Cours Security Arssi Partie 1

2020/2021
Université Abdelmalek Essaâdi

Faculté des Sciences
Tétouan
SECURITE DU SYSTEME
D’INFORMATION (SSI)
BENDAHMANE AHMED
OBJECTIFS DU COURS
2
identifier les objectifs de la sécurité des réseaux et systèmes ;

élaborer une politique de sécurité au sein d’un système d’information ;
exploiter les mécanismes et les algorithmes de la cryptographie ;
identifier les menaces de la sécurité et d’implémenter les outils de la protection
adéquate.
1
Plan
3
Introduction à la cryptographie
Notions fondamentales (histoire, principe de kerckhoffs, vocabulaire)
Cryptographie symétrique et asymétrique
Signatures numériques
Confiance en une clé publique

Infrastructure de gestion des clés (PKI)
Plan
4
Introduction à la sécurité des systèmes d’information

Notions fondamentales de sécurité :
Les bases, les principes et les objectifs de la sécurité
Politique de sécurité et Gestion des risques
Codes malveillants et outils de sécurité
Moyens de prévention
Outils de sécurité : antivirus, antispyware…
Scanners de vulnérabilités
2
Plan
5
Travaux pratiques :
Génération, échange des clés et chiffrement des données.
Cryptage et de chiffrement de ressources à l'aide d'outils open source
Sécurisation au niveau applicatif.
Mise en place d’une infrastructure de gestion des clés sous Windows server/Linux.
Utilisation d’un scanner de vulnérabilité.

Utilisation d’un Analyseur de paquets.
Firewalls et outils d’audit réseau
TRAVAIL PERSONNEL
6
Il s’agit de réaliser des mini projets tutorés par l’équipe pédagogique sur :
le chiffrement,
les algorithmes de cryptographie,
les outils de supervision réseau et la détection des intrusions
les stratégies innovantes pour la sécurité des systèmes d’informations
3
2020/2021
Université Abdelmalek Essaâdi
Faculté des Sciences
Tétouan
Introduction
BENDAHMANE AHMED
Un Système d’Information (SI) c'est quoi ?

8
Selon l’IGI 900 et le SCSSI
4
8
Tout moyen dont :

– le fonctionnement fait appel à l’électricité
– destiné à élaborer, traiter, stocker, acheminer, présenter
ou détruire de l’information

8
Tout moyen dont :

* IGI = Instruction Générale Interministérielle
5
8
Tout moyen dont :

* IGI = Instruction Générale Interministérielle

** SCSSI = Service Central de la Sécurité des Systèmes d’Informations
Par extension ….. un SI

9
6
9
est un ensemble constitué de

9

Données (paramètres de contrôle, données utiles)
7
9

Programmes (applications informatiques, logiciels)

9

Ordinateurs (Serveurs, postes de travail, réseau)
8
9

Procédures (développement, exploitation, maintenance)

9

Personnes (utilisateurs, développeurs)
9
9

Environnement physique

9

10
9

Exemple : Ordinateur, Réseau d’entreprise,

Système de gestion de données
Les systèmes d'information sont devenus le centre nerveux des nations modernes
10
11
ÉVOLUTION DES SYSTÈMES D’INFORMATION
11
Les SI aujourd'hui :


11

changent dynamiquement
12
11

intégration constante de nouveaux outils
mises à jour, réorganisations, ...

11

se complexifient (hétérogénéité des systèmes),
13
11


s’interconnectent (en interne, mais aussi vers l’extérieur)

11


s’interconnectent (en interne, mais aussi vers l’extérieur)
Les technologies évoluent (programmation orientée objet,

agents intelligents…) comme les menaces !!
14
Système Informatique et Système d‘Information
12 Un système informatique est :
Un ensemble de dispositifs (matériels et logiciels) associés, sur lesquels repose un système d'information.
Un des moyens techniques pour faire fonctionner un système d’information est d’utiliser un système
informatique
Il est constitué généralement des serveurs, routeurs, pare-feu, commutateurs, imprimantes, médias (câbles, air,
etc.), points d'accès, stations de travail, systèmes d'exploitation, applications, bases de données, etc.
Un système d'information est :
Un ensemble de moyens (humains, matériels, logiciels, etc.) organisés permettant d'élaborer, de traiter, de
stocker et/ou de diffuser de l'information grâce aux processus ou services.
Un système d'information est généralement délimité par un périmètre pouvant comprendre des sites, des
locaux, des acteurs (partenaires, clients, employés, etc.), des équipements, des processus, des services, des
applications et des bases de données.
La sécurité des systèmes informatiques

13
Les systèmes informatiques sont au cœur des systèmes d´information.
15
13

Ils sont devenus la cible de ceux qui convoitent l’information.

13

Ils sont devenus la cible de ceux qui convoitent l’information.
Assurer la sécurité de l’information implique d’assurer la sécurité des systèmes
informatiques
16
Qu’est-ce que la sécurité?
14
Protection de systèmes informatiques contre les accidents dus à l'environnement, les défauts du
système.
Sécurité = “Security ”
Protection des systèmes informatiques contre des actions malveillantes intentionnelles.

