CA)
6
Exemple certificat X.509
Alice fait une requête de certification d'une clé publique auprès d'une autorité
de certification.
Cette dernière vérifie la véracité des infos contenues dans ce certificat
(authentifications des infos) puis le certificat est émis dans un annuaire
Bob récupère la clé publique d'Alice via l'annuaire, récupère aussi un certificat
auti-signé via l'autorité de certification et vérifie son intégrité grâce à la signature
de la CA.
7
Solution : l’utilisation du protocole SSH SSH utilise la cryptographie
asymétrique (RSA) et symétrique
Le protocole SSH Principe
Un serveur SSH dispose d'un couple de clefs stocké dans le répertoire /etc/ssh
et généré lors du lancement du serveur
Lorsqu'un client SSH se connecte au serveur, ce dernier envoie sa clé publique
au client.
Le client génère une clé secrète (chiffrement symétrique), et l'envoie au
serveur, en cryptant l'échange avec la clé publique du serveur.
Le serveur déchiffre la clé secrète avec sa clé privée.
Pour prouver au client qu'il est bien le bon serveur (authentification du serveur),
il crypte un message standard avec la clé secrète et l'envoie au client.
Si le client retrouve le message standard en utilisant la clé secrète, il a la preuve
que le serveur est le vrai.
Une fois la clé secrète échangée, le client et le serveur peuvent alors établir un
canal sécurisé (grâce à la clé secrète partagée).
4-Le protocole IKE (Internet Key Exchange) : Ce protocole est utilisé pour
l'échange des clés pour les différents chiffrements.
8
Les applications sécurisées
L'outil PGP :
Est un logiciel de cryptographie qui est bien adapté à l'utilisation sur Internet.
PGP est une combinaison des fonctionnalités de la cryptographie de clé publique
et de la cryptographie de clé secrète : C'est un système hybride
PGP utilise en plus la compression des données afin de renforcer la sécurité
des informations, de réduire le temps de transmission et d'économiser l'espace
disque.
Le protocole Kerberos :
Kerberos est un protocole d'authentification réseau .
Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce
principe renforce la sécurité du système et empêche que des personnes non
autorisées interceptent les mots de passe des utilisateurs.
L'ensemble repose sur un chiffrement symétrique (clefs privées).
9
Chapitre 4 : Menaces (failles de sécurité, Attaques et vulnérabilités)
Messagerie électronique
La messagerie électronique constitue un véritable outil de travail et de
productivité pour les organisations, elle est le plus souvent considéré comme une
application stratégique, voir critique.
Les Risques
La perte, l’interception, l’altération et la destruction de messages.
Inondation de messages.
La divulgation d’informations confidentielles.
Des messages peuvent être introduits, rejoués, mélangés, supprimés ou
retardés
Forgé un mail :
SMTP utilise des connexions TCP sur le port 25 Il connaît quelques simples
commandes comme :
HELO (annonce d’un serveur)
Mail From: (définition expéditeur)
Rcpt To: (définition destinataire)
Data: (définition du contenu)
Exemple
telnet mail1.epfl.ch 25
Trying 128.178.7.12...
Connected to mail1.epfl.ch.
Escape character is ’^]’.
220 mail1.epfl.ch ESMTP
HELO batcave.com
250 mail1.epfl.ch
MAIL FROM: batman@batcave.com
250 ok
RCPT TO: philippe.okamp@epfl.ch
250 ok DATA
354 go ahead
Is it a bird?
Is it a plane? or is it just a forged e-mail? .
250 ok 1004541790 qp 14607
QUIT 221 mail1.epfl.ch
Connection closed by foreign host.
10
Spams ou pourriel
E-mail non-sollicité, non-ciblé, à très grand tirage
L’adresse source est toujours falsifiée
Un message est déposé dans une centaine de serveurs SMTP avec une liste
de >10k destinations chaque fois
Les serveurs abusés envoient fidèlement une copie à chaque destinataire
Recherche aléatoire de destination
Spam Dégâts :
Les serveurs abusés sont surchargés (souvent plus de 24h)
L’ISP peut menacer de couper la ligne
Inclusions dans listes noires
Encombrer inutilement une partie de la bande-passante
Ces frais supplémentaires se répercutent sur les abonnés
Spam Protection :
Serveur :
interdire le relais
Source :
Liste noire de serveurs
Contenu : Filtre anti-spam
Mots-clés, format
Données annexes (temps de transit, nombre de destinataires…)
Listes noires de spams connus
Virus :
fragment qui se propage à l’aide d’autres Programmes
Portion de code inoffensive ou destructrice capable de se reproduire et de se
propager.
