Académique Documents
Professionnel Documents
Culture Documents
Introduction
Le domaine de la sécurité est un domaine qui vise protéger les utilisateurs des infiltrations non
autorisées afin de sauvegarder leurs ressources confidentielles. La sécurité trouve plus que
jamais son importance avec l’avènement d’Internet des objets, plateforme qui interconnecte
des objets dont on n’est pas sûr. Ce chapitre pose les jalons terminologiques, définit les
concepts clés autour de la sécurité et présente les défis actuels de la sécurité. La section 1
définit les termes et terminologies autour de la sécurité. La section 2 illustre des situations
nécessitant la sécurité. La section 3 dresse une liste de secteurs et domaines de la sécurité. La
section 4 détaille les services garantissant la sécurité. La section 5 illustre les types d’attaques.
La section 6 présente les tendances et défis qui existent aujourd’hui dans le domaine de la
sécurité.
I. Définitions et terminologies
Un réseau informatique est une mise en connexion de composantes hétérogènes ou
homogènes via des canaux filaires ou sans fil. Il trouve son utilité à partir du moment où des
entités différentes souhaitent échanger les informations. Analogiquement, lorsqu’une
personne veut communiquer avec une ou plusieurs personnes, le problème de sécurité entres
les personnes impliquées se pose : il faut se rassurer de l’identité des communicateurs, il faut
se rassurer de la codification de la communication (par exemple, l’utilisation de la langue
vernaculaire) pour rendre difficile la compréhension … L’interconnexion similairement, pose
un sérieux problème de sécurité d’échanges. Plus compliqué, si Internet est le moyen de
fédération des communications parce qu’il s’agit d’un lieu où on ne connait personne. La
sécurité vise donc à sécuriser quatre éléments d’échange qui sont :
L’émetteur : il s’agit de l’objet qui initie la communication. Cet objet peut être un
processus, un système d’exploitation, un utilisateur, un navigateur, une application
etc..
Le récepteur : il s’agit de l’objet qui reçoit la communication. Cet objet peut être un
processus, un système d’exploitation, un utilisateur, un serveur etc..
Le canal de communication : il s’agit du moyen par lequel l’émetteur et le récepteur
communique. Il s’agit d’un canal sans fil, d’un canal filaire, de la mémoire, etc…
Des protocoles de communication : Il s’agit d’un ensemble convenu de règles de
communication entre les deux communicateurs. Comme exemple, on peut avoir le
protocole HTTP (HyperText Transfer Protocol).
La figure 1 met en exergue la sécurité des quatre éléments. Si l’un des éléments reste non
contrôlé, alors les autres éléments sont exposés à des activités dangereuses.
La sécurité est un processus continu de protection d'un objet contre tout accès non autorisé. Il
vise à protéger les ressources telles qu’une personne, une entreprise, un système informatique
ou un fichier, des actions visant à nuisibles.
La sécurité est garantie si les quatre mécanismes de protection suivants sont mis en place.
Dissuasion: La première ligne de défense contre les intrus qui pourraient tenter
d'accéder. Cela fonctionne en créant une atmosphère destiné à effrayer les intrus.
Prévention: Le processus visant à empêcher les intrus d'accéder aux ressources du
système. Les barrières incluent les pare-feu, les zones démilitarisées (DMZ) et
l'utilisation d'éléments d'accès comme les clés, les cartes d'accès, la biométrie et autres
pour ne permettre l’accès aux ressources qu’aux utilisateurs autorisés
Détection: la détection se produit lorsque l'intrus a réussi ou est en train d'accéder au
système. Les alertes à l'existence d'un intrus représentent sont exploitées comme signal
de détection. Parfois, ces alertes peuvent être en temps réel ou stockées pour une
analyse approfondie par le personnel de sécurité. Les systèmes de détection
d’intrusion en général et les antivirus en particulier sont des exemples.
Réponse: Il s’agit d’un mécanisme post-effet qui tente de répondre à l'échec des trois
premiers mécanismes. Cela fonctionne en essayant d’arrêter et / ou empêcher de futurs
dommages ou l'accès à une installation. La réponse est très importante pour ralentir la
contamination de l’infiltration.