14
Définition de base : La sécurité informatique c'est l'ensemble des moyens mis en œuvre pour
minimiser la vulnérabilité d'un système contre des menaces accidentelles ou

intentionnelles.
système.
17
14
Définition de base : La sécurité informatique c'est l'ensemble des moyens mis en œuvre pour
minimiser la vulnérabilité d'un système contre des menaces accidentelles ou

intentionnelles.
Sécurité = “Safety”
système.

15
18
Objectifs/ besoins de la sécurité informatique
16
Objectifs à garantir:
Objectifs/ besoins de la sécurité informatique

16
Objectifs à garantir:
Confidentialité
Intégrité
Disponibilité
Authentification
Contrôle d’accès/Autorisation
Non répudiation
19
Confidentialité
Disponibilité et divulgation limitées aux seules entités autorisées
17
Confidentialité

Ex :
17
20
Confidentialité

Ex :
Empêcher la lecture de données pendant la transmission ou le stockage pour
des personnes non autorisées
17
Confidentialité

Ex :
Seuls l’expéditeur et le destinataire d’un message connaissent l’information
17
21
Confidentialité

Ex :
Seuls l’expéditeur et le destinataire d’un message connaissent l’information
« Ma recette n’est connue que de moi et de ma sœur »
17
Intégrité
Absence d’altération ou de destruction
18
22
Intégrité

Ex :
18
Intégrité

Ex :
Protection contre une modification non autorisée
18
23
Intégrité

Ex :
Vérification qu’un message n’a pas été modifié
18
Intégrité

Ex :
Vérification qu’un message n’a pas été modifié
« Ma recette n’a pas été modifiée sans que je m’en rende compte »
18
24
Disponibilité
Capacité à répondre à un instant précis, à être accessible dans des

conditions définies de performance, d’horaires…
19
Disponibilité

Ex :
19
25
Disponibilité

Ex :
les données sont accessibles au moment où on en a besoin (pas de déni de
service pour une personne autorisée)
19
Disponibilité

Ex :
les données sont accessibles au moment où on en a besoin (pas de déni de
service pour une personne autorisée)
« Lorsque je veux faire..., je peux accéder à ma recette »
19
26
Authentification
Vérification / validation d’une identité d’une entité.
20
Authentification

Ex :
20
27
Authentification

Ex :
Vérifier l’identité d’un utilisateur, d’une machine ou d’un programme
20
Authentification

Ex :
Connaître de manière sûre celui qui a envoyé le message
20
28
Authentification

Ex :
Connaître de manière sûre celui qui a envoyé le message
Remarque : l’identification est l’action de fournir son identité proclamée

(ex : nom d’utilisateur)
20
Contrôle d’accès
Le contrôle d’accès est la faculté de limiter et de contrôler l’accès à des
systèmes et des applications via des maillons de communications.
21
29
Contrôle d’accès
Le contrôle d’accès est la faculté de limiter et de contrôler l’accès à des
systèmes et des applications via des maillons de communications.
Pour accomplir ce contrôle, chaque entité essayant d’obtenir un accès

doit d’abord être authentifiée, ou s’authentifier, de telle sorte que les
droits d’accès puissent être adaptés à son cas.
21
Non répudiation
Impossibilité de nier avoir participé.
22
30
Non répudiation

Ex :
22
Non répudiation

Ex :
L’expéditeur d’un message ne peut pas prétendre ne pas l’avoir envoyé.
22
31
Non répudiation

Ex :
L’expéditeur d’un message ne peut pas prétendre ne pas l’avoir envoyé.
Le destinataire d’un message ne peut pas prétendre ne pas l’avoir reçu.
22
Définitions :
23
Vulnérabilité
32
Définitions :
23
Vulnérabilité
Faiblesse / faille : faute accidentelle ou intentionnelle introduite dans la
spécification, la conception ou la configuration du système.
Définitions :
23
Vulnérabilité
Attaque
33
Définitions :
23
Vulnérabilité
Attaque
Action malveillante qui tente d’exploiter une faiblesse dans le système et de
violer un ou plusieurs besoins de sécurité.
Définitions :
23
Vulnérabilité
Attaque
Intrusion
34
Définitions :
23
Vulnérabilité
Attaque
Intrusion
Faute opérationnelle, externe, intentionnellement nuisible, résultant de
l’exploitation d’une vulnérabilité dans le système.
Définitions :
24
Menace
35
Définitions :
24
Menace
Violation potentielle d’une propriété de sécurité.
Définitions :
24
Menace
selon la norme de sécurité des systèmes d'information ISO/CEI 27000: une
menace est une cause potentielle d'incident, qui peut résulter en un dommage
au système ou à l'organisation.
36
Définitions :
24
Menace
Risque
Définitions :
24
Menace
Risque
Couple (menace, vulnérabilité)
37
Risques & Menaces
25
Quels sont les risques ?....
Risques & Menaces

25

Le risque est la possibilité qu’une chose critique apparaisse.
38
Risques & Menaces
25

Sonévaluation permet d’établir des actions pour réduire et maintenir la
menace à un niveau raisonnable et acceptable.
Risques & Menaces

25

Sonévaluation permet d’établir des actions pour réduire et maintenir la
Evaluation des risques liées à l'utilisation de l'informatique
39
Risques & Menaces
25

