Chapitre : 2

Identification des menaces et

attaques
Origine des attaques

Mme K. MEKLICHE 48
Sécurité des systèmes informatiques

Mme K. MEKLICHE 49
 Les attaques
• DoS : Déni de services : attaque destinée à empêcher
l’utilisation d’une machine ou d’un service. Il est souvent plus
facile de paralyser un réseau/système que d’en obtenir
l’accès. Type de DoS :
– DoS local par épuisement des ressources :
• Saturation de l’espace disque, Répertoire récursifs, Boucle infini de fork() ..
– DoS par le réseau (consommation de la bande passante) :
• Réassemblage de fragments (attaque teardrop, ping of death.), Flags TCP
illégaux, SYN flood ..
• DDoS : Distributed Denial of Services est similaire au DoS.
L’attaque utilise plusieurs machines contre une seule
organisation
Mme K. MEKLICHE 50
 Les attaques
• DDoS

Mme K. MEKLICHE 51
 Les attaques
• MITM : Man In The Middle : Lorsqu’un pirate, prenant le
contrôle d’un équipement du réseau, se place au milieu d’une
communication il peut écouter ou modifier celle-ci.
• IP Spoofing : est une attaque où l’attaquant se fait passer
pour quelqu’un d’autre. Leur but est faire paraitre les
données venant d’un hôte de confiance alors qu’il ne l’est pas
(en spoofant l’adresse IP de l’hôte emetteur)
• DNS spoofing/poisoning : est une technique permettant de
leurrer les serveurs DNS afin de leur faire croire qu'ils
reçoivent une réponse valide à une requête qu'ils effectuent,
alors qu'elle est frauduleuse

Mme K. MEKLICHE 52
 Les attaques
• Social engineering : l’art de manipuler les gens à effectuer des
actions ou à divulguer des informations confidentielles.
• TCP Hijacking : est une technique consistant à intercepter une
session TCP initiée entre deux machine afin de la détourner.
Dans la mesure où le contrôle d'authentification s'effectue
uniquement à l'ouverture de la session, un pirate réussissant
cette attaque parvient à prendre possession de la connexion
pendant toute la durée de la session.
• Rayonnement (emanation) : tout instrument électronique
produit des émanations electromagnétique qui sous certaines
conditions peuvent être utilisé pour récuperer les données
introduites

Mme K. MEKLICHE 53
• L’attaque Smurf : est une attaque par rebond où
l’attaquant prend l’identité de sa cible et envoie un
paquet ICMP echo.

Mme K. MEKLICHE 54
 Les menaces de sécurité
• Backdoor : une backdoor est un raccourci dans le
système permettant à un utilisateur de passer outre
(bypasser) les vérifications de sécurité (ex :
identifiant/mot de passe) pour s’y connecter.
• Bot ou Zombie : une machine zombie est un
ordinateur contrôlé à l’insu de son utilisateur par un
pirate informatique.

Mme K. MEKLICHE 55
 Les menaces de sécurité
• Scan de ports : est une technique permettant de chercher les
ports ouverts sur une machine ou un réseau.
• Phishing : L’hameçonnage ou phishing (parfois appelé
filoutage1) est une technique utilisée par des fraudeurs pour
obtenir des renseignements personnels dans le but de
perpétrer une usurpation d'identité. La technique consiste à
faire croire à la victime qu'elle s'adresse à un tiers de
confiance — banque, administration, etc. — afin de lui
soutirer des renseignements personnels : mot de passe,
numéro de carte de crédit, date de naissance, etc
• Hoax : ou canular est un courrier électronique propageant
une fausse informations.

Mme K. MEKLICHE 56
 Les logiciels malveillants
• Malware : (malicious software) est un nom générique pour tout logiciel qui
attaque une application ou système
• Types de malware
– Exploits zero-day sont des codes malicieux où il n’existe pas de patch distribué
par les constructeurs.
– Virus : un virus est un malware qui ne se diffuse pas automatiquement, ils ont
besoins d’un hôte (ou transporteur, généralement l’homme) :
• Macro virus : est un virus écrit en langage macro.
• Boot sector virus : infecte le secteur boot d’un PC, ce qui assure que le virus se lance au
startup du système.
• Stealth virus : est un virus qui se cache de l’OS et d’autres logiciel de protection
• Virus polymorphique : est un virus qui change sa signature à l’infection d’un nouveau
système, pour évader les logiciel antivirus qui se base sur la signature.
• Virus multipartite : est un virus qui infecte ses victimes à travers de multiples vecteurs
d’infection.
• Virus compagnon : s’attache à un programme légitime et crée ensuite un programme
avec une extension différente.

Mme K. MEKLICHE 57
 Les logiciels malveillants
• Types de malware
– Vers : malware qui se propage indépendamment de tout hôte. Les vers peuvent
causer des dommages de deux manières différentes : le code malicieux qu’ils
transportent, la perte de disponibilité du réseau, à cause de leur mode de
propagation agressif. Ex de vers : Sasser 2004, Conficker 2008
– Spyware : les spyware sont des programmes qui monitorent l’activité de
l’utilisateur et répondent en lançant des pop-up, collectent des informations
sur les utilisateurs à vendre à des marquetteurs ou interceptent des données
personnelles telque numéro de cartes de crédit.
– Cheval de troie (trojan) : un malware qui effectue deux fonctions : une bénigne
(ex : jeu), une maligne
– Rootkit : le rootkit est un malware qui remplace des portions du kernels et/ou
système d’exploitation
– Bombe logique : est un programme malicieux qui est lancé lorsqu’une condition
logique devient vrai. Ex : après un certain nombre de transactions ou à une
date spécifique.

Mme K. MEKLICHE 58
 Objectif des attaques
• Désinformer
• Empêcher l’accès à une ressource
• Prendre le contrôle d’une ressource
• Récupérer de l’information présente sur le système
• Utiliser le système compromis comme rebond
• Constituer un réseau de botnet (ou réseau de
machine zombie)

Mme K. MEKLICHE 59
 Comment s’en prémunir
• Antivirus :
– Permet de se prémunir, détecter et supprimer les virus et de
manières plus larges les malwares
– Différentes méthodes d’authentification:
• Détection basée sur la signature
• Méthodes heuristiques
• IDS/IPS : système de détection/protection d’intrusion.
– Plusieurs types d’IDS : permet la détection d’une intrusion
dans un système
• HIDS : IDS hote
• NIDS : ids réseau
• Hybride

Mme K. MEKLICHE 60
 Comment s’en prémunir
– Plusieurs types d’IPS : permet de prévenir les intrusion
en bloquant les intrusions
• HIPS : ips hote
• NIPS : ips réseau
– CIPS : vérifie le contenu des paquets à la recherche de signature
– RIPS : Il identifie les menaces qui sont différents du trafic usuel. Il
configure des paramètres par apprentissage ou en surveillant le type et
le comportement d’un trafic normal. Tout ce qui est en dehors de ces
paramètres est considéré comme malicieux et est arrêté.

Mme K. MEKLICHE 61
Architecture NIDS en parallèle

Architecture NIPS en série

Mme K. MEKLICHE 62
 Comment s’en prémunir
• Anti-spam : est un système permettant de filtrer les mails
considéré comme spam.
– Différent types de filtrage :
• Filtrage d’enveloppe : ce type de filtrage s'applique uniquement à l'en-tête du
message, qui contient souvent assez d'informations pour pouvoir distinguer un
spam.
• Filtrage de contenu : Les filtres de contenu analysent le contenu des messages
et détectent les spams qui ont réussi à passer à travers le filtre d'enveloppe.
• Filtrage bayesien : est un système fondé sur l'apprentissage d'une grande
quantité de spams et courriels légitimes afin de déterminer si un courriel est
légitime ou non. Afin de bien fonctionner, le corpus de spam et le corpus de
ham (courriels légitimes) doivent contenir idéalement plusieurs milliers de
« spécimens ».
• Filtrage par mot clé ou adresse : Cette méthode est très limitée car elle se base
sur le rejet ou le tri du courrier en fonction de règles de vocabulaire
préalablement établies, définissant des mots comme interdits

Mme K. MEKLICHE 63
 Comment s’en prémunir
• Anti-spam : est un système permettant de filtrer les mails considéré comme
spam.
– Différent types de filtrage :
• Filtrage par expression rationnelle : En utilisant des expressions rationnelles afin
de trouver des variations de mots « sensibles », on augmente les chances de
découvrir des spams
• Filtrage heuristique : teste le contenu du message (par exemple, quelle
proportion de code HTML, d'images, de références à la pornographie, à
l'acquisition facile d'argent contient-il par rapport au reste du message ? ; le
sujet est-il vide ? L'identificateur du message (Message-ID) contient-il des
signes « dollar » (souvent utilisé par les logiciels d'envoi de spams)). Chaque
test donne un nombre de points (plus le total est bas, mieux c'est ; moins le
message est considéré comme du spam). Le seuil de points reste arbitraire et
défini par l'administrateur système qui doit trouver le score donnant le meilleur
équilibre entre le nombre de faux positifs et de faux-négatifs.
• Logiciel antipub (comme adblock)

Mme K. MEKLICHE 64
 Type d’attaquant
• Hacker : une personne qui montre une passion pour la compréhension
du fonctionnement intime des systèmes, ordinateurs et réseaux
informatiques en particulier. spécialiste dans la maîtrise de la sécurité
informatique et donc des moyens de déjouer cette sécurité
• Black hat et white hat: les black hat sont des hackers qui s’emploie à
utiliser leurs connaissances dans un cadre illégal. Les whitehat sont des
personnes effectuant des tests d'intrusions en accord avec leurs clients
et la législation en vigueur afin de qualifier le niveau de sécurité de
systèmes.
• Grey hat : sont entre les deux, est un hacker qui exploite une
vulnérabilité afin de porter à l’attention du propriétaire

Mme K. MEKLICHE 65
 Type d’attaquant
• Outsider : les outsiders sont des attaquants sans accès privilégié autorisé au
système ou à l’organisation. Les outsiders cherchent à obtenir un accès non
autorisé.
• Insider : L’attaque d’un insider est lancé par un utilisateur interne qui peut
avoir l’autorisation d’utiliser le système qu’il attaque. L’attaque peut être
intentionnelle ou accidentelle.
• Hacktivist : agissant afin de défendre une cause, ils n'hésitent pas à
transgresser la loi pour attaquer des organisations afin de les paralyser ou
d'obtenir des informations.
• Phisher : attaquant malicieux qui essaye de tromper les utilisateurs à
divulguer leur identifiant de compte. Souvent, les phishers tentent de voler
les informations bancaires.
• Script kiddie : sans grande compétence, ceux-ci piratent surtout par désir de
se faire remarquer, en utilisant des
Mme K.programmes
MEKLICHE codés par d'autres. 66