Vous êtes sur la page 1sur 54

Etablissement Inter – Etats d’Enseignement Supérieur

CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA


BP: 13719Yaoundé (Cameroun) Tel. (237) 22 72 99 57
Site web: www.iai-cameroun.com E-mail: iaicameroun@yahoo.fr

COURS DE SECURITE INFORMATIQUE


(Classes : GL2A & GL2B durée : 30 heures Année académique : 2016-2017)

Enseignant : M. SALABESSIES Pacôme Ignace

Objectifs généraux du cours


Le but de ce cours consiste à :

- Se familiariser avec les concepts de la sécurité informatique.


- Connaitre et implémenter quelques techniques de sécurité réseaux et Systèmes
- Connaitre quelques risques liés aux attaques sur les systèmes d'information.
- identifier les menaces de sécurité qui pèsent sur les réseaux d'entreprise et de décrire les
méthodes permettant d'y faire face.
- Connaître les différents services de sécurité.
- Connaitre et implémenter quelques outils utilisés pour lutter contre les attaques

Programme

Chapitre 1 : Généralité sur la sécurité informatique (les concepts de sécurité)

Chapitre 2 : la sécurité réseau

Chapitre 3 : La sécurité système

Chapitre 4 : les vulnérabilités et les techniques d’attaques


Objectifs spécifiques: permettre aux étudiants de connaitre le but et quelques concepts de base de
sécurité

Contenu :

- Connaitre ce que c’est que la sécurité informatique


- Maitriser les concepts de base de sécurité
- Connaitre la démarche de sécurité

Introduction
La sécurité des informations a toujours constitué un enjeu majeur dans les relations entre les hommes.
L’information est au centre de toutes les communications et par conséquent toute entité possédant cette
ressource fondamentale devrait prendre des précautions pour s’en protéger. L’évolution de la
technologie et particulièrement l’informatique a accentué davantage la méfiance qui existe dans les
relations humaines. Nous vivons aujourd’hui dans un monde où toute transaction ou échange
d’information doit être garantie d’une mesure de sécurité.

1. Définition de la notion de sécurité


La sécurité d’une manière générale est un ensemble de techniques et moyens mis en place pour
empêcher à une personne non autorisée à accéder à une information qui ne lui est pas destinée.

La sécurité informatique consiste à protéger des systèmes, des services, des données contre des menaces
accidentelles ou volontaires (délibérées) tout en conservant leur confidentialité, leur intégrité et leur
disponibilité. Elle consiste également à mettre en place des politiques de sécurité dans le but de limiter le
risque informationnel. Elle permet :

- De prévenir un système d’information des attaques multiformes (gestion des risques)


- D’empêcher qu’une attaque prenne effet (supervision (IDS))
- De maintenir un système informatique en état de fonctionner normalement dans le but de
restreindre l’accès à certaines informations aux utilisateurs autorisés à les consulter.
- D’éviter le pire

2. Autres définitions
- Un système est une combinaison de procédés destinés à produire un résultat
- Un système informatique est l’ensemble d’équipements informatiques mis en commun dans le
but de traiter l’information
- Un système d’information est l’ensemble des éléments participant à la gestion, au traitement, au
transport, au stockage et à la diffusion de l’information au sein d’une organisation
- L’information veut dire renseignement ou élément de connaissance susceptible d’être
représentée sous forme adaptée à un enregistrement ou à la communication d’un message
- Une donnée est une représentation conventionnelle d’une information sous une forme convenant
à son traitement par un système numérique.

3. Les concepts de base de sécurité


La sécurité informatique repose sur les services de base suivants :

 La confidentialité

 L’intégrité

 La disponibilité

 L’authentification

 La non répudiation

Toute manipulation de l’information doit tenir compte de ces critères. Ces concepts constituent donc les
fondamentaux de la sécurité.

On peut aussi citer des critères secondaires tels que le contrôle d’accès et la traçabilité. Tout système doit
pouvoir vérifier l’identité et les droits d’un utilisateur afin de l’admettre dans le système et Permettre de
savoir qui a fait quoi.

3.1. La confidentialité
C’est la Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou
processus non autorisés.

3.2. L'intégrité
C’est la Garantie que le système et l’information traitée ne soient modifiés que par une action volontaire
et légitime.

3.3. La disponibilité
C’est la Capacité à assurer le fonctionnement sans interruption, délai ou dégradation, au moment où la
sollicitation en est faite.

3.4. L’Authentification
Elle permet de vérifier l'identité revendiquée par une entité, ou l'origine d'un message, ou d'une donnée.

3.5. La non répudiation


Cette propriété Permet de se protéger contre la contestation d'envoi et de réception de données lors
d'une communication

Parmi les services cités ci-dessus on peut les restreindre en trois principaux et incontournables en
sécurité : il s’agit de la confidentialité, l’intégrité et la disponibilité

4. But de la sécurité
La sécurité informatique a pour but de garantir pour une information donnée les services de base de la
sécurité vus précédemment. Elle renvoie à une chaine de valeurs constituée des utilisateurs, des
informations et du matériel qui doivent être protégés afin de garantir la sécurité du système
d’information.

5.1. La démarche de sécurité :


5.1. La prévention
La prévention de la sécurité passe par les étapes suivantes

Etape1 : analyser et évaluer votre système, l’objectif c’est de dire quel risque, quelle menace pèse sur le
système, il faut donc ressortir la cartographie des risques ;

Etape2 : recherche des parades (qu’est-ce que je sécurise, quand et comment) ;

Etape3 : définir la politique de sécurité qui se présente sous forme d’un cahier de charge qui fixe les
normes de la sécurité

Etape4 : mettre en œuvre les protections

Etape5 : faire la mise à jour

5.2. La détection
- détection des attaques : on utilise ici des outils de détection d’intrusion

Exemple : SNORT, NAGIOS

5.3. La réaction
Il s’agit de réagir aux attaques mais le plus important est la rapidité de la réaction afin d’éviter le pire

Exemple : fermeture des ports, débrancher les câbles réseaux, faire une analyse antivirale,
renforcer les mesures de sécurité des pares feu,…

6. Notion de politique de sécurité


Les politiques de sécurité définissent la démarche ou la méthode utilisée pour réduire le risque. Les
politiques de sécurité sont dictées par les cadres supérieurs de l’entreprise décrivant le rôle de la sécurité
au sein de l'entreprise afin d'assurer les objectifs d'affaire.

Pour mettre en œuvre ces politiques, il faut qu’une bonne organisation soit mise en place et que les rôles,
les responsabilités et les imputabilités des uns et des autres soient bien définis

Conclusion
On peut remarquer que la sécurité informatique renvoie à une chaine de valeurs constituée de plusieurs
maillons. Chaque maillon est un élément plus ou moins vulnérable du système qu’il faut protéger. Le
maillon le plus essentiel dans cette chaine est l’homme, c’est lui qui est au centre de tout et par
conséquent ses capacités à renforcer le système doivent être améliorées en tout temps. Le but principal
de la sécurité est de protéger l’information. Cette information doit être transmise par des canaux sures
afin d’en garantir la confidentialité, raison pour laquelle La sécurité réseau en ait donc une nécessité.
Objectifs spécifiques: permettre aux étudiants de comprendre la sécurité réseau et d’implémenter
quelques solutions

Contenu :

À la fin de ce cours, l’étudiant doit être à mesure de :

- Comprendre le fonctionnement de quelques techniques de sécurité réseaux


- Connaitre comment configurer les VPN, les listes de contrôle d’accès, les VLAN et les pare feu

Introduction
Les réseaux informatiques permettent aujourd’hui à toute entité de pourvoir communiquer avec n’importe quelle
autre à travers le monde. Il faut cependant trouver des solutions non seulement pour protéger les communications
mais aussi les différentes ressources partagées du réseau. Le but de ce cours est donc de connaitre ces solutions et
de pouvoir les implémenter.

1. Principe générale
On sécurise un réseau informatique pour protéger les ressources qui en font partie, on peut citer des serveurs, des
routeurs, des postes de travail et des informations diverses capitales pour l’entreprise. La sécurité est d’abord
interne avant d’être externe. L’on doit d‘abord commencer à craindre son collègue de bureau avant de craindre
l’ennemi de l’extérieur. La sécurité réseau est basée sur les droits d’accès qu’ont des utilisateurs par rapport aux
ressources du réseau. Lorsqu’une ressource est partagée, les restrictions et les autorisations s’imposent aux
différents utilisateurs par rapport à cette ressource. Il en va de même avec le réseau tout entier. Ce dernier doit
être protégé contre toutes les menaces qui pèsent sur lui. Des politiques de sécurité doivent être déployés afin de
restreindre l’accès aux personnes non autorisées

2. Les techniques de sécurité réseaux


2.1. La segmentation
La segmentation apporte de la souplesse dans la gestion d’un réseau, elle permet de réduire les domaines de
collision et optimise les performances du réseau. Du point de vu sécurité, le découpage d’un réseau en plusieurs
sous réseau réduit fondamentalement les menaces qui pèsent dans un réseau. Avec cette politique les utilisateurs
sont logiquement séparés, l’accès aux ressources est mieux contrôlé et il est par conséquent facile d’appliquer des
politiques de sécurité en fonction des groupes de personnes.

 Formule de calcul

Nombre de sous-réseau (Nsr) : 2n n représente le nombre de bits empruntés à la partie réseau

Nombre d’ hôte par sous-réseau (Nh) : 2h-2 h représente le Nombre de bit restant de la partie hôte.