Son évaluation permet d’établir des actions pour réduire et maintenir la

Il importe de mesurer ces risques:
Risques & Menaces

25

Son évaluation permet d’établir des actions pour réduire et maintenir la

Il importe de mesurer ces risques:
en fonction de la probabilité ou de la fréquence de leurs survenances;
en mesurant leurs effets possibles.
40
Risques & Menaces
26
Ces effets peuvent avoir des conséquences négligeables ou

catastrophiques :
Risques & Menaces

26

catastrophiques :
le
traitement informatique en cours échoue : il suffit de le relancer,
éventuellement par une autre méthode si on craint que la cause ne
réapparaisse;
41
Risques & Menaces
26

catastrophiques :
le
traitement informatique en cours échoue : il suffit de le relancer,
éventuellement par une autre méthode si on craint que la cause ne
réapparaisse;
l'incident
est bloquant et on doit procéder à une réparation ou une
correction avant de poursuivre le travail entrepris.
Risques & Menaces

27
Mais ces mêmes incidents peuvent avoir des conséquences beaucoup plus
fâcheuses:
42
Risques & Menaces
27
fâcheuses:
données irrémédiablement perdues ou altérées, ce qui les rend inexploitables;
Risques & Menaces

27
fâcheuses:
Données ou traitements durablement indisponibles, pouvant entraîner l'arrêt
d'une production ou d'un service;
43
Risques & Menaces
27
fâcheuses:
divulgation d'informations confidentielles ou erronées pouvant profiter à des
sociétés concurrentes ou nuire à l'image de l'entreprise;
Risques & Menaces

27
fâcheuses:
divulgation d'informations confidentielles ou erronées pouvant profiter à des
sociétés concurrentes ou nuire à l'image de l'entreprise;
déclenchement d'actions pouvant provoquer des accidents physiques ou induire
des drames humains.
44
Les risques humains
28
Ce sont les plus importants, même s'ils sont le plus souvent

ignorés ou minimisés.
Les risques humains

28
Ce sont les plus importants, même s'ils sont le plus souvent

ignorés ou minimisés.
Ils concernent les utilisateurs mais également les informaticiens

eux-mêmes.
45
Les risques humains
29
la maladresse : commettre des erreurs
Les risques humains

29
la maladresse : commettre des erreurs

exécuter un traitement non souhaité,
effacer involontairement des données ou des programmes, etc.
46
Les risques humains
30
l'inconscience et l'ignorance:
Les risques humains

30
introduire des programmes malveillants sans le savoir (par exemple
lors de la réception de courrier).
47
Les risques humains
30
De nombreux utilisateurs d'outils informatiques sont encore

inconscients ou ignorants des risques qu'ils font courir aux systèmes
qu'ils utilisent.
Les risques humains

30
De nombreux utilisateurs d'outils informatiques sont encore

inconscients ou ignorants des risques qu'ils font courir aux systèmes
qu'ils utilisent.
Réaliser des manipulations inconsidérées (autant avec des logiciels

qu'avec du matériel)
48
Les risques humains
31
la malveillance : impossible d'ignorer les différents problèmes de virus et de vers

ces dernières années (beaucoup de couverture médiatique).
Les risques humains

31

Certains utilisateurs peuvent volontairement mettre en péril le système
d'information, en y introduisant en connaissance de cause des virus, par exemple :
49
Les risques humains
31

en connectant un ordinateur portable sur un réseau d'entreprise.
Les risques humains

31

en introduisant volontairement de mauvaises informations dans une base de
données.
50
Les risques humains
31

données.
Il est facile pour un informaticien d'ajouter délibérément des fonctions cachées lui
permettant, directement ou avec l'aide de complices, de détourner à son profit de
l'information ou de l'argent.
Les risques humains

31

données.
Il est facile pour un informaticien d'ajouter délibérément des fonctions cachées lui
permettant, directement ou avec l'aide de complices, de détourner à son profit de
l'information ou de l'argent.
On parle alors de la «cyber-criminalité».
51
Les risques humains
32
l'ingénierie sociale (social engineering): est une méthode pour obtenir d'une
personne des informations confidentielles, que l'on n'est pas normalement autorisé à
obtenir, en vue de les exploiter à d'autres fins (publicitaires par exemple).
Les risques humains

32
Elle consiste à :
52
Les risques humains
32
Elle consiste à :
se faire passer pour quelqu’un que l’on est pas (en général un administrateur)
Les risques humains

32
Elle consiste à :
demander des informations personnelles (nom de connexion, mot de passe, données
confidentielles, etc.) en inventant un quelconque prétexte (problème dans le réseau,
modification de celui-ci, heure tardive, etc.).
53
Les risques humains
32
Elle consiste à :
demander des informations personnelles (nom de connexion, mot de passe, données
confidentielles, etc.) en inventant un quelconque prétexte (problème dans le réseau,
modification de celui-ci, heure tardive, etc.).
Elle peut se faire soit au moyen d’une simple communication téléphonique, soit
par mail, soit en se déplaçant directement sur place.
Les risques humains

33
l'espionnage: surtout industriel, emploie les même moyens, ainsi que

bien d'autres, pour obtenir des informations sur:
54
Les risques humains
33

des activités concurrentes,
procédés de fabrication,
projets en cours,
futurs produits,
politique de prix,
clients et prospects, etc.
Les risques humains

33

des activités concurrentes,
procédés de fabrication,
projets en cours,
futurs produits,
politique de prix,
clients et prospects, etc.
Des formes à la limite de la légalité correspondent à «l'intelligence

économique».
55
Les risques matériels /techniques
34
Il sont liés aux défauts et pannes inévitables que connaissent tous les
systèmes matériels et logiciels.

