Sécurité Informatique

Sécurité Informatique
Support de cours
Par :
Dr. Ing. Faouzi JAIDI
faouzi.jaidi@gmail.com
2021-2022
Plan
 Introduction et Généralités  Chapitre 5 :
 Chapitre 1 : FW, IDS et IPS

Notions de Base  Chapitre 6 :
 Chapitre 2 : Filtrage et Contrôle

Attaques Réseaux d’Accès
 Chapitre 3 :  Chapitre 7 :
Techniques de Cryptographie Sécurité des Applications

Web
 Chapitre 4 :
Réseaux VPN
SI – SRI MAJ 2021 | F. JAIDI 2

Chapitre 2
Attaques Réseaux
 Rappel
 Objectifs et Motivations
 Approche
 Typologie
 Exemples

Attaques Réseaux
 Introduction
– Les attaques et les techniques utilisées pour le piratage des SI ne cessent

d’évoluer.
– Plusieurs outils permettant de lancer des attaques simples ou avancées sont

disponibles et facilement accessibles sur Internet.
– Certains outils de piratage ne nécessitent pas des connaissances techniques

avancées et peuvent être facilement exploités.
 Comprendre ces risques et les techniques utilisées est une étape

fondamentale pour bien protéger son SI.

Attaques Réseaux – Rappel : Normes Réseaux
 Modèle OSI
[1978] : norme (modèle)

OSI (Open System
Interconnection) par l’ISO
(International Standard
Organization)

Attaques Réseaux – Rappel : Normes Réseaux
 Modèle TCP/IP
une suite de
protocoles qui
signifie Transmission
Control Protocol /
Internet Protocol .

Attaques Réseaux – Rappel : Terminologie
o Vulnérabilité
– Défaut ou faiblesse d’un système pouvant mener à une faille de sécurité.
o Menace
– La possibilité qu’une vulnérabilité soit exploitée accidentellement ou par un

agent malicieux.
o Attaque
– Action malveillante qui compromet la sécurité d’un système en exploitant des

vulnérabilités de ce système .
o Mécanisme de Sécurité
– Conçu pour détecter et/ou prévenir et/ou lutter contre des attaques.
Attaques Réseaux – Objectifs et Motivations
 Objectifs
– Désinformer : cacher ou falsifier
– Empêcher: bloquer l'accès au système, à un service ou à une ressource
– Contrôler : prendre le contrôle d'une ressource
– Accéder : récupérer de l'information
– Rebondir: utiliser le système compromis pour attaquer un autre
– Etc.

Attaques Réseaux – Objectifs et Motivations
 Motivations
– Vengeance
– Politique / Religion
– Défis intellectuels
– Envie de nuire aux autres
– Gloire / Impressionner les autres
– Espionnage / Vol d’information
– Désir d’argent
– Etc.

Attaques Réseaux – Approche
 Recueillir des informations sur la  Exploiter les vulnérabilités des protocoles, des
cible avant de lancer l’attaque applications, du réseau, etc.
 Énumération des ressources ,  Obtenir l’accès au système / service / OS / application /
utilisateurs, applications, etc. etc.
Phase 2 Phase 4
• Reconnaissance • Exploit [Obtention • Suppression
[Enumération] • Scan d’accès] • Maintien des traces
Phase 1 Phase 3 d’accès Phase 5
 Phase de pré-attaque : Analyse du  L’attaquant tente de conserver son accès exclusif au

réseau pour collecter des données système
spécifiques  Utiliser le système cible pour attaquer d’autres
 Scan des ports, des vulnérabilités,
du réseau (topologie) etc.  Effacer les traces et cacher les activités malveillants
 Passer inaperçu et écraser les journaux pour éviter les soupçons

Attaques Réseaux – Approche
 Phase d’Exploit
– Exploitation des vulnérabilités des :
• Protocoles
 protocoles légers, non sécurisés, peu de contrôle
• Implémentations
 mot de passe en clair sur le réseau
• Configurations
 firewall mal configuré
• Mécanismes d'authentification
 mot de passe simple

Attaques Réseaux – Typologie
 Classification % Source
o Attaque Externe
– Lancées par des entités externes (n’appartenant pas ou non autorisées à y

accéder) au système.
o Attaque Interne
– Lancées par des entités (malicieux ou détenu par des attaquants) internes au
système.
 Type de menace le plus sévère.
 Plusieurs mécanismes pour lutter contre les attaques externes sont

inefficaces devant ce type d’attaque.
 Classification % Impact
o Attaque Passive
– Interception du flot de données sans modification ou création de flux.
– Écoute et analyse de trafic.
 Peut servir pour la préparation d’une(s) attaque(s) active(s).
src dest
Att

o Attaque Active
– Modification du flot de données ou création d’un flot frauduleux.
Src Dst Src Dst
Att Att
Interruption Modification
Src Dst Src Dst
Att Att
Injection Fabrication