Exercice :
Soit l’adresse 192.168.4.0/255.255.255.0, segmenter cette adresse en sous réseaux de 41 hôtes

11111111.11111111.11111111.11000000

Nombre de sous réseaux : 22=4 nombre d’hôtes par sous réseaux : 26-2=62 PAS de sous réseaux :64

Sous réseaux Masque de sous Adresses de Plage d’hôtes utilisables


réseaux broadcast
192.168.4.0 255.255.255.192 192.168.4.63 192.168.4.1 à 192.168.4.62
192.168.4.64 255.255.255.192 192.168.4.127 192.168.4.65 à 192.168.4.126
192.168.4.128 255.255.255.192 192.168.4.191 192.168.4.129 à 192.168.4.190
192.168.4.192 255.255.255.192 192.168.4.255 192.168.4.193 à 192.168.4.254

 Formule magique

n 8

r q

n représente le nombre après le slash, q le nombre d’octet fixe de la partie réseau et r le nombre de bit emprunté
pour la partie réseau

exemple

Exemple d’application: segmenter l’adresse 192.17.0.0/18, présenter dans un tableau les adresses de sous réseaux,
de broadcast, le masque de SR et la plage d’adresses

18 8

2 2

Nombre de SR = 𝑁𝑆𝑅 = 22 = 4

Pas Masque de SR = = 8 − 2 = 6 ⟹ Pas de SR = 26 = 64

Masque de SR = 256 − 26 = 192 𝑙𝑎 𝑣𝑎𝑟𝑖𝑎𝑡𝑖𝑜𝑛 𝑠 ′ 𝑒𝑓𝑓𝑒𝑐𝑡𝑢𝑒 à 𝑝𝑎𝑟𝑡𝑖𝑟 𝑑𝑢 3è𝑚𝑒 𝑜𝑐𝑡𝑒𝑡

𝑑𝑜𝑛𝑐 Masque de SR = 255.255.192.0

Adresse de
Adresse de SR Masque de SR Plage d’adresses uilisables
broadcast
192.17.0.0 255.255.192.0 192.17.0.1 à 192.17.63.254 192.17.63.255
192.17.64.0 255.255.192.0 192.17.64.1 à 192.17.127.254 192.17.127.255
192.17.128.0 255.255.192.0 192.17.128.1 à 192.17.191.254 192.17.191.255
192.17.192.0 255.255.192.0 192.17.192.1 à 192.17.255.254 192.17.255.255
Exemple d’application: segmenter l’adresse 10.0.0.0/19, présenter dans un tableau les adresses de sous réseaux,
de broadcast, le masque de SR et la plage d’adresses

Solution

19 8

3 2

Nombre de SR = 𝑁𝑆𝑅 = 23 = 8

Pas Masque de SR = = 8 − 3 = 5 ⟹ Pas de SR = 25 = 32

Masque de SR = 256 − 25 = 224 𝑙𝑎 𝑣𝑎𝑟𝑖𝑎𝑡𝑖𝑜𝑛 𝑠 ′ 𝑒𝑓𝑓𝑒𝑐𝑡𝑢𝑒 à 𝑝𝑎𝑟𝑡𝑖𝑟 𝑑𝑢 3è𝑚𝑒 𝑜𝑐𝑡𝑒𝑡

𝑑𝑜𝑛𝑐 Masque de SR = 255.255.224.0

Adresse de
Adresse de SR Masque de SR Plage d’adresses
broadcast
10.0.0.0 255.255.224.0 10.0.0.1 à 10.0.31.255 10.0.31.255
10.0.32.0 255.255.224.0 10.0.32.1 à 10.0.63.255 10.0.63.255
10.0.64.0 255.255.224.0 10.0.64.1 à 10.0.95.255 10.0.95.255
10.0.96.0 255.255.224.0 10.0.96.1 à 10.0127.255 10.0127.255
10.0.128.0 255.255.224.0 10.0.128.1 à 10.0.159.255 10.0.159.255
10.0.160.0 255.255.224.0 10.0.160.1 à 10.0.191.255 10.0.191.255
10.0.192.0 255.255.224.0 10.0.192.1 à 10.0.223.255 10.0.223.255
10.0.224.0 255.255.224.0 10.0.224.1 à 10.0.255.255 10.0.255.255

Exercices à faire à domicile

Execice1

Segmenter les réseaux suivants

- 11.0.0.0/10
- 15.0.0.0/25
- 13.14.0.0/29

Exercice2

a) quel réseau appartient l’adresse 192.168.100.25/30


b) Quel est le broadcast de 192.168.162.10/29
c) Quelle est la quantité d’hôte disponible pour une adresse de C avec /29

1. L’adressage VLSM (principe et segmentation)


VLSM signifie Variable Length Subnet Mask c’est-à-dire masque de sous-réseaux à longueur variable. C’est une
technique utilisée pour optimiser la gestion des adresses IP dans un réseau. Pour mieux comprendre le VLSM, nous
allons l’appliquer dans un cas pratique qu’on rencontre généralement en entreprise.

Exercice d’application :
Une entreprise est constituée de 3 départements : le département administratif ( 59 personnes), de production (25
personnes) et commercial (78 personnes). Le directeur général veut que chaque département soit dans un sous-
réseau différent des autres et qu’il est possible que d’autres départements soient créés au fur et à mesure de
l’évolution de l’entreprise. On vous demande de segmenter le réseau 192.168.30.0/24 en respectant la politique du
directeur général.

Solution

2.2. Les VLAN


VLAN signifie Virtual LAN c’est-à-dire réseau local virtuel. C’est un réseau logique de niveau 2. Il permet de
découper un seul réseau local en des réseaux logiques totalement disjoints et aussi de regrouper les utilisateurs qui
ont besoins d’accéder aux mêmes ressources. Elle permet d’augmenter la sécurité et mieux gérer les
communications dans le réseau.

a) Les types de VLAN


Il existe principalement trois types de VLAN

 Les Vlan par port (Vlan de niveau 1) :

On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée
par la connexion de la carte réseau à un port du commutateur. Les ports sont donc affectés statiquement à un
VLAN. Si on déplace physiquement une station il faut désaffecter son port du Vlan puis affecter le nouveau port de
connexion de la station au bon Vlan. Si on déplace logiquement une station (on veut la changer de Vlan) il faut
modifier l’affectation du port au Vlan.

 Les Vlan par adresse MAC (Vlan de niveau 2) :

On affecte chaque adresse MAC à un VLAN. L’appartenance d’une trame à un VLAN est déterminée par son adresse
MAC. En fait il s’agit, à partir de l’association Mac/VLAN, d‘affecter dynamiquement les ports des commutateurs à
chacun des VLAN en fonction de l’adresse MAC de l’hôte qui émet sur ce port. L'intérêt principal de ce type de
VLAN est l'indépendance vis-à-vis de la localisation géographique. Si une station est déplacée sur le réseau
physique, son adresse physique ne changeant pas, elle continue d’appartenir au même VLAN (ce fonctionnement
est bien adapté à l'utilisation de machines portables). Si on veut changer de Vlan il faut modifier l’association Mac /
Vlan.

 Les Vlan par adresse de Niveau 3 (VLAN de niveau 3) :

On affecte une adresse de niveau 3 à un VLAN. L’appartenance d’une trame à un VLAN est alors déterminée par
l’adresse de niveau 3 ou supérieur qu’elle contient (le commutateur doit donc accéder à ces informations). En fait,
il s’agit à partir de l’association adresse niveau 3/VLAN d‘affecter dynamiquement les ports des commutateurs à
chacun des VLAN. Dans ce type de VLAN, les commutateurs apprennent automatiquement la configuration des
VLAN en accédant aux informations de couche 3.

Il existe également un autre type de VLAN appelé VLAN par protocoles C’est à dire qu’on associe une trame à un
Vlan en fonction du protocole qu’elle transporte. On va par exemple définir l’appartenance à un VLAN à un
protocole particulier : un VLAN pour IP, un autre VLAN pour le trafic Appletalk.
b) Configuration des VLAN
Pour configurer des VLAN on procède de la manière suivante :

Étape1 : on crée les VLAN

Étape2 : on attribue les ports du switch aux VLAN créés

Étape4 on active le mode trunk sur l’interface du Switch où se fera le trunkage des VLAN,

Étape3 : on affecte les adresses IP aux VLAN

Étape5 : fait du routage inter VLAN : pour faire du routage, on active au préalable l’interface du routeur où se fera
l’interconnexion des VLAN et enfin faire de l’encapsulation pour chacun des vlan

c) Les commandes
Un switch dispose d’un vlan par défaut qui est le VLAN 1 appelé VLAN NATIVE, il contient tous les ports par défaut

Création de VLAN
 Switch#vlan database
 Switch(config)#vlan id_vlan name nom_vlan
 Switch#conf t
 Switch(config)#vlan id_vlan
 Switch(config-vlan)#name nom_vlan
Attribution des ports aux VLAN
 Switch#conf t
 Switch(config)#interface fastethernet 0/5(par exemple)(pour l’attribution de plusieurs ports à la fois saisir
la commande:interface range fastethernet0/5-0/10 par exemple)
 Switch(config-if)#switchport mode access(pour le mode access)
 Switch(config-if)#switchport access id_vlan
 Switch(config-if)#no shutdown
Routage inter VLAN

Activer d’abord l’interface du routeur

 Routeur#conf t
 Routeur(config)#interface fastethernet 0/0(par exemple)
 Routeur(config-if)#no shutdown
 Faire l’encapsulation
 Routeur#conf t
 Routeur(config)#interface fastethernet 0/0.id_vlan
 Routeur(config-subif)#encapsulation dot1q id_vlan
 Routeur(config-subif)#ip address 192.168.0.254 255.255.255.0
 Routeur(config-subif)#no shutdown
 Routeur(config-subif)#end
Faire du routage avec la commande « ip route » ou avec celle du protocole utilisé
 ip route 0.0.0.0 0.0.0.0 adr_IP_interface_VLAN
Enregistrement des configurations
 Routeur#copy running-config startup-config
Mettre les passerelles sur chacune des machines connectées au vlan
d) Implémentation
LAB1

Soit la figure ci-dessous

Création de VLAN

Switch>en

Switch#vlan database

Switch(vlan)#vlan 10 name gl2a

VLAN 10 added:

Name: gl2a

Switch(vlan)#vlan 20 name gl2b

VLAN 20 added:

Name: gl2b

Switch(vlan)#exit

APPLY completed.