34
Ces incidents sont évidemment plus ou moins fréquents selon le soin
apporté lors de la fabrication et des tests effectués avant que les
ordinateurs et les programmes ne soient mis en service.
56
34
Ces incidents sont évidemment plus ou moins fréquents selon le soin
apporté lors de la fabrication et des tests effectués avant que les
ordinateurs et les programmes ne soient mis en service.
Cependant les pannes ont parfois des causes indirectes, voire très
indirectes, donc difficiles à prévoir.

35
Incidents liés au matériel:
57
35

la plupart des composants électroniques, produits en grandes séries,
peuvent comporter des défauts. Ils finissent un jour ou l'autre par
tomber en panne.

35

tomber en panne.
Certaines de ces pannes sont assez difficiles à déceler car
intermittentes ou rares.
58
35

tomber en panne.
Parfois, elles relèvent d'une erreur de conception:

35

tomber en panne.
Parfois, elles relèvent d'une erreur de conception:
une des toutes premières générations du processeur Pentium d'Intel

pouvait produire, dans certaines circonstances, des erreurs de calcul.
59
36
Incidents liés au logiciel : les plus fréquents;

36

Les systèmes d'exploitation et les programmes sont de plus en plus
complexes car ils font de plus en plus de choses.
60
36


Ils nécessitent l'effort conjoint de dizaines, de centaines, voire de
milliers de programmeurs.

36

Ces programmeurs peuvent faire des erreurs de manière
individuellement ou collective.
61
36


Ces programmeurs peuvent faire des erreurs de manière
individuellement ou collective.
les meilleures méthodes de travail et les meilleurs outils de contrôle ou
de test ne peuvent pas éliminer en totalité.

37
Incidents liés à l'environnement:
62
37

les machines électroniques et les réseaux de communication sont
sensibles aux variations de température ou d'humidité (tout

particulièrement en cas d'incendie ou d'inondation) ainsi qu'aux
champs électriques et magnétiques.

37

Il est possible qu'un ordinateur tombe en panne de manière définitive
ou intermittente à cause :
63
37


de conditions climatiques inhabituelles :

37

de conditions climatiques inhabituelles :
par l'influence d'installations électriques notamment industrielles (et parfois
celle des ordinateurs eux-mêmes ! ).
64
Evolution des risques
38
Croissance de l'Internet
Croissance des attaques
Failles des technologies
Failles des configurations
Failles des politiques de sécurité
Changement de profil des pirates
Les précautions à prendre

39
Dans le cas des risques matériels il est possible de se prémunir:
65
39
redondance des matériels:

39

La probabilité ou la fréquence de pannes d'un équipement est
représentée par un nombre très faible (compris entre 0 et 1).
66
39

En doublant ou en triplant (ou plus) un équipement, on divise le risque
total par la probabilité de pannes simultanées.

39

En doublant ou en triplant (ou plus) un équipement, on divise le risque
total par la probabilité de pannes simultanées.
Le résultat est donc un nombre beaucoup plus faible et la fiabilité est
plus grande.
67
40
dispersion des sites :

40

Un accident (incendie, tempête, tremblement de terre, attentat, etc.) a très
peu de chance de se produire simultanément en plusieurs endroits distants.
68
40

procédures de contrôle indépendants:

40


Ils permettent bien souvent de déceler les anomalies avant qu'elles ne
produisent des effets dévastateurs.
69
40


Ils permettent bien souvent de déceler les anomalies avant qu'elles ne
produisent des effets dévastateurs.
Il est possible de réaliser des audits de sécurité.

41
Sécurité et Sureté
70
41
« Sécurité de fonctionnement » dans le cas de la protection des données et

de la capacité de travail contre les actes de malveillance.

41
« Sécurité de fonctionnement » dans le cas de la protection des données et

de la capacité de travail contre les actes de malveillance.
« Sureté de fonctionnement » dans le cas de la protection du système

d'information contre les accidents.
71
Deux acteurs majeurs
42
Le pirate
L’administrateur
Les agresseurs potentiels

43
Pirate: personne commettant des actes illégaux liés à l’informatique
72
43

Hacker: personne apte à modifier astucieusement un objet pour le
destiner à un autre usage que celui prévu initialement (non péjoratif).

43

Les saboteurs ou Crasher: Pirates dangereux qui détruisent pour le
plaisir , pratique le vandalisme
73
43

Les saboteurs ou Crasher: Pirates dangereux qui détruisent pour le
plaisir , pratique le vandalisme
Script kiddies: Gamin (pirate apprenti) utilisateur de scripts écrits
par d’autres (péjoratif)

44
Les espions: Pirate payé par une entreprise ou un organisme

concurrent pour récolter (de façon frauduleuse) des informations
sur un domaine précis.
74
44

Les fraudeurs: Utilisation des ressources informatiques sans
autorisation.

