Académique Documents
Professionnel Documents
Culture Documents
Fraternité-Travail-Progrès
THEME :
MISE EN PLACE D’UN SYSTEME DE DETECTION ET
PREVENTION D’INTRUSION AVEC SURICATA
Promotion : 2018-2021
Septembre 2021
Licence 3 RDS Jacques Yonaba Boukar
i.
DEDICACE
Je dédie ce travail à mes parents, pour l’éducation, du soutien moral qu’ils m’ont
apporté tout au long de mon cursus académique, ainsi que leur sacrifice.
REMERCIEMENTS
Nous remercions Allah le tout puissant de nous avoir accordé santé, foi et courage
jusqu’à la réalisation de ce projet.
Au terme de ce projet de fin d’études mes vifs remerciements sont dédiés à tous
ceux qui ont contribué de près ou de loin à sa réalisation.
Un remerciement spécial à mes parents, ainsi qu’à toute ma famille qui ont su me
soutenir tout au long de ce travail.
Un grand merci à Mr INOUSSA Hima Chef service IGC à l’ASECNA, qui m’a
dirigé vers l’ASECNA pour ce stage. Mais aussi un sincère remerciement au
personnel de l’ASECNA pour son accueil chaleureux.
Sigles et Abréviations
ARP : Address Resolution Protocol
CD : Compact Disc
IP : Internet Protocol
MIRE/I :
OS : Operating System
PC : Personal Computer
SI : Système d’information
Tables de matières
DEDICACE................................................................................................................................ i
REMERCIEMENTS ................................................................................................................ ii
Liste des figures ....................................................................................................................... iii
Liste des tableaux ..................................................................................................................... v
Sigles et Abréviations .............................................................................................................. vi
Tables de matières ................................................................................................................... ix
INTRODUCTION GENERALE ............................................................................................ 1
Première partie ........................................................................................................................... 3
Cadre Théorique et Méthodologique.......................................................................................... 3
CHAPITRE I : CADRE THEORIQUE ..................................................................................... 4
Introduction .............................................................................................................................. 4
I. Problématique.............................................................................................................................. 4
II. Objectif de la recherche ........................................................................................................ 5
1. Objectif général ......................................................................................................................... 5
2. Objectifs spécifiques .................................................................................................................. 5
III. Hypothèse de recherche ........................................................................................................ 5
1. Hypothèse générale.................................................................................................................... 5
2. Hypothèses secondaires ............................................................................................................. 6
IV. Pertinence du sujet ................................................................................................................ 6
V. Revue critique de la littérature ................................................................................................ 7
CHAPITRE II : CADRE METHODOLOGIQUE ..................................................................... 8
I. Cadre de l’étude......................................................................................................................... 8
II. Délimitation du champ d’étude ............................................................................................ 8
III. Technique d’investigation ..................................................................................................... 9
IV. Echantillonnage ..................................................................................................................... 9
1. La population mère ................................................................................................................... 9
2. L’unité d’échantillonnage ......................................................................................................... 9
3. Méthode d’échantillonnage....................................................................................................... 9
V. Difficultés rencontrées............................................................................................................. 10
Deuxième partie ....................................................................................................................... 11
Cadre Organisationnel et Théorique ........................................................................................ 11
8. Les attaques.............................................................................................................................. 32
8.1 Les types d’attaques ............................................................................................................ 32
8.2 Les catégories d’attaques .......................................................................................................... 35
8.3 Quelques attaques courantes .............................................................................................. 37
III. Les moyens de sécuriser un réseau informatique ............................................................. 40
1. Les antivirus............................................................................................................................. 40
2. Les mises à jour ....................................................................................................................... 40
3. Les firewalls ............................................................................................................................. 41
4. Architecture DMZ ................................................................................................................... 41
5. VPN ........................................................................................................................................... 41
6. Les algorithmes de chiffrement .............................................................................................. 41
7. Les contrôles d’accès ............................................................................................................... 42
8. Les IDS/IPS .............................................................................................................................. 42
IV. IDS/IPS comme moyen de sécurité .................................................................................... 42
1. Système de détection d’intrusion ........................................................................................... 42
1.1 Les types de système de détection d’intrusion .................................................................. 42
1.1.1 Les HIDS .......................................................................................................................... 42
1.1.2 Les NIDS .......................................................................................................................... 43
1.1.3 Système d’intrusion hybride.................................................................................................. 43
1.2 Architecture d’un IDS......................................................................................................... 44
1.2.1 Les différents éléments de l’architecture.............................................................................. 45
1.2.2 Vocabulaire de la détection d’intrusion ............................................................................... 46
1.3 Emplacement d’un système de détection d’intrusion ............................................................. 47
1.4 Classification des IDS ................................................................................................................ 48
1.4.1 Source des données à analyser............................................................................................... 49
1.4.2 Méthode de détection ............................................................................................................. 51
1.4.2.1 L’approche comportementale ............................................................................................ 52
1.4.2.1.1 Profils construits par apprentissage ............................................................................... 52
1.4.2.1.2 Profils spécifiant une politique de sécurité (policy-based) ............................................ 53
1.4.2.2 Approche par scénarios ...................................................................................................... 53
1.4.3 Localisation de l’analyse des données ................................................................................... 54
1.4.4 Fréquence de l’analyse ........................................................................................................... 55
1.4.5 Comportement après détection ............................................................................................. 55
1.5 Points forts des IDS ................................................................................................................... 56
1.6 Limite des IDS ........................................................................................................................... 56
INTRODUCTION GENERALE
Les réseaux informatiques sont devenus beaucoup plus importants qu’ils l’étaient il y a
quelques années. De nos jours les entreprises, dès leur création, n’hésitent pas à mettre en place
un réseau informatique pour faciliter l’interconnexion des composants de leur infrastructure,
c’est pour cela que la sécurité de ces réseaux constitue un enjeu crucial.
La sécurité d’un système informatique repose en premier lieu sur la mise en place d’une
politique de sécurité. Une fois la politique de sécurité définie, il convient de la mettre en œuvre
au sein du système informatique. Deux approches non exclusives sont envisageables dont la
détection des attaques et leur prévention. La première approche, en appliquant un contrôle a
priori sur les actions effectuées au sein du système, s’assure que les utilisateurs ne pourront pas
violer la politique de sécurité mise en place. Cette approche évite que le système ne se trouve
dans un état corrompu, nécessitant une analyse et une correction. De ce fait, des mécanismes
de prévention sont présents sur les systèmes informatiques, il s’agit souvent de contrôle d’accès.
Cependant, de tels mécanismes possèdent des limites, qui peuvent porter sur des aspects
théoriques, des modèles sous-jacents ou sur leur implémentation. Ces insuffisances justifient le
recours à des mécanismes de détection d’intrusions (IDS).
Afin de qualifier un IDS, on s’intéresse à sa fiabilité, c’est à dire sa capacité à émettre
une alerte pour toute violation de la politique de sécurité, et à sa pertinence, qui est sa capacité
à n’émettre une alerte qu’en cas de violation de la politique de sécurité.
C’est dans cette optique que s’inscrit notre thème qui consiste à la « mise en place d’un
système de détection et de prévention d’intrusion avec Suricata ». Ce thème va nous
permettre d’analyser et de traiter les informations contenues dans les couches 3, 4 et 7 du
modèle OSI afin de détecter les attaques relatives aux protocoles desdites couches.
Première partie
Cadre Théorique et Méthodologique
Introduction
Chaque ordinateur connecté à Internet et d’une manière plus générale à n’importe quel
réseau informatique, est susceptible d’être victime d’une attaque informatique. Ainsi, il est
nécessaire de se protéger de ces attaques en déployant des systèmes de protection.
I. Problématique
1. Objectif général
1. Hypothèse générale
2. Hypothèses secondaires
La détection d'intrusion est le processus qui consiste à surveiller les événements qui se
produisent sur un réseau et à les analyser pour détecter les signes d'éventuelles violations ou
menaces imminentes aux stratégies de sécurité. La prévention d'intrusion consiste à détecter les
intrusions puis à résoudre les incidents détectés. Ces mesures de sécurité sont disponibles sous
la forme de systèmes de détection d'intrusion (IDS) et de systèmes de prévention d'intrusion
(IPS). Ces systèmes sont intégrés au réseau afin de détecter les incidents potentiels et d'y mettre
fin.
les limites du réseau, un IPS agit au niveau du flux et fonctionne de façon totalement
transparente.