 Catégories
– Les principales catégories d’attaques:
• Attaques d’accès ou Sniffing
• Attaques de modification
• Usurpation ou le Spoofing
• Déni de service (Deny of Service, DoS)

Attaques Réseaux – Sniffing
 Écoute (Snooping)
o Principe
– Attaque passive.
– Prendre connaissance d’informations privées qui transitent, sans pour autant

les altérer et sans se faire connaitre.
o Outils
– Sniffer (renifleur): un outil, qui sert comme analyseur de réseau, connecté au

réseau et configuré pour récupérer tout le trafic transitant et non seulement
le trafic qui lui est destine.
– Exemples: Snoop, Esniff, TCPDUMP, WINDUMP, LinSniff, Wireshark, etc.

 Analyse
– Attaque active.
– Déchiffrement du flux de données transitant afin d’en tirer des informations

confidentielles.

 Homme du Milieu (Man in the Middle)
– L’attaquant insère son système d’écoute sur le parcours (du milieu) de

transmission du flux de données, l’intercepte, puis décide de le laisser
continuer vers sa destination ou non.
• Possibilité de redirection du trafic vers le système de l’attaquant et non

vers sa destination réelle.
• Possibilité d’empêcher (de bloquer) les messages transitant d’arriver à

destination.
• L’expéditeur peut ne pas se rendre compte qu’il ne communique pas avec

la destination réelle.

Attaques Réseaux – Modification
o Modification
– Interception et altération des données transitant ; Modification du contenu

des messages.
o Injection
– Insertion de fausses informations.
o Interruption
– Blocage / suppression des données; Aucune information n’arrive à destination.
o Rejeu (Replay)
– L’attaquant enregistre les échanges d’une session, puis rejoue la totalité, ou

une partie de la session dans un temps ultérieur.
Attaques Réseaux – Usurpation
L’usurpation (spoofing) permet à une machine d’être identifiée, ou

authentifiée, auprès d’une autre comme étant une source habilitée.
o ARP Spoofing
– L’attaquant conserve son adresse matérielle (MAC) et utilise l’adresse IP d’un

hôte approuvé en modifiant le cache ARP.
– Les informations de correspondance (IP/MAC) sont ensuite envoyées

simultanément vers la cache et vers la cible.
– Ainsi, les paquets de la cible sont routés vers l’adresse matérielle de

l’attaquant.

Attaques Réseaux – Usurpation
o IP Spoofing
– Le type d’usurpation le plus répandue qui consiste à utiliser l’adresse IP d’un

hôte approuvé.
– Outils: Hunt, ipspoof, rbone, spoofit, etc.
o DNS Spoofing
– L’usurpation DNS consiste à modifier les tables des correspondances (nom

d’hôte / adresse IP) dans le serveur de noms en utilisant l’adresse du pirate.
– Lorsqu’un client émet une requête, il reçoit l’adresse IP de la machine de

l’attaquant.

Attaques Réseaux – Déni de service
o Principe
– Une attaque de déni de service (Deny of Service, DoS) permet de rendre

indisponibles des ressources / services d’un système aux utilisateurs légitimes
– Elle exploite généralement des bugs dans certains protocoles ou programmes.
– Ce type d’attaque ne permet généralement pas a l’attaquant de prendre

connaissance de l’information, ni de la modifier.
– L’attaque DoS la plus classique consiste à envoyer une quantité excessive de

données sur le réseau d’un serveur et de saturer par conséquence les
communications vers ce serveur.

Attaques Réseaux – Déni de service
– Une attaque de déni de service (Deny of Service, DoS) permet de rendre

indisponibles des ressources / services d’un système aux utilisateurs légitimes
– Elle exploite généralement des bugs dans certains protocoles ou programmes.
– Ce type d’attaque ne permet généralement pas a l’attaquant de prendre

connaissance de l’information, ni de la modifier.
– Peut être lancée par une seule machine ou simultanément par plusieurs
machines ==> DoS Distribué (Distributed DoS, DDoS)
– L’attaque DoS la plus classique consiste à envoyer une quantité excessive de

données sur un réseau pour le saturer.
– Exemples: Ping of death, Buffer Overflow, SYN flood, bombes emails, etc.