44

autorisation.
Phreaker : pirate spécialisé dans la fraude aux télécom, en
contournant le réseau téléphonique pour ne pas payer la
communication.
75
44

autorisation.
Phreaker : pirate spécialisé dans la fraude aux télécom, en
contournant le réseau téléphonique pour ne pas payer la
communication.
Coder : pirate spécialisé dans l'utilisation des codes de cartes
bancaires.

45
76
Hacktivisme
46
Hacktivisme: est un acte de promotion d’une agenda par le piratage

qui se manifeste spécialement par le d'effacement ou la désactivation
des sites web.
Hacktivisme
46
Hacktivisme: est un acte de promotion d’une agenda par le piratage

qui se manifeste spécialement par le d'effacement ou la désactivation
des sites web.
Comprend les pirates avec un programme social ou politique.
Pirater des sites pour faire passer un message.
77
Motivations du hacker
47
Vis-à-vis des ressources sensibles (Matériels, Données, Systèmes,

Réseaux, Applications)
Motivations du hacker
47
Vis-à-vis des ressources sensibles (Matériels, Données, Systèmes,

Réseaux, Applications)
prendre connaissance (données)

modifier (données)
altérer ou détruire (données)
paralyser (service, réseau)
se faire identifier ou pas (espionnage)
exploiter pour ses propres intérêts
cacher ses traces
78
Méthodologie du hacker
48
Collecte d’information et recherche de vulnérabilités
48

1. Calcul d’empreinte : activités économiques, à travers site web de l’entreprise, son forum
d’aide, les services WhoIs, interrogation de DNS...
79
48

2. Balayage des systèmes : connaître services, ports ouverts, systèmes d’exploitation (OS),
version...
48

version...
3. Enumération intrusive : exploiter les caractéristiques propre à chaque OS, service, port...
pour connaître des noms d’utilisateurs, l’existence de données en partage...
80
48

version...
Attaques à proprement parler
48

version...
réseau
système
logiciel
81
48

version...
réseau
système
logiciel
L’approche est cyclique : une attaque amenant à une autre pour une quête développée de
privilèges et de connaissances
Typologie des attaques

49
82
Attaques
50
Attaques
50
Légale : employé par les administrateurs système pour vérifier la

faiblesse de leur systèmes
83
Attaques
50

Illégale : Utilisation par les agresseurs
Attaques
50

Illégale : Utilisation par les agresseurs

Savoir et révéler les faille du système préparant ainsi une agression
Découvrir la négligence des administrateurs en matière de sécurité de
leur réseau
84
Quelques grands principes
51
Absence de confiance / méfiance par défaut
51
85

Défense en profondeur
51

Moindre privilège
51
86

Moindre privilège
Réduction de la surface d’attaque
51

Moindre privilège
Besoin de savoir
51
87

Moindre privilège
Besoin de savoir
Bonne gestion
51

Moindre privilège
Besoin de savoir
Bonne gestion
Multiculture
51
88
méfiance par défaut
52
Absence de confiance sans fait ni preuve
52
89
Absence de confiance sans fait ni preuve

Quoi qu’il en soit, la complexité des SI est telle qu’il arrive toujours un moment où
il faut accorder un minimum de confiance (l’approche paranoïaque a donc ses
limites)…
52
53
90
Idée : mettre en place plusieurs barrières pour protéger ce qui doit l’être de
façon à ce que si une des barrières venait à être franchie les autres assureraient
encore un minimum de sécurité
53
Mise en place de différentes couches de protection (au moins 2) à différents
niveaux
53
91
niveaux
on raisonne toujours comme si les autres éléments de protection n’allaient pas fonctionner
53
niveaux
Couches
53
92
niveaux
Couches
Physique; Réseau;
53
niveaux
Couches
Physique;Réseau;
Machine; Application;
53
93
niveaux
Couches
Physique;Réseau;
Machine; Application;
Données…
53
Moindre privilège
Ne jamais utiliser plus de privilèges que ce qui est le minimum

nécessaire pour réaliser une tâche qu’on a le droit d’accomplir
54
94
Moindre privilège

Exemples :
54
Moindre privilège

Exemples :
Pour lire un fichier, on ne demande pas les accès en lecture / écriture
54
95
Moindre privilège

Exemples :
Pour lire un fichier, on ne demande pas les accès en lecture / écriture

Pour exécuter un programme de lecture d’e-mails on n’utilise pas un compte
administrateur / root
54
La surface d’attaque est l’ensemble de ce qui peut être utilisé par un

attaquant pour réussir son attaque
55
96

ports réseau ouverts,
55

services en cours d’exécution,
55
97

privilèges des comptes sous lesquels ces services s’exécutent,
55

permissions sur les fichiers, …
55
98

permissions sur les fichiers, …
Il faut avoir la surface d’attaque la plus petite possible (moins de
55
points de vulnérabilité possibles)
Exemple :
56
99
Exemple :
Éviter
les installations par défaut (comptes par défaut, composants par défauts,
exemples préinstallés)
56
Exemple :
Éviter
Ne pas installer de composants dont on ne se sert pas / désinstaller ceux qui sont
inutilisés
56
100
Exemple :
Éviter
Ne pas installer de composants dont on ne se sert pas / désinstaller ceux qui sont
inutilisés
Installerles services avec des comptes aux privilèges réduits (ne pas sombrer
dans la facilité de tout mettre administrateur ou root)
56
Besoin de savoir
Pendant du principe du moindre privilège pour le contrôle