Exiting....

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh
Switch(config-if)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/3

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/5

Switch(config-if)#switchport mode trunk

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#
Création des sous-interfaces au niveau du routeur

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int f0/0

Router(config-if)#no sh

Router(config-if)#exit

Router(config)#int f0/0.10

Router(config-subif)#encapsulation dot1Q 10

Router(config-subif)#ip address 192.168.1.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#exit

Router(config)#int f0/0.20

Router(config-subif)#encapsulation dot1Q 20

Router(config-subif)#ip address 192.168.2.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#

On adresse les PC en renseignant les passerelles

Un PC du VLAN etudiant
Un PC du VLAN prof

Adressage d’un PC du VLAN admin

Ping d’un PC du VLAN 20 à un PC du VLAN 10


LAB2

CONFIG SWITCH SERVEUR

Switch>en

Switch#vlan database

Switch(vlan)#vtp domain IAI

Changing VTP domain name from NULL to IAI

Switch(vlan)#VTp server
Device mode already VTP SERVER.

Switch(vlan)#vlan 10 name gl2a

VLAN 10 added:

Name: gl2a

Switch(vlan)#vlan 20 name gl2b

VLAN 20 added:

Name: gl2b

Switch(vlan)#exit

APPLY completed.

Exiting....

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/3

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/5

Switch(config-if)#switchport mode trunk

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4
Switch(config-if)#switchport mode trunk

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/4, changed state to up

Switch(config-if)#switchport trunk allowed vlan all

Switch(config-if)#no sh

Switch(config-if)#end

%SYS-5-CONFIG_I: Configured from console by console

Switch#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#hostname switchserveur

switchserveur(config)#

CONFIG SWHITCH VTP CIENT

Switch(vlan)#vtp domain IAI

Domain name already set to IAI.

Switch(vlan)#vtp client

Setting device to VTP CLIENT mode.

Switch(vlan)#vlan 20 na

Switch(vlan)#vlan 20 name gl2b

Apply not allowed when device is in CLIENT state.

Switch(vlan)#vlan 10 name gl2a

Apply not allowed when device is in CLIENT state.

Switch(vlan)#exit

APPLY completed.

Exiting....

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#int f0/1

Switch(config-if)#switchport access vlan 10

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/2

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/3

Switch(config-if)#switchport access vlan 20

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#int f0/4

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport trunk allowed vlan all

Switch(config-if)#no sh

Switch(config-if)#exit

Switch(config)#HOS

Switch(config)#HOStname SWITCHCLIENT

SWITCHCLIENT(config)#

CONFIG ROUTEUR

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int f0/0

Router(config-if)#no sh
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router(config-if)#exit

Router(config)#int f0/0.10

%LINK-5-CHANGED: Interface FastEthernet0/0.10, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.10, changed state to upRouter(config-


subif)#en

Router(config-subif)#encapsulation dot1Q 10

Router(config-subif)#ip address 192.168.1.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#exit

Router(config)#int f0/0.20

%LINK-5-CHANGED: Interface FastEthernet0/0.20, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0.20, changed state to upRouter(config-


subif)#enc

Router(config-subif)#encapsulation dot1Q 20

Router(config-subif)#ip address 192.168.2.254 255.255.255.0

Router(config-subif)#no sh

Router(config-subif)#exit

Router(config)#

Projet 1 : découpage d’un réseau en Vlan

2.3. Les listes de contrôle d’accès


2.3.1. Définition
Les listes de contrôle d’accès (ou ACL) sont des instructions qui s’appliquent sous forme de règles supplémentaires
sur les paquets reçus et transmis par le routeur. Elles sont très utilisées pour sécuriser le trafic dans un réseau.(((
Les instructions in, out, permit, deny, implicit deny, host, any sont les plus utilisées.))))

2.3.2. Algorithme de vérification


• Lorsque le routeur détermine s'il doit acheminer ou bloquer un paquet, l’IOS examine le paquet en
fonction de chaque instruction dans l'ordre dans lequel les instructions ont été créées.
• Si le paquet arrivant à l’interface du routeur satisfait à une condition, il est autorisé ou refusé (suivant
l’instruction) et les autres instructions ne sont pas vérifiées.
• Si un paquet ne correspond à aucune instruction dans l’ACL, le paquet est rejeté. ((((Ceci est le résultat de
l’instruction implicite deny any à la fin de chaque ACL.)))))

2.3.3. Types d’ACL


On distingue principalement deux types d’ACL : les ACL étendus et les ACL standards.

 Les ACL standards

Le filtrage est basé uniquement sur les adresses IP sources, on ne tient pas compte des services. Tout flux en
provenance d’une adresse IP dont l’ACL interdit l’accès sera tout simplement rejetté. Les ACL standards utilisent
les numéros de ports compris entre 1 et 99 et entre 1300 à 1999

 Les ACL étendus

En plus des adresses IP, les ACL étendus filtrent également les numéros de ports et les protocoles. Elles utilisent les
numéros de ports compris entre 100 et 199 et entre 2000 et 2699

Listes d’accès Appletalk 600 à 699

Listes d’accès IPX standard 800 à 899

Listes d’accès IPX étendues 900 à 999

Listes d’accès IPX SAP 1000 à 1099

3. Notion de masque de bits générique (WILCARD)


Un masque générique est un numéro tout comme une adresses IP qui permet d’ identifier une adresse unique ou
plusieurs adresses dans le but d'effectuer des vérifications visant à accorder ou interdire l'accès. Entre d’autres
termes le masque générique (WILCARD) est l’inverse du NETMASK. Dans un masque générique, 0 signifie " vérifier
la valeur du bit sur l’adresse IP de référence, " 1 signifie " ne pas vérifier (ignorer) la valeur du bit sur l’adresse IP de
référence

Pour déterminer le masque générique on applique la formule 𝑊 = 255.255.255.255 − 𝑀𝑎𝑠𝑞𝑢𝑒 𝑑𝑒 𝑠𝑜𝑢𝑠 𝑟é𝑠𝑒𝑎𝑢

1. Quel est le masque générique de chacune des addresses IP suivantes : 121.46.14.5/27 ; 228.98.53.119/23 ;
Rep 121.46.14.5/27 a pour masque 255.255.255.248 W = 0.0.0.7
228.98.53.119/23 a pour masque 255.255.254.0 = 0.0.1.255
2. Quelle est le masque générique de la plage d’adresse suivante : 196.200.221.8/29 – 196.200.221.15/29

Rep : Le bloc deviens 196.200.221.8 0.0.0.7

Pour spécifier une machine on renseigne son adresse IP suivie de 0.0.0.0 comme Wildmask

Exemple : 196.200.221.1 0.0.0.0

- Pour spécifier tous les hôtes d’un réseau /24 on renseigne une adresse IP du réseau suivi de 0.0.0.255

Exemple : 196.200.220.1 0.0.0.255

Les commandes host et any

• Ces deux commandes sont des abréviations permettant de simplifier la lecture ainsi que l’écriture des listes

de contrôle d’accès :
- any : n’importe quelle adresse (équivaut à 0.0.0.0 255.255.255.255)

- host : abréviation du masque générique Ex: host 172.16.33.5 équivaut à 172.16.33.5 255.255.255.255

4. Syntaxe des ACL


D’une manière générale, les ACL se codent sur deux lignes, si on permet un paquet à la première ligne, on deny à
la 2ème et inversement

- ACL standard
access-list n°_ACL {deny | permit} adresse d’origine masque générique
access-list n°_ACL {deny | permit} any
interface [interface]
ip access-group N°_ACL {in | out}

- ACL étendu
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
access-list N°_ACL {permit | deny} protocol adresse_IP_origine masque_générique adresse_destination
masque_générique operateur_operande [N°_port]
interface [interface]
ip access-group access-list-number {in | out}

Operateur operande : lt, gt, eq neq suivi d’un numéro de port

Lt pour lower than (plus petit que)

Gt pour greater than (plus grand que)

Eq pour equal (égal à)

Neq pour non equal (différent de)

Established permet au trafic TCP de passer si les bit ACK sont activées.