I. Cadre de l’étude
Ce mémoire s’inscrit dans le cadre de notre stage de fin d’Etudes de 1er cycle universitaire,
effectué dans les locaux de l’Agence pour la Sécurité de la Navigation Aérienne (ASECNA) en
vue de l’obtention du Diplôme de Licence en Réseaux des Données et de Sécurité (RDS) à
l’Ecole Supérieure des Télécommunications (EST-Niger).
Notre étude se focalise sur l’ASECNA et est réalisée dans le cadre d’un mémoire pour
l’obtention d’un diplôme de licence en Réseaux des Données et de Sécurité.
➢ Une délimitation temporaire : Tout au long de notre stage nous avons visité les
différentes unités du service Technique de l’ASECNA communément appelé
MIRE/I (Maintenance Infrastructures Radioélectriques/ Informatique). Les
enjeux, défis et tâches quotidiennes auxquelles font face ses techniciens ont été
notre quotidien.
Les techniques d’investigation sont les différentes sources de connaissances qui ont
contribué à l’élaboration dudit document.
➢ De la recherche observatoire impliquant l’observation et la critique de l’existant au sein
de la structure d’accueil, en passant par des entrevues avec les responsables du réseau
et services informatiques ;
➢ Les documents et mémoires lus sur le sujet général : ‘IDS/IPS’ ;
➢ De la recherche expérimentale où des séances de tests et de collectes des résultats ont
été effectuées en laboratoire par utilisation des outils de virtualisation (Virtual box) ;
➢ Et une recherche comparative des différentes variables afin d’arriver à une conclusion.
IV. Echantillonnage
Ce point consiste à étaler de façon plus spécifique la population sur laquelle l’étude est
portée, l’unité d’échantillonnage, ainsi que la méthode d’échantillonnage choisie.
1. La population mère
2. L’unité d’échantillonnage
Les données à analyser sont le temps et le taux d’intrusion (attaques) sur les équipements
d’un réseau informatique.
3. Méthode d’échantillonnage
La méthode empirique est celle qui convient le mieux à cette étude. Elle consiste en effet à
sélectionner de façon raisonnable les éléments susceptibles de jouer le rôle d’échantillon en
raison de leurs caractéristiques intrinsèques. Ici il paraît évident que les personnes ayant un
minimum de connaissances en audit SI seront les candidats.
V. Difficultés rencontrées
• Problème de documentation sur le sujet, presque tous les documents ayant traité le sujet
sont en anglais.
• La configuration de la solution est très complexe.
• L’accès aux données de l’entreprise d’accueil est très difficile.
• Problème de machine pour faire les tests et la rédaction, vu que la carte mère de ma
machine a grillée en pleine rédaction du projet.
• Problème d’assistance au sein de l’entreprise d’accueil.
Deuxième partie
Cadre Organisationnel et Théorique
I. Présentation de l’ASECNA
1. Historique
L'ASECNA fut créée en 1959 suite à une convention signée à Saint-Louis au Sénégal par
quatorze (14) pays africains dont le Bénin, le Burkina Faso, le Cameroun, la Centrafrique, le
Congo, la Cote d’ivoire, le Gabon, le Madagascar, le Mali, la Mauritanie, le Niger, le Sénégal,
le Tchad, le Togo et un (1) pays d'Europe, la France. L'ASECNA avait alors pour principale
motivation d'éviter le morcellement de l'espace aérien de l'Afrique noire à une période où
l'aviation était en pleine expansion en Afrique. Cette convention avait aussi pour objectif d'unir
les pays africains pour avoir les moyens nécessaires à la sécurité de la navigation aérienne.
Le 15 Octobre 1974, suite à une nouvelle convention signée à Dakar, l'ASECNA devient le
modèle en matière de coopération inter-états Africains et l’un des leaders du développement
des technologies de navigation par satellite et des gestions du trafic en Afrique. Ainsi, en 2004
déjà dix (10) centres de contrôle régionaux, cinquante-sept (57) tours de contrôle, vingt-cinq
(25) aéroports internationaux et soixante-seize (76) nationaux et régionaux étaient supervisés
par l'ASECNA.
Cependant, en 2007, d'importantes turbulences ont eu lieu au sein de l'ASECNA en raison
de l'avortement d'une tentative de dissidence du Sénégal et de Madagascar. La quiétude est par
contre revenue avec ses États membres, le Sénégal et le Madagascar y compris.
Par la suite, le contrat liant le Sénégal à l'ASECNA va être rompu puis à l'exemple des autres
pays, celui-ci va se réapproprier la gestion de ses aéroports secondaires non confiés à
l'ASECNA par la convention de Dakar. Cette convention est révisée une fois de plus le 25 Avril
2010 à Dakar.
✓ Les aides terminales sur les 27 aéroports principaux des états membre africains et
Malgache à travers : le contrôle d’aérodrome, le contrôle d’approche et les services de
sécurité incendie ;
Outre ces activités, l'ASECNA peut se voir confier d'autres tâches en référence aux articles 10
et 12 de la convention de Dakar. Il s'agit de :
❖ ERSI : École Régionale de Sécurité Incendie crée en 1964 à Douala (Cameroun) est une
école spécialisée dans la formation en sécurité incendie d'aéroport en Afrique. L'école
offre une formation initiale (pompiers d'aérodrome, techniciens et techniciens
supérieurs), une formation continue (des formateurs, chefs de brigade, mécaniciens de
maintenance des véhicules et matériels de sauvetage et lutte contre l'incendie contre
l'incendie…) et des formations spécifiques au profit de structures aéronautiques d’États
non membres et à des entreprises privées.
1. Présentation de la Représentation
➢ Le service contrôle en route : chargé d’effectuer les contrôles des avions en route.
2. Organigramme de l’ASECNA
3. Le service MIRE
De plus le service MIRE/I est assuré H24 par des équipes de quart qui se relaie de 8H-14H, de
14H-21H et de 21H-8H en vue d’assurer de manière continue la sécurité et la régularité du
trafic aérien.
3.1 QIP
L’Unité QIP du service MIRE/I comme son nom l’indique, elle a pour rôle d’évaluer la
qualification des agents du service MIRE/I, de contrôler la qualité de service de chaque unité
mais aussi dans son volet ‘Intégration du personnel’, elle prend en charge l’intégration des
nouveaux recrus et stagiaires, elle vise la mise à jour des compétences intellectuelles et
pratiques de ses agents à travers des formations et des certifications. Le QIP ne dispose que
d’un seul agent : c’est le chargé Qualification et Intégration du Personnel.
3.2 CNS
L’Unité CNS est une unité du service MIRE/I de l’ASECNA. Elle s’occupe de la
maintenance préventive et curative, et de l’installation des équipements de communication, de
navigation et de surveillance. Comme son nom l’indique, le CNS se divise en trois (03) volets
qui sont la Communication qui fait allusion à l’installation, l’entretien, le contrôle et le suivis
des équipements d’aide à la communication, la Navigation qui est consacré à l’installation, la
maintenance des équipements d’aides à la navigation et la Surveillance qui consiste à veiller
sur les avions se trouvant dans la zone CCR (Centre de Contrôle Régional)
3.3 ELB
3.4 RSI
Introduction
1. Définition
2. Le modèle OSI
2.1 Définition
• Choix des frontières entre couches de manière à minimiser le flux d’information aux
interfaces.
• Les couches basses (1-4) : transfert de l’information par les différents services de transport.
• Les couches hautes (5-7) : traitement de l’information par les différents services applicatifs.
Niveau Couche
7 Application
6 Présentation
5 Session
4 Transport
3 Réseau
2 Liaison de données
1 Physique
• La couche transport (4) : assure le transport de bout en bout, c’est-à-dire entre les deux
stations qui communiquent. Elle garantit que le message est acheminé entre les deux
stations avec la qualité de service demandée. Le terme qualité de service désigne un
ensemble de propriétés que le demandeur du service exige du prestataire, telles que la
garantie d’un débit minimum, le respect d’une borne maximum de temps de livraison
de messages, . . .
• La couche réseau (3) : assure l’acheminement des blocs d’information à travers le sous-
réseau. Elle choisit le meilleur chemin entre les deux commutateurs d’entrée-sortie du
sous-réseau. Les blocs d’information de niveau 3 sont appelés paquets.
• La couche liaison de donnée (2) : elle est responsable de l’acheminement sans erreur
des blocs d’information entre les deux machines qui se trouvent aux extrémités d’une
liaison de données. Les blocs d’information de niveau 2 sont appelés trames.