d’accès
57
101
Besoin de savoir

d’accès
Interdiction par défaut : TOUT est interdit implicitement SAUF ce
qui est autorisé explicitement
57
Besoin de savoir

d’accès
Interdiction par défaut : TOUT est interdit implicitement SAUF ce
qui est autorisé explicitement
N’est autorisé que ce qui est nécessaire pour réaliser les tâches
attribuées
57
102
Bonne gestion
Le système d’information pour être sécurisé se doit d’être bien géré
58
Bonne gestion

Ceci suppose
58
103
Bonne gestion

Ceci suppose
Une politique de sécurité bien définie avec ses procédures associées
58
Bonne gestion

Ceci suppose

Des personnes formées
58
104
Bonne gestion

Ceci suppose

Des technologies qui peuvent être administrées efficacement
58
Bonne gestion

Ceci suppose

Exemples
58
105
Bonne gestion

Ceci suppose

Exemples
Un pare-feu bien géré est avant tout un pare-feu maîtrisé
58
Multiculture
59
106
Multiculture
Quand on est en mesure de bien gérer les produits que l’on utilise, on
peut les panacher et les installer en cascade / redondance
59
Multiculture
Exemple
59
107
Multiculture
Exemple
2 pare-feu de technologies et de constructeurs différents en cascade à l’entrée

du réseau
59
Multiculture
Exemple

du réseau
2 antivirus (un sur les passerelles et/ou les serveurs, un sur les postes de travail)
59
108
Multiculture
Exemple

du réseau
2 antivirus (un sur les passerelles et/ou les serveurs, un sur les postes de travail)
Attention : multiplier les technologies sans les maîtriser est plus risqué que de
n’avoir qu’une seule technologie bien gérée
59
Les principes
109
Les principes

• Absence de confiance sans fait ni preuve
• Quoi qu’il en soit, la complexité des SI est telle qu’il arrive toujours
un moment où il faut accorder un minimum de confiance
(l’approche paranoïaque a donc ses limites)…
• Qui plus est, les faits produits sont en général insuffisants pour
fournir une certitude absolue (si ce n’est celle de ne pas pouvoir
avoir de certitude absolue)
62
110
• Idée : mettre en place plusieurs barrières pour protéger ce qui doit l’être de
• Mise en place de différentes couches de protection (au moins 2) à différents
niveaux
• on raisonne toujours comme si les autres éléments de protection n’allaient pas fonctionner
• Couches
• Physique; Réseau;
• Machine; Application;
• Données…
63
Moindre privilège
• Ne jamais utiliser plus de privilèges que ce qui est le minimum
• Exemples :
• Pour lire un fichier, on ne demande pas les accès en lecture / écriture
• Pour exécuter un programme de lecture d’e-mails on n’utilise pas un
compte administrateur / root
64
111
• La surface d’attaque est l’ensemble de ce qui peut être utilisé par un
attaquant pour réussir son attaque (ports réseau ouverts, services
en cours d’exécution, privilèges des comptes sous lesquels ces
services s’exécutent, permissions sur les fichiers, …)
• Il faut avoir la surface d’attaque la plus petite possible (moins de
points de vulnérabilité possibles)
65

• Exemple :
• Éviter les installations par défaut (comptes par défaut, composants par
défauts, exemples préinstallés)
• Ne pas installer de composants dont on ne se sert pas / désinstaller ceux
qui sont inutilisés
• Installer les services avec des comptes aux privilèges réduits (ne pas
sombrer dans la facilité de tout mettre administrateur ou root)
66
112
Besoin de savoir
• Pendant du principe du moindre privilège pour le contrôle d’accès
• Interdiction par défaut : TOUT est interdit implicitement SAUF ce qui
est autorisé explicitement
• N’est autorisé que ce qui est nécessaire pour réaliser les tâches
attribuées
67
Bonne gestion
• Le système d’information pour être sécurisé se doit d’être bien géré
• Ceci suppose
• Une politique de sécurité bien définie avec ses procédures associées
• Des personnes formées
• Des technologies qui peuvent être administrées efficacement
• Exemples
• Un pare-feu bien géré est avant tout un pare-feu maîtrisé
68
113
Multiculture
• Quand on est en mesure de bien gérer les produits que l’on utilise,
on peut les panacher et les installer en cascade / redondance
• Exemple
• 2 pare-feu de technologies et de constructeurs différents en cascade à
l’entrée du réseau
• 2 antivirus (un sur les passerelles et/ou les serveurs, un sur les postes de
travail)
• Attention : multiplier les technologies sans les maîtriser est plus risqué que
de n’avoir qu’une seule technologie bien gérée
69
Définitions :
70
Bombe logique
114
Définitions :
70
Bombe logique
Partie de programme qui reste dormante dans le système hôte jusqu’à ce qu’un
instant ou un événement survienne, ou que certaines conditions soient réunies,
pour déclencher des effets dévastateurs en son sein
Définitions :
70
Bombe logique
Exemples :
115
Définitions :
70
Bombe logique
Exemples :
- un programmeur, suite à un licenciement, insère dans un programme de paie une
fonction de reformatage des disques durs dont l’exécution sera déclenchée
lorsque son nom disparaîtra du fichier du personnel
Définitions :
70
Bombe logique
Exemples :
- un programmeur, suite à un licenciement, insère dans un programme de paie une
fonction de reformatage des disques durs dont l’exécution sera déclenchée
lorsque son nom disparaîtra du fichier du personnel
- un administrateur système peut modifier des utilitaires (tels que login) de