- ACL nommés
access-list {standard | extended} nom_ACL instructions

Exemple
1. On veut interdire au réseau « Invité » d’accéder au réseau « Comptabilité »
2. Interdire l’hôte ayant l’adresse 192.168.10.5 /29 d’accéder à internet

Exercice 2

1. Interdire au stagiaire d’accéder au serveur TFTP (utiliser une ACL étendue)


2. Faire la même question que la précédente mais en utilisant une ACL nommée

Solution

1.
- access-list 100 deny udp host 212.16.23.6 host 10.23.4.6 eq tftp
- access-list 100 permit ip any any
- int e0
- ip access-group 100 out
2.
- access-list extended Stagiaire deny udp host 212.16.23.6 host 10.23.4.6 eq tftp
- access-list Stagiaire permit ip any any
- ip access-group Stagiaire out

3.1. Les VPN


Un VPN est un réseau privé virtuel Qui permet à plusieurs postes distants de communiquer de manière sure tout en
empruntant un reseau public. Ce type de réseau est né du besoin des entreprises d’interconnecter leurs sites de
façon simple et économique

3.1.1. Principe de fonctionnement des VPN


Le principe repose sur le protocole de tunnelisation dont le rôle est d’établir sur un réseau public un canal virtuel
privé. En réalité, les données partant d’un nœud local vers un autre sont chiffrés à l’aide d’un crypto système

3.1.2. Les différents types de VPN


- Les sites to site VPN ou VPN intranet
- Les VPN d’accès
Utilisé pour connecter un utilisateur itinérant au réseau d’entreprise. en déplacement. Un client VPN
accède aux ressources de l’entreprise indépendemment de sa localisation géographique. ((((Vous
pouvez être aux USA et configurer le serveur d’entreprise qui se trouve au cameroun))))
- Les VPN d’extranet
3.1.3. Connecter l’entreprise aux réseaux des partenaires
I- Les protocoles VPN

Ils sont classés en fonction de leur position sur le modèle OSI

Couche 2 :

- PPTP point to point tunneling protocol


- L2TP layer tunneling protocol
- PPP Point to point protocol
- VLAN virtual local area network

Couche 3

- IPsec internet protocol security


- MPLS: multi-protocol label switching

Couche 4

- TLS: transport layer security

En quoi IPsec est plus sécurisé que IP: avec IP les informations circulent en clair, aucun chiffrement n’est appliqué
aux données alors qu’avec IPsec les données sont chiffrées.

Le protocole PPP (point to point protocol) : c’est un protocole de la couche2 adapté pour les transmissions grande
distance. Il permet de transporter les données sur un lien synchrone ou asynchrone. Il est full duplex et l’ordre
d’arrivée des trames. Le protocole PPP n’est pas sécurisé mais sert de support au protocoles L2TP et PPTP.

Le protocole PPTP

Le protocole PPTP (point to point tunneling protocol) est un protocole qui utilise le protocole PPP à travers un
réseau IP sur un tunnel VPN. Il utilise deux protocoles d’authentification :

- le PAP (password accès protocol),


- le CHAP (challenge access protocol) il s’appuit sur le secret partagé, il n’y a pas de communication de mot
de passe

le role de PPTP est de chiffrer la trame PPP avant de l’envoyer. Il chiffre en réalité le paquet IP qui est contenu dans
la trame (((puisqu’il n’y a pas ré encapsulation))))

Le protocole L2TP

Il est issu de la convergence de PPTP et L2F (layer two forwarding. Il permet l’encapsulation des paquets PPP au
niveau de la couche 2 (frame relay et ATM) et de la couche3

3.1.4. LE PROTOCOLE IPSEC


C’est un protocole qui vise l’échange sécurisée des données de niveau 3. Les données sont rendues inintelligibles
par un algorithme de chiffrement qui permettent une transmission sécurisée de ces données dans le réseau public

IPsec a deux mécanismes : le premier est basé sur AH (authentification header), le deuxième sur ESP (
encapsulation security protocol)

AH fournit les service d’intégrité et d’authenticité du datagramme IP. Il est lié à chaque paquet IP.
ESP permet de combiner plusieurs services de sécurité à savoir la confidentialité et l’intégrité, l’unicité des paquets
également.

3.1.5. Les modes de VPN


Le mode transport : il est adapté pour les transmissions point à point, la caractéristique principale est que l’en-tête
IP initial ne change pas.

Le mode tunnel : on chiffre tout le paquet IP c’est-à-dire l’en-tête et les données. Celui qui intercepte le paquet en
route est incapable de savoir à qui est destiné le paquet

Le protocole d’établissement et de gestion du tunnel sécurisé

- ISAKMP (internet security association key management protocol) : son rôle est d’établir, de modifier, de
gérer et de supprimer les SA
- Le protocole IKE (internet exchange est le protocole qui permet de négocier la connexion) une fois que la
SA est mise sur pied

Gestion du flux

Les flux IPsec sont gérés unidirectionnelement. Ainsi, une communication bidirectionnelle entre deux machines
utilisant IPsec sera défini par divers processus on chacun des sens de la communication

- Security policy : une SP definit ce qui doit être traité sur un flux, comment nous pouvons transporter un
paquet ? il y sera donc indiqué pour un flux de données :
 L’adresse IP de l’emetteur et du recepteur (unicast, broadcast ou multicast)
 L’indication sur le mecanisme IPsec qui sera utilisé (AH ou ESP)
 Le mode de VPN qui sera utilisé (mode transport ou mode tunnel)
 Le sens de la liaison entrante ou sortante
- Security association (SA) : une SA definit comment sera traité le paquet en fonction de sa SP associé. Elles
ne sont que la réalisation de la SP. Elle possède l’ensemble des propété de la liaison ainsi elle sera
representée par une structure de données contenant les informations suivantes :
 Un compteur permettant de gérer les numéros de séquence des en-têtes AH et ESP
 Un flag
 Une fenêtre d’anti répétition
 Les informations sur l’en-tête AH (algorithme d’authentication, clé, durée de vie)
 Les informations sur l’en-tête ESP (algorithme de chiffrement, authentification, les clés…)
 La durée de vie de la SA
 Le MTU (maximum transmission unit)
 L’adresse IP de destination (unicast, multicast, broadcast…)
 Le SPI
- La SPD (Security Policy Database) qui spécifie pour chaque datagramme IP s’il est nécessaire de le protéger
et si oui les services de sécurité à mettre en œuvre.et la SAD
C’est l’administrateur qui configure la SPD
Pour configurer les protocoles de gestion des clés, on utilise les commandes suivantes

Crypto isakmp poli

4. Le MPLS
MPLS signifie Multi Protocol Label-Switching. C’est un protocole qui permet le transport des paquets IP sur des
réseaux travaillant en mode commuté. Il intègre le paradigme de la transmission par commutation de labels couplé
au routage de la couche réseau.

4.1. Principe de fonctionnement

Réseau MPLS

LSR

LER LER
CE1 CE2
SITE A LSR
SITE B

Les paquets IP qui partent d’un réseau A à un réseau B sont labélisés par le routeur d’entrée du réseau MPLS
appelé LER (Label Edge Router). Les routeurs situés dans le cœur du réseau MPLS (encore appelé LSR= Label Switch
Router) utilisent ces labels pour faciliter le routage de ces paquets IP. Le routeur de sortie à son tour va enlever ce
label puis router le paquet vers sa destination. Un label est un numéro (nombre entier) associé à un paquet
lorsqu’il circule dans le réseau MPLS. Le protocole qui attribue ces labels est appelé LDP (Label distribution
protocol)

En réalité les routeurs PE (Provider Edge) reçoivent des routeurs CE des tables de routage et les insèrent dans une
VRF. Une VRF est à peu près comme la table de routage des VPN. Il se crée donc au niveau des VRF des RD(Route
Distinguisher) qui permettront de definir des RT (Route Target) qui ne sont rien d’autres que des routes de VPN.
Dès lors la création des labels MPLS et des labels VPN sera effective en VPNv4 grâce aux RT et ainsi de suite
jusqu’au prochain routeur PE. Au sein du dernier PE du nuage, les RT indiquent vers uels VRF les routes
d’importations sont destinées, ensuite les RD sont retirés des VPNv4 puis attendent leur acheminement vers le CE

4.2. Méthodes d’implémentation


La mise sur pied d’un MPLS/VPN se fait en deux grandes étapes à savoir la mise sur pied du nuage MPLS et la
configuration du VPN entre les custumer Edge (routeur d’entrée des réseaux client)

Création du nuage MPLS

Pour implémenter le nuage MPLS

- On configure les protocoles LDP, MPLS et le protocole de routage intra nuage


- On crée les VRF
- On associe les interfaces aux VRF
- On configure les protocoles de routage dans les VRF
- On adresse les interfaces du routeur sans oublier les interfaces loopback
- On crée les liaisons VPNv4 en configurant le MP-BGP
- On gère la distribution des prefixe
- On crée les sessions VPN entre les routeurs d’extrémités du nuage
- On configure les custumer edge (CE)

Après la création du nuage, on implémente maintenant la politique de sécurité du VPN au niveau des custumer
edge (CE)

4.3. Les commandes


Configuration du protocole MPLS sur les routeurs du nuage

LSR (config)# mpls label protocol ldp

LSR (config)#interface loopback loopback_interface_number

LSR (config-if)# ip add @_ip_loopback mask

Les addresses de loopback sont différentes des addresses d’interface serie, ells ont pour masque de SR
255.255.255.255

LSR (config-if)#exit

LSR (config)#multilink bundle-name authenticated

Configuration des interfaces series du routeur

LSR (config)# int sx/y

LSR (config-if)# ip add @_ip mask

LSR (config-if)# mpls ip

LSR (config-if)# serial restart-delay number_restart-delay

LSR (config-if)# clock rate number_clock-rate

Configuration du protocole OSPF pour le routage intra nuage


Pour LSP

LSR (config)# router ospf process_ID

LSR (config-router)#network @_ip_destination Wildmask area ospf_area_ID

Pour LER

LER (config)# router ospf process_ID

LER (config-router)# log-adjacency-changes

LSR (config-router)#network @_ip_destination Wildmask area ospf_area_ID // on annonce les routes


adjacentes de l’interface

Creation des VRF et assignation des ports

LER (config)# ip vrf forwarding_instance_name

LER (config-vrf)# rd ASN:number

LER (config-vrf)# route-target export ASN:number

LER (config-vrf)# route-target import ASN:number

LER (config)#int sx/y

LER (config-if)#ip vrf forwarding table_name

LER (config-if)# ip add @_ip mask

LER (config-if)# serial restart-delay number_restart-delay

LER (config-if)# clock rate number_clock-rate

Configuration des protocoles de routage dans les VRF

LER (config)#router rip

LER (config)# version 2

LER (config)# address-family ipv4 nom_vrf

LER (config)# redistribute bgp 1 metric 1

LER (config)#network @_ip_rséau_interface (agregée)