3. Le modèle TCP/IP
3.1 Définition
informatique, notamment le protocole TCP et le protocole IP qui sont parmi les principaux
protocoles de ce modèle
7 Application
6 Présentation 4 Application
5 Session
4 Transport 3 Transport
3 Réseau 2 Internet
2 Liaison de donnée
Les services des couches 1 et 2 (physique et liaison) du modèle OSI sont intégrés dans une seule
couche (hôte réseau), les couches 5 et 6 (session et présentation) n’existent pas réellement dans
le modèle TCP/IP et leurs services sont réalisés par la couche application si besoin est :
• Hôte réseau : La couche hôte-réseau, intégrant les services des couches physique et
liaison du modèle OSI, a en charge la communication avec l’interface physique afin de
transmettre ou de récupérer les paquets de données qui lui sont transmis de la couche
supérieure. Le protocole utilisé pour assurer cet interfaçage n’est pas explicitement
défini puisqu’il dépend du réseau utilisé ainsi que du nœud (Ethernet en LAN, X25 en
WAN, ...etc.).
4. Topologie réseau
4.1 Définition
Les architectures suivantes sont ou ont effectivement été utilisées dans des réseaux
informatiques grand public ou d’entreprise. La topologie d’un réseau correspond à son
architecture physique. En ce sens où leur structure détermine leur type.
• Le réseau en anneau
Un réseau a une topologie en anneau quand toutes ses stations sont connectées en chaine
les unes aux autres par une liaison bipoint de la dernière à la première. Chaque station joue le
rôle de station intermédiaire. Chaque station qui reçoit une trame, l’interprète et la réémet à la
station suivante de la boucle si c’est nécessaire. La défaillance d'un hôte rompt la structure d'un
Les ordinateurs d'un réseau en anneau ne sont pas systématiquement reliés en boucle, mais
peuvent être connectés à un répartiteur appelé « MAU », (pour Multi station Access Unit) qui
va gérer la communication entre les ordinateurs reliés en allouant à chacun d'eux un « temps de
parole ».
En cas de collision de deux messages, les deux seraient perdus, mais les règles d'accès à
l'anneau (par exemple, la détention d'un jeton) sont censées éviter ce cas de figure.
• Le réseau en bus
La topologie Réseau en bus (informatique) est représentée par un câblage unique des unités
réseaux. Il a également un faible coût de déploiement et la défaillance d'un nœud (ordinateur)
ne scinde pas le réseau en deux sous-réseaux. Ces unités sont reliées de façon passive par
dérivation électrique ou optique. Les caractéristiques de cette topologie sont les suivantes :
- Le signal émis par une station se propage dans un seul sens ou dans les deux
sens.
- Le bus, dans le cas de câbles coaxiaux, est terminé à ses extrémités par
des adaptateurs d'impédance (des « bouchons ») pour éliminer les réflexions du
signal.
Dans ce mode, le support physique ne relie qu’une paire d’unités seulement. Pour que deux
unités réseaux communiquent, elles passent obligatoirement par un intermédiaire (le nœud).
• Le réseau en étoile
La topologie Réseau en étoile aussi appelée Hub and spoke est la topologie la plus courante
actuellement. Omniprésente, elle est aussi très souple en matière de gestion et de dépannage
d'un réseau : la panne d'un nœud ne perturbe pas le fonctionnement global du réseau. En
revanche, l'équipement central (un concentrateur hub et plus souvent sur les réseaux modernes,
un commutateur) qui relie tous les nœuds, constitue un point unique de défaillance : une panne
à ce niveau rend le réseau totalement inutilisable. Le réseau Ethernet est un exemple de
topologie en étoile. L'inconvénient principal de cette topologie réside dans la longueur des
câbles utilisés.
• Le réseau maillé
Une topologie maillée correspond à plusieurs liaisons point à point. (Une unité réseau peut
avoir (1, N) connexions point à point vers plusieurs autres unités.) Chaque terminal est relié à
tous les autres. L'inconvénient est le nombre de liaisons nécessaires qui devient très élevé
lorsque le nombre de terminaux l'est : s'il y a N terminaux, le nombre de liaisons nécessaires
est de N(N-1) /2.
Cette topologie se rencontre dans les grands réseaux de distribution (Exemple : Internet).
L'information peut parcourir le réseau suivant des itinéraires divers, sous le contrôle de
puissants superviseurs de réseau, ou grâce à des méthodes de routage réparties.
1. Définition
Le système d’informations représente l’ensemble des données de l’entreprise ainsi que ses
infrastructures matérielles et logicielles. Le système d’informations représente un patrimoine
essentiel de l’entreprise, qu’il convient de protéger. La sécurité informatique, d’une manière
générale, consiste à assurer que les ressources matérielles et logicielles d’une organisation sont
uniquement utilisées dans le cadre prévu. La sécurité informatique vise les objectifs suivants :
• Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations
qui leur sont destinées (notion de droit ou de permissions). Tout accès indésirable doit
être empêché.
• Authentification : les utilisateurs doivent prouver leur identité par l’usage de code
d’accès. Cela permet de gérer les droits d’accès aux ressources concernées et maintenir
la confiance dans les relations d’échange.
• Intégrité : les données doivent être celle que l’on attend et ne doivent pas être altérées
de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être
exacts et complets.
• Disponibilité : l’accès aux ressources du système d’information doit être permanent et
sans failles durant les plages d’utilisations prévues. Les services et les ressources sont
accessibles rapidement et régulièrement.
• La non-répudiation : aucun utilisateur ne doit pouvoir contester les opérations qu’il a
réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s’attribuer
les actions d’un autre utilisateur.
Une fois les objectifs de la sécurisation déterminée, les risques pesant sur chacun de ces
éléments peuvent être estimés en fonction des menaces. Les précautions doivent être envisagées
en fonction des vulnérabilités propres au contexte auquel le système d’information est censé
apporter service et appui.
3. La politique de sécurité
La PSSI, élaborée « sur-mesure » pour chaque établissement, décrit l’ensemble des enjeux,
des besoins, des contraintes, ainsi que des règles à adopter propres à chaque structure. Elle doit
être validée par la direction et prise en compte par chaque collaborateur.
4. Les vulnérabilités
Tous les systèmes informatiques sont vulnérables. Peu importe le niveau de vulnérabilité
de ceux-ci. Une vulnérabilité est une faille ou une faiblesse pouvant être exploitée par une
personne mal intentionnée pour nuire. Les vulnérabilités des systèmes peuvent être classées en
catégorie (humaine, technologique, organisationnelle, mise en œuvre).
• Vulnérabilités humaines : L'être humain de par sa nature est vulnérable. La plupart
des vulnérabilités humaines proviennent des erreurs (négligence, manque de
compétences, surexploitation, etc.), car ne dit-on pas souvent que l'erreur est humaine
? Un SI étant composé des humains, il convient d'assurer leur sécurité si l'on veut
garantir un maximum de sécurité dans le SI.
• Vulnérabilités technologiques : Avec la progression exponentielle des outils
informatiques, les vulnérabilités technologiques sont découvertes tous les jours. Ces
vulnérabilités sont à la base dues à une négligence humaine lors de la conception et la
réalisation.
• Vulnérabilités organisationnelles : Les vulnérabilités d'ordre organisationnel sont
dues à l'absence des documents cadres et formels, des procédures (de travail, de
validation) suffisamment détaillées pour faire face aux problèmes de sécurité du
système. Quand bien même ces documents et procédures existent, leur vérification et
mises à jour ne sont pas toujours bien assurées.
Une menace désigne l’exploitation d’une faiblesse de sécurité par un attaquant, que ce soit
interne ou externe à l’entreprise. La probabilité qu’elle soit une faille de sécurité, est évaluée
par des études statistiques même si elle est difficile à réaliser.
6. Les logiciels malveillants
Ce sont des logiciels développés par des hackers dans le but de nuire à un système
d’informations.
• Les Virus : un virus est un segment de programme qui, lorsqu’il s’exécute, se reproduit
en s’adjoignant à un autre programme (du système ou d’une application), et qui devient
ainsi un cheval de Troie, puis le virus peut ensuite se propager à d’autres ordinateurs
(via un réseau) à l’aide du programme légitime sur lequel il s’est greffé. Il peut
également avoir comme effets de nuire en perturbant plus ou moins gravement le
fonctionnement de l’ordinateur infecté.
