Académique Documents
Professionnel Documents
Culture Documents
sécurité
Iset’Com 2021-2022
CHAPITRE I:
INTRODUCTION À LA SÉCURITÉ
Qu’est ce que la sécurité ?
Sécurité:
Ensemble des techniques qui assurent que les ressources
(matérielles ou logicielles) soient utilisées uniquement dans le cadre
où il est prévu qu'elles le soient.
→Sécurité des systèmes d’informations
Système d’information:
Ensemble d’activités consistant à gérer les informations: acquérir,
stocker, transformer, diffuser, exploiter…
Fonctionne souvent grâce à un système informatique
→ Sécurité du système d’information = sécurité du système informatique
3
Qu’est ce que la sécurité ?
4
Cycle de la sécurité
Prévention:
Processus d’anticipation qui vise à créer un environnement aussi
sécurisé que possible:
Prendre des mesures afin d’empêcher les biens et les actifs d’être attaqués.
Détection:
Processus réactif par lequel on détermine les activités inappropriées
et on alerte les personnes responsables
Prendredes mesures afin de détecter quand, comment, par qui un actif ou un bien a
été endommagé.
Détecter les activités qui sont en violation avec la politique de sécurité.
Réaction:
Processus de réponse à un incident de sécurité
Prendre des mesures afin de pouvoir restaurer les biens et les actifs après un
incident de sécurité.
5
Nécessité de la sécurité
Indisponibilité du service
e-business, …
Pertes financières
Modification des montants de facture, erreurs de traitement
7
Aspects de la sécurité
ATTAQUES
SERVICES MÉCANISMES
• c'est l'assurance de l'identité d'un objet de tout type qui peut être
Authentification
une personne, un serveur ou une application.
❑ La disponibilité :
❑ Définie par X.800 et RFC 2828 comme étant la propriété d’un système ou d’une
ressource du système accessible et utilisable suite à la demande d’une entité
autorisée.
❑ Considérée par X.800 comme étant une propriété associée aux services de
sécurité.
10
Services de sécurité: authentification
❑ Identification : Permet de connaître l’identité d’une entité.
❑ Ce que l'entité sait faire ou fait: signature manuscrite, un type de calcul connu de lui
seul, un comportement...
11
Services de sécurité: authentification
❑ Types d'authentification
❑ Authentification simple:
Repose sur un seul élément d'authentification
Exemple: login/password
❑ Authentification forte:
Repose sur deux éléments ou plus
Exemple : l'utilisateur insère sa carte à puce et spécifie son code
PIN
12
Services de sécurité: intégrité
13
Services de sécurité: confidentialité
❑ Protection des données transmises contre les attaques passives, et
protection des flux de données contre l’analyse.
❑ Préservationdu secret des données transmises. Seules les entités
communicantes sont capables d’observer les données.
❑ Plusieurs niveaux de confidentialité :
❑ Protection de toutes les données échangées tout au long d’une connexion.
❑ Protection des données contenues au niveau d’un seul bloc de donnée.
❑ Protection de quelques champs des données échangées (pour une connexion
ou un seul bloc de donnée).
❑ Protection de l’information (source, destination, etc.) qui peut être tirée à partir
de l’observation des flux de données échangés.
14
Services de sécurité: non répudiation
Non répudiation
Authentification
Intégrité
15
Services de sécurité: contrôle d’accès
16
Menace: définition
❑ Une violation potentielle de la sécurité, un signe qui laisse prévoir un
danger
❑ Pouvant être une personne, un objet, ou un événement qui peut créer un
danger pour un bien
❑ Plusieurs types
❑ Menace accidentelle: dommage non intentionnel envers le Système
d’Information (SI)
Exemples: catastrophe naturelle, erreur d’exploitation, pannes
17
Attaque: définition
❑ Une attaque de sécurité est la réalisation d’une menace.
Attaques
Vulnérabilité et risque: définitions
❑ Vulnérabilité:
❑ Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une
ressource d’informations ou des privilèges supérieurs à ceux considérés
comme normaux pour cette ressource.
