1

Mini projet
Audit d e sécurité d u s y s t è m e
d’information d e la s o c i é t é d e
transport
2 In tro d uc tio n

Ce rapport entre d a n s le co nt ex t e d’ un mini projet de fin

d ’ a n n é e pour la matière Audit e t sécurité d e s réseaux,
e t a pour but d e faire un audit d e sécurité du système
d’information au sein de la sociét é Transtu
« L’audit est u n e d é m a r c h e spécifique d’investigation,
d e r e c he r c he d’information et d’ évaluation à partir d’ un
référentiel incluant un diagnostic e t conduisant à d e s
R e c o m m a n d a t i o n s ».
3 Présentation d e l’entreprise

Transtu est un établissement public qui a comme mission d’assurer

le transport collectif des voyageurs dans la région du grand Tunis à
travers les réseaux bus et métro ainsi que la ligne ferroviaire de la
banlieue Nord (TGM).
4 Audit Organisationnel et physique

 Ce niveau vise à avoir une vision qualitative et quantitative des

différents facteurs d e la sécurité informatique du site audité et à
identifier les points critiques du système d´informations.

 L’audit fonctionnel sera réalisé en se basan t sur des

entretiens a v e c le responsable, et des observations constatés
sur le site.

 Notre a p p ro c h e consiste à mesurer le niveau d e maturité en

se b asan t sur un questionnaire inspiré de la Norme ISO 27002. 
 Présentation et interprétation d e s résultats :
5 l’inexistence d ’ u n e politique de sécurité formelle et disponible pour tous les
personnels.

A b s e n c e d e s objectifs de sécurité d a n s la politique globale de l’organisme.

A b s e n c e du m é c a n i s m e d’identification et de classification d e s a c c è s .

A b s e n c e d’un p r o g r a m m e d e sensibilisation du personnel aux risques

d ' a c c i d e n t, d'erreur e t d e malveillance relatifs a u t raitement d e
l'information.

La salle du serveur est voisine à la cuisine c e qui représente un g r a n d risque

de sécurité sur les serveurs et les é q ui p e me n t s réseaux.

A b s e n c e d ’un e p r o c é d u r e pour la gestion d e s incidents.

6 Les utilisateurs non conscients qu’ils doivent verrouiller leurs sessions e n
quittant leur b u r e a u m ê m e pour quelques instants.

A b s e n c e d’un système de reporting d e s incidents liés à la sécurité d e

l’information.

A b s e n c e d’un plan d e secours, c e qui vient d e dire q u e l’organisme est

i n c a p a b l e d e r épondr e r a pi d e me n t et e ff i c a c e me n t aux interruptions d e s
activités critiques résultant de p ann es , incident, sinistre.

A b s e n c e d e s pro c édur e s d e validation en cas d’un ou d e s c h a n g e m e n t s

réalisés sur les p ro gr a mme s ou bien sur les applications.

L’inexistence d ’un e politique d e m a i n t e n a n c e périodique et assidue d e s

é quip e men ts .

A b s e n c e d e s pro c éd ur e s d e validation en cas d’un ou d e s c h a n g e m e n t s

réalisés sur les p ro gr a mme s ou bien sur les applications.
7 Audit Technique

C e t t e é t a p e conduit à la r e c h e r c h e d e s vulnérabilités à fin d’analyser le

niveau d e protection d e l’infrastructure f a c e aux a t t a q u e s n o t a m m e n t
celles qui exploitent ces vulnérabilités.

Nous utilisons tout a u long d e c e t t e partie un en s e mb l e d e s outils

p e r me t t a n t d’ obtenir les informations nécessaires et de d é c e l e r les
différentes vulnérabilités.
 Périmètre d e l’audit
8

Outil Network view

Figure 1: Réseau local

 Liste d e s serveurs :
9
Nom d u Adresse
serveur Type d' application Plateforme OS/SGBD réseau

SRV-FILE-WSUS SERVEUR DE FICHIER WINDOWS SERVER 2012 R2 10.6.0.115

SRV-BACKUP SERVEUR DE SAUVERGARDE WINDOWS SERVER 2012 R2 10.6.0.122

SRV-SEP SERVEUR ANTIVIRAL WINDOWS SERVER 2012 R2 10.6.0.119

SRV-ERP SERVEUR BD WINDOWS SQL SERVER 2008 10.6.0.120

SRV-TSE SERVEUR D'APPLICATION WINDOWS SERVER 2012 R2 10.6.0.115

SRV-PROSOL SERVEUR-WEB WINDOWS SERVER 2012 R2 10.6.0.137

DC CONTROLEUR DU DOMAINE WINDOWS SERVER 2012 R2 10.6.0.111

Nombre d e s postes de travail : 50 postes

C o n c e r n a n t le plan d’ ad r e ss a ge , tous les hôtes du rése au utilisent d e s

adresses IP privée de classe A (10.6.0.x/24) a v e c un m a s q u e rése au d e
classe C.
 Pour l ’ accès au rés eau public Internet, une translation d’ adresse (NAT) est
10 assurée p a r le Firewall frontal FORTINET.
La configuration réseau au niveau d e s postes n’est p a s p r o t é g é e contre les
modifications.