Types: Virus boot Virus dissimulé dans les exécutables
- Échange de disquettes
- Pièces jointes au courrier électronique
- Exécutables récupérés sur Internet
Vers :
Programme autonome
Proches des virus mais capables de se propager sur d'autres ordinateurs à
travers le réseau.
11
Cheval de Troie troyen, trojan horse, trojan :
Le “troyen” est un programme malicieux (ou utile) qui en cache un autre.
Le programme caché est en principe un “keylogger”.
Le premier programme malicieux ( principal ) ouvre les ports de
communication.
Le deuxième programme malicieux, le “keylogger” copie toutes ces données ,
elles seront envoyées et connues par le programmeur de ce code malicieux.
Ordinateur téléguidé donc botnet
12
Chapitre 5 : Vulnérabilités applicatives
Services réseaux (daemons).
Les applications téléchargées (applet java, …).
Les applications web (scripts cgi, …)
13
Attaques sur les applications web :
Les Risques
Pertes de données par des actes malveillants
Publication de données confidentielles
Vol d'identité permettant à un pirate d'avoir un accès administrateur ou sur une
zone payante.
Les abus de ressources qui pourraient ralentir les services du site.
Détournement de site
SQL injection :
Exemple 1
Exemple 2
SELECT nom, pw FROM database WHERE nom= "'+$nom+'" AND
password = "'+$pw+'"
SELECT nom, pw FROM database WHERE nom = " Titi" AND password =
"Toto"
Pour de nom = admin "/* et pw = maison
SELECT nom, pw FROM database WHERE nom ="admin" /* " AND pw =
"maison"
Pour de nom = " OR True OR nom= " et pw = bla
SELECT nom, pw FROM database WHERE nom = " " OR True OR nom= "
" AND password = " bla"
Precautions :
Vérifier le format des données saisies.
Ne pas afficher la requête ou une partie de la requête.
Supprimer les comptes utilisateurs non utilisées et les comptes par défaut
Eviter les comptes sans mot de passe.
Restreindre au minimum les privilèges des comptes utilisés
14
CSS/XSS (Cross Site Scripting) Regard suisse :
l’une des attaques les plus utilisées par les pirates.
Objectif: pénétrer dans les applications Web.
Principe: Consiste à forcer un site web à exécuter du code HTML ou des scripts
saisis par l’utilisateur dans un champ d’un formulaire ou à travers un lien d’un
site web.
Cas 1
Afficher les messages déposés par les internautes
Un pirate dépose un script qui dirige les internautes vers un autre serveur
Game over
Cas 2
Envoyer un courrier électronique a une victime qui contient un code dans le
sujet
Récupérer les cookies de l’internaute
Lire le courrier jusqu’à l’expiration du cookie
Game over
Cas 3
Envoi d’un courrier à la victime lui demandant de se rendre à une URL.
(ex: site de banque en ligne de la victime).
URL Fausse.
Le serveur renvoi une erreur en réaffichant L’URL
L’URL redirige la victime à une page semblable
Game Over (récupéré les mots de passes)
15
Chapitre 6-7 : Attaques et vulnérabilités des réseaux
Hacker cracker
Ces informaticiens sont: Personnes qui s’autoproclament des "hackers''.
Généralement discrets Adolescents de sexe masculin
Anti-autoritaristes S’introduisant à distance dans les systèmes
Motivés par la curiosité. informatiques
Cible des pirates : Les états, Serveurs militaires, Banques, Universités, Tout le
monde.
Définitions :
Noeud malicieux :
Unité malveillante (écoute puis attaque)
Attaquant actif-n-m :
Attaquant qui possède m noeuds malicieux et qui compromis n noeuds
Attaques externes :
Attaques lancées par un noeud qui n’appartient pas au réseau ou bien qui n’est
pas autorisé à y accéder
Attaques internes :
Attaques lancées par des noeuds internes compromis ou malveillants.
C’est le type de menace le plus sévère
Les mécanismes proposés pour lutter contre les attaques externes sont
inefficaces devant ce type d’attaques
16
Attaques passives :
Écoute des lignes
Analyse de trafic
Plus facile avec le sans fil
C’est une préparation d’une attaque active
La Solution :
Assurer la confidentialité des échanges.
Attaques actives :
Segment TCP :
Le champ Flags :
ACK: Le paquet est un accusé de réception
FIN : L’émetteur a atteint la fin de son flot de données.
RST: Réinitialiser la connexion.
SYN: Synchroniser les numéros de séquence pour initialiser une connexion.
PSH: Fonction push.