❑ Exemples de vulnérabilités :
Utilisation des mots de passe non robustes. Vulnérabilités
Présence de comptes non protégés par mot de passe.
❑ Une vulnérabilité est exploitée par une menace pour engendrer une attaque.
❑ Risque:
❑ La probabilité qu'une menace exploitera une vulnérabilité du système.
❑ C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme
valeur une probabilité.
19
Intrus (hacker)
❑ L’entité responsable d’une attaque de sécurité.
❑ Exemples d’intrus:
❑ Les white hat hackers:
Objectif: aider l'amélioration des systèmes et technologies informatiques
❑ Les black hat hackers(pirates):
Objectif: s'introduire dans les systèmes informatiques dans un but nuisible
❑ Les Script Kiddies (gamins du script, crashers, lamersou packet
monkeys):
Des utilisateurs du réseau utilisant des programmes trouvés sur Internet,
pour vandaliser des systèmes informatiques afin de s'amuser.
❑ Les crackers:
Objectif: créer des outils logiciels permettant d'attaquer des systèmes
informatiques ou de casser les protections contre la copie des logiciels
payants. 20
Classification d’attaques
Externes Exécutées par des entités externes au
système victime
Attaques
Exécutées par des entités internes au
Internes système victime parce qu’ils sont
malveillants ou détenus par des attaquants
Système
Attaque
Attaque
externe
interne
Chiffrement
Signature
électronique
Mécanismes Certificats
Pare-feu
(firewall)
….
22
CHAPITRE II:
LES ATTAQUES DE SÉCURITÉ
Attaques
24
Attaques passives
26
Approche commune des attaques
❑ Etape 1: Reconnaissance
❑ Recherche d’informations sur le système cible
❑ Etape 2: Balayage (scan)
❑ Scan des ports, des vulnérabilités, du réseau (topologie)
❑ Balayage de ports: possibilité d’utilisation de Nmap …
❑ Balayage de vulnérabilités: possibilité d’utilisation Nessus, OpenVAS …
❑ Etape 3: Exploit
❑ Exploiter les vulnérabilités des protocoles, des applications, des systèmes
d’exploitation, du réseau …
❑ Etape 4: Maintenir l’accès.
❑ Porte dérobée (Backdoor) …
❑ Etape 5: Effacer les traces d’intrusion
❑ Effacer/modifier les logs 27
Exemples d’attaques
28
Sniffing ou reniflage
❑ Description:
❑ Analyser le trafic réseau
❑ Récupérer les échanges d’information sans introduire de modifications
❑ Simple à mettre en œuvre à condition d’avoir accès au réseau
❑ Exemple d’outils: sniffer comme wireshark
❑ Comment s’en protéger ?
❑ Utiliser de préférence un switch (commutateur) plutôt qu'un hub.
❑ Utiliser
des protocoles chiffrés pour les informations sensibles comme les
mots de passe.
❑ Utiliser un détecteur de sniffer…
29
Attaques des mots de passe
❑ Méthodes d’attaques :
❑ Par dictionnaire : basée sur un dictionnaire de mots de passe
✓ Tous les mots du dictionnaire testés séquentiellement
31
Logiciels malveillants (malware)
32
Virus
❑ Un programme qui en infecte un autre en se dupliquant dans ce programme.
❑ Forme: s’attache à un autre logiciel ou document
❑ Mode d’exécution: exécuté suite à l’exécution du code hôte.
❑ Propagation: transfert du programme/document hôte d’un système à un autre
❑ Reproduction: se reproduit au sein du nœud infecté
❑ Quelques types de virus:
❑ Virus parasite: Le virus s’attaque aux fichiers exécutables comme partie de leurs
code. Il se réplique lorsque le fichier infecté est exécuté, et cherche s’il y a d’autres
fichiers à infecter.
❑ Virus résident en mémoire: hébergé en mémoire comme partie des programmes
principaux du système. Il infecte tout programme qui s’exécute.