LER (config)# network @_ip_rséau_interface (agregée)

LER (config)#no auto-summary

LER (config)#exit-address-family

Creation des liaisons VPNv4 par configuration du MP-BGP

LER (config)# router bgp N°

LER (config-router)# no bgp defaults ipv4-unicast


LER (config-router)# neighbor 3.3.3.3 remote-as 1

LER (config-router)# neighbor 3.3.3.3 update-source loopback N°_loopback

LER (config-router)#address-family vpnv4

LER (config-router)#neighbor 3.3.3.3 activate

LER (config-router)# neighbor 3.3.3.3 activate send-community extended

LER (config-router)#exit

LER (config-router)# address-familly ipv4 nom_vrf

LER (config-router-af)#redistribute rip

On demande également à ce que l’IP source des paquets qui s’échangent entre les pairs BPG soit bien celle de
notre IP de loopback c’est à dire 3.3.3.3 pour LER1

LER (config)# router bgp

LER (config-router)#no bgp default ipv4-unicast

LER (config-router)#Bgp log-neighbor-changes

LER (config-router)#neigbor 3.3.3.3 remote-as 1

LER (config-router)# neighbor update-source lopback 0

LER (config-router)# address-family vpnv4

LER (config-router)# neighbor 3.3.3.3 activate

LER (config-router)#neighbor 3.3.3.3 send-community extended

LER (config-router)#exit-address-family

Gestion de la distribution des prefixes (il faut configure les LER de telle sorte à ce que la distribution des rotes
soit effective mutuellement dans les deux sens entre BGP et OSPF

Redistribution du RIP version2 vers BGP

LER (config)# address-family ipv4 vrf nom_vrf

LER (config)# redistribute rip

LER (config)# No synchonisation

LER (config)# exit-address-family

Redistribution du BGP version2 vers RIP version2

LER (config)# address-family ipv4 vrf nom_vrf

LER (config)#Redistribute bgp 1 metric 1

LER (config)#Network @_ip_reseau_interface


LER (config)#Network @_ip_reseau_interface

LER (config)#No auto-summary

LER (config)#Exit-address-family

Creation des sessions VPN

On configure une session vpn entre LER1 et l’interface loopback 0 de LER2

LER (config)#router ospf 1

LER (config-router)# no network @loopback_routeur_correspondant wildmask area 0

LER (config-router)# network @_loopback_routeur_courant wildmask area 0

Configuration des customer edge

CE (config-)#int s1/0

CE (config-if)# ip address @_ip_interface mask

CE (config-if)#clockrate N°_clockrate

CE (config-if)#no sh

CE (config)#int f2/0

CE (config-if)# ip address @_ip_interface mask

CE (config-if)# no sh

CE (config)#router rip

CE (config-router)# version 2

CE (config-router)# no auto summary

CE (config-router)# network @_reseau-interface_routeur

Mise en oeuvre de la politique de securité

Configuration d’IPsec et d’ISAKMP

CE (config)# crypto isakmp policy N°

CE (config-isakmp)# authentication pre-share

CE (config-isakmp)# crypto isakmp key 0 cenadi address 0.0.0.0 0.0.0.0

CE (config)#crypto ipsec transform-set nom_profile esp-aes esp-sha-hmac

CE (cfg-crypto-trans)#crypto ipsec profile nom_profile

CE (cfg-crypto-trans)#exit

CE (config)#int tunnel0
CE (config-if)#tunnel protection ipsec profile nom_profile

5. Les pare-feu
Un pare feu est un outil de sécurité dans un réseau, il peut être matériel ou logiciel et permet de limiter les accès
aux utilisateurs par rapport à certains services. C’est une véritable barrière qui empêche aux personnes externes
d’atteindre facilement le réseau d’entreprise. Il peut faire le filtrage par protocole, par adresses IP ou par service.
Dans un réseau, un pare-feu peut prendre des positions variées tout dépend de la politique de sécurité qui a été
définie.

Exemple de pare-feu :logiciel : Ipchain, pfsense physiqye : Netbarrier, checkpoint

INTERNET

Position du pare feu

ROUTEUR DMZ

Position du pare feu

PC
SWITCH

SV

Exercice pratique : configuration d’un pare-feu

6. Les détections d’intrusions


La détection des intrusions regroupe les méthodes et les systèmes capables de détecter les actes de malveillance
ou tout simplement des actes qui ne sont pas conformes à la « politique de sécurité. Un outil de détection
d’intrusion (IDS) permet donc à un administrateur réseau de déceler tout comportement anormal ou trafic
suspect. C’est un outil qui vient grâce à sa surveillance renforcer la sécurité. Son rôle est de détecter et d’alerter
afin que des dispositions soient prises pour empêcher à l’attaquant d’effectuer des dégâts. Tout comme un pare-
feu, on peut également positionner un IDS où veut en fonction de la politique de sécurité qu’on a mise en place
Exemple d’IDS : SNORT, NAGIOS, EYESOFNETWORK

INTERNET
Position de l’IDS

Position de l’IDS
Position de l’IDS
Pare feu

ROUTEUR DMZ

Position de l’IDS

PC
SWITCH

SV
IDS
Introduction

Un système d’exploitation est le logiciel qui gère les applications et le matériel de l’ordinateur.il est le garant de la
sécurité de toutes les ressources qui s’y trouvent. Un utilisateur accède à une ressource à travers un certain
nombre droits qui sont définis. Un droit d’accès est la permission que possède un utilisateur par rapport à une
ressource. Le but de ce cours est donc de comprendre la gestion de ces droits qu’ont les utilisateurs par rapport
aux ressources locales ou partagées.

1. Panorama sur la sécurité système


1.1. La gestion des ressources
Dans un ordinateur du réseau, on peut identifier deux types de ressources :

- Les ressources partagées : c’est l’ensemble des ressources disponibles via le réseau
- Les ressources non partagées (les ressources locales) : c’est l’ensemble des ressources accessible
uniquement via le poste en local

1.2. Méthodes d’accès aux ressources partagées


L’accès à une ressource partagée peut se faire de plusieurs manières :

- L’utilisation d’un chemin UNC (uni


-
- versal Name convention). Le chemin UNC a la forme suivante : \\nomserveur[\non_partage[\nom_fichier]]
- L’utilisation d’un favoris réseau
La convention suivante est souvent utilisée pour définir les permissions des utilisateurs par rapport aux
ressources : U  A/P c’est-à-dire que l’utilisateur U reçoit la permission A par rapport à la ressources P
Interpretation :
U est un utilisateur ou un groupe d’utilisateur
A est une autorisation ou une permission par rapport à une ressource
P c’est la ressource partagée

1.3. Liste des autorisations de partage


Il existe quatre niveaux d’autorisation

- NA (No access) c’est-à-dire que l’utilisateur ou le groupe d’utilisateur ne possède aucune permission sur la
ressource concernée
- R (read) c’est-à-dire l’utilisateur ou le groupe d’utilisateur possède la permission de lecture
- C (change) l’utilisateur ou le groupe d’utilisateur peut non seulement lire la ressource mais la modifier
également
- FC (full control (ou control total)) l’utilisateur ou le groupe d’utilisateur a toutes les permissions

1.4. Les règles d’autorisation


- 𝑅 ⊆ 𝐶 ⊆ 𝐹𝐶 ⊆ (𝑠𝑖𝑔𝑛𝑖𝑓𝑖𝑒 𝑠𝑜𝑢𝑠 − 𝑒𝑛𝑠𝑒𝑚𝑏𝑙𝑒 𝑑𝑒 … ) 𝑜𝑢 𝑏𝑖𝑒 (é𝑔𝑎𝑙𝑒 à)
- 𝑃 = ⋃𝑖 𝑃𝑖 𝑐 𝑒𝑠𝑡à 𝑑𝑖𝑟𝑒 𝑞𝑢𝑒 𝑙𝑎 𝑝𝑒𝑟𝑚𝑖𝑠𝑠𝑖𝑜𝑛 𝑒𝑓𝑓𝑒𝑐𝑡𝑖𝑣𝑒 𝑃∗ 𝑒𝑠𝑡 𝑙𝑎 𝑟𝑒𝑢𝑛𝑖𝑜𝑛 𝑑𝑒 𝑡𝑜𝑢𝑡𝑒𝑠
∗ ′

𝑙𝑒𝑠 𝑝𝑒𝑟𝑚𝑖𝑠𝑠𝑖𝑜𝑛𝑠 é𝑙é𝑚𝑒𝑛𝑡𝑎𝑖𝑟𝑒𝑠 𝑝𝑎𝑟 𝑟𝑎𝑝𝑝𝑜𝑟𝑡 à 𝑢𝑛𝑒 𝑟𝑒𝑠𝑠𝑜𝑢𝑟𝑐𝑒 𝑝𝑎𝑟 𝑎𝑝𝑝𝑎𝑟𝑡𝑒𝑛𝑎𝑛𝑐𝑒 à 𝑢𝑛 𝑔𝑟𝑜𝑢𝑝𝑒

𝑃∗ c’est la permission effective d’un utilisateur ou groupe d’utilisateur par rapport à la ressources

𝑃𝑖 c’est la permission effective d’un utilisateur par appartenance à un groupe.