Il est strictement recommandé de considérer inclusivement ces quatre étapes dans la mise en
place des mesures de sécurité. Malgré les tentatives de sécurité, des personnes malveillantes
essayent de briser les barrières prévues contre leurs attaques. Une attaque est toute action qui
compromet la sécurité des informations détenues par une organisation. Selon RFC4949, une
attaque contre la sécurité d’un système est une tentative délibérée (en particulier au sens d'une
méthode ou d'une technique) d'échapper aux services de sécurité et de violer la politique de
sécurité d'un système. Un mécanisme de sécurité est un processus (ou dispositif incorporant
un tel processus) conçu pour détecter, empêcher ou récupérer d'une attaque. Selon X.800, un
service de sécurité est service de traitement ou de communication qui améliore la sécurité
des systèmes de traitement des données et les transferts d'informations d'une organisation. Les
services sont destinés à contrer les attaques contre la sécurité et ils utilisent un ou plusieurs
mécanismes de sécurité pour fournir le service.
Une attaque survient s’il y a une vulnérabilité exploitée par une personne malicieuse pour
inférer une menace. Selon le RFC 4949, une vulnérabilité est une faiblesse d’un système telle
que la longueur d’un mot de passe qui est de 2. Une menace est un risque potentiel de
violation de la sécurité, qui existe lorsqu'il existe une circonstance, une capacité, une action
ou un événement susceptible de porter atteinte à la sécurité et de causer des dommages.
Autrement dit, une menace est un danger potentiel qui pourrait exploiter une vulnérabilité.
Une attaque suit donc une menace.
Les individus qui opèrent des attaques sont appelées hackers, ou pirates etc.. Dans le cadre de
ce cours, ces personnes malintentionnées correspondent aux cybercriminels ou attaquants.
La personne, organisation ou objet victime est appelé cible. L’intention des attaquants se
résume en plusieurs objectifs :
Sources de menaces
Les menaces sont initiées de diverses sources incluant des personnes physiques, morales et
des gouvernements. Les acteurs malveillants comprennent:
Les individus qui créent des vecteurs d'attaque en utilisant leurs propres outils
logiciels ;
Des organisations criminelles gérées comme des sociétés, avec un grand nombre ;
d'employés développant des vecteurs d'attaque et exécutant des attaques ;
Les états nations dans le cadre de cyber guerres ;
Les terroristes ;
Les espions industriels ;
Les groupes de criminels organisés ;
Les concurrents commerciaux.
Le Dark Web est le lieu par excellence du marché d’attaques dans lequel les attaquants
vendent leurs techniques d’attaques et sont directement recrutés.
Que sécurise-t-on ?
II. Domaines
La sécurité informatique est un vaste champ de l’informatique qui requiert des compétences
pointues. Ce domaine intègre plusieurs sous-domaines qui sont souvent utilisés çà et là sans
réellement de manière inappropriée.
III. Services
Un système sécurisé doit garantir trois principaux services : la confidentialité, l’intégrité et la
disponibilité, connu sous le nom de triade CIA (Confidentiality, Integrity and Availability).
Confidentialité
Les personnes sont prêts à protéger leurs informations sensibles et privées tel que les
informations personnelles (PI – Personal Information) contre tout accès non autorisé. La
protection de la confidentialité dépend de la capacité de définir et d'appliquer certains niveaux
d'accès aux informations. Dans certains cas, cela implique de séparer les informations en
divers groupes organisés en niveau de privilèges et à évaluer la criticité de ces informations -
c'est-à-dire l’impact encouru subis si la confidentialité a été violée. Certains des moyens les
plus couramment utilisés pour gérer la confidentialité comprennent les listes de contrôle
d'accès, le chiffrement des volumes et des fichiers et les autorisations de fichiers Unix. La
confidentialité est garantie par les algorithmes à chiffrement symétrique et asymétrique.
La confidentialité intègre deux sous services : l’authentification et la contrôle d’accès. Le
premier service est utilisé pour identifier un utilisateur. Ce service fournit à un système la
capacité de vérifier qu'un utilisateur est bien celui qu'il prétend être en fonction de ce qu'il est,
sait et possède. L’authentification est assurée par les éléments tels que le nom d'utilisateur, le
mot de passe, les images rétiniennes, les empreintes digitales, ou même les cartes d'identité.
Le contrôle d’accès est un service qui permet de limiter et de contrôler l'accès aux ressources.