Figure 2:Configuration réseau au niveau du poste

11 S o n d a g e système et de s services réseaux
Pour réaliser c e t t e é t a p e , nous avons utilisé autres outils qui p e r me t t e n t
d’identifier les OS, les services ouverts, les p a t c h e s m a n q u a n t s et d’ autres
informations utiles:

N m a p est un scanner d e ports. Il est c o n ç u pour d é t e c t e r les ports ouverts,

identifier les services h é b e rg é s e t obtenir d e s informations sur le système
d'exploitation d' un ordinateur distant.

GFI LANguard Network Security : c’ est un outil qui p e r me t d’ effectuer un

audit rapide d e sécurité sur le réseau, il r e gr oup e d e s informations
enregistrées sur les postes d e travail telles q u e les noms d’utilisateurs, les
p a rt a ge s , e t c .
 Identification d e s ports ouverts
12

Figure 3 : Sondage d e s ports ouverts a v e c GFI LANguard

 Observation :
13

Le port 445 est ouvert pour la plupart d e s serveurs et p e u t être utilisé p a r le

ver NIMDA.

Le port 139 est ouvert pour la plupart d e s serveurs, c e port p e u t être utilisé
p a r les c h e v a u x d e s Troiesuivant : C h o d e , Fire HacKer, Msinit, Nimda,
Opaserv, Qaz.

Le port 25 (service SMTP) é t a n t actif sur les serveurs messageries, il présent e

un risque d e SPAM e t p a r suite un risque d e saturation d e disque. C e
service doit être d é s a ct i vé s’il n’est p a s utilisé.

Le port 443 est ouvert au niveau de plusieurs serveurs d’ applications, qui

p e u t être exploité p a r le trojan Slapper.
 Analyse d e s vulnérabilités
14

Figure 4:Vulnérabilités (GFI LANguard)

 Observation :
15

Le s o n d a g e d e s ports a v e c les vulnérabilités associées est prés enté c o m m e

suit :
Sasser (5554|TCP) (Vulnérabilité d’ordre grave)

 Utilisé e n t ant q u e serveur FTP pour les an c i enne s versions du ver Sasser.
Sasser a é t é un ver qui a exploité un d é b o r d e m e n t d e t a m p o n d a n s
Windows LSA service. Le ver a a t t a q u é le port TCP 445 a v e c l'exploit, puis en
ca s de suc cè s il a ouvert une c o m m a n d e Shell à distanc e sur le port TCP 9996
et un service ftp sur le port 5554. Le service ftp est pourtant m ê m e exploitable
et la tentative d e ver Da b b e r t ente d'exploiter c e t t e vulnérabilité.

POP3 (110|TCP) (Vulnérabilité d’ ordre grave)

Le port 110 est ouvert, d é s a ct i vé le service s’il n’est p a s utilisé car il est possible
d e d é t e c t e r quels chiffrements SSLqui sont pris e n c h a r g e p a r le service pour
le c r y p t a g e d e s communications.
16 Analyse du Routeur Cisco
Lors d’une réunion a v e c le chef service informatique, j'ai pu déterminer les
vulnérabilités suivantes (c'est un routeur Cisco 2850) :
A b s e n c e de contrôle et de suivi de la version IOS du routeur.
A b s e n c e d’une p r o c é d u r e d o c u m e n t é e pour le b a c k u p d e s configurations
du routeur.
Les logs du routeur ne sont p a s révisés.
Identification du port Telnet ouvert.

Figure 5:Capture PuTTy

17 R e c o m m a n d a t i o n s organisationnelles
et physiques
La société Transtu est t enu à élaborer sa politique de sécurité qui doit être
validée par les responsables, distribuée et publiée à tout le personnel.

Définir les rôles des responsables en matière de sécurité de l’information.

Etablir une revue de la sécurité de l’information en fonction des évolutions d e

structures.

Analyser les risques liés aux a c c è s de personnel tiers au système d’information

ou aux locaux et établir les mesures de sécurité nécessaire.

Tenir à jour l’inventaire des types d'actifs identifiés.

Sensibiliser le personnel des devoirs et responsabilités et les exi genc es de la
sécurité du système d’information.
18 R e c o m m a n d a t i o n s Techniques
Utiliser SSH au lieu de Telnet pour l’administration à dista nc e des é q ui p e me n t s
réseaux et sécurité et pour e m p ê c h e r l’interception des d o n n ées.

Désactiver ou fermer les services réseaux inutiles et surtout SNMP sur les
é q ui p e me nt s critiques (FW, Routeurs, Serveurs,…).

Prévoir des matériels de r e m p l a c e m e n t en c a s de p a n n e d’ un c o m p o s a n t

essentiels.

Etablir une p ro c é d u r e d o c u m e n t é e pour le b a c k u p des configurations d u

routeur.

Définir une politique d ’ u s a g e des mots de p a s se robustes et les c h a n g e r

régulièrement.

Mettre en p l a c e une stratégie de s a u v e g a r d e et de restitution des d o n n é e s

19 Conclusion

Un effort considéra bl e a é t é d é j à fait a u sein d e la

société Transtu pour améliorer la qualité du SI d a n s un
m o n d e t echn ol o gi q ue évoluant à la vitesse d e la
lumière, mais d’ autres mesures p e u v e n t être prises ou
planifiées pour atteindre un seuil d e robustesse
honorable.