Les menaces de sécurité et

les vulnérabilités
Dr Venant Palanga
Maître de conférences

ENSI/UL
1
2 contenu
• Introduction aux menaces de sécurité
• Identification des menaces
• Sources de la menace
• Types de menaces
• Introduction à la Vulnérabilités
• Types de vulnérabilités
• Risques, menaces et vulnérabilités
 3 Introduction aux me nace s de sé curité

 Une menace est une cause potentielle d'incident, qui peut résulter en un
dommage au système ou à l'organisation (définition selon la norme de sécurité
des systèmes d'information ISO/CEI 27000.

 C’est un Signe, un indice qui laisse prévoir un danger. Action ou évènement

susceptible de se produire, de se transformer en agression contre un
environnement ou des ressources et de porter des préjudices à leur sécurité.

 Une vulnérabilité est une faiblesse qui peut être déclenchée

accidentellement ou intentionnellement exploitée.
 4
Introduction aux me nace s de sé curité

 Les types de menace:

1) Menaces naturelles-Inondations, tremblements de terre, tornades, les
glissements de terrain, avalanches, tempêtes électriques, etc.
2) Menaces de l'h om m e - Des événements qui sont causées par l'homme,
les actes non intentionnels (la saisie des données par inadvertance) ou
actions délibérées (attaques de réseau à base de logiciels malveillants, de
téléchargement, accès non autorisé aux informations confidentielles).
3 ) M e n a c e s e nvironnementale s- en terme de panne de courant, la
pollution, les produits chimiques, une fuite d’eau et de produits nocifs.
 5
Ide ntification de s me nace s

 Il n'y a aucun moyen d'éliminer toutes les menaces qui pourraient

affecter votre entreprise.
 Certaines des méthodes couramment utilisées pour l'identification des
menaces sont les suivantes:
o Analyse de la menace
o Évaluation des risques
o Audit de sécurité de l'information
o Test de Pénétration
 Sources de menaces
Source Motivation Menaces
Pirates externes Défi Piratage de système
Ego Ingénierie sociale
Jeu escroquerie
Pirates internes Problèmes financières Porte dérobée
Insatisfaction Fraude
Insuffisance de documentation
Terroristes Vengeance Attaques du système
Politique Ingénierie sociale
Lettres piégées
Virus
Déni de service
Employés mal formés Erreurs involontaires Corruption des données
Erreurs de programmation Introduction de code malveillant
Erreur de saisie de données Bogues du système
Accès non autorisés
6
 Catégories de menaces
N° Catégories de menaces exemple
1 Erreurs humaines ou défaillances Accidents, erreurs d’employés

2 Compromis à la propriété intellectuelle Piraterie, infractions au droit d’auteur

3 Actes délibérés ou espionnage ou intrusion Accès non autorisés et/ou collecte de données

4 Acte délibérés d’extorsion d’information Chantage d’exposition de l’information/communication

5 Actes délibérés ou sabotage/vandalisme Destruction des systèmes /informations

6 Actes délibérés de vols Confiscation illégale de matériels ou d’information

7 Attaques délibérées de logiciels Virus, vers, déni de service

8 Écart de qualité de service du fournisseur de Problèmes d’alimentation et de WAN

service

9 Forces de la nature Incendie, inondation, tremblement de terre, foudre

10 Erreurs ou défaillance techniques du matériel Erreurs ou défaillance de l’équipement

11 Erreurs ou défaillance technique du logiciel Bogues, problèmes de code, échappatoires inconnus

12 Obsolescence technologique Technologies obsolètes ou dépassées

7
Types de menaces: Application
N° Catégories
1 Validation d’entrée
2 authentification
3 autorisation
4 Gestion de la configuration
5 Données sensibles
Menaces
Débordement de mémoire tampon
Injection SQL
Ecoute du réseau
Attaques par force brute
Attaques par dictionnaire
Attaques par rejeu
Elévation de privilèges
Divulgation de données confidentielles
Altération de données
Accès non autorisé à l’interface d’administration
Récupération des données de configuration en texte clair
Manque de responsabilité individuelle
Accès aux données sensibles en stockage
Ecoute du réseau
Altération de données 8
Types de menaces : Application
N° Catégories
6 Gestion de session
7 cryptographie
8 Manipulation de paramètre
9 Gestion des exceptions
10 Audit et journalisation
Menaces
Détournement de session
Man in the middle
Génération de clés faibles ou gestion de clés
Chiffrement faible ou personnalisé
Requête manipulation de chaîne
Manipulation des chaînes de requête
Manipulation de champ de formulaire
Manipulation de cookie
Manipulation de l’entête http
Divulgation d’information
Déni de service
Audit et journalisation
L’Utilisateur refusant d’exécuter une opération
L’Attaquant exploite une application sans laisser de trace
L’Attaquant couvre ses pistes 9
10

Connaissances de Vol, Les attaques de

l'utilisateur du sabotage, virus
Système mauvaise
d'Information utilisation

Systèmes & Le manque de Déchéance de Calamités

Pannes de Réseau documentation la sécurité naturelles et
physique incendies
 11 Conséquence s de la menace

• La divulgation non autorisée

• Répudiation
• Interception
• Perturbation
• Vol
• Corruption
• Inférence
• Obstruction
• Tromperie
• Falsification
• Usurpation

• Parodie
• Détournement
 12
Introduction à la Vulné rabilité s

 La vulnérabilité est une faille ou faiblesse dans les procédures de

sécurité du système.