❑ Virus sur secteur de Boot (Boot Sector Virus): Infecte le secteur de boot du
disque, et se propage lorsque le système d’exploitation démarre
33
Vers
34
Cheval de Troie (Trojan Horse)
❑ Forme:
❑ Programme à apparence légitime exécutant une ou plusieurs
fonctions sans l'autorisation de l'utilisateur:
❑ Fonctionnement normal/attendu
36
Bombe logique
❑ Un programme qui reste à l’état inactif tant qu’il n’est pas réveillé.
❑ Ce réveil peut être provoqué par un événement que le système
d’exploitation peut détecter.
❑ Souvent, une date ou l’absence de certaines données (ex. le nom du
programmeur ne figurant plus dans le fichier de la paie)
❑ Une fois activée, l’exécution d’un programme destructif qui pourrait être
l’effacement de tous les fichiers du système.
❑ Les bombes logiques sont généralement utilisées avec des virus (porteur
de la bombe logique).
❑ Le virus porte le nom de la date à laquelle la bombe logique est activée.
37
Logiciel espion (Spyware)
38
Les Keyloggers
❑ Un keylogger (littéralement enregistreur de touches) est un dispositif chargé
d'enregistrer les frappes de touches du clavier, à l'insu de l'utilisateur. Il s'agit
donc d'un dispositif d'espionnage.
❑ Certains keyloggers sont capables d'enregistrer les URL visitées, les
courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de
créer une vidéo retraçant toute l'activité de l'ordinateur
❑ Ils peuvent servir à des personnes malintentionnées pour récupérer les mots
de passe des utilisateurs du poste de travail
❑ Les keyloggers peuvent être soit logiciels soient matériels
❑ un processus écrivant les informations captées dans un fichier caché
❑ un dispositif (câble) intercalé entre la prise clavier de l'ordinateur et le clavier.
39
Ransomware
41
MAC spoofing
❑ Parades:
❑ Assigner des adresses MAC statiques à des ports.
Ces adresses ne seront jamais enlevées.
Les adresses des serveurs ou des équipements importants sont ainsi configurées
dans le commutateur.
❑ Authentification 802.1X
42
MAC flooding
Attaque par inondation d'adresses MAC
❑ Vulnérabilité: limitation de la taille des tables MAC
❑ Attaque:
❑ Bombardement du commutateur avec de fausses adresses sources MAC
❑ Le commutateur traite la trame comme une monodiffusion inconnue et commence à
inonder tout le trafic entrant sur les ports du même VLAN sans référencer la table MAC.
❑ Menace: l’attaquant peut capturer toutes les trames envoyées d'un hôte à un
autre sur le LAN local ou le VLAN local.
❑ Remarque: Le trafic n'est inondé que dans le LAN local ou le VLAN.
❑ Parade: implémentation de la sécurité des ports.
❑ La sécurité des ports ne permettra d'apprendre qu'un nombre spécifié d'adresses MAC
sources sur le port.
43
Attaque DHCP
❑ Serveur DHCP: responsable de l’attribution des informations de configuration IP d’une
manière dynamique (adresse IP, masque, passerelle par défaut, serveurs DNS …)
1. Insuffisance DHCP
2. Usurpation DHCP
44
Attaque DHCP
Attaque par insuffisance DHCP:
❑ Description: examiner l'intégralité des adresses IP louables et essayer de les louer toutes:
utilisation des messages de découverte DHCP avec des fausses adresses MAC.
❑ Exemple d’outil d’attaque : Gobbler
46
Attaque DHCP
Surveillance DHCP
❑ Permet de filtrer les messages DHCP et limite le trafic DHCP sur les ports non
approuvés.
❑ Les périphériques sous contrôle administratif (par exemple, les commutateurs, les
routeurs et les serveurs) sont des sources fiables.
❑ Les interfaces sécurisées (par exemple ports de serveur) doivent être explicitement
configurées comme sécurisées.
❑ Les périphériques en dehors du réseau et tous les ports d'accès sont généralement
traités comme des sources non fiables.
❑ Une table DHCP est créée qui inclut l'adresse MAC source d'un périphérique sur un
port non approuvé et l'adresse IP attribuée par le serveur DHCP à ce périphérique.