Il peut être délivré par l’identification biométrique. L’autorisation est la somme de
l’authentification et du contrôle d’accès. En d’autres termes, un objet est autorisé s’il a été
identifié et s’il dispose les privilèges ou permissions pour accéder à une ressource.
Intégrité
Il s'agit d'un élément essentiel de la triade CIA, conçu pour protéger les données contre la
suppression ou la modification de toute partie non autorisée. Elle garantit que lorsqu'une
personne autorisée effectue une modification qui n'aurait pas dû être effectuée, les dommages
peuvent être inversés. Elle est assurée par les algorithmes de chiffrement et de hachage.
Disponibilité
Il s'agit du dernier élément de la triade CIA. Il fait référence à la disponibilité réelle des
données. Les mécanismes d'authentification, les canaux d'accès et les systèmes doivent tous
fonctionner correctement pour les informations qu'ils protègent et s'assurer qu'ils sont
disponibles en cas de besoin. Un serveur Web par exemple doit être capable de délivrer las
pages hébergées en son sein 24H/24. Les systèmes de sécurité doivent être tolérant aux
pannes matérielles et logicielles et prévoir des mécanismes de sauvegarde fiable.
Non répudiation
Le service de non répudiation exploite les autres services. Ce service de sécurité fournit une
preuve d'origine et la prestation de services et/ou d'informations. Il empêche l'expéditeur ou le
destinataire de refuser un message transmis. Ainsi, lorsqu'un message est envoyé, le
destinataire peut prouver que l'expéditeur présumé a effectivement envoyé le message. Pour
illustrer cela, prenons le système de guichet automatique. Une opération bancaire lancée à
partir de votre carte ne peut être réfutée. Les moyens pour le garantir peuvent être la signature
numérique et les algorithmes cryptographiques.
Attaques passives
Les attaques passives consistent à obtenir des informations qui sont transmises sans changer
l’état de la communication. Une attaque passive tente d'apprendre ou d'utiliser les
informations du système mais n'affecte pas les ressources système. Les attaques passives ont
pour nature d'écouter ou de surveiller la transmission. Le but de l'attaquant est d'obtenir le
contenu des informations transmises. Les types d'attaques passives sont de deux ordres : la
publication du contenu et l’analyse du trafic.
Selon Spacey (2016) dans Simplicable (W9), les attaques passives incluent quatre cas.
Tapping. C’est l’activité effectuée par le dispositif TAP qui surveille passivement les
communications non cryptées telles que les e-mails ou les appels téléphoniques sans perturber
le réseau.
Chiffrement. Ici l’activité consiste à intercepter les flux d'informations chiffrés et d’essayer
de briser le chiffrement.
Balayage. Ici l’attaquant questionne des services pour détecter des vulnérabilités telles que
des ports ouverts ou une version de système d'exploitation faible.
Analyse du trafic. L’attaquant scrute les paquets ainsi que les détails sur la communication
pour apprendre des informations sur la cible.
Les attaques passives contre les réseaux sans fil sont extrêmement courantes1, au point d'être
presque omniprésentes. La détection et la génération de rapports sur les réseaux sans fil sont
devenues un passe-temps populaire pour les attaquants. Des outils tels que NetStumbler2 est
utilisé pour le balayage des réseaux sans fil. Ce type de balayage, recherchant des réseaux
sans fil, est connu sous le nom wardriving. L’outil Dsniff3 est une suite d'outils qui
permettent des attaques passives et des reniflements sur les sessions TCP.
Attaques actives
Une attaque active tente de modifier les ressources du système ou d'altérer le fonctionnement
d’un système. Une attaque active implique une modification du flux de données ou la création
d'une fausse déclaration. Les types d'attaques actives sont les suivants:
1
https://www.sciencedirect.com/topics/computer-science/passive-attack
2
www.netstumbler.com
3
https://packages.debian.org/fr/sid/dsniff
Mascarade: L'attaque par mascarade a lieu lorsqu'une entité prétend être une entité différente.
Une attaque type mascarade implique l'une des autres formes d'attaques actives.
Figure 3 : Mascarade
Modification des messages : Cette attaque consiste à modifier une partie d'un message ou à
retarder/réorganiser le message pour produire un effet non autorisé. Par exemple, un message
signifiant «Autoriser FRANKLIN à lire le fichier confidentiel X» est modifié en «Autoriser
ALIMA à lire le fichier confidentiel X».