- 𝑁𝐴 ⋃∗ = 𝑁𝐴 ∗ 𝑠𝑖𝑔𝑛𝑖𝑓𝑖𝑒 𝑛′ 𝑖𝑚𝑝𝑜𝑟𝑡𝑒 𝑞𝑢𝑒𝑙 𝑎𝑢𝑡𝑟𝑒 𝑟è𝑔𝑙𝑒

Exemple1 :

𝑈1 ∈ 𝐺1 ← 𝑅/𝐹1 𝐹1 𝑒𝑠𝑡 𝑢𝑛𝑒 𝑝𝑒𝑟𝑚𝑖𝑠𝑠𝑖𝑜𝑛 é𝑙é𝑚𝑒𝑛𝑡𝑎𝑖𝑟𝑒

𝑈1 ∈ 𝐺2 ← 𝐶/𝐹1 𝐹1 𝑒𝑠𝑡 𝑢𝑛𝑒 𝑝𝑒𝑟𝑚𝑖𝑠𝑠𝑖𝑜𝑛 é𝑙é𝑚𝑒𝑛𝑡𝑎𝑖𝑟𝑒

𝑃 ∗ (𝑈1 ) = 𝑅 ∪ 𝐶 = 𝐶

Exemple2

𝐺1 = {𝑈1 , 𝑈2 } ← 𝑅/𝐹1

𝐺2 = {𝑈2 , 𝑈4 }

𝐺3 = {𝑈1 , 𝑈3 } ← 𝐶/𝐹1

𝐺4 = {𝑈2 , 𝑈3 } ← 𝐹𝐶/𝐹1

PB :

1. calculer 𝑃∗ pour chaque utilisateur


2. U4 peut –il avoir des permissions ?

𝑃∗ (𝑈1 ) = 𝑅 ∪ 𝐶 = 𝐶

𝑃∗ (𝑈2 ) = 𝑅 ∪ 𝐹𝐶 = 𝐹𝐶

𝑃∗ (𝑈3 ) = 𝐶 ∪ 𝐹𝐶 = 𝐹𝐶

𝑃∗ (𝑈4 ) = 𝑎𝑢𝑐𝑢𝑛𝑒 𝑝𝑒𝑟𝑚𝑖𝑠𝑠𝑖𝑜𝑛

Exercice2

On suppose que D1 approuve D2

𝑈1 ← 𝑅/𝐹1 F1 est une ressource du domaine D1


𝑈2 ← 𝑁𝐴/𝐹1

𝑈3 ← 𝐶/𝐹1

𝑈4 ← 𝐹𝐶/𝐹1

Question : quels sont les utilisateurs qui peuvent supprimer la ressource F1

En réseau, tous les utilisateurs du domaine2 (U3 et U4) peuvent supprimer le fichier F1 par contre si l’accès
s’effectue en local, les utilisateurs des deux domaines peuvent supprimer le fichier F1

RQ : le niveau d’autorisation C : permet non seulement la modification mais également la suppression du contenu
d’un dossier. les permission de partage n’ont de signification que via le réseau c’est-à-dire que si un utilisateur
accède à l’ordinateur qui contient les ressources localement et que cet accès se fait en local alors cet utilisateur
peut exploiter cette ressources si les autorisations de partage sont effectives

1.5. Permission de ressources locales (permission NTFS)


Ces permissions s’appliquent au dossier et au fichier et permettent de mettre en service une sécurité locale en plus
d’une sécurité au niveau du réseau.

Permission Dossier fichier


NA(aucun accès) Rien rien
R(read) Afficher le dossier et les sous- Afficher le fichier ainsi que ses
dossiers attributs
W (Write) Ajout de fichier ou de dossier, Modifier les attributs et le
modification des attributs contenu du fichier
X(execute) Modifie les sous dossiers et Execute un fichier((binaire)),
afficiche les permissions affiche les attributs et les
permissions
D(delete) Supprimer l’arborescence Supprimer le fichier
P(change permission) Changer les permissions Changer les permissions
O(take ownerchip) Prendre possession Prendre possession

2. La sécurité sous linux


Tout comme sous Windows, la sécurité sous linux vise également à gérer les droits d’accès, à assurer l’intégrité et
la confidentialité des données et assurer la sécurité de connexion

2.1. Concept fondamentaux


Sur un système Linux, tout utilisateur (réel ou processus) est identifié par un numéro unique appelé UID (User
identification). Il est également associé à un groupe principal, identifié par un numéro unique nommé GID (Group
identification), et éventuellement à d’autres groupes. Chaque fichier est la propriété d’un utilisateur et d’un
groupe, et présente des permissions en lecture (r), écriture (w) et exécution (x). Ces permissions sont le fondement
de la sécurité du système. Elles sont représentées par une suite de 9 bits rwxrwxrwx représentant les droits
énoncés ci-dessus pour l’utilisateur propriétaire, le groupe propriétaire et le reste de utilisateurs du système.
Chaque groupe de 3 bits rwx peut aussi être représenté par sa valeur octale entre 0 et 7. Tout processus sur le
système dispose également d’un identifiant unique appelé PID. Son PPID (parent process identifier) permet de
l’associer au processus l’ayant engendré. Il est associé à un UID et GID qui permettent de déterminer ses droits
d’accès. On peut égalemnt attribuer des droits à un utilisateur en utilisant une notation relative (ou symbolique)
comme l’exemple suivant

ex : u+w,g-w,o-rx …)

— u représente l’utilisateur propriétaire, g le groupe propriétaire et o le reste des utilisateurs,

—le symbole - signifie suppremer un droit, = maintien le droit de l’utilsateur et + l’ajoute un droit

— r, w et x sont les droits eux-même.

Exercice1 : on affecte les droits 640 à l’utilisateur Paul par rapport à une ressource X.

1. quels droit possède Paul par rapport à X


2. quels droits possède son groupe ainsi que les autres utilisateurs par rapport à X

solution :

chaĩne 640 (110 100 000) signifie :

— accès en lecture et écriture pour le propriétaire,( 110)

— accès en lecture pour le groupe propriétaire,( 100)

— aucun accès pour les autres utilisateurs.( 000)

Exercice2 : on affecte maintenant les droits 122 à l’utilisateur Jean par rapport à une ressource Y.

1. En utilisant la forme symbolique, présenter les droits des utilisateurs par rapport à la ressource Y
2. Pour chaque catégorie d’utilisateur, quel est son droit par rapport à Y

Solution

1 u+r,g+w,o+w
2 Jean lecture groupe : écriture other : écriture

2.2. Quelques commandes de base


- ls : Afficher la liste des dossier et fichiers d'un répertoire. Ses options –l et –ld permettent
respectivement d’afficher les droits de l’utilisateur par rapport à un fichier et à un répertoire.
- cd : Se déplacer vers un répertoire.
- pwd : Affiche le nom du répertoire courant.
- mkdir : Créer un répertoire
- rmdir : Supprimer un répertoire.
- rm : Effacer un fichier ou un répertoire.
- cp : Copier un dossier ou un répertoire.
- mv : Déplacer (renommer) un dossier ou un répertoire.
- touch : Permet de changer la date d'un fichier à l'heure courante ou de créer un fichier s'il n'existe
pas (touch /home/user/test).
- cat : Afficher le contenu d'un fichier texte. Concaténer des fichiers.
- apt-get, aptitude : Installer des paquets DEB (Mepis, Ubuntu, Knoppix, Debian...).
- find : Rechercher un dossier ou un fichier.
- history permet de retrouver les commandes que vous avez tapez auparavant

2.3. L’interpréteur de commande Bash


Un interpréteur de commande est un langage qui permet d’interpréter les commandes tapées dans la
console. Sous linux, il en existe plusieurs mais le plus utilisé est Bash. Il est sensible à la casse.

Signification des prompts

junior@localhost ~ $ le symbole $ signifie qu’il s’agit d’un simple utilisateur qui est connecté, le symbole
~ indique que l’utilisateur courant est dans son répertoire personnel, le symbole @ sépare le nom de
l’utilisateur actuellement connecté au nom de l’ordinateur.

Le prompt junior@localhost ~ $ indique donc que le simple utilisateur 'junior' travaille sur l'ordinateur

'localhost' est qu'il est dans son répertoire personnel /home/junior

root@localhost /usr # le symbole # indique l’utilisateur connecté est un administrateur.

Dans cet exemple, l'administrateur root travaille dans l’ordinateur ayant pour nom ‘localhost’ et qu’il est
actuellement dans le dossier /usr.

Exercice 1 : création des fichiers et des dossiers puis affichage des droits

1. ouvrir l’interpréteur en mode administrateur


2. dans votre répertoire, créez deux dossiers dos1 et dos2
3. dans dos1 créer le fichier nommé fichier3, dans dos2 le fichier nommé fichier4

4. afficher les droits que possède l’utilisateur courant sur les dossiers nouvellement créés ainsi que
les fichiers
2.4. Gestion avancée
2.4.1. Gestion des utilisateurs et des groupes

a) Gestion des groupes

Création de groupe
Un groupe est identifié par son numéro et par son nom. On crée un groupe en utilisant la commande « groupadd ».
l’option –g permet de préciser le numéro du groupe

Syntaxe : groupadd option group-name

Exemple : créons l’utilisateur groupe20 puis attribuons lui le numéro 1107

On peut obsserver les groupes créés en tapant la commande cat /etc/groupadd. etc/group. C’est un fichier qui
contient la liste des groupes utilisateur du système local et pour chacun la liste des utilisateurs dont il est le
groupe secondaire.