 Dans le tableau suivant, il est dressé une liste des vulnérabilités du

système (défauts ou faiblesses) qui pourraient être exploitées par les
potentielles sources de menaces .
 13
Les vulnérabilités
vulnérabilités
Les identifiants des employés
licenciés (ID) ne sont pas supprimés
du système
Le pare-feu de la société autorise le
telnet entrant, et l’identifiant de
l’invité est activé sur le serveur XYZ
Le vendeur a identifié des failles
dans la conception de la sécurité du
système; toutefois, de nouvelles
mises à jour n’ont pas été
appliquées au système
Des gicleurs d'eau pour éteindre un
incendie dans le centre de données
; des bâches pour protéger le
matériel et l'équipement des dégâts
de l'eau, ne sont pas en place
Source de menace
Employés licenciés
Les utilisateurs non autorisés (par
exemple, les pirates, les employés
licenciés, les criminels informatiques,
terroristes)
Les utilisateurs non autorisés (par
exemple, les pirates, les employés
licenciés, les criminels informatiques,
terroristes)
Incendie, personnes négligentes
Action de la menace
Accès distant au réseau de
l’entreprise pour un accès aux
données propriétaires de l’entreprise
Usage de telnet sur le serveur XYZ et
navigation dans le système de
fichiers avec l'identifiant d’invité
Obtenir un accès non autorisé aux
fichiers sensibles du système en se
basant sur les vulnérabilités connues
du système
Gicleurs d'eau étant activés dans le
centre de données
 14
Type s de vulné rabilité s

• Matériel
• sensibilité à l'humidité
• sensibilité à la poussière
• sensibilité à la salissure
• sensibilité à l'entreposage non protégé
• Logiciel
• Tests insuffisants
• Manque de piste d'audit
 15
Type s de vulné rabilité s

• Réseau
o Lignes de communication non protégés
o Architecture de réseau non sécurisé

• Personnel
o Processus de recrutement inadéquat
o Sensibilisation à la sécurité insuffisante

• Site
o Région sujette à des inondations
o Source d'énergie peu fiable

• Organisationnel
o manque de vérification régulière
o absence de plans de continuité
 16
Ide ntifie r le s vulné rabilité s du systè me

 Les méthodes recommandées pour l'identification des vulnérabilités du

système:

1) L'utilisation de sources de vulnérabilité

2) La performance des tests de sécurité du système

3) Le développement de la sécurité : liste de contrôle des exigences

 17
Ide ntifie r le s vulné rabilité s du systè me

 Il convient de noter que les types de vulnérabilités qui existent, et la

méthodologie nécessaires pour déterminer si les vulnérabilités sont
présentes, sera généralement variée en fonction de la nature du
système informatique et la phase où il est :
1) Si le système informatique n'a pas encore été conçu, la recherche de vulnérabilités
devrait se concentrer sur les politiques de sécurité de l'organisation, les procédures de
sécurité prévues, et les définitions des exigences du système, et les analyses des
vendeurs ou des développeurs de produits de sécurité (par exemple, des livres blancs).
 18
Ide ntifie r le s vulné rabilité s du systè me

2) Si le système informatique est mis en œuvre , l'identification des vulnérabilités doit être
élargie pour inclure des renseignements plus précis, tels que les caractéristiques de sécurité
prévues décrites dans la documentation de conception de la sécurité et les résultats du test
de certification du système et de l'évaluation.

3) Si le système informatique est opérationnel, Le processus d'identification des vulnérabilités

devrait inclure une analyse des caractéristiques de sécurité informatique du système et les
contrôles de sécurité, techniques et de procédure, utilisés pour protéger le système.
 19
Le s source s de vulné rabilité

 Précédente documentation sur l'évaluation des risques du système

informatique ;
 Rapports d'audit du système informatique, les rapports d'anomalies du
système, les rapports d'examen de sécurité, et de test du système et les
rapports d'évaluation ;
 Listes de vulnérabilités ;
 Avis de sécurité de sites différents CIRT;
 Avis du vendeur;
 Analyses du système de logiciels de sécurité.
 20
Causes de s vulné rabilité s

• Complexité
• Familiarité
• Connectivité
• Faille de gestion de mots de passe
• Fondamentaux des failles du système d'exploitation
• Internet
• Bogues des logiciels
• Accès d'utilisateur non contrôlé
• Ne pas apprendre de ses erreurs passées
 21
La ré duction de s vulné rabilité s

• Programmation correcte • Utilisation de logiciels

• Documentation authentiques

• Cryptographie • Outil automatisé de balayage

• Conscience de vulnérabilité

• Audit • Test de sécurité et d'évaluation

• Application des patches • Test de pénétration

 22
Vulné rabilité s : me sure s de sé curité

• Contrôles d'accès du compte utilisateur

• Systèmes de détection d'intrusion

• Les pare-feu

• Mécanisme de journalisation correcte

• Une bonne sécurité physique

• Onduleurs

• Assurance
 23
Résumé
• Une menace, c’est ce que l'homme fait ou tout acte de la nature qui a le
potentiel de causer des dommages.

• Les vulnérabilités sont des failles ou des faiblesses qui peuvent être
déclenchées accidentellement ou intentionnellement exploitée.

• Les menaces, les vulnérabilités et les risques sont directement

proportionnelles l’un à l'autre.
 Questions de révision
24

1. Citez cinq (5) types de menaces?

2. Citez deux (2) conséquences de la menace?

3. En supposant qu’un utilisateur identifie la présence d’un bogue dans votre

programme qui peut permettre l'exécution de code à distance. Est-ce une
menace ou une vulnérabilité. Si oui, pourquoi?

4. Identifier les menaces et les vulnérabilités possibles d'un bureau qui n'a pas
de mécanisme d'accès et permettant la gestion d’un logement de quinze (15)
chambres.