❑ L'adresse MAC et l'adresse IP sont liées ensemble.
❑ Par conséquent, cette table est appelée table de liaison d'espionnage DHCP.
47
ARP spoofing
❑ ARP – Rappel
(3) Les données peuvent être transmises à l’adresse MAC maintenant connue
(bb:bb:bb:bb:bb:bb) du host ayant l’@IP 192.168.1.32 et retourner à l’hôte de MAC
aa:aa:aa:aa:aa:aa 48
ARP spoofing
❑ Vulnérabilité : Toute personne peut prétendre être le propriétaire d’une adresse
IP donnée (Gratuitous ARP Reply).
❑ Menace: L’attaquant s’insère entre deux intervenants IP au niveau Ethernet (Man-
in-the-middle)
❑ Risque : Déni de service, confidentialité
❑ Parades:
❑ Authentification 802.1X: l’accès à un port n’est permis
qu’après une authentification
50
Ingénierie sociale
❑ Désigne l'art de manipuler des personnes afin de contourner des
dispositifs de sécurité.
❑ Représente une technique consistant à obtenir des informations de la
part des utilisateurs par téléphone, courrier électronique, courrier
traditionnel ou contact direct.
❑ Basée sur l'utilisation de la force de persuasion et l'exploitation de la
naïveté des utilisateurs en se faisant passer pour une personne de la
maison, un technicien, un administrateur ...
❑ Le facteur humain est le point central des techniques d’attaque rencontrées
en social engineering.
51
Ingénierie sociale
52
Phishing
❑ Contraction de:
❑ Phreaking: désignant le piratage de lignes téléphoniques
❑ fISHING: en français pêche,
❑ Description: Technique d'ingénierie sociale utilisée par des arnaqueurs
(scammers)
❑ Technique ancienne mais utilisée massivement depuis 2003.
❑ Moyens: Par le biais de courrier électronique, messages instantanés,
site webs …, l’attaquant tente de duper l'utilisateur en le faisant cliquer
sur un lien.
❑ Menace: obtenir des adresses de cartes de crédit, des mots de passe …
53
Phishing: exemple
www.eBay.com
§
www.attacker.lu
2) Un de ces e-mails a été reçu par Mary. L’e-mail
parle d’un problème de carte bancaire sur eBay et
lui demande de renvoyer ses données à eBay (par 1) Un spammer envoie de nombreux
la page en cliquant sur le lien) spams vers des milliers de destinataires
Spammer
3) Mary clique sur le lien affiché dans le mail. Elle
pense établir une connexion vers eBay. En fait le
Internet
lien la redirige vers www.attacker.lu
Attaques DoS (Denial of Service)
❑ Parmi les attaques les plus populaires.
❑ Objectif: créer une situation où la victime est incapable de fournir un service à
ses clients.
❑ Réalisées généralement suite à l’épuisement physique ou logique des
ressources au niveau des serveurs ou des réseaux de la victime ou à travers
le lien de communication liant la victime au fournisseur d'accès
à Internet (FAI) .
❑ Attaque de Déni de Service Distribué DDoS (Distributed Denial of Service)
❑ Fait intervenir un réseau de machines (souvent compromises) afin d’interrompre
le ou les services visés
✓ Machines zombies faisant partie d’un «Botnet»
55
DDoS
❑ DDoS directe
56
DDoS
❑ DDoS basée sur la réflexion
❑ Utilisationdes réflecteurs: envoient des réponses à des paquets spoofés
(destination : victime)
57
Ping flooding, Smurf
Principe du Smurf
Victime 58
Ping Of Death
❑ Principe:
❑ Consiste à créer un datagramme IP dont la taille totale excède la
taille autorisée (65536 octets). Un tel paquet envoyé à un système
possédant une pile TCP/IP vulnérable, provoquera un plantage.