Figure 4 : Modification
Rejouer : Cette attaque implique la capture passive d'un message et sa transmission ultérieure
pour produire un effet autorisé.
Figure 5: Rejeu
Déni de service
Ce type d’attaque empêche l'utilisation normale des services. Cette attaque peut avoir une
cible spécifique. Par exemple, une entité peut supprimer tous les messages dirigés vers une
destination particulière. Une autre forme de déni de service est la perturbation d'un réseau
entier en le surchargeant par des messages afin de dégrader les performances.
Attaques hybrides
Les attaques peuvent être hybrides lorsqu’elles ont incorporent plusieurs étapes, chacune étant
une attaque passive ou active.
V.Illustrations
Cette section illustre certains cas d’attaques.
Illustration 5 : Un message est envoyé par un client à un courtier en valeurs mobilières avec
instructions pour diverses transactions. Par la suite, les investissements perdent de la valeur et
le client nie l'envoi du message.
(ANSSI)
Cameroun Lois sur la cybersécurité et cybercriminalité, sur la protection des données (W4)
Agence
Nationale des
Technologies
de
l’Information et
de la
Communication
(ANTIC)
CEDEAO Directive sur la lutte contre la cybercriminalité dans l'espace CEDEAO (W5)
Afrique Convention de L’union africaine sur La Cyber sécurité et la protection des (W6)
données à caractère personnel
Europe GDPR ou règlement général sur la protection des données (W7)
VII. Tendances et défis
Les menaces sont de plus en plus sophistiquées et de plus en plus puissantes. Certaines
tendances existent de nos jours.
Menace zero-day (0-day) : Ce sont des menaces qui ne portent pas de signatures numériques
détectables par les mesures de défense existantes (Radhakrishnan 2019). Ces menaces sont
inconnues du grand public et font suffisamment des ravages avant que leur détection. La
période de mise en application d’un code de correction pour la menace pour les systèmes
Windows – fenêtre de vulnérabilité – est estimée à 28 jours en moyenne (Shahzad 2019).
Chaque administrateur doit maintenir une veille de sécurité pour rapidement anticiper et
prévenir des attaques.
Menaces d’ingénierie sociale : L’ingénierie sociale (Salahdine 2019) est la technique la plus
exploitée pour infiltrer la cible. Elle consiste à jouer sur la psychologie de la victime,
l’incitant à fournir ses ressources sensibles. Ce genre de menaces se traduit en entreprise par
des emails malicieux envoyés à des particuliers ou groupe de particuliers, ou par l’infiltration
des faux points d’accès de même identifiant que celui de l’entreprise. Les administrateurs
devraient se méfier de ce genre de menaces qui requiert plus des mesures de protection
sensibilisatrices que techniques.
Menaces de déni de service distribué (DDoS – Distributed Denial of Service): Internet des
objets (IoT) incorporent des capteurs et équipements dotés la plupart du temps de systèmes
d'exploitation souvent obsolètes (Bravo 2019). Cette vulnérabilité fait de ces équipements une
cible privilégiée recrutée par les attaquants pour atteindre la cible. Ainsi la découverte de
l’origine de l’attaque est difficile. Les aspects de mise à jour en temps réel doivent être
automatiques et intelligente.
Conclusion
4
https://www.kaspersky.com/blog/operation-blockbuster/11407/
5
https://www.crowdstrike.com/blog/meet-the-adversaries/
Ce chapitre a consisté à poser les bases de la sécurité. Le chapitre débute par présenter des
terminologies utilisées dans ce secteur de l’informatique. Nous avons présenté les domaines
de la sécurité qui nécessitent une main d’œuvre qualifiée. Les services phares de sécurité à
garantir sont ensuite présentés tels que la confidentialité, l’intégrité et la disponibilité. Les
types d’attaques existants sont décrits afin de circonscrire le champ d’intervention de
l’administrateur. Ensuite, le chapitre a illustré clairement des situations d’activités
malicieuses qui s’inscrivent dans ces types d’attaques. Quelques mesures légales dans des
pays africains, en Afrique et en Europe ont été élucidées dans l’avant dernière section. Enfin,
nous avons présentés les tendances de menaces jugées actuelles et présentés des défis relatifs.