Attaques Réseaux – Exemples
 Inondation de la table CAM
o Table CAM
– Un commutateur utilise une table de commutation (Content Adressable

Memory : CAM) pour diriger le trafic.
– Une trame est dirigée vers un port spécifique si le commutateur peut

déterminer à quel sous réseau le destinataire appartient. Sinon, elle est
diffusée de façon générale.
– Lorsque le commutateur reçoit une trame, il note l’@MAC source et le port et

mettre à jour sa table de commutation.

• Si l’@MAC est une nouvelle, il insère une entrée dans sa table CAM,
• Si une entrée contient l’@MAC associée à un port différent, il met à jour le

numéro de port ,
• Si une entrée contient l’@MAC associée au même port, il met à jour l'âge.
• Lorsque la table est pleine, des entrées existantes sont enlevées.
o Attaque
– Un attaquant inonde le commutateur avec de fausses trames.
 Le commutateur se comporte comme un concentrateur (HUB).

Port 1 AA:AA:AA:AA:AA:AA
Port 3
Port 2 BB:BB:BB:BB:BB:BB
Port 1 Port 3 CC:CC:CC:CC:CC:CC

Port 2
@MAC - CC:CC:CC:CC:CC:CC
Port 2 NN:NN:NN:NN:NN:NN
Port 3 KK:KK:KK:KK:KK:KK:KK
@MAC - BB:BB:BB:BB:BB:BB @MAC - AA:AA:AA:AA:AA:AA
Attaquant
o Contre mesure
– Limiter le nombre d’@ MAC permises sur un port donné.
– Limiter la durée qu’une @ MAC reste assignée à un port.
– Assigner des @ MACs statiques à des ports.
– Authentification lors de l’accès à un port.

 MAC Spoofing
o Attaque
– Faire inonder le commutateur avec de fausses trames contenant l’adresse

MAC source ciblée (usurpée).
– Le commutateur met à jour sa table de commutation, il :
• ajoute une nouvelle entrée (@MAC, Port) dans sa table
• enlève celle qui était déjà inscrite.
 Concurrence critique avec l’ordinateur légitime.

Port 3
Port 1 Port 3 CC:CC:CC:CC:CC:CC

Port 2
@MAC - CC:CC:CC:CC:CC:CC
Port 3 CC:CC:CC:CC:CC:CC
@MAC - BB:BB:BB:BB:BB:BB @MAC - AA:AA:AA:AA:AA:AA
Attaquant
o Contre mesure
– Assigner des @ MACs statiques à des ports.
– Utiliser l’information qui se trouve dans la table DHCP Snooping Binding.

 ARP Spoofing
o ARP

o Attaque
– L’attaquant s’insère entre deux intervenants IP au niveau Ethernet (Man-in-

the-middle) en envoyant des Gratuitous ARP Reply.
– L’attaquant conserve donc son adresse matérielle (MAC) et utilise l’adresse IP

d’un hôte approuvé en modifiant le cache ARP.

o Contre mesure
– Dynamic ARP Inspection (DAI): accepter les réponses ARP sur les port de
confiance uniquement “trusted ports”.
 IP Spoofing
o Attaque
– Un attaquant peut lancer des attaques tout en personnifiant n’importe quelle

source (usurpation d’@IP) pour ne pas être retracé.

o Contre mesure
– Authentification .
– IPSec, SSL, etc.

 SYN Flooding
o TCP

o Attaque
– Établir plusieurs connexions successives semi-ouvertes (avec adresse IP

fausse) afin de saturer la pile TCP de la victime.
o Contre mesure
– Filtrage des communications TCP.
– SYN cache, SYN cookies

 DHCP Starvation et Faux Serveur
o DHCP

o Attaque DHCP Starvation
– Inonder le serveur avec des messages DHCP Discover et DHCP Request avec
de nouvelles @MAC usurpées pour réserver toutes les @IP disponibles.
o Attaque DHCP Faux serveur
– L’attaquant joue le rôle d’un serveur DCHP (faux serveur) et répondre avec un
DHCP Offer en offrant de faux paramètres (@IP; @réseau; @gateway) au
client.

o Contre mesure
– Limiter le nombre d’@MAC assignées à un port & authentification.
o DHCP Snooping
 ports de confiance pour filtrer

les paquets DHCP reçus au
niveau du commutateur.
 La table DHCP snooping
contient les @MAC, @IP, et
information sur les interfaces
«untrusted» du commutateur
seulement.

 Craquage de mot de passe
– Elle consiste a faire de nombreux essais jusqu’a trouver le bon mot de passe.
– Il existe deux grandes méthodes :
• Dictionnaires : le mot testé est pris dans une liste prédéfinie contenant les
mots de passe les plus courants et aussi des variantes de ceux-ci (à
l’envers, avec un chiffre à la fin…).
• La méthode brute : toutes les possibilités sont faites dans l’ordre jusqu’à
trouver la bonne solution.

