Memoire Jacques RDS

REPUBLIQUE DU NIGER
Fraternité-Travail-Progrès
Ministère des postes et des nouvelles technologies de communications

Ecole Supérieure des Télécommunications
MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU DIPLOME DE :
LICENCE EN RESEAUX DE DONNEES ET SECURITE
THEME :
MISE EN PLACE D’UN SYSTEME DE DETECTION ET
PREVENTION D’INTRUSION AVEC SURICATA
PRESENTE PAR : ENCADRE PAR :

JACQUES YONABA Boukar Mr. Owonola IKOUSSENIN
Promotion : 2018-2021
Septembre 2021
Licence 3 RDS Jacques Yonaba Boukar
i.
DEDICACE
Je dédie ce travail à mes parents, pour l’éducation, du soutien moral qu’ils m’ont
apporté tout au long de mon cursus académique, ainsi que leur sacrifice.

ii.
REMERCIEMENTS
Nous remercions Allah le tout puissant de nous avoir accordé santé, foi et courage
jusqu’à la réalisation de ce projet.
Au terme de ce projet de fin d’études mes vifs remerciements sont dédiés à tous
ceux qui ont contribué de près ou de loin à sa réalisation.
En premier lieu, je remercie mon maitre de mémoire Mr Owonola
IKOUSSENIN. Sa disponibilité, ses directives et son sens du détail m’ont permis

de soigner et d’améliorer la qualité de mon travail.
Un remerciement spécial à mes parents, ainsi qu’à toute ma famille qui ont su me
soutenir tout au long de ce travail.
Mes remerciements à l’égard de mon encadreur professionnel Mr DORO

Boubacar et des professeurs de l’Ecole Supérieure des Télécommunications pour
la formation et l’encadrement reçus durant ce parcours académique très
enrichissant.
Un grand merci à Mr INOUSSA Hima Chef service IGC à l’ASECNA, qui m’a
dirigé vers l’ASECNA pour ce stage. Mais aussi un sincère remerciement au
personnel de l’ASECNA pour son accueil chaleureux.

iii.
Liste des figures

Figure 1:Organigramme de l'ASECNA ............................................................................................ 16
Figure 2: Topologie de réseau en anneau .......................................................................................... 25
Figure 3: Topologie de réseau en bus ................................................................................................ 26
Figure 4: Topologie de réseau en étoile ............................................................................................. 27
Figure 5: Topologie de réseau maillé ................................................................................................. 28
Figure 6:Attaque directe ..................................................................................................................... 33
Figure 7: Attaque indirecte par rebond ............................................................................................ 34
Figure 8: Attaque indirecte par réponse ........................................................................................... 34
Figure 9: Attaque par interruption.................................................................................................... 35
Figure 10: Attaque par interception .................................................................................................. 36
Figure 11: Attaque par modification ................................................................................................. 36
Figure 12: Attaque par fabrication .................................................................................................... 37
Figure 13:Modèle générique de la détection d'intrusions proposé par l'IDWG ............................ 45
Figure 14: Emplacement pour un IDS............................................................................................... 47
Figure 15: Classification des IDS .......................................................................................................... 49
Figure 16: Architecture fonctionnelle d'un IPS .................................................................................... 59
Figure 17: Architecture du réseau informatique du service MIRE/I ............................................. 62
Figure 18: Architecture de la solution proposée ............................................................................... 63
Figure 19: Interface de connexion de Splunk ................................................................................... 67
Figure 20: Interface web de Evebox .................................................................................................. 67
Figure 21: Interface de VirtualBox .................................................................................................... 69
Figure 22: Installation de Suricata .................................................................................................... 70
Figure 23: Désarchivage du package de Suricata ............................................................................. 70
Figure 24: Installation des bibliothèques pour Suricata .................................................................. 71
Figure 25: Configuration des fonctionnalités de prévention ........................................................... 72
Figure 26: Supplément pour l'intégration IPS iptables/nftables..................................................... 73
Figure 27:Vérification du service de Suricata .................................................................................. 73
Figure 28: Ouverture du fichier de configuration de Suricata ....................................................... 74
Figure 29: Configuration de l'utilisateur pour exécuter Suricata .................................................. 75
Figure 30: Configuration de l'adresse IP du réseau sur lequel Suricata va écouter ..................... 75
Figure 31: Mise des règles de Suricata .............................................................................................. 76
Figure 32: Utilisation des règles de Suricata par défaut .................................................................. 76
Figure 33: Répertoire de sortie des événements de Suricata par défaut ........................................ 77
Figure 34: Configuration de la sortie EVE ....................................................................................... 77
Figure 35: Configuration du journal des paquets ............................................................................ 78
Figure 36: Version de evebox à télécharger ...................................................................................... 78
Figure 37: Dépaquetage de evebox .................................................................................................... 79
Figure 38: spécification de l'interface web de connexion ................................................................. 79
Figure 39: Dépaquetage du paquet de Splunk .................................................................................. 80
Figure 40: Démarrage de Splunk ....................................................................................................... 80
Figure 41: Adresse de l'interface web de démarrage de Splunk ..................................................... 80
Figure 42: Installation de l'utilisateur hping3 pour l'attaque ......................................................... 81
Figure 43: Lancement de l'attaque .................................................................................................... 82
Figure 44: Lecture des alertes par le fichier eve.json ....................................................................... 82
Figure 45: les alertes de l'attaque remontée par evebox .................................................................. 83
Figure 46: Caractéristique d'un événement ...................................................................................... 83