Suppression de groupe
On supprime un utilisateur avec la commande « groupdel »

Syntaxe : groupdel groupe_name

Exemple : supprimons le groupe groupe20 nouvellement créé

Vérifions l’effectivité de la suppression


Modification de groupe
On modifie les attributs d’un groupe avec la commande « groupmod ». Ses options sont les suivantes :

Option Rôle
-n <nom> Renomme le groupe.
-g <GID> Modifie le GID.
-A <user> Ajoute l’utilisateur spécifié dans le groupe.
-R <user> Supprime l’utilisateur spécifié du groupe.
Tableau : options de groupmod

Exemple : on peut remarquer dans /etc/group l’existence de « groupe30 »

On va modifier le groupe30 en groupe30bis syntaxe : groupmod -n nom_nouveau_groupe


nom_ancien_groupe

Cat /etc/group
Modifions le numéro du groupe30bis (1408) en 1410

Syntaxe : groupemod –g new_GID group_name

Cat /etc/group

On peut aussi modifier en même temps le nom et le numéro de groupe. Dans cet exemple on modifie le nom et le
numéro du groupe40

Syntaxe : groupmod –n new_group_name -g new_GID group_name

Vérification

a) Mot de passe de groupe

On peut affecter un mot de passe à un groupe cela est effectuer par la commande gpasswd ce mot de
passe est stocké dans /etc/gshadow

Les options sont les suivantes :

Option Rôle
-a Ajoute un utilisateur au groupe
-M Défini une liste des utilisateur du groupe
-A Défini une liste des administrateurs du
groupe
Tableau : option de gpasswd

Cat /etc/gshadow

Modifions le mot de passe du groupe groupeGL2Bbis en groupeGL2Bbis!

Tail –n 4 /etc/gshadow

Changeons le groupe de root puis mettons le dans groupeGL2Bbis

Vérification
b) Changement de groupe

Un utilisateur peut changer de façon temporaire son groupe principal avec la commande newgrp. Le groupe
auquel il va appartenir doit être un de ses groupes secondaires et il doit disposer du mot de passe de ce
groupe.

b) Gestion des utilisateurs


Les principaux attributs d’un utilisateur sont les suivants : un login, un mot de passe, un UID, un GID
correspondant à son groupe principal, un descriptif, un répertoire de connexion, une commande de
connexion.

Création d’un utilisateur

Pour créer un utilisateur, on utilise la commande useradd

Syntaxe : useradd <options> login

Si aucune option n’est précisée, les valeurs par défaut sont récupérées au sein du fichier
/etc/defaults/useradd. la commande useradd a les options suivantes : -m permet de créer le répertoire
personnel de l’utilisateur, -u précise UID numérique de l’utilisateur, -g précise son groupe, -s précise le
shell (la commande de connexion), -p précise son mot de passe, -G précise les groupes additionnels de
l’utilisateur. Les noms des groupes sont séparés par des virgules.

Exemple : création d’un utilisateur


Créons l‘utilisateur « ignace » avec comme UID 2007 et pour répertoire personnel /home/ignace

Créons l’utilisateur rodrigue avec comme UID 2008, répertoire personnel /home/rodrigue et avec comme
groupe additionnel groupe30bis et group40bis

Créons l’utilisateur steph avec comme UID 2004, répertoire personnel /home/steph, avec comme groupe
additionnel groupe30bis et avec comme mot de passe steph123!
Suppression d’un utilisateur

La suppression des utilisateurs se fait avec la commande userdel. Par défaut le répertoire personnel n’est
pas supprimé. On utilise l’option –r pour le supprimer.

Syntaxe : userdel option user_name

Observation : on peut remarquer que l’utilisateur kevin a bel et bien été supprimé mais que son répertoire
personnel existe encore dans home parce qu’on n’a pas précisé l’option -r

Le répertoire /home de root

En supprimant l’utilisateur gael, on peut observer que son répertoire personnel a bel et bien été supprimé de
/home
Modification des utilisateurs

La modification d’un compte se fait avec la commande usermod. Ses options sont les suivants

Option Rôle
-L Lock du compte.
-U Unlock du compte.
-u Modifie l’UID associé au login
-l Modifie le nom de login
-m Move : avec –d précise un nouveau
répertoire personnel le contenu de
l’ancien est déplacé dans le nouveau.
Tableau : options de usermod

Exemple : modifions l’UID de l’utilisateur rodrigue (2008) en 2021, son répertoire personnel en
/etc/rodriguoh et son login en rodriguo

a) Suppression des utilisateurs

autres commandes concernant les fichiers et les utilisateurs

- Chmod : elle permet de modifier les droits d’accès par défaut d’un fichier. Syntaxe : Chmod
modifications Fic1 [fic2…]
- Chown (change owner) et chgrp sont des commandes qui s’appliquent sur des fichiers. Elles
permettent de changer le propriétaire et le groupe d’un fichier
- whoami :permet de connaitre le nom d’un utilisateur

- who : permet de connaitre qui est logué sur le système

- who am i : sélectionne sur la ligne de who le compte correspondant a votre session.

- w : permet de montrer qui est connecté et ce qu’il fait.

- id : permet de connaitre identifiant d’un utilisateur, ses groupes primaires et secondaires

La commande chmod

Dans le répertoire rep1, modifions les droits que possède root par rapport à au fichier fichierGL

Observation

Ajoutons à root le droit d’exécution, au groupe le droit d’écriture et au reste aucun droit
On peut également observer que ce fichier appartient à l’utilisateur root et au groupe root

Changeons le groupe qu’appartient le fichier fichierGL

Dans rep2 on va changer l’utilisateur et le groupe du fichier fichierSR

Les UID d’une valeur inférieure à 100 sont en principe associés à des comptes spéciaux avec des droits
étendus.
Ainsi l’UID de root, l’administrateur, est 0. Selon les distributions, à partir de 100, 500 ou 1000, et ce
jusqu’à environ 60000, ce sont les UID des utilisateurs sans pouvoirs particuliers.
3.4.3 Sécurité des mots de passe

Les mots de passe sont à la base de l’authentification des utilisateurs. Ils doivent être complexes de manière
à être difficile à, une tierce personne d’imaginer. Un bon mot de passe doit être simple à retenir et difficile
à casser par n’importe quel logiciel, il doit être changé régulièrement.

Exemple de mot de passe : Amina peut encore s’écrire /-\M|n@

a) Changement de mot de passe

La commande passwd permet de modifier les mots de passe des utilisateurs et la plupart des champs du
fichier /etc/shadow.

Tout utilisateur a le droit de modifier son mot de passe.

La commande passwd possède plusieurs options résumées dans le tableau suivant :

Option Rôle
-l Lock : verrouille le compte en rajoutant !
devant le mot de passe crypté.
-u Unlock : déverrouille le compte.
-d Supprime le mot de passe.
-n <j> Durée de vie minimale en jours du mot de
passe.
-x <j> Durée de vie maximale en jours du mot
de passe.
-w <j> Nombre de jours avant avertissement.
-i <j> Délai de grâce avant désactivation si le
mot de passe est expiré.
-S Statut du compte
Tableau : options de passwd

Exemple : modifions le mot de passe de l’utilisateur abando

modification les paramètres d’abando avec durée minimale de compte : 20 jours, durée de vie
maximale : 30 jours, avertissement à partir de 21 jours et pour délai de grâce 2 jours.

On peut également modifier les paramètres d’un mot de passe avec la commande « chage » qui n’est
accessible que par root. sa syntaxe est :

# chage <options> login

Les options de chage sont résumées dans le tableau suivant :

Option Rôle
-m Mindays : équivaut à passwd –n.
-M Maxdays : équivaut à passwd –x.
-d Date de dernière modification du mot de
passe (depuis le 01/01/1970).
-I Inactive : équivaut à passwd –i.
-W Wardays : équivaut à passwd –w.
-l List : affiche tous les détails.
Tableau : options de chage.

Information sur le compte de l’utilisateur abando.

3.4.5 Changement d’identité

Un utilisateur peut le temps d’une session changer ou endosser l’identité d’un autre utilisateur, il s’agit
généralement de root pour effectuer les tâches administratives.

Cela est effectué par la commande su (substitute user). Sa syntaxe est la suivante :

$ su [-c commande] [-s shell] [-] [utilisateur]

Si aucun utilisateur n’est précisé c’est root qui est utilisé.


2.2. Les pare-feu SOUS LINUX
LINUX est un SE recommandé pour la sécurité système. Son pare feu Netfilter permet à travers IPtables de
renforcer la sécurité du système. Il est robuste et résiste efficacement aux attaques. Il fonctionne en mettant
en place des hooks (crochet) dans le noyau Linux permettant d'intercepter les paquets réseau qui y
transitent en émission ou en réception. On distingue plusieurs points de filtrage

 PREROUTING : traite les paquets à leur arrivée. Si le paquet est a destination du système local il
sera traité par les règle (INPUT, OUTPUT) ;

 FORWARD : les paquets ne font que traverser le système local ;

 INPUT : traite les paquets destinés au système local, en entrée

 OUTPUT : traite les paquets quittant le système local, avant POSTROUTING ;

 POSTROUTING : traite les paquets avant leur sortie du système.

Pour chaque crochet « hook » positionné par NetFilter, on va pouvoir :

 Modifier le paquet, puis le rendre ou non au système ;

 Imposer au système de supprimer le paquet, cela correspond alors à un rejet du paquet ;


 Indiquer au système que le paquet est accepté pour ce hook, jusqu'au prochain.

3.2.1. Les règles :


Elles déterminent l’action à entreprendre lorsqu’un paquet correspond aux critères d’une règle Avec
iptables on utilise l’option –j pour spécifier la règle. On distingue:

 DROP : le paquet est rejeté. Aucune notification n,est envoyé à la source.