59
TCP SYN flooding
❑ L’établissement de plusieurs
connexions successives semi-
ouvertes (avec adresses IP
fausses) peut de saturer la pile
TCP de la victime
❑ Possibilité du spoofing des
adresses IP par l’attaquant
❑ Risque: DoS, perte de
connectivité
61
UDP Flooding
❑ Consiste à générer une grande quantité de paquets UDP soit à destination d’une
machine soit entre deux machines
❑ ➔ entraîne une congestion du réseau ainsi qu'une saturation des ressources des deux
hôtes victimes.
❑ Exemple: "Chargen Denial of Service Attack”
❑ Un seul paquet spoofé provenant du port echo, envoyé au port chargen → boucle infinie
de trafic.
❑ Port Echo: renvoie la même information qu’il a reçu à son émetteur
❑ Port Chargen (Character generator): reprend la caractéristique du port Echo, à la
différence près qu’il va rajouter des données aléatoires
62
Chargen denial of service
❑ Attaque utilisant les ports Chargen (19) et Echo (7)
❑ Il suffit alors au pirate d'envoyer des paquets UDP sur le port 19 ( chargen ) à
une des victimes en spoofant l'adresse IP et le port source de l'autre. Dans ce
cas le port source est le port UDP 7 ( echo ).
63
TCP Hijacking
N° de séquence et
d’acquittement dans TCP
❑ N° Seq:
❑ Numéro du premier octet
dans les données du
segment.
❑ ACKs:
❑ Numéro de séquence du
prochain octet attendu de
l’autre coté.
❑ ACK cumulatif
❑ Connexion full-duplex:
❑ Chaque extrémité de la
connexion enregistre le n°
de séquence pour chaque
direction
64
TCP Hijacking
❑ Principe:
❑ Intercepter une connexion TCP établie
❑ Se faire passer pour l'une des parties (spoofing)
❑ Injecter des données dans le flux de communication
❑ Le hijacking remet en cause les connexions non chiffrées, par
exemple : TELNET.
❑ Exemple: Un pirate vole une session Telnet (connexion non chiffrée)
établie entre les machines 1 et 2 en effectuant les étapes suivantes:
❑ Il sniffe le traffic Telnet (port TCP 23) entre 1 et 2.
❑ Une fois qu’il estime que 1 a eu le temps de s'authentifier auprès du service
Telnet de la machine 2, il désynchronise la machine 1 par rapport à 2.
Il forge alors un paquet avec, comme adresse IP source, celle de la machine 1
et le numéro d'acquittement TCP attendu par 2.
La machine 2 accepte donc ce paquet. Ce paquet permet au pirate d'injecter
une commande via la session Telnet préalablement établie par 1.
65
TCP Hijacking
66
Mail bombing, Spamming
❑ Mail bombing
❑ Principe:envoyer un nombre important de courrier électronique à une même
adresse jusqu’à saturation de sa boîte.
❑ Spamming
❑ Principe: envoyer en masse de messages électroniques non-sollicités
généralement publicitaires, mais aussi pour diffuser un logiciel malveillant, une
idée ou idéologie …
67
Vulnérabilités logicielles
❑ Exploiter des vulnérabilités au niveau des logiciels afin
de prendre accès au système
❑ Buffer overflow
❑ Failles de sécurité relatives au code Java, ActiveX.
❑ Les informations sur les failles se propagent plus
rapidement que les remèdes
❑ Les bulletins des hackers
❑ Des outils disponibles pour détecter les vulnérabilités (Nessus …),
mais ils sont utilisés plus par les intrus.
❑ Des outils développés par les intrus, publiés sur Internet (ex :
rootkits, exploits).
68
Dépassement de capacité d’un buffer
(Buffer Overflow)
69
Dépassement de capacité d’un buffer
(Buffer Overflow)
données.
❑ Un pointeur SP (Stack Pointer) pointe sur la tête de la pile.
de la fonction.
70
Dépassement de capacité d’un buffer
(Buffer Overflow)
◼ Un exemple en C :
void function (char *str) {
char buffer[16];
strcpy (buffer, str);
}
int main () {
char *str = « Chaîne supérieur à 16 bytes"; // taille de str = 27 bytes
function (str);
} Tête de
*str ret Code de P
la pile
Programme P: exec( “/bin/sh” )
71
Dépassement de capacité d’un buffer
(Buffer Overflow)
72
Attaque de saut de VLAN
❑ Vulnérabilité: trunk automatique activé par défaut sur la plupart des ports du
commutateur.