iv.
Figure 47: Blocage du paquet pour la prévention ............................................................................ 84

Figure 48: Connexion à notre compte Splunk .................................................................................. 84
Figure 49: Sélection du fichier pour les statistiques ......................................................................... 85
Figure 50: Statistique des intrusions.................................................................................................. 85
Figure 51: Rapport d'alertes du 05/10/21 par evebox ......................................................................... i
Figure 52: Installation de logstash ........................................................................................................ i
Figure 53: Installation de Kibana ......................................................................................................... i
Figure 54: Installation du serveur web nginx ......................................................................................ii

v.
Liste des tableaux

Tableau 1: Le modèle OSI .................................................................................................................. 20
Tableau 2:Modèle OSI et Modèle TCP/IP ........................................................................................ 22
Tableau 3: comparaison des différents types d’IDS ......................................................................... 44
Tableau 4: comparatif des solutions IDS/IPS ................................................................................... 64
Tableau 5: Tableau comparatif des systèmes d’exploitation ........................................................... 65

vi.
Sigles et Abréviations
ARP : Address Resolution Protocol
ARPAnet : Advanced Research Projects Agency Network
ASECNA : Agence pour la Sécurité de la Navigation Aérienne
CD : Compact Disc
CNS : Communication Navigation et Surveillance
CPU : Central Processing unit
DOD : United States Department of Defense
DOS : Denial of Service
DDOS : Distributed Denial of Service
DHCP : Dynamic Host Configuration Protocol
DMZ : Demilitarized Zone
DNS : Domain Name System
DVD : Digital Video Disc
ELB : Energie et Balisage
FTP : File Transfert Protocol
HIDS : Host Intrusion Detection System
HIPS : Host Intrusion Prevention System
HTTP : Hypertext Transfert Protocol
ICMP : Internet Control Message Protocol
IDS : Intrusion Detection System
IDWG : Intrusion Detection Exchange Format
IETF : Internet Engineering Task Force

vii.
IIS : Internet Information Services
IP : Internet Protocol
IPS : Intrusion Prevention System
ISO : International Organization for Standardization
KIPS : Kernel Intrusion Prevention System
LAN : Local Area Network
MAU : Multi station Access Unit
MDI : Medium Dependent Interface
MIRE/I :
NIDS : Network Intrusion Detection System
NIPS : Network Intrusion Prevention System
NSM : Network Security Monitoring
OS : Operating System
OSI : Open System Interconnection
PC : Personal Computer
PSSI : Politique de Sécurité de Système d’Information
QIP : Qualification et Intégration du Personnel
ROM : Read Only Memory
RSI/MTO : Réseaux Service
SI : Système d’information
SIEM : Security Information Event Management
SMTP : Simple Mail Transfer Protocol
SQL : Structured Query Language

viii.
TCP : Transmission Control Protocol
TLS : Transport Layer Security
UDP : User Datagram Protocol
USB : Universal Serial Bus
VPN : Virtual Private Network
WAN : Wide Area Network