• Les Vers : Un ver est un programme autonome qui se reproduit et se propage à l’insu
des utilisateurs. Contrairement aux virus, un ver n’a pas besoin d’un logiciel hôte pour
se dupliquer. Le ver a habituellement un objectif malicieux, par exemple :
- Espionner l’ordinateur dans lequel il réside ;
- Offrir une porte dérobée à des pirates informatiques ;
- Détruire des données sur l’ordinateur infecté ;
- Envoyer de multiples requêtes vers un serveur internet dans le but de le saturer.
• Les chevaux de Troie : Un cheval de Troie est une forme de logiciel malveillant
déguisé en logiciel utile. Son but : se faire exécuter par l’utilisateur, ce qui lui permet
de contrôler l’ordinateur et de s’en servir pour ses propres fins. Généralement d’autres
logiciels malveillants seront installés sur votre ordinateur, tels que permettre la collecte
frauduleuse, la falsification ou la destruction de données.
• Les logiciels espions : (Espiogiciel ou logiciel espion) est un programme ou un sous-
programme, conçu dans le but de collecter des données personnelles sur ses utilisateurs
et de les envoyer à son concepteur, ou à un tiers via Internet ou tout autre réseau
informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits
utilisateurs.
• Le spam : correspond à l'envoi intempestif de courriers électroniques, publicitaires ou
non, vers une adresse mail. Le spam est une pollution du courrier légitime par une
énorme masse de courrier indésirable non sollicité.
7. Les intrusions
Une intrusion est définie comme une faute malveillante d’origine interne ou externe
résultant d’une attaque qui a réussi à exploiter une vulnérabilité. Elle est susceptible de produire
des erreurs pouvant provoquer une défaillance vis-à-vis de la sécurité, c’est-à-dire une violation
de la politique de sécurité du système. Le terme intrusion sera employé dans le cas où l’attaque
est menée avec succès et où l’attaquant a réussi à s’introduire et/ou compromettre le système.
8. Les attaques
Une attaque est définie comme faute d’interaction malveillante visant à violer une ou
plusieurs propriétés de sécurité. C’est une faute externe créée avec l’intention de nuire, y
compris les attaques lancées par des outils automatiques : vers, virus, etc. La notion d’attaque
ne doit pas être confondue avec la notion d’intrusions.
8.1 Les types d’attaques
Les hackers utilisent plusieurs techniques d'attaques. Ces attaques peuvent être regroupées
en trois familles différentes :
• Les attaques directes : C’est la plus simple des attaques. Le hacker attaque directement
sa victime à partir de son ordinateur. La plupart des hackers utilisent cette technique. En
effet, les programmes de hack qu’ils utilisent ne sont que faiblement paramétrables, et
un grand nombre de ces logiciels envoient directement les paquets à la victime.
• Les attaques indirectes par réponse : Cette attaque est un dérivé de l'attaque par
rebond. Elle offre les mêmes avantages, du point de vue du hacker. Mais au lieu
d'envoyer une attaque à l'ordinateur intermédiaire pour qu'il la répercute, l'attaquant va
lui envoyer une requête, et c'est cette réponse à la requête qui va être envoyée à
l'ordinateur victime.
• Attaque par modification : Il s’agit d’une attaque portée à l’intégrité. Changer des
valeurs dans un fichier de données, altérer un programme de façon à bouleverser son
comportement ou modifier le contenu de messages transmis sur un réseau sont des
exemples de telles attaques.
• Attaque par fabrication : C’est une attaque portée à l’authenticité. Il peut s’agir de
l’insertion de faux messages dans un réseau ou l’ajout d’enregistrements à un fichier.
➢ Le Déni de Service : Ce genre d’attaques (denial of service en anglais ou DoS) sont des
attaques qui visent à rendre une machine ou un réseau indisponible durant une certaine
période. Cette attaque est dangereuse quand elle vise les entreprises dépendantes de leur
infrastructure réseau.
➢ Le SYN flood : Cette attaque utilise des paquets TCP contenant le flag SYN. Ce flag
signifie initier une connexion avec la cible. En envoyant un nombre très important de
ces paquets, on oblige le serveur à démarrer un socket de connexion pour chaque
requête, il enverra donc des paquets contenant les flags SYN, ACK pour établir la
connexion mais ne recevra jamais de réponses. Le serveur ayant arrivé à saturation à
cause de la grande fille d’attente de connexion ne pourra plus pouvoir répondre aux
connexions légitimes des utilisateurs.
Linux mais une des conditions pour que l'attaque soit efficace est de posséder plus de
bande passante que la victime.
➢ Le Smurf : Les attaques Smurf profite d'une faiblesse d’IPv4 et d'une mauvaise
configuration pour profiter des réseaux permettant l'envoi de paquets de broadcast. Le
broadcast est une adresse IP qui permet de joindre toutes les machines d'un réseau.
L'attaquant envoie au broadcast des paquets contenant l'IP source de la victime ainsi
chaque machine sur le réseau va répondre à la cible à chaque requête de l'attaquant. On
se sert du réseau comme un amplificateur pour perpétrer l'attaque, cette méthode porte
aussi le nom d'attaque réfléchie permettant à l'attaquant de couvrir ces traces et de rendre
l'attaque plus puissante.
➢ Teardrop Attack : Elle consiste à envoyer des paquets IP invalides à la cible, ces
paquets peuvent être fragmentes, ou contenir des données corrompues ou qui dépassent
la taille réglementaire. Sur certains systèmes comme les Windows avant 98 ou les Linux
avant 2.0.32, ces paquets ne peuvent être interprétés et rendrons la machine inopérante.
➢ Les attaques distribuées : La plupart des attaques, cité plus haut, peuvent être exécutés
de manière distribuée, on parle de DDoS pour Distributed Denial of Service. Les
attaques distribuées se basent sur ce fait : attaquer une cible toute seule se traduit souvent
par un échec, alors que si un grand nombre de machines s'attaquent à la même cible
alors l'attaque a plus de chance de réussir.
➢ ARP spoof : L'ARP spoof est une attaque très puissante qui permet, en général, de
sniffer le trafic sur le réseau en s'interposant entre une ou des victimes et la passerelle.
Elle permet même de sniffer et récupérer des mots de passes sur des connexions
sécurisés SSL. L'attaque inonde le réseau avec des trames ARP liant l'adresse physique
de l'attaquant avec la passerelle. De cette manière, le cache ARP des victimes est
corrompu et tout le trafic est redirige vers le poste de l'attaquant.
mais dans le cadre d'un déni service, on corrompt le cache DNS de fausses informations
qui rendront impossible l'accès aux sites web.
➢ IP Spoofing : Il existe plusieurs types d'IP Spoofing. La première est dite Blind
Spoofing, c'est une attaque "en aveugle". Les paquets étant forgés avec une adresse IP
usurpée, les paquets réponses iront vers cette adresse. Il sera donc impossible à
l'attaquant de récupérer ces paquets. Il sera obligé de les "deviner". Cependant, il existe
une autre technique que le Blind Spoofing. Il s'agit d'utiliser l'option IP Source Routing
qui permet d'imposer une liste d'adresses IP des routeurs que doit emprunter le paquet
IP. Il suffit que l'attaquant route le paquet réponse vers un routeur qu'il contrôle pour le
récupérer. Néanmoins, la grande majorité des routeurs d'aujourd'hui ne prennent pas en
compte cette option IP et jettent tous paquets IP l'utilisant.
➢ Les chevaux de Troie : Leur objectif est le plus souvent d'ouvrir une porte dérobée
("backdoor") sur le système cible, permettant par la suite à l'attaquant de revenir à loisir
épier, collecter des données, les corrompre, contrôler voire même détruire le système.
Certains chevaux de Troie sont d'ailleurs tellement évolués qu'ils sont devenus de
véritables outils de prise en main et d'administration à distance.
➢ Les virus informatiques : Un vers est un programme parasite. Il n'est pas forcément
autopropageable. Son but est de grignoter des ressources système : CPU, mémoire,
espace disque, bande passante... Ces petits bouts de programme sont dépendants du
système d'exploitation ou d'un logiciel. Ils se propagent, comme toutes données binaires,
par disquettes, CD ROM, réseaux.
➢ Les buffers overflow : Un buffer overflow est une attaque très efficace et assez
compliquée à réaliser. Elle vise à exploiter une faille, une faiblesse dans une application
pour exécuter un code arbitraire qui compromettra la cible.
➢ Social Engineering : C’est une technique qui a pour but d'extirper des informations à
des personnes. Contrairement aux autres attaques, elle ne nécessite pas de logiciel. La
seule force de persuasion est la clé de voûte de cette attaque. Il y a quatre grandes
méthodes de social engineering : par téléphone, par lettre, par internet et par contact
direct.