 Buffer Overflow
– Dépassement / débordement de tampon
– Une faille d’implémentation qui peut conduire/permettre, au moment de

l’écriture dans un espace mémoire, à un processus d’écrire dans en dehors de
l’espace alloué.
 Écrasement des données nécessaires au bon fonctionnement de ce

processus et/ou d’autres processus.
– Le comportement de l’ordinateur face à une attaque de débordement de

tampon devient imprévisible.
 Souvent, il en résulte un blocage du processus voire même tout le

système .

Sécurité Informatique - Chap 2 - Attaques Réseaux

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sécurité Informatique - Chap 2 - Attaques Réseaux

Transféré par

Droits d'auteur :

Formats disponibles

 Introduction et Généralités  Chapitre 5 :

 Chapitre 1 : FW, IDS et IPS

 Chapitre 2 : Filtrage et Contrôle

Techniques de Cryptographie Sécurité des Applications

SI – SRI MAJ 2021 | F. JAIDI 2

SI – SRI MAJ 2021 | F. JAIDI 49

– Les attaques et les techniques utilisées pour le piratage des SI ne cessent

– Plusieurs outils permettant de lancer des attaques simples ou avancées sont

– Certains outils de piratage ne nécessitent pas des connaissances techniques

 Comprendre ces risques et les techniques utilisées est une étape

SI – SRI MAJ 2021 | F. JAIDI 50

[1978] : norme (modèle)

SI – SRI MAJ 2021 | F. JAIDI 51

SI – SRI MAJ 2021 | F. JAIDI 52

– Défaut ou faiblesse d’un système pouvant mener à une faille de sécurité.

– La possibilité qu’une vulnérabilité soit exploitée accidentellement ou par un

– Action malveillante qui compromet la sécurité d’un système en exploitant des

– Désinformer : cacher ou falsifier

– Empêcher: bloquer l'accès au système, à un service ou à une ressource

– Contrôler : prendre le contrôle d'une ressource

– Accéder : récupérer de l'information

– Rebondir: utiliser le système compromis pour attaquer un autre

SI – SRI MAJ 2021 | F. JAIDI 54

– Envie de nuire aux autres

– Gloire / Impressionner les autres

– Espionnage / Vol d’information

SI – SRI MAJ 2021 | F. JAIDI 55

 Phase de pré-attaque : Analyse du  L’attaquant tente de conserver son accès exclusif au

SI – SRI MAJ 2021 | F. JAIDI 56

– Exploitation des vulnérabilités des :

 protocoles légers, non sécurisés, peu de contrôle

 mot de passe en clair sur le réseau

 firewall mal configuré

 mot de passe simple

SI – SRI MAJ 2021 | F. JAIDI 57

– Lancées par des entités externes (n’appartenant pas ou non autorisées à y

 Type de menace le plus sévère.

 Plusieurs mécanismes pour lutter contre les attaques externes sont

– Interception du flot de données sans modification ou création de flux.

– Écoute et analyse de trafic.

 Peut servir pour la préparation d’une(s) attaque(s) active(s).

SI – SRI MAJ 2021 | F. JAIDI 59

– Modification du flot de données ou création d’un flot frauduleux.

Src Dst Src Dst

Src Dst Src Dst

SI – SRI MAJ 2021 | F. JAIDI 60

– Les principales catégories d’attaques:

• Attaques d’accès ou Sniffing

• Déni de service (Deny of Service, DoS)

SI – SRI MAJ 2021 | F. JAIDI 61

– Prendre connaissance d’informations privées qui transitent, sans pour autant

– Sniffer (renifleur): un outil, qui sert comme analyseur de réseau, connecté au

– Exemples: Snoop, Esniff, TCPDUMP, WINDUMP, LinSniff, Wireshark, etc.

– Déchiffrement du flux de données transitant afin d’en tirer des informations

SI – SRI MAJ 2021 | F. JAIDI 63

 Homme du Milieu (Man in the Middle)

– L’attaquant insère son système d’écoute sur le parcours (du milieu) de

• Possibilité de redirection du trafic vers le système de l’attaquant et non

• Possibilité d’empêcher (de bloquer) les messages transitant d’arriver à

• L’expéditeur peut ne pas se rendre compte qu’il ne communique pas avec

SI – SRI MAJ 2021 | F. JAIDI 64

– Interception et altération des données transitant ; Modification du contenu