ix.
Tables de matières
DEDICACE................................................................................................................................ i
REMERCIEMENTS ................................................................................................................ ii
Liste des figures ....................................................................................................................... iii
Liste des tableaux ..................................................................................................................... v
Sigles et Abréviations .............................................................................................................. vi
Tables de matières ................................................................................................................... ix
INTRODUCTION GENERALE ............................................................................................ 1
Première partie ........................................................................................................................... 3
Cadre Théorique et Méthodologique.......................................................................................... 3
CHAPITRE I : CADRE THEORIQUE ..................................................................................... 4
Introduction .............................................................................................................................. 4
I. Problématique.............................................................................................................................. 4
II. Objectif de la recherche ........................................................................................................ 5
1. Objectif général ......................................................................................................................... 5
2. Objectifs spécifiques .................................................................................................................. 5
III. Hypothèse de recherche ........................................................................................................ 5
1. Hypothèse générale.................................................................................................................... 5
2. Hypothèses secondaires ............................................................................................................. 6
IV. Pertinence du sujet ................................................................................................................ 6
V. Revue critique de la littérature ................................................................................................ 7
CHAPITRE II : CADRE METHODOLOGIQUE ..................................................................... 8
I. Cadre de l’étude......................................................................................................................... 8
II. Délimitation du champ d’étude ............................................................................................ 8
III. Technique d’investigation ..................................................................................................... 9
IV. Echantillonnage ..................................................................................................................... 9
1. La population mère ................................................................................................................... 9
2. L’unité d’échantillonnage ......................................................................................................... 9
3. Méthode d’échantillonnage....................................................................................................... 9
V. Difficultés rencontrées............................................................................................................. 10
Deuxième partie ....................................................................................................................... 11
Cadre Organisationnel et Théorique ........................................................................................ 11

x.
CHAPITRE I : Cadre organisationnel ...................................................................................... 12

I. Présentation de l’ASECNA ..................................................................................................... 12
1. Historique ................................................................................................................................. 12
2. Les activités de l’ASECNA ..................................................................................................... 13
II. Représentation de l’ASECNA du Niger ............................................................................ 15
1. Présentation de la Représentation ......................................................................................... 15
2. Organigramme de l’ASECNA ................................................................................................ 16
3. Le service MIRE ...................................................................................................................... 17
3.1 QIP ........................................................................................................................................ 17
3.2 CNS ....................................................................................................................................... 17
3.3 ELB ....................................................................................................................................... 18
3.4 RSI ........................................................................................................................................ 18
CHAPITRE II : CADRE CONCEPTUEL ............................................................................... 19
Introduction ............................................................................................................................ 19
I. Les réseaux informatiques ...................................................................................................... 19
1. Définition .................................................................................................................................. 19
2. Le modèle OSI ......................................................................................................................... 19
2.1 Définition .............................................................................................................................. 19
2.2 Les différentes couches du modèle OSI ............................................................................. 20
3. Le modèle TCP/IP ................................................................................................................... 21
3.1 Définition .............................................................................................................................. 21
3.2 Découpage en couches ......................................................................................................... 22
4. Topologie réseau ...................................................................................................................... 24
4.1 Définition .............................................................................................................................. 24
4.2 Topologies de réseaux locaux classiques............................................................................ 24
4.2.1 Mode de diffusion (topologie en bus ou en anneau) ..................................................... 24
4.2.2 Mode point à point (topologie en étoile ou maillée) ...................................................... 26
II. La sécurité informatique..................................................................................................... 29
1. Définition .................................................................................................................................. 29
2. Objectif de la sécurité informatique ...................................................................................... 29
3. La politique de sécurité ........................................................................................................... 30
4. Les vulnérabilités ..................................................................................................................... 30
5. Les menaces.............................................................................................................................. 31
6. Les logiciels malveillants ......................................................................................................... 31
7. Les intrusions ........................................................................................................................... 32