La sécurité d’un réseau c’est la sécurité des éléments qui le compose, il existe plusieurs
mécanismes et dispositifs de sécurité, parmi eux :
1. Les antivirus
Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des logiciels
malveillants. Ceux-ci peuvent se baser sur l'exploitation de failles de sécurité, mais il peut
également s'agir de programmes qui modifient ou suppriment des fichiers, que ce soit des
documents de l'utilisateur de l'ordinateur infecté, ou des fichiers nécessaires au bon
fonctionnement de l'ordinateur.
Un antivirus vérifie les fichiers et courriers électroniques, les secteurs de boot (pour détecter
les virus de boot), mais aussi la mémoire vive de l'ordinateur, les médias amovibles (clefs USB,
CD, DVD, etc.), les données qui transitent sur les éventuels réseaux (dont internet), etc.
2. Les mises à jour
Pour éviter les dénis de services applicatifs, on doit maintenir tous les logiciels de son
système à jour puisque les mises à jour permettent souvent de corriger des failles logicielles,
qui peuvent être utilisées par un attaquant, pour mettre l'application hors service, ou pire, le
serveur. Il est donc impératif de mettre son système à jour très régulièrement C'est un moyen
très simple à mettre en place pour se protéger des attaques applicatives.
Editer des options dans les fichiers de configuration qui stocke des données concernant
chaque connexion reçue par la machine telle l’adresse IP source, le numéro de port, l’âge de la
connexion. En analysant ces données, on peut facilement détecter les comportements suspects
et éviter certains types d’attaque.
3. Les firewalls
En français on dit pare-feu ou garde-barrière, c’est un système permettant de protéger un
ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment
internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec
le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau
suivante :
- Une interface pour le réseau à protéger (réseau interne) ;
- Une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié,
constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs
réseaux externes.
4. Architecture DMZ
Une DMZ (Demilitarized zone) est une zone d'un réseau d'entreprise, située entre le réseau
local et Internet, derrière le pare-feu. Il s'agit d'un réseau intermédiaire regroupant des serveurs
ou services (HTTP, DHCP, mails, DNS, etc.). Ces serveurs devront être accessibles depuis le
réseau interne de l’entreprise et, pour certains, depuis les réseaux externes. Le but est ainsi
d'éviter toute connexion directe au réseau interne.
5. VPN
Dans les réseaux informatiques, le réseau privé virtuel (Virtual Private Network en anglais,
abrégé en VPN) est une technique permettant aux postes distants de communiquer de manière
sûre, tout en empruntant des infrastructures publiques (internet).
Un VPN repose sur un protocole, appelé protocole de tunnelisation, c'est-à-dire un protocole
permettant aux données passant d'une extrémité à l'autre du VPN d'être sécurisées par des
algorithmes de cryptographie.
6. Les algorithmes de chiffrement
Il existe deux grandes familles d’algorithmes de chiffrements, ceux à clés symétriques et
ceux à clés asymétriques.
• Algorithme de chiffrement symétrique : il consiste à utiliser la même clé pour le
chiffrement ainsi que pour le déchiffrement. Il est donc nécessaire que les deux
interlocuteurs se soient mis d’accord sur une clé privée, ou ils doivent utiliser un canal
sécurisé pour l’échanger.
• Algorithme de chiffrement asymétrique : c’est une méthode cryptographique faisant
intervenir une paire de clés asymétrique (une clé publique et une clé privée). Elle utilise
cette paire de clés pour le chiffrement et le déchiffrement. La clé publique est rendue
publique et elle est distribuée librement, la clé privée quant à elle n’est jamais distribuée
et doit être gardé secrète.
7. Les contrôles d’accès
L’accès au système d’information exige une identification et une authentification au
préalable. L’utilisation de comptes partagés ou anonymes est interdite. Des mécanismes
permettant de limiter les services, les données, les privilèges auxquels à accès l’utilisateur en
fonction de son rôle dans l’organisation doit être mis en œuvre.
Les accès aux serveurs et aux réseaux doivent être journalisés L’attribution et la
modification des accès et privilèges d’un service doivent être validées par le propriétaire du
service.
Pour les services sensibles, un inventaire régulièrement mis à jour en sera dressé. Il importe
de bien différencier les différents rôles et de n’attribuer que les privilèges nécessaires.
8. Les IDS/IPS
La détection d’intrusion est définie comme étant un mécanisme écoutant le trafic réseau de
manière furtive, afin de repérer des activités anormales ou suspectes et permettant ainsi d’avoir
une stratégie de prévention sur les risques d’attaques.
De plus, l'impact sur la machine concernée est sensible immédiatement, par exemple
dans le cas d’une attaque réussie par un utilisateur. Ces IDS utilisent deux types de sources pour
fournir une information sur l'activité de la machine : les logs et les traces d'audit du système
d'exploitation.
Chacun a ses avantages, les traces d'audit sont plus précises et détaillées et fournissent
une meilleure information alors que les logs qui ne fournissent que l'information essentielle
sont plus petits. Ces derniers peuvent être mieux contrôlés et analysés en raison de leur taille,
mais certaines attaques peuvent passer inaperçues, alors qu’elles sont détectables par une
analyse des traces d’audit.
1.1.2 Les NIDS
Le rôle essentiel d'un IDS réseau est l'analyse et l'interprétation des paquets circulant sur ce
réseau. L’implantation d’un NIDS sur un réseau se fait de la façon suivante : des capteurs sont
placés aux endroits stratégiques du réseau et génèrent des alertes s’ils détectent une attaque.
Ces alertes sont envoyées à une console sécurisée, qui les analyse et les traite éventuellement.
Cette console est généralement située sur un réseau isolé, qui relie uniquement les capteurs et
la console.
• Les capteurs
Les capteurs placés sur le réseau sont placés en mode furtif (ou stealth mode), de façon à
être invisibles aux autres machines. Pour cela, leur carte réseau est configurée en mode
"promiscues", c’est à dire le mode dans lequel la carte réseau lit l'ensemble du trafic, de plus
aucune adresse IP n’est configurée.
Un capteur possède en général deux cartes réseaux, une placée en mode furtif sur le réseau,
l’autre permettant de le connecter à la console de sécurité. Du fait de leur invisibilité sur le
réseau, il est beaucoup plus difficile de les attaquer et de savoir qu’un IDS est utilisé sur ce
réseau.
1.1.3 Système d’intrusion hybride
IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permettent, de
surveiller le réseau et les terminaux. Les sondes sont placées en des points stratégiques, et
agissent comme NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent
alors les alertes à une machine qui va centraliser le tout, et lier les informations d’origines
multiples. Ainsi, on comprend que les IDS hybrides sont basés sur une architecture distribuée,
ou chaque composant unifie son format d’envoi. Cela permet de communiquer et d’extraire des
alertes plus exactes.
Avantages Inconvénients
Plusieurs schémas ont été proposés pour décrire les composants d’un système de détection
d’intrusions. Parmi eux, nous avons retenu celui issu des travaux d’Intrusions Detection
exchange formatWorking Group (IDWG) de l’Internet Engineering Task Force (IETF) comme
base de départ, car il résulte d’un large consensus parmi les intervenants du domaine.
L’objectif des travaux du groupe IDWG est la définition d’un standard de communication
entre certains composants d’un système de détection d’intrusions. La figure illustre ce modèle
et permet d’introduire un certain nombre de concepts :
Source de Opérateur
données
Capteur
Réaction
Notification
Analyseur (MDI)
Manager
Administrateur
L’architecture IDWG d’un système de détection d’intrusions contient des capteurs qui
envoient des événements à un analyseur. Les capteurs couplés avec un analyseur forment une
sonde, cette dernière envoie des alertes vers un manager qui la notifie à un opérateur humain.
1.2.1 Les différents éléments de l’architecture
• Administrateur : Personne chargée de mettre en place la politique de sécurité, et par
conséquent, de déployer et configurer les IDS.
• Alerte : Message formaté émis par un analyseur s’il trouve des activités intrusives dans
une source de données.
• Analyseur : C’est un outil logiciel qui met en œuvre l’approche choisie pour la
détection (comportementale ou par scénarios), il génère des alertes lorsqu’il détecte une
intrusion.
• Capteur : logiciel générant des événements en filtrant et formatant les données brutes
provenant d’une source de données.
