Introduction à la

Cybersécurité
Achraf EN NADI
2 /

TYPOLOGIQUES D’ATTAQUES
3 / La sécurité doit être considérée à tous les niveaux

 Matériel

 Noyau

 Système d’exploitation

 Services

 Applications

 Réseau
4 / Exemples d’attaques

 Perte de courant
 Modification de l’environnement
 Vol
 Destruction, sabotage
 Piégeage
 Ingénierie sociale
 Modification des connexions ou des périphériques
 Interception, modification, mise en indisponibilité

 Interférence, brouillage électromagnétique

 Ecoute (signaux parasites compromettants)
 Attaques sur les composants
 SPA, DPA, EMA, DEMA, probing, glitches de courant, glitches laser, …

 Modification du composant
5 / Exemples d’attaques

 Port scanning
 MAC address spoofing
 IP address spoofing
 VLAN circumvention
 ARP spoofing (ARP cache poisoning)
 SYN flooding
 Réseaux sans fils
 Ecoute

 Insertion dans le réseau

 Session hijacking
6 / SYN Flooding

(source : Wikipedia)

Etablissement d’une connexion normale Attaque SYN Flood : le message ACK

n’est pas envoyé.
La file d'attente du serveur se remplit,
créant une saturation de ses ressources.
7 / Exemples d’attaques

 Mirroring au niveau des switches ou des routers

 Malformation de messages
 Fingerprinting
 Exploitation de la mauvaise gestion des exceptions
 Exploitation de la mauvaise implémentation des protocoles réseaux
ou des protocoles de sécurité
 Vulnérabilités dans les protocoles de sécurité
 Buffer overflow
 Backdoors
 …
8 / SQL Injection (SQLI)

 Injection de requêtes SQL vers une base de données

 Objectif : extraction de contenu de base de données
 Vecteur d’attaque
 Envoi vers le serveur de requêtes SQL modifiées

 Impacts
 Vol de mots de passe
 Authentification sur serveur web
 Redirection vers un site pirate
 Vol de données sensibles : numéros de cartes bancaires, numéros de sécurité
sociale, …
9 / Cross-Site Scripting (XSS)

 Injection de contenu dans une page

 Au travers de langages scripts interprétés par le navigateur Client
 Objectif : Exécution de codes dans le navigateur côté Client
 Vecteurs d’attaque
 Phishing

 Messages dans un forum

 Paramètres d’URL

 Impacts
 Exécution de codes à distance avec les droits systèmes du navigateur
 Extraction d’informations sensibles

 Session hijacking

 Constitution d’un réseau de botnet

10 / Cross-Site Request Forgery (CSRF)

 Exécution de requêtes par rebond sur le poste Client

 Objectif : exécution de requêtes illégitimes
 Vecteur d’attaque :
 Visite d’un site malveillant

 Exploitation d’un site vulnérable

 Utilisation d’une session déjà authentifiée ou bien invitation à une

authentification

(source : ssi.gouv.fr)
11 / Heartbleed

 Vulnérabilité présente dans OpenSSL (utilisée pour SSL/TLS

notamment)
 Impact : Lecture de la mémoire d’un serveur ou d’un client

(source : heartbleed.fr)
12 /

Exemple : RSA SecurID

13 / Attaque sur le système RSA

Mars 2011

Intrusion informatique dans le système de la société RSA visant

à dérober des données sensibles
 Certaines concernaient SecurID

SecurID
14 / Attaque sur le système RSA

Techniques employées pour compromettre les postes

 Spear Phishing : envoi ciblé de 2 mails (sur une période de 2 jours) à 2 groupes
réduits de salariés de la société RSA
 Objet des mails : plan de recrutement 2011
 Pièce jointe : fichier Excel malveillant