xi.
8. Les attaques.............................................................................................................................. 32
8.1 Les types d’attaques ............................................................................................................ 32
8.2 Les catégories d’attaques .......................................................................................................... 35
8.3 Quelques attaques courantes .............................................................................................. 37
III. Les moyens de sécuriser un réseau informatique ............................................................. 40
1. Les antivirus............................................................................................................................. 40
2. Les mises à jour ....................................................................................................................... 40
3. Les firewalls ............................................................................................................................. 41
4. Architecture DMZ ................................................................................................................... 41
5. VPN ........................................................................................................................................... 41
6. Les algorithmes de chiffrement .............................................................................................. 41
7. Les contrôles d’accès ............................................................................................................... 42
8. Les IDS/IPS .............................................................................................................................. 42
IV. IDS/IPS comme moyen de sécurité .................................................................................... 42
1. Système de détection d’intrusion ........................................................................................... 42
1.1 Les types de système de détection d’intrusion .................................................................. 42
1.1.1 Les HIDS .......................................................................................................................... 42
1.1.2 Les NIDS .......................................................................................................................... 43
1.1.3 Système d’intrusion hybride.................................................................................................. 43
1.2 Architecture d’un IDS......................................................................................................... 44
1.2.1 Les différents éléments de l’architecture.............................................................................. 45
1.2.2 Vocabulaire de la détection d’intrusion ............................................................................... 46
1.3 Emplacement d’un système de détection d’intrusion ............................................................. 47
1.4 Classification des IDS ................................................................................................................ 48
1.4.1 Source des données à analyser............................................................................................... 49
1.4.2 Méthode de détection ............................................................................................................. 51
1.4.2.1 L’approche comportementale ............................................................................................ 52
1.4.2.1.1 Profils construits par apprentissage ............................................................................... 52
1.4.2.1.2 Profils spécifiant une politique de sécurité (policy-based) ............................................ 53
1.4.2.2 Approche par scénarios ...................................................................................................... 53
1.4.3 Localisation de l’analyse des données ................................................................................... 54
1.4.4 Fréquence de l’analyse ........................................................................................................... 55
1.4.5 Comportement après détection ............................................................................................. 55
1.5 Points forts des IDS ................................................................................................................... 56
1.6 Limite des IDS ........................................................................................................................... 56

xii.
2. Système de prévention d’intrusion......................................................................................... 57

2.1 Les types de système de prévention d’intrusion ................................................................. 58
2.2 Fonctionnement d’un IPS ......................................................................................................... 59
2.3 Types de préventions ................................................................................................................. 60
2.4 Type de réponses aux attaques ................................................................................................. 60
2.5 Limites des IPS .......................................................................................................................... 61
Conclusion ............................................................................................................................... 61
Troisième partie...................................................................................................................... 61
Cadre Analytique ................................................................................................................... 61
CHAPITRE I : Etude de l’existant ........................................................................................... 62
1. Présentation du réseau informatique de la structure ........................................................... 62
2. Emplacement de la solution IDS/IPS ..................................................................................... 63
CHAPITRE II : Choix et mise en place de la solution ............................................................. 64
Introduction ............................................................................................................................ 64
I. Analyse et choix de la solution et de l’environnement pour IDS/IPS ................................. 64
1. Choix de solution ..................................................................................................................... 64
2. Choix de l’environnement....................................................................................................... 65
II. Conception .................................................................................................................................. 65
1. Présentation de Suricata ......................................................................................................... 66
2. Présentation de Splunk Enterprise Security ......................................................................... 66
3. Présentation de Evebox ........................................................................................................... 67
4. ELK .......................................................................................................................................... 67
5. Ubuntu 20.04 LTS ................................................................................................................... 68
6. Ubuntu server .......................................................................................................................... 68
7. VirtualBox ................................................................................................................................ 68
II. Installation et configuration de Suricata ........................................................................... 69
1. Installation depuis la source ................................................................................................... 69
2. Configuration de Suricata ...................................................................................................... 74
3. Installation des outils tiers pour la gestion des alertes ......................................................... 78
3.1 Evebox .................................................................................................................................. 78
3.2 Splunk ................................................................................................................................... 79
4. Simulation ................................................................................................................................ 80
4.1 Description ........................................................................................................................... 80
4.2 Méthodes d’approche .......................................................................................................... 80
4.3 Utilitaire pour l’attaque ...................................................................................................... 81

xiii.
4.4 Procédure d’attaque ............................................................................................................ 81

4.4.1 Lancement de l’attaque................................................................................................... 82
Conclusion Générale .............................................................................................................. 86
Webographie ........................................................................................................................... 87
Bibliographie........................................................................................................................... 88
Annexes ...................................................................................................................................... i