 REJECT : le paquet est rejeté retournant une erreur à la source.

 ACCEPT : le paquet est accepté.

 LOG : une information est renvoyée à syslog pour les traces.

3.2.2. Critères de correspondance


Les critères de correspondance déterminent la validité d’une règle. Tous les critères doivent être vérifiés
pour qu’une règle soit validée.

 -i : interface entrante

 -o : interface sortante

 -s : adresse IP de la source.

 -d : adresse IP de la destination
 A : ajoute une règle.

 I : insère une règle à la position souhaitée

 D: supprime un règle

 L : liste les règles par défaut seul la table filter est affichée, pour afficher une autre table utiliser
l’option –t.

 F : supprime l’ensemble des règles

 P : modifie les règles par défaut

Suivant le protocol de la couche 4 (tcp,udp ou icmp), certaines options sont possibles :

 -p : protocole (tcp,udp,icmp,igmp) la liste se trouve dans /etc/protocol

 - -dport : port destination

 - - sport : port source

2.3.3. Opération de base


Les règles sont numérotées à partir de 1.

Interdire tous les paquets en entrée du système local dont la source est 192.168.1.2

# iptables –A INPUT –s 192.168.1.2 –j DROP

# iptables –I OUTPUT 4 –d 192.168.1.12 –j DROP

# iptables –D INPUT 1 //supprime la règle 1

Figure 2 : Table iptables

Interdire tous les trafics entrant dans le système local sur l’interface eth0 :

# iptables –A INPUT –i eth0 –j DROP

Interdire tout trafic sortant du système local vers l’adresse IP 192.168.1.12


# iptables –A OUTPUT –d 192.168.1.12 –j DROP

Interdire tout traffic entrant, sortant et forward par défaut

# iptables –P INPUT DROP

# iptables –P OUTPUT DROP

# iptables –P FORWARD DROP

Interdire le protocol icmp en entrée

# iptables –A INPUT –p icmp –j DROP

TCP, UDP, ICMP

Interdire les connexions entrantes à destination du port 80 (serveur httpd) :

# iptables –A INPUT –p tcp - -dport 80 –j DROP

Interdire toutes les connexions http vers le réseau 192.168.1.0/24

# iptables –A OUTPUT –p tcp - -dport 80 –d 192.168.1.0/24 -j DROP

Figure 4 : sauvegarde des règles NETFILTER/iptables

3. La sécurité sous Windows


Les systèmes Windows peuvent également être utilisés pour garantir la sécurité des données dans une
entreprise. L’inconvénient de ces systèmes est qu’ils sont payants et par conséquent subissent beaucoup
d’attaques. Tout comme sous linux, la sécurité sous Windows est aussi basée sur les droits qu’on attribue
aux utilisateurs par rapport aux ressources. on peut aussi installer des outils de sécurité pour renforcer la
sécurité des informations. Windows a aussi un pare feu configurable graphiquement ainsi que les
navigateurs web pour le traffic Web. Son controlleur de domaine active directory est aussi efficace pour
limiter les droits aux utilisateurs.
Exercice :
Créer dans « mes documents » un dossier nomme docGL.
Créer dans ce dossier un fichier texte nommé fichierGL2.txt, mettez un contenu quelconque dans ce fichier
Définissez les droits aux utilisateurs de votre système par rapport à ce fichier
Exerice2 : configuration du navigateur Web
Exercice3 : configuration du pare feu
Objectifs spécifiques: connaitre quelques méthodes utilisées par les pirates pour mettre en cause les
systèmes d’informations

Introduction

L’information est le bien le plus précieux qui puisse être protégé pour garantir la survie de l’entreprise.
Les moyens déployés pour la sécurité de cette information peut définir l’indice de vulnérabilité du SI.
Raison pour laquelle la plupart des entreprises investissent le plus sur La sécurité. Aujourd’hui les
méthodes d’attaques se multiplient, chaque entreprise doit pouvoir s’adapter et trouver les moyens
nécessaires pour se protéger contre ces attaques.

1. Les attaques d’accès

Les attaques d’accès sont celles entreprises par des personnes qui veulent accéder à des informations
alors qu’ils ne possèdent pas les droits. Elles mettent en cause la confidentialité des informations. On
distingue :

1.1. L’ingénierie sociale

Elle n’est pas réellement considérée comme une attaque informatique mais plutôt comme une méthode
utilisée par une tierce personne pour accéder à certaines informations telles ques les mots de passes,
login, numéro de compte, données,…

1.2. Le cheval de troie

Un cheval de troie est un programme qui s’installe dans un ordinateur ayant pour but de faciliter l’accès à
d’autres programmes malveillants ou à un pirate informatique. Il peut aussi voler des mots de passe,
copier des données, exécuter des actions nuisibles.

1.3. Le sniffing

Ce type d’attaque consiste à intercepter tous les paquets qui circulent sur un réseau afin d’en avoir le
contenu et l’utiliser à des fins diverses. On utilise généralement un logiciel appelé renifleur de paquets
(sniffer) permettant de capturer les paquets transitant sur le réseau.

1.4. La porte dérobée

Le but principal d’une porte dérobée est de faciliter l’accès au pirate informatique de manière à ce que
l’administrateur du réseau ne s’aperçoive pas et qu’il puisse être capable à tout moment de reprendre
facilement le contrôle du système. Le pirate peut alors récupérer les données qu’il souhaite, voler des
mots de passe ou même détruire des données.
Il existe différents types de portes dérobées :

• Création d’un nouveau compte administrateur avec un mot de passe choisi par le pirate.

• Création de compte ftp

• Modification des règles du pare-feu pour qu’il accepte des connections externes.

1.5. Le craquage de mot de passe

Ce type d’attaque consiste à faire plusieurs essais jusqu’à trouver le bon mot de passe. Il est vrai que cela
n’est pas évident parce qu’il n’existe pas des mots de passes standards, chaque utilisateur personnalise
son mot de passe.

Il existe plusieurs méthodes :

• L’utilisation de dictionnaires : le mot testé est pris dans une liste prédéfinie contenant les mots de
passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin…). Les
dictionnaires actuels contiennent environ 50 000 mots voir plus et sont capables de faire une grande
partie des variantes.

• La méthode brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution.

 L’utilisation des utilitaires de craquage de mots de passe.


1.6. Les intrusions

Les intrusions sont en principe des attaques d’accès comme celles citées ci-dessus. Elle consiste à entrer
dans un réseau sans autorisation et en faire des dégâts plus ou moins destructifs. Le principal moyen pour
prévenir les intrusions est le pare-feu (firewall).

2. Les attaques par modification

Ce type d’attaque met en cause l’intégrité des données et consiste à modifier les informations contenues
dans un système. C’est en réalité des virus qui sont maitres de ce type d’attaque. On peut citer

 Les vers qui sont des virus capables de se propager dans le réseau;

• Les « chevaux de Troie » créant des failles dans un système;

• Les canulars envoyés par mail.

3. Les attaques par saturation (dénie de service)

Les attaques par saturation sont des attaques informatiques qui consiste à envoyer des milliers de
messages depuis des dizaines d'ordinateurs, dans le but de submerger les serveurs d'une société, de
paralyser pendant plusieurs heures son site Web et d'en bloquer ainsi l'accès aux internautes.

Il existe différentes attaques par saturation :


• Le flooding

Cette attaque consiste à envoyer à une machine de nombreux paquets IP de grosse taille. La machine
cible ne pourra donc pas traiter tous les paquets et finira par se déconnecter du réseau.

 le ping flood: c’est un ping intensif et répété vers un serveur


 Le mailbombing: il se caractérise par l’envoi massif de courrier électroniques pour saturer une
boîte aux lettres

• Le TCP-SYN flooding

Le TCP-SYN flooding est une variante du flooding qui s’appuie sur une faille du protocole TCP. En effet, on
envoie un grand nombre de demande de connexions au serveur (SYN) à partir de plusieurs machines. Le
serveur va envoyer un grand nombre de paquet SYN-ACK et attendre en réponse un paquet ACK qui ne
viendra jamais. Si on envoie les paquets plus vite que le timeout des « demi-connexion » (connexions
autorisées mais non terminé), le serveur sature et finit par se déconnecter.

• Le smurf (comme usurpation d’adresse)

Le smurf est une attaque qui s’appuie sur le ping et les serveurs de broadcast . On falsifie d’abord son
adresse IP pour se faire passer pour la machine cible. On envoie alors un ping sur un serveur de
broadcast. Il le fera suivre à toutes les machines qui sont connectées qui renverront chacune un « pong »
au serveur qui fera suivre à la machine cible. Celle-ci sera alors inondée sous les paquets et finira par se
déconnecter.

• Le débordement de tampon

Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données d’une taille
supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la
machine cible. A ce moment, il y aura débordement des variables internes. Suite à ce débordement,
plusieurs cas se présentent : la machine se bloque, redémarre.

4. Les attaques de répudiation

La répudiation est une attaque contre la responsabilité. Elle consiste à tenter de donner de fausses
informations ou de nier qu’un événement ou une transaction se soient réellement passé.

Conclusion
La sécurité informatique est le garant de l’intégrité des données d’une entreprise. Elle est indispensable.
De nos jours, quel que soit l’endroit où on se trouve, on peut toujours être attaqué. D’énormes moyens
doivent pour cela être déployés pour garantir cette intégrité. Pour limiter les risques, chaque entreprise
doit toujours faire la police de tout son SI afin de détecter les différentes failles et y apporter des
solutions adéquates.

Vous aimerez peut-être aussi