17
Attaques réseaux :
IP Spoofing Principe :
IP Spoofing: Forger l'adresse source d'un paquet et à abusez de la confiance
de cette source.
Plus facile à utiliser avec les protocoles basés sur UDP.
Exemple :
18
DOS (déni de service) :
Attaque destinée à empêcher l’utilisation d’une machine ou d’un service.
Plus souvent utilisé pour saturer un routeur ou un serveur.
Attaque très simple à mettre en oeuvre (outils faciles à trouver) et très
difficile à empêcher.
ARP Spoofing :
Pollution des caches arp avec de fausses associations adresse mac/adresse IP.
Permet des attaques de type "man in the middles.
19
DNS Cache poisoning :
Sniffer :
De nombreux protocoles utilisent une authentification en texte clair
En visualisant la circulation sur un réseau, nous pouvons obtenir les noms
d'utilisateurs et les mots de passe == sniffer
Les sniffers Utilisent des sockets en mode « promiscuous »
socket (AF_INET,SOCK_RAW,IPPROTO_RAW)
Smurf :
Envoie d'une trame ICMP "echo request « ping » sur une adresse de diffusion.
Exemple: ping 193.49.200.255
Objectif :
Utilisée pour déterminer les machines actives sur une plage IP donnée.
Ecrouler une machine
20
Réussite de l’attaque ingénierie sociale
Les personnes ne sont pas formées à la notion de sécurité informatique
Comment ça ! :
Disquettes ou sauvegardes jetées à la poubelle
Papiers ou l’on note ses mots de passe jetés à la poubelle
Echange de mot de passe par MSN!!!!!
Les « botnets » :
Réseau de machines contrôlées par un « bot herder » ou « botmaster ».
21
Intrusion :
Prise de contrôle totale ou partielle d’un système distant
la réalisation d’une menace (c ’est une attaque).
Les conséquences peuvent être catastrophiques : vol, fraude, incident
diplomatique, chantage…etc
1-Collecte d’information :
- Détermination des champs d’activités
- Recensement des éléments du réseau
- Interrogation des serveurs DNS
- Utiliser les techniques d’Ingénierie sociale
22
3-Enumération des services :
- Dans cette phase, il faut trouver des informations sur les services disponibles
(TCP et UDP).
- Chercher aussi des : Systèmes d’exploitation Fournisseur d’un logiciel Version
d’un logiciel (ou service)
4-Intrusion :
-Par la recherche d'une vulnérabilité connue qui n'a pas encore été corrigé
(patcher), nous pouvons pénétrer dans un système.
6-Plundering :
- Le vol de mots de passe.
- La recherche des informations, des documents ou des emails contenants des
mots de passe
7-Effacer la trace :
- Correction de logs avec des outils automatiques
-Dissimulation d'intrusion à l'aide de rootkits pour masquer la présence du hacker
23
Chapitre 8 : Protections
Charte d’entreprise :
Obliger les employés à lire et signer un document précisant (Charte):
Leurs droits
Leurs devoirs
Montrer leurs responsabilités individuelles.
POSTE DE TRAVAIL :
Les postes de travail Windows doivent être protégés individuellement par des:
Antivirus
Anti Spywares
Firewall personnels (Firewall Windows)
Mise à jour de correction des vulnérabilités
ANTIVIRUS :
Méthodes de détections :
*Analyse des signatures Utilise une base de données de signatures
*Analyse du code Analyse du code statique Analyse du code dynamique
(analyser le comportement des applications )
*Contrôle d’intégrité vérifier si les fichiers exécutables du système ont été
modifiés. …etc
Avantages
N’a pas besoin de base de signatures
Détecter les nouvelles attaques non reconnu par les antivirus par signature
Inconvénients
Mathématiquement la solution n’est pas parfaite.
Génère beaucoup de fausses alertes
24
Solution :
Utiliser les méthodes de détections conjointement.
Un antivirus doit être mis à jour et vérifier automatiquement
Un antivirus doit être utilisé à tous les niveaux du réseau d’une entreprise
25
Niveau 4
Les proxies mail
Isoler les serveurs de messagerie de l'Internet
Les attaques (DOS et autres) touchent le proxy et non pas les serveurs internes
Interception de virus avant même qu'ils ne pénètrent dans le réseau interne
Une maintenance 24/7 et une mise à jour sont nécessaire
26
Chapitre 9 : Protections Réseau (Firewall)
Firewall (pare-feu) :
Un firewall dans un réseau doit empêcher la propagation d'une attaque, tout
en permettant la circulation du trafic autorisé.