 Exploitation d’une faille 0-day de Flash (CVE-02011-0609) pour installer d’une

backdoor

Collecte
 Outil de connexion à distance des pirates
 Collecte de code d’accès, élévation de privilèges
 Exfiltration de données sensibles contenues sur un serveur compromis
 Données exfiltrées compressées et chiffrées, puis transférées
15 / Anatomie d’une attaque

(source : ZDNet, 2011, attaque sur réseau RSA

16 /

DigiNotar
17 / Cas DigiNotar

Juin/Juillet 2011
 Attaque à distance de l’AC
 Accès au workflow de signature de signature de certificats
 Génération de nombreux certificats frauduleux
 Google.com, Yahoo, Facebook
 CIA, Mossad, …

 Objectif
 Interception des communications (probablement irannienne)

 Détection rapide
 Révocation des certificats
 Problème : il pourrait en exister d’autres (effacement de certaines traces)
 Révocation de l’AC Root DigiNotar
 Faillite de DigiNotar, puis au tour de la société KPN (néerlandaise, comme DigiNotar)
18 / Attaque selon FOX-IT

 Serveurs webs non patchés (alors même que les serveurs web de
DigiNotar avaient été hackés une première fois en mai 2009)

 Infrastructure critique sans antivirus, le pirate a pu utiliser des outils

comme Cain&Abel
 Mot de passe faible

 Un unique domaine windows

 Accès direct à l’infrastructure de signature de certificats

 Alors que la règle veut que ces machines soient déconnectées de tout réseau

 Le pirate a pu générer plus de 500 certificats

19 /

The Equation Group

20 / The Equation Group

 Rapport complet par Kaspersky Lab en 2015

21 / The Equation Group

 Infection par
 Auto-réplication (ver)

 Média physique, CD-ROM

 Supports USB

 Web

 Capacité d’infecter le firmware du disque dur

 Reprogrammation du firmware

 API pour accéder à des secteurs cachés

 Utilisation de commandes non documentées par le constructeur

 FANNY
 A priori pour des réseaux isolés

 Utilise 2 failles 0-days avant StuxNet

22 / The Equation Group
23 /

Quelques techniques de la NSA

24 / Moyens développés par la NSA

 Quantumtheory : interception/infection

 Warriorpride : malwares

 ANT : mouchards matériels

 Fourth Party Collection : intrusion de systèmes de renseignement

 Quantumbot, Defiantwarrior : prise de contrôle de réseaux de

zombies

 …
25 / 10 outils (parmi N) qui « seraient » utilisés par la NSA (1/2)

 Installation de malware sur des équipements réseaux 

 FeedThrough : installation d’un logiciel espion sur l’OS de firewall Juniper

Netscreen
 DeityBounce : installation d’un malware dans le BIOS de serveurs (notamment
Dell PowerEdge)
 JetPLow : installation d’un logiciel espion + création d’une backdoor sur l’OS
de firewall Cisco PIX et ASA Series
 HeadWater : création d’une backdoor (exécution de commandes à distance)
sur la Boot ROM des routeurs Huawei

 Possibilités sur les réseaux sans fils

 NightStand : capture et insertion de données sur réseau sans
fil 802.11 (WiFi)
 Picasso : capture d’information GSM (n° d’appel sortant et
entrant, …), capture de données sur le téléphone
(code PIN, n° IMSI, …), action (bloquage d’appel)
26 / 10 outils (parmi N) qui « seraient » utilisés par la NSA (2/2)

 Possibilités sur les réseaux sans fils (suite) 

 CottonMouth-I : connecteur USB avec antenne WiFi intégrée

 CandyGram : station GSM active permettant d’accrocher les signaux GSM
 Objectif : détecter la présence d’un appareil ciblé

 IrateMonk
 Installation d’un logiciel malveillant sur le firmware de HD Western Digital,
Seagate, Maxtor et Samsung

 ToteGhostly 2.0
 Installation d’un logiciel malveillant sur l’OS Windows Mobile (récupération de
données et commande à distance)
 En 2008, seule l’installation locale était disponible