manière à garder la possibilité de se connecter sur le système suite à un départ.
116
Définitions :
71
Cheval de Troie
Définitions :
71
Cheval de Troie
Programme effectuant une fonction illégale tout en donnant l’apparence
d’effectuer une fonction légitime.
117
Définitions :
71
Cheval de Troie
Programme effectuant une fonction illégale tout en donnant l’apparence
d’effectuer une fonction légitime.
La fonction illégale peut être de divulguer ou d’altérer des informations, ou

peut être une bombe logique.
Détection d’un Cheval de Troie

72
Nécessite une connaisse du système d’exploitation
118
72

Utiliser un contrôleur d’intégrité de fichiers (difficile si les fichiers systèmes
sont remplacer par des versions plus récentes (bib de fichiers DLL)

72

Utiliser la technique d’approchement des objets:
119
72

Processus de comparaison des objets

actuels (fichiers ou répertoires)
Avec des versions antérieures(sur bande de sauvegarde).

72


On peut se baser dans la comparaison sur:
120
72


On peut se baser dans la comparaison sur:

La date de dernière modification (non fiable)
La taille du fichier(fiable)
La somme de contrôle: checksum Signature du fichier(plus fiable)
Définitions :
73
Scanners et utilitaires réseau « Un bon scanner vaut un millier de mot

de passe »
121
Définitions :
73

de passe »
un scanner est un outil appartenant à la famille des outils de diagnostic
de réseau.
Définitions :
73

de passe »
de réseau.
Il permet de :
122
Définitions :
73

de passe »
de réseau.
Il permet de :
analyser de ports et de services TCP/IP (Telnet, FTP...)

enregistrer les réponses de la cible et recueille des informations utiles sur la
hôte.
Définitions :
73

de passe »
de réseau.
Il permet de :
analyser de ports et de services TCP/IP (Telnet, FTP...)

enregistrer les réponses de la cible et recueille des informations utiles sur la
hôte.
Certains scanners détectent automatiquement les faiblesses de sécurité
d’un hôte distant ou local.
123
Définitions :
74
Scanners disponibles:
Définitions :
74
NSS(Network Security Scanner)
124
Définitions :
74
STROBE
Définitions :
74
STROBE
SATAN(Security Administrator’s Tool for Analysing Networks)
125
Définitions :
75
Porte dérobée/backdoors
Définitions :
75
Moyen de contourner les mécanismes de sécurité ; il s’agit d’une faille du système
de sécurité due à une faute de conception accidentelle ou intentionnelle (cheval de
Troie en particulier).
126
Définitions :
75
C’est donc une fonctionnalité inconnue de l’utilisateur légitime qui donne un accès
secret au logiciel.
Définitions :
75
C’est donc une fonctionnalité inconnue de l’utilisateur légitime qui donne un accès
secret au logiciel.
Ces passages secrets sont ménagés par les concepteurs de logiciels pour fournir des
accès privilégiés pour les tests ou la maintenance. Mais les pirates qui les
découvrent peuvent déjouer tous les mécanismes de sécurité et rentrer dans le
système.
127
Définitions :
76
Virus
Définitions :
76
Virus
Segment de programme qui, lorsqu’il s’exécute, se reproduit en
s’adjoignant à un autre programme (du système ou d’application), et
qui devient ainsi un cheval de Troie; Propriétés: infection,
multiplication.
128
Définitions :
77
Ver
Définitions :
77
Ver
est un programme autonome qui se reproduit et se propage à l’insu des utilisateurs.
Contrairement aux virus, un ver n’a pas besoin d’un logiciel hôte pour se dupliquer. Le ver a
habituellement un objectif malicieux, par exemple :
129
Définitions :
77
Ver
• espionner l’ordinateur dans lequel il réside;
• offrir une porte dérobée à des pirates informatiques;
• détruire des données sur l’ordinateur infecté;
• envoyer de multiples requêtes vers un serveur internet dans le but de le saturer.
Définitions :
77
Ver
• espionner l’ordinateur dans lequel il réside;
• offrir une porte dérobée à des pirates informatiques;
• détruire des données sur l’ordinateur infecté;
• envoyer de multiples requêtes vers un serveur internet dans le but de le saturer.
Le ver Blaster avait pour but de lancer une attaque par déni de service sur le serveur de mises
à jour de Microsoft.
130
Définitions :
78
Spyware
Définitions :
78
Spyware
contraction de spy et software.
131
Définitions :
78
Spyware
Logiciel espion qui collecte des données personnelles avant de les envoyer à un
tiers.
Définitions :
78
Spyware
tiers.
EX: Keylogger : transmettre les données saisies au clavier.
132
Définitions :
78
Spyware
tiers.
Spamming
Définitions :
78
Spyware
tiers.
Spamming
usage abusif d'un système messagerie destiné à exposer délibérément (et de
manière répétée) les utilisateurs à des contenus non pertinents et non sollicités.
133
Définitions :
79
Sniffing (écoute passive)
Définitions :
79

accéder aux données transmises sur
134
Définitions :
79

canal de communication (e.g., câble de réseau)
stockée sur un support vulnérable (e.g., disques externes).
Définitions :
79