❑ Description:
❑ Un attaquant configure l'hôte pour usurper la signalisation 802.1Q et la signalisation
DTP (Dynamic Trunking Protocol) propriétaire de Cisco pour le trunk avec le
commutateur de connexion.
❑ Le commutateur établit une liaison de trunk avec l'hôte.
❑ Menace: l’attaquant peut accéder tous les VLAN sur le commutateur sans l’aide
d’un routeur. Il peut envoyer et recevoir du trafic sur n'importe quel VLAN,
sautant efficacement entre les VLAN.
73
Attaques de double étiquetage VLAN
1. L’attaquant envoie une trame 802.1Q marquée de deux étiquettes au commutateur.
Dans l’étiquette externe: VLAN de l’attaquant, = VLAN natif du port trunk.
2. Le premier commutateur détecte que la trame est destinée au VLAN natif. Il transfère
le paquet par tous les ports du VLAN natif après avoir éliminé l'étiquette externe.
3. Le deuxième commutateur examine uniquement l'étiquette 802.1Q interne et constate
que la trame est destinée au VLAN cible. Il envoie la trame sur le port victime ou la
diffuse, selon qu'il existe une entrée de table d'adresse MAC pour l'hôte victime.
❑ Fichiers inhabituels
❑ La présence de fichiers inhabituels, tout spécialement dans les répertoires où
ne se trouvent que des programmes ou des fichiers de configuration.
❑ Possibilité de création des procédures pour comparer la liste courante des
fichiers d’un répertoire avec une liste précédente réputée saine.
❑ Consommation anormale des ressources
❑ Une consommation anormale des ressources d’un système (temps de calcul,
mémoire vive, espace disponible sur le disque...)
❑ Crashes du système
❑ Des crashes du système inexpliqués peuvent être l’indice d’une attaque de
sécurité.
❑ Si le système présente des vulnérabilités, un intrus va essayer différentes
façons de l’exploiter, et ces tâtonnements risquent de provoquer des défauts
de comportement du système d’exploitation résultant très souvent en crashes.
76
Signes d’attaques
❑ Présence de nouveaux comptes utilisateur
❑ Pour accéder aux ressources d’un système, le plus simple pour un intrus est
d’avoir un compte ouvert sur ce système.
❑ Il crée un compte à son usage exclusif afin que ses activités ne semblent pas
suspectes.
❑ Existence de connexions réseaux à des ports inconnus
❑ Des connexions établies utilisant des ports inconnus au niveau de la machine
peuvent être relatives à des backdoors.
❑ Un administrateur doit vérifier les connexions établies au niveau d’une
machine ou un serveur ainsi que les services en exécution sur ces derniers.
❑ Désactivation du service d’enregistrement des événements (log)
❑ Généralement, un intrus cherche à cacher ses actions avant de mener des
actions malveillantes.
❑ Le moyen : désactivation du service d’enregistrement des événements. 77
Les pots de miels / Honeypot
❑ Une machine qui simule des failles de sécurité.
❑ Elle dispose des moyens renforcés de surveillance, la machine peut
servir d'appât afin d’apprendre la stratégie des attaquants et construire
des signatures exactes d'attaques.
❑ Dispose de plusieurs outils de surveillance et d'archivage pour collecter
les informations des activités suspectes.
78
Exercice 1
Soit le réseau câblé suivant:
79
Exercice 2
Soit le réseau câblé suivant où les cercles sont des stations de travail et
les « SW » sont des commutateurs:
1. Quelles sont les trames que la station S2 peut sniffer (écouter) ? Expliquer ?
2. Quelles sont les stations qui peuvent lancer une attaque ARP spoofing sur le
réseau relié à l’interface 1 du routeur1? Expliquer ?
3. S4 peut-il exécuter une attaque TCP syn flooding sur S1?
80