Un pare-feu se compose d'un ou plusieurs composants.
Un firewall est inefficace contre les attaques situées du coté intérieur
Moindre privilège
Défense en profondeur
Goulet d’étranglement
Interdiction par défaut
Participation de l'utilisateur
Simplicité
Moindre privilège :
Ne pas accorder aux utilisateurs du réseau protégé par le pare feu des droits
dont il n’ont pas la nécessité
Exemple:
Interdire le P2P dans une entreprise
Les utilisateurs réguliers ne doivent pas être des administrateurs
Défense en profondeur :
Utiliser les moyens de protection à tous les niveaux possibles, ce principe évite
de laisser entrer dans le réseau des communications indésirables.
Exemple:
Installer des Anti virus à plusieurs niveaux.
Sécuriser les machines même celles qui sont protégées par le pare feu
Goulet d’étranglement :
Toutes les communications entrant ou sortant du réseau doivent transiter par le
pare feu. En effet, il ne faut pas de points d’entrée ou de sortie du réseau non
contrôlés.
Exemple: Eviter l’utilisation des modems sauvages.
27
Participation de l'utilisateur :
Nous devons comprendre les besoins de l'utilisateur et s’assurer que les raisons
de restrictions sont bien mis dans.
Simplicité :
Les règles de filtrage du pare feu doivent être les plus simples et donc les plus
compréhensibles possible afin d’éviter toute erreur de la part de l’administrateur
et de ses successeurs
Firewall Type 1 :
Firewall Logiciel
Un poste de travail standard avec un logiciel pare-feu
Exemple: (IP Cop, IPTables,…etc)
Firewall matériel
Une boîte noire spéciale (qui contient aussi un logiciel)
Exemple: (CISCO PIX, CISCO IOS, Junipr,…etc)
Logiciel VS matériel :
Un pare-feu logiciel hérite toutes les vulnérabilités du système d’exploitation sur
lequel ils s’exécute.
L’architectures du pare-feu logiciel est connu, donc c’est plus facile à exploiter
ses vulnérabilités (exemple : buffer overflow)
Firewall Type 2 :
Firewall sans mémoire :
Ne se souvient pas des paquets qu'il a déjà vu
28
Firewall Filtrage :
Le filtrage permet de limiter le trafic au services utiles. Plusieurs types de
filtrage:
Filtrage par : IP source ou destination
Filtrage par : Protocoles (TCP, UDP, ICMP,…etc)
Filtrage par : Flags et options (ACK, SYN,…etc)
Filtres Applicatifs (proxy HTTP, FTP, SMTP,…etc)
NAT dynamique :
Initialement, la table NAT est vide.
Quand un paquet quitte le réseau interne, on remplace son adresse source par
une adresse publique
On stock l’adresse et le port source et destination du paquet
Quand un paquet arrive du net , on cherche le noeud correspondant et on
remplace l’adresse destination du paquet par celle du noeud trouvé
29
Lorsque deux connexions sont différenciées seulement par leurs adresses
internes nous avons une collision
Solution :
Utilisé des adresses publiques différentes
Changer le port source d’une des connexions
Problème: NAT dynamique n’accepte pas les connexions entrantes
NAT statique :
Principe:
Associer une adresse IP publique à une adresse IP privé (association fixe).
Permet seulement à un ordinateur interne d’étre invisible depuis l’extérieur
Problème.
30
Firewall Authentification :
Le FW peut demander l'authentification avant d’établir une connexion
De l’intérieur vers internet
limiter l'accès a Internet seulement aux utilisateurs privilégiés
De internet vers l’intérieur
pour autoriser l'accès aux ressources internes pour les employés qui voyagent
L'authentification peut être basée sur une base de données locale ou une base
de données centrale
31
DMZ (Zone démilitarisé) :
Dans certains sites on place les
serveurs liés aux services Internet
dans une « zone démilitarisée »
(DMZ), les accès en provenance
d’Internet ne peuvent voir que ces
machines et les utilisateurs de
l’entreprise doivent passer par les
machines de la DMZ pour accéder à
Internet.
32
L’approche comportementale :
L’approche consiste à détecter une intrusion en fonction du comportement
passé de l’utilisateur
Principe : dresser un profil utilisateur établi selon ses habitudes et déclencher
une alerte lorsqu’un événement hors profil se produit
Conclusions :
Le seul système informatique qui est vraiment sûr est un système éteint et
débranché, enfermé dans un blockhaus sous terre, entouré par des gaz mortels
et des gardiens hautement payés et armés.
Même dans ces conditions, je ne parierais pas ma vie dessus.
2016
33