Menace: accès à des informations sensibles.
135
Définitions :
79

Menace: accès à des informations sensibles.
EX: mot de passe d’un utilisateur tapé sur un terminal connecté à un ordinateur
central, et qui transite en clair entre ce terminal et la machine.
Définitions :
80
Spoofing (usurpation d’identité)
136
Définitions :
80

Se faire passer pour quelqu'un d'autre afin de faire une action malveillante (e.g.,
envoi virus, spam, …)
Définitions :
80

Ex :
137
Définitions :
80

Ex :
IP spoofing = utiliser l'adresse IP d'une machine, ou d'un équipement, afin
d'en usurper l'identité.
Définitions :
81
DoS / DDoS : déni de service
138
Définitions :
81
attaque d'un serveur destinée à l'empêcher de remplir sa fonction.
Définitions :
81

méthode classique : faire crouler le serveur sous une masse de requêtes généralement mal
formées à dessein pour entraîner une réponse anormale.
139
Définitions :
81

L'attaque utilise très souvent une multitude de PC zombies travaillant de concert, infectés par
des backdoors/chevaux de Troie et mobilisables à distance par un pirate.
Définitions :
81

L'attaque utilise très souvent une multitude de PC zombies travaillant de concert, infectés par
des backdoors/chevaux de Troie et mobilisables à distance par un pirate.
Il est aussi possible de bloquer à distance des routeurs en tirant parti de failles de leur
software.
140

Cours Security Arssi Partie 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours Security Arssi Partie 1

Transféré par

Droits d'auteur :

Formats disponibles

2020/2021

Université Abdelmalek Essaâdi

identifier les objectifs de la sécurité des réseaux et systèmes ;

Confiance en une clé publique

Introduction à la sécurité des systèmes d’information

Codes malveillants et outils de sécurité

Sécurisation au niveau applicatif.

Utilisation d’un scanner de vulnérabilité.

Firewalls et outils d’audit réseau

les stratégies innovantes pour la sécurité des systèmes d’informations

Un Système d’Information (SI) c'est quoi ?

Selon l’IGI 900 et le SCSSI

Selon l’IGI 900 et le SCSSI

Tout moyen dont :

Un Système d’Information (SI) c'est quoi ?

Selon l’IGI 900 et le SCSSI

Tout moyen dont :

* IGI = Instruction Générale Interministérielle

Selon l’IGI 900 et le SCSSI

Tout moyen dont :

* IGI = Instruction Générale Interministérielle

Par extension ….. un SI

est un ensemble constitué de

Par extension ….. un SI

est un ensemble constitué de

est un ensemble constitué de

Par extension ….. un SI

est un ensemble constitué de

est un ensemble constitué de

Par extension ….. un SI

est un ensemble constitué de

est un ensemble constitué de

Par extension ….. un SI

est un ensemble constitué de

est un ensemble constitué de

Exemple : Ordinateur, Réseau d’entreprise,

ÉVOLUTION DES SYSTÈMES D’INFORMATION

ÉVOLUTION DES SYSTÈMES D’INFORMATION

se complexifient (hétérogénéité des systèmes),

se complexifient (hétérogénéité des systèmes),

ÉVOLUTION DES SYSTÈMES D’INFORMATION

se complexifient (hétérogénéité des systèmes),

Un système d'information est :

La sécurité des systèmes informatiques

Les systèmes informatiques sont au cœur des systèmes d´information.

Les systèmes informatiques sont au cœur des systèmes d´information.

La sécurité des systèmes informatiques

Les systèmes informatiques sont au cœur des systèmes d´information.

Protection des systèmes informatiques contre des actions malveillantes intentionnelles.

Qu’est-ce que la sécurité?

minimiser la vulnérabilité d'un système contre des menaces accidentelles ou

Protection des systèmes informatiques contre des actions malveillantes intentionnelles.

minimiser la vulnérabilité d'un système contre des menaces accidentelles ou

Protection des systèmes informatiques contre des actions malveillantes intentionnelles.

La sécurité des systèmes informatiques

Objectifs/ besoins de la sécurité informatique

Disponibilité et divulgation limitées aux seules entités autorisées

Disponibilité et divulgation limitées aux seules entités autorisées

Disponibilité et divulgation limitées aux seules entités autorisées

Disponibilité et divulgation limitées aux seules entités autorisées

Disponibilité et divulgation limitées aux seules entités autorisées

Absence d’altération ou de destruction

Absence d’altération ou de destruction

Ce sont les plus importants, même s'ils sont le plus souvent

Ce sont les plus importants, même s'ils sont le plus souvent

Ils concernent les utilisateurs mais également les informaticiens