1.
INTRODUCTION GENERALE
Les réseaux informatiques sont devenus beaucoup plus importants qu’ils l’étaient il y a
quelques années. De nos jours les entreprises, dès leur création, n’hésitent pas à mettre en place
un réseau informatique pour faciliter l’interconnexion des composants de leur infrastructure,
c’est pour cela que la sécurité de ces réseaux constitue un enjeu crucial.
La sécurité d’un système informatique repose en premier lieu sur la mise en place d’une
politique de sécurité. Une fois la politique de sécurité définie, il convient de la mettre en œuvre
au sein du système informatique. Deux approches non exclusives sont envisageables dont la
détection des attaques et leur prévention. La première approche, en appliquant un contrôle a
priori sur les actions effectuées au sein du système, s’assure que les utilisateurs ne pourront pas
violer la politique de sécurité mise en place. Cette approche évite que le système ne se trouve
dans un état corrompu, nécessitant une analyse et une correction. De ce fait, des mécanismes
de prévention sont présents sur les systèmes informatiques, il s’agit souvent de contrôle d’accès.
Cependant, de tels mécanismes possèdent des limites, qui peuvent porter sur des aspects
théoriques, des modèles sous-jacents ou sur leur implémentation. Ces insuffisances justifient le
recours à des mécanismes de détection d’intrusions (IDS).
Afin de qualifier un IDS, on s’intéresse à sa fiabilité, c’est à dire sa capacité à émettre
une alerte pour toute violation de la politique de sécurité, et à sa pertinence, qui est sa capacité
à n’émettre une alerte qu’en cas de violation de la politique de sécurité.
C’est dans cette optique que s’inscrit notre thème qui consiste à la « mise en place d’un
système de détection et de prévention d’intrusion avec Suricata ». Ce thème va nous
permettre d’analyser et de traiter les informations contenues dans les couches 3, 4 et 7 du
modèle OSI afin de détecter les attaques relatives aux protocoles desdites couches.

2.
Organisation du mémoire : ce mémoire s’articule autour de trois principales parties :

Cadre Théorique et Méthodologique : cette partie aura deux chapitres qui sont :
Cadre Théorique : où nous commencerons par expliquer pourquoi nous avions choisi ce
thème.
Cadre Méthodologique : Explication des avantages de la mise en place de cette solution et ses
limites.
Cadre Organisationnel et Conceptuel : elle comprend aussi deux chapitres :
Cadre Organisationnel : Présentation globale de la structure d’accueil.
Cadre Conceptuel : Définitions des termes employés dans notre travail.

Cadre Analytique : cette partie est aussi composée de deux chapitres
Environnement et prérequis : nous parlerons de l’environnement de travail et les outils dont
nous avions besoin pour accomplir cette tâche.
Mise en place puis la configuration d’un système de détection et de prévention d’intrusion avec
Suricata.

3.
Première partie
Cadre Théorique et Méthodologique

4.
CHAPITRE I : CADRE THEORIQUE
Introduction
Chaque ordinateur connecté à Internet et d’une manière plus générale à n’importe quel
réseau informatique, est susceptible d’être victime d’une attaque informatique. Ainsi, il est
nécessaire de se protéger de ces attaques en déployant des systèmes de protection.
I. Problématique
Le système informatique en dépit de son déploiement dans tous les secteurs

professionnels et son développement phénoménal, s’avère accompagné par une croissance
frappante d’utilisateurs qui ne révèlent pas forcément de bonnes intentions vis-à-vis de ce
système informatique. Vu que les Firewall (pare-feu) et les antivirus traditionnels ne suffisent
point à garantir la sécurité des réseaux informatiques, la mise en place d’un système de détection
et de prévention d’intrusion vient palier à ce problème de sécurité.
Un système de prévention des intrusions (IPS) est un moyen de sécurité de réseau qui
sert à détecter et prévenir les menaces identifiées. Les systèmes de prévention des intrusions
surveillent en permanence le réseau informatique, recherchant les éventuels actes de
malveillance et capturent des informations à leur sujet. L’IPS signale ces événements aux
administrateurs du système et prend des mesures préventives, telles que la fermeture des points
d’accès et la reconfiguration des firewalls pour empêcher de futures attaques. Les solutions IPS
peuvent également être utilisées pour identifier les problèmes liés aux politiques de sécurité de
l’entreprise, afin de dissuader les employés et les invités du réseau d’enfreindre les règles
incluses dans ces politiques.
• Quel sera l’apport de la mise en place d’un système de détection et de prévention

dans un réseau d’entreprise ?
• Comment mettre en place l’outil IDS/IPS ?
• Comment configurer l’outil IDS/IPS ?

5.
II. Objectif de la recherche
1. Objectif général
Notre projet consiste à mettre en place un IDS/IPS qui permettra d’améliorer

conséquemment la sécurité et la résilience du système informatique de l’entreprise vis-à-vis des
différentes attaques auxquelles elle peut être victime. Les IDS/IPS jouent un rôle
complémentaire à celui du pare-feu (