• Evènement : Message formaté et renvoyé par un capteur. C’est l’unité élémentaire
utilisée pour représenter une étape d’un scénario d’attaques connu.
• Manager : Composant d’un IDS permettant à l’opérateur de configurer les différents
éléments d’une sonde et de gérer les alertes reçues et éventuellement la réaction.
• Notification : La méthode par laquelle le manager d’IDS met au courant l’opérateur de
l’occurrence d’alerte.
• Opérateur : Personne chargée de l’utilisation du manager associé à l’IDS. Elle propose
ou décide de la réaction à apporter en cas d’alerte. C’est, parfois, la même personne que
l’administrateur.
• Réaction : Mesures passives ou actives prises en réponse à la détection d’une attaque,
pour la stopper ou pour corriger ses effets.
• Sonde : Un ou des capteurs couplés avec un analyseur.
• Source de données : Dispositif générant de l’information sur les activités des entités
du système d’information.
Dans ce modèle qui représente le processus complet de la détection ainsi que
l’acheminement des données au sein d’un IDS. L’administrateur configure les différents
composants (capteur(s), analyseurs(s), manager(s)) selon une politique de sécurité bien définie.
Les capteurs accèdent aux données brutes, les filtrent et les formatent pour ne renvoyer que les
événements intéressants à un analyseur. Les analyseurs utilisent ces événements pour décider
de la présence ou non d’une intrusion et envoient dans le cas échéant une alerte au manager,
qui notifie l’opérateur humain, une réaction éventuelle peut être menée automatiquement par le
manager ou manuellement par l’opérateur.
1.2.2 Vocabulaire de la détection d’intrusion
• Attaque ou intrusion : Action qui permet de violer la politique de sécurité.
• Audit de sécurité : C’est l’ensemble des mécanismes permettant la collecte
d’informations sur les actions faites sur un système d’information.
• Détection d’intrusion : recherche de traces laissées par une intrusion dans les données
produites par une source.
• Position 1 : Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques
frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup d'alertes seront
remontées ce qui rendra les logs difficilement consultables.
• Position 2 : Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été
filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront
ici plus clairs à consulter puisque les attaques bénignes ne seront pas recensées.
• Position 3 : L'IDS peut ici rendre compte des attaques internes, provenant du réseau
local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait
que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont contaminé
le parc informatique (navigation peu méfiante sur internet) ils pourront être ici
facilement identifiés pour être ensuite éradiqués.
Système
Applications
Source des données
Réseau
IDS
Système de Approche
détection Méthode de détection comportementa
d’intrusion le
Approche par
scénarios
Centralisée
Analyse des données
Locale
Périodique
Actif
Comportement après
détection
Passif
• Capteur interne : Le filtrage sur les activités de l'application est alors exécuté par le
code de l'application.
• Capteur externe : Le filtrage se fait à l'extérieur de l'application. Plusieurs méthodes
sont utilisées : un processus externe peut filtrer les logs produits par l'application ou bien
l'exécution de l'application peut être interceptée (au niveau de ses appels de librairies ou
d’un proxy applicatif).
Prendre ses informations directement au niveau de l'application présente plusieurs
avantages. Premièrement, les données interceptées ont réellement été reçues par
l'application. Il est donc difficile d'introduire une désynchronisation entre ce que voit
passer le capteur applicatif et ce que reçoit l'application contrairement à ce qu'il peut se
passer avec les capteurs réseau. Ensuite, cette source d'information est généralement de
plus haut niveau que les sources système et réseau. Cela permet donc de filtrer des
événements qui ont une sémantique plus riche. Finalement, si l'on prend l'exemple d'une
connexion web chiffrée par SSL, un capteur réseau ne verra passer que des données
pseudo-aléatoires tandis qu'un capteur associé au serveur web pourra analyser le texte
en clair de la requête.
➢ Source d’information basée sur IDS
Une autre source d'information, souvent de plus haut niveau que les précédentes, peut
être exploitée. Il s'agit des alertes remontées par des analyseurs provenant d'un IDS. Chaque
alerte synthétise déjà un ou plusieurs événements intéressants du point de vue de la sécurité.
Elles peuvent être utilisées par un IDS pour déclencher une analyse plus fine à la suite
d'une indication d'attaque potentielle. De surcroît, en corrélant plusieurs alertes, on peut
parfois détecter une intrusion complexe de plus haut niveau. Il y aura alors génération d'une
nouvelle alerte plus synthétique que l'on qualifie de méta-alerte.
1.4.2 Méthode de détection
employées par les attaquants : on tire des scénarios d’attaque et on recherche dans les
traces d’audit leur éventuelle survenue.
Pour les IDS dits policy-based, il n'y a pas de phase d'apprentissage. Leur comportement
de référence est spécifié par une politique de sécurité : la détection d'une intrusion intervient
chaque fois que la politique est violée. Le profil est ici une politique de sécurité qui décrit la
suite des appels systèmes licites d'une application.
L’approche comportementale possède un certain nombre d’avantages et d’inconvénients :
Les avantages :
- L’analyse comportementale n’exige pas des connaissances préalables sur les attaques.
- Elle permet la détection de la mauvaise utilisation des privilèges.
- Elle permet de produire des informations qui peuvent être employées pour définir des
signatures pour l’analyse basée connaissance.
Les inconvénients :
- Les approches comportementales produisent un taux élevé des alarmes type faux positif
en raison des comportements imprévisibles des utilisateurs et des réseaux.
- Ces approches nécessitent des phases d’apprentissage pour caractériser les profils de
comportement normaux.
- Les alarmes génériques par cette approche ne sont pas significatives.
1.4.2.2 Approche par scénarios
• Système expert : Le système expert comporte une base de règles qui décrit les attaques.
Les événements d'audit sont traduits en des faits qui sont interprétables par le système
expert. Son moteur d'inférence décide alors si une attaque répertoriée s'est ou non
produite.
• Automates à états finis : Plusieurs IDS utilisent des automates à états finis pour coder
le scénario de reconnaissance de l'attaque. Cela permet d'exprimer des signatures
complexes et comportant plusieurs étapes. On passe d'un état initial sûr à un état final
attaqué via des états intermédiaires. Chaque transition entre états est déclenchée par des
conditions sur les événements remontés par les capteurs.
On peut également faire une distinction entre les IDS en se basant sur la localisation réelle
de l'analyse des données :
• Analyse centralisée : Certains IDS ont une architecture multi-capteurs (ou
multisondes). Ils centralisent les événements (ou alertes) pour analyse au sein d'une
seule machine. L'intérêt principal de cette architecture est de faciliter la corrélation entre
événements puisqu'on dispose alors d'une vision globale. Par contre, la charge des
calculs (effectués sur le système central) ainsi que la charge réseau (due à la collecte des
événements ou des alertes) peuvent être lourdes et risquent de constituer un goulet
d'étranglement.
• Analyse locale : Si l'analyse du flot d'événements est effectuée au plus près de la source
de données (généralement en local sur chaque machine disposant d'un capteur), on
minimise le trafic réseau et chaque analyseur séparé dispose de la même puissance de
calcul. En contrepartie, il est impossible de croiser des événements qui sont traités
séparément et l'on risque de passer à côté de certaines attaques distribuées.
l'administrateur système par e-mail, message dans une console, voire même par beeper.
C'est alors lui qui devra prendre les mesures qui s'imposent.
• Active : d'autres systèmes de détection d'intrusions peuvent, en plus de la notification à
l'opérateur, prendre automatiquement des mesures pour stopper l'attaque en cours. Par
exemple, ils peuvent couper les connexions suspectes ou même, pour une attaque
externe, reconfigurer le pare-feu pour qu'il refuse tout ce qui vient du site incriminé.
Des outils tels que RealSecure ou NetProwler proposent ce type de réaction. Toutefois,
il apparait que ce type de fonctionnalité automatique est potentiellement dangereux car
il peut mener à des dénis de service provoqués par l'IDS. Un attaquant déterminé peut,
par exemple, tromper l'IDS en usurpant des adresses du réseau local qui seront alors
considérées comme la source de l'attaque par l'IDS. Il est préférable de proposer une
réaction facultative à un opérateur humain (qui prend la décision finale).
1.5 Points forts des IDS
Un IDS permet de repérer des anomalies dans le trafic réseau comme suit :
• Détecter les tentatives de découvertes du réseau.
• Détecter dans certains cas, si l’attaque a réussi ou non.
• Détecter le Dénis de Service.
• Détecter le niveau d’infection du système informatique et les zones réseaux touchées.
• Repérer les machines infectées.
• Alerter de façon centrale pour toutes les attaques.
• Réagir aux attaques et corriger les problèmes éventuels.
Si on compare les HIDS et NIDS, les HIDS présente un avantage considérable par rapport à un
NIDS dans le cas où le trafic est crypté. En effet, un NIDS n’a pas connaissance des clés de
cryptage et ne peut appliquer ses algorithmes de détection au niveau des données chiffrées.
La détection est effectuée à l’extrémité de la chaine de communication, une fois le flux
est décrypté. Ceci est réalisé en mettant en œuvre un agent HIDS directement sur le serveur
cible. Les flux chiffrés sont ainsi décodés par la cible et transmis ensuite au monteur d’analyse
du NIDS.
1.6 Limite des IDS
Parmi les faiblesses des IDS on trouve :
• Nombreux faux positifs.
• Configuration complexe et longue.
- Nombreux faux positifs après configuration.
une console centrale connectées à l’IPS) en seront aussi informés dans le but d’empêcher les
autres ordinateurs d'ouvrir ou d'exécuter des fichiers spécifiques (si on est en réseau).
2.1 Les types de système de prévention d’intrusion
On peut classer les IPS en deux groupes suivants leurs domaines d'utilisation :
• Les NIPS (Network based IPS) se trouvent sur des équipements en coupure sur le
réseau. Ils combinent les fonctions d’un IDS et d’un pare-feu. Tout comme l’IDS,
ils détectent les paquets IP suspects, et tout comme le pare-feu, en cas de paquet
suspect, ils détruisent immédiatement le paquet ainsi que les paquets suivants
appartenant au même flux. L’IPS doit bien entendu envoyer une alarme à
l’administrateur pour que ce dernier soit averti de ce problème. Les IPS peuvent
aussi servir à corriger en temps réel certaines incohérences de protocole qui sont
liées aux nombreuses piles TCP/IP existantes et à la grande diversité d’interprétation
des spécifications de TCP/IP. Les NIPS ont alors pour fonction de nettoyer les
paquets IP avant de les transmettre.
• Les HIPS/KIPS : Host IPS, plus connu sous l'appellation de systèmes de prévention
d’intrusions « kernel » (KIPS), spécifiques aux hôtes. Ils supervisent l'intégralité
des activités sur la machine où elle est déployée. L’utilisation d’un détecteur
d’intrusions au niveau noyau peut s’avérer parfois nécessaire pour sécuriser une
station. Le KIPS peut également interdire l’OS d’exécuter un appel système qui
ouvrirait un Shell de commandes. Puisqu’un KIPS analyse les appels systèmes, il
ralentit l’exécution : c’est pourquoi c'est une solution rarement utilisée sur des
serveurs souvent sollicités. Exemple de KIPS : Secure IIS, qui est une surcouche du
serveur IIS de Microsoft. Le HIPS peut bloquer les trafics anormaux comme :
- Lecture / écriture de fichiers protégés.
- Accès aux ports réseau.
- Comportements anormaux des applications.
- Bloque les accès en écriture par exemple, bloque les tentatives de
récupération de droit root.
- Connexions suspectes (sessions RPC actives anormalement longues
sur des machines distantes, etc.).
Source de
données
Capteur
Analyseur (MDI)
Vulnérabilité
Bloquer
Attaque
• Réponse passive : Cette technique consiste à bloquer les flux associés à une activité
intrusive sans en informer la source, c'est-à-dire sans générer de paquets spécifiques
à destination du pirate. Les réponses passives se traduisent la plupart du temps par
des opérations de reconfiguration automatique d’un firewall (NIDS) le fait avec
packetfilter (firewall) afin de bloquer les adresses IP source impliquées dans les
intrusions.
Le problème n'est pas le même que la réponse active, n'ayant aucune action vis à vis de
l'attaquant celui-ci n'est pas aux courant de la présence de l'IPS. En revanche le problème de
l’authenticité de la source de l’attaque est le même. Avec un firewall on a aussi la possibilité de
se couper d'un réseau important.
En effet, si le pirate usurpe une adresse IP sensible telle qu’un routeur d’accès ou un serveur
DNS, l’entreprise qui implémente une reconfiguration systématique d’un firewall risque tout
simplement de se couper elle-même du monde extérieur.
Conclusion
Ce chapitre nous a permis de découvrir les systèmes de détection et de prévention
d’intrusions, leurs fonctionnements et leur capacité. La plupart des IDS/IPS sont fiables, ce qui
explique qu'ils sont souvent intégrés dans les solutions de sécurité. Les avantages qu'ils
présentent face aux autres outils de sécurités les favorisent, mais d'un autre côté cela n'empêche
pas que les meilleurs IDS/IPS présentent aussi des lacunes et quelques inconvénients. Nous
comprenons donc bien qu'ils sont nécessaires mais ne peuvent pas se passer de l'utilisation
d'autres outils de sécurité visant à combler leurs défauts. Nous allons voir dans le chapitre
suivant comment réussir une bonne configuration de ces derniers afin de mieux sécuriser le
réseau.
Troisième partie
Cadre Analytique
Disposant d’un firewall Fortinet Fortiget, qui fait le filtrage des paquets tout en tant les
paquets illégitimes, on se fait beaucoup face à des conflits d’adresse IP au sein du réseau local,
ce qui peut justifier l’usurpation d’une adresse du réseau local par une personne externe n’étant
pas autoriser, d’où la probabilité d’une intrusion. Ne disposant pas d’un tableau de bord
expliquant de façon précis et détaillé des intrusions faites au sein de notre réseau, ceci reste une
vulnérabilité du réseau, qui peut être exploitée afin d’atteindre à la disponibilité des services.
Cette pratique d’usurpation d’adresse IP ralentissent le travail, et des fois ca porte atteinte
à la confidentialité des certaines informations, puisque une imprimantes qui est dans un service
peut imprimer les données d’un autre service, ce qui porte atteinte au niveau d’information. Au
sein de notre stage on a résolu maintes situations de cas, et prenait énormément de temps,
surtout si les machines victimes sont nombreuses.
Une parmi les solutions est la mise en place d’un système de détection et prévention
d’intrusion sur une machine dédiée, afin de mieux assister le firewall afin de garantir une
sécurité maximale.
On placera notre système IDS/IPS juste après le routeur, mais on lui définira l’adresse du
réseau sur lequel il va écouter et détecter tout trafic suspect.
Introduction
Ce chapitre présente les différentes étapes d’installation de notre système de détection et de
prévention d’intrusion SURICATA, de l’outils EVEBOX qui nous sera utile pour la lecture des
alertes mais aussi de l’outils SPLUNK pour la lecture des fichiers logs.
2. Choix de l’environnement
La solution choisie marche sur toutes les plateformes, pour le choix du système
d’exploitation sur lequel on va installer notre système, on va tenir compte du système
d’exploitation qui demande moins de ressources matérielles, qui est facilement accessible et
libre aussi. S’agissant de la plateforme Mac OS, elle n’est fonctionnelle que sur les machines
MAC, vu qu’on ne dispose pas de machine MAC on ne va pas tenir compte de la plateforme.
Voici un tableau récapitulatif des différentes plateformes, tout en précisant les ressources
nécessaires pour l’installation de la solution.
II. Conception
Les logiciels utilisés :
• Suricata 6.0.3
• Splunk Enterprise Security
• Evebox
• ELK
1. Présentation de Suricata
Suricata est un moteur de détection d’intrusions (IDS), de prévention d’intrusions (IPS) et
de surveillance réseau orienté sécurité (NSM). Suricata est développé par une fondation à but
non lucratif, l’Open Information Security Foundation (OISF) qui a été créé pour supporter le
projet. Avec un développement initié en 2008, Suricata est maintenant un logiciel mûr qui
évolue néanmoins très rapidement sous l’impulsion de la communauté de Suricata et de la
fondation OISF.
Avec des mises à jour constantes de notre communauté dédiée, Suricata suit le rythme des
besoins des utilisateurs, la sophistication des adversaires et la vitesse des réseaux
d'aujourd'hui. Suricata combine un langage de signature complet pour faire correspondre les
menaces inconnues, les violations de politique et les comportements malveillants avec la
capacité de détecter également des anomalies dans le trafic multi-gigabit qu'il inspecte. Suricata
peut enregistrer des requêtes HTTP, enregistrer et stocker des certificats TLS, extraire des
fichiers des flux et les stocker sur disque. La prise en charge complète de la capture pcap permet
une analyse facile. Tout cela fait de Suricata un moteur puissant pour votre écosystème Network
Security Monitoring (NSM).
Suricata est capable d'inspecter le trafic multi-gigabit. Le moteur est construit autour d'une
base de code multi-thread, moderne, propre et hautement évolutive.
3. Présentation de Evebox
EveBox est un outil Web de gestion des alertes et des événements pour les événements
générés par le moteur de détection des menaces réseau Suricata.
non structurées en temps réel, Logstash normalise les données temporelles et Kibana est un
outil de visualisation.
Ubuntu est disponible en deux versions, une qui évolue tous les six mois, et une version
LTS, pour Long Term Support " Support long terme " qui évolue tous les deux ans. Ubuntu se
définit comme "un système d'exploitation utilisé par des millions de PC à travers le monde " et
avec une interface "simple, intuitive, et sécurisée ". Elle est la distribution la plus utilisé pour
accéder aux sites web, et le système d'exploitation le plus utilisé pour les serveurs
informatiques.
Nous avons choisi la version de Ubuntu 20.04 LTS pour notre projet, car nous avons déjà
cette version installer physiquement sur notre machine.
6. Ubuntu server
Nous allons installer Ubuntu server sous une machine virtuelle, elle nous servira de machine
pour les tests intrusions.
7. VirtualBox
VirtualBox est un puissant produit de virtualisation x86 et AMD64/Intel64 pour les
entreprises et les particuliers. Non seulement VirtualBox est un produit extrêmement riche en
fonctionnalités et hautes performances pour les entreprises clientes, mais c'est également la
seule solution professionnelle disponible gratuitement en tant que logiciel Open Source selon
les termes de la licence publique générale GNU (GPL) version 2.
Avant que Suricata puisse être utilisé, il doit être installé. Suricata peut être installé sur
diverses distributions à l’aide des packages binaires. Nous on va utiliser la méthode source pour
installer Suricata.
1. Installation depuis la source
• L’installation à partir des fichiers de distribution source donne le plus de contrôle sur
l’installation de Suricata. Nous procédons alors à l’installation de Suricata via le lien de
leur site web sur notre console :
wget https://www.openinfosecfoundation.org/download/Suricata-5.0.3.tar.gz
- Libpcre : Il s'agit d'une bibliothèque de fonctions qui prend en charge les expressions
rationnelles ayant une syntaxe et une sémantique aussi proches que possible de celles
du langage Perl 5.
- Zlib : Zlib permet la compression et la décompression des données.
- Libyaml : Libyaml est une bibliothèque C pour analyser et émettre des données en
YAML 1.1, un format de sérialisation de données intelligible.
2. Configuration de Suricata
Suricata utilise le format Yaml pour la configuration. Le fichier Suricata.yaml inclus dans
le code source, est l’exemple de configuration de Suricata. Ce document expliquera chaque
option.
Pour notre test nous allons configurer EVE, qui est un format d’événement
extensible, qui nous permettra de sortie pour nos alertes et événements.
• Journal des paquets (pcap-log) : Avec l'option pcap-log, nous pouvons enregistrer
tous les paquets enregistrés par Suricata dans un journal nommé log. pcap. De cette
façon, nous pouvons jeter un œil à tous les paquets lorsque nous le souhaitons.
• Démarrage de evebox
- Pour démarrer evebox, on doit taper la commande suivante : evebox serveur -e -v
http:// nom de la machine : numéro de port.
o Evebox serveur : précision du service de evebox.
o -v : pour indiquer la verbosité.
o -e http:// nom de la machine (adresse locale) : numéro de port (9200) :
spécifie le mode de connexion (interface web) et le nom de la machine de la
machine de connexion.
o - -input /var/log/suricata/eve.json : spécifie le fichier dans lequel evebox va
charger les alertes.
• Evebox server démarrage sur l’adresse local (127.0.0.1) avec comme numéro de
port :5636
3.2 Splunk
• Téléchargement de du paquet Debian de Splunk depuis leur site :
https://www.splunk.com/fr_fr/download/splunk-enterprise.html
• Dépaquetage du paquet Debian de Splunk télécharger :
• Démarrage de Splunk
Pour démarrer Splunk on se positionne dans le répertoire /opt/splunk/bin.
Ensuite on tape la commande : splunk start - -accept-licence. Cette commande permet
de démarrer Splunk tout en acceptant les conditions d’utilisation.
4. Simulation
4.1 Description
On va simuler une attaque flood qui est une attaque par dénis de service, le
fonctionnement de l’attaque vise à rendre un serveur indisponible pour le trafic légitime en
consommant toutes les ressources serveur disponibles. En envoyant à plusieurs reprises des
paquets de demande de connexion initiale (SYN), l’attaque est en mesure de submerger tous
les ports disponibles sur une machine serveur ciblée, ce qui oblige l’appareil ciblé à
répondre lentement au trafic légitime, ou l’empêche totalement de répondre.
Notre système IDS/IPS déjà installé sur notre machine Ubuntu 20.04, nous allons démarrer
notre système Ubuntu server qui est dans le même réseau que la machine surveillante (IDS/IPS),
nous allons procéder à l’attaque flood à travers notre système Ubuntu server.
On remarque que la source du paquet est l’adresse IP de notre machine Ubuntu, et la destination
l’adresse IP de la machine d’écoute. Il y’a aussi l’interface sur lequel suricata écoute qui est
wlp3s0. Et l’événement est de type flow (flux). Et pour la prévention le paquet est bloqué, on
remarque au niveau de l’état du paquet est fermé.
Nous allons visualiser les statistiques des différentes intrusions avec Splunk.
Nous allons dans un premier temps spécifier à Splunk le fichier qu’il va charger pour nous
dresser les statistiques. Dans notre cas notre fichier sera le fichier de sortie des alertes qui est
eve.json.
Conclusion Générale
Les réseaux informatiques ont évolué au fil du temps à une vitesse vertigineuse.
L’interconnexion de ces réseaux à internet les a directement exposés aux menaces
informatiques. Ce projet m’a permis d’approfondir mes connaissances, notamment en termes
de configuration dans un environnement "Linux ". De plus j’ai aussi enrichi mes connaissances
dans le domaine de la sécurité d’un réseau local, grâce à la mise en place d’un système de
détection et de prévention d’intrusions. L’étude que nous avons menée nous a conduits à
découvrir l’une des mesures de sécurité à déployer, pour assurer la sécurité d’un réseau
informatique. Nous avons eu l’initiative de mettre en place un système de détection et de
prévention d’intrusions dans le but de renforcer la sécurité au sein d’un réseau LAN, il s’agit
de l’IDS/IPS "Suricata". Nous avons présenté l’aspect théorique sur la sécurité des réseaux
informatique et toutes les notions qui s’y rapportent, l’aspect pratique quant à lui a fait l’objet
d’implémentation de la solution proposée, suivi des différents tests d’évaluation réalisés,
permettant de garantir le succès de la démarche de configuration, l’utilisation de cet outil dans
un réseau est fonctionnelle en termes de perspectives.
Webographie
[07/09/2021] https://fr.wikipedia.org/wiki/Système_de_prévention_d’intrusion.html
[14h39]
[07/09/2021] https://www.techniques-ingenieur.fr/base-documentaire/archives-
th12/archives-securite-des-systemes-d-information-tiasi/archive-1/pare-feu-
te7550/systemes-de-prevention-d-intrusion-te7550niv10007.html [16h30]
[07/09/2021] https://www.forcepoint.com/fr/cyber-edu/intrusion-prevention-system-
ips.html [20h12]
[09/09/21] http://igm.univ-mlv.fr/~dr/XPOSE2009/Sonde_de_securite_IDS_IPS/IPS.html
[10h32]
[09/09/21] http://igm.univ-
mlv.fr/~dr/XPOSE2009/Sonde_de_securite_IDS_IPS/solutions.html [14h02]
[10/09/21] https://www.softwaretestinghelp.com/intrusion-detection-systems.html
[15h30]
[10/09/21]
https://fr.wikipedia.org/wiki/Ubuntu_(syst%C3%A8me_d%27exploitation).html
[11h42]
Bibliographie
• Pierre Chifflier and Arnaud Fontaine, architecture système sécurisée de sonde IDS
réseau.
• Robin Gassais, détection d’intrusion sur les objets connectés par analyse
comportementale.
• Damien Riquet, une architecture de détection d’intrusions réseau distribuée basée sur
un langage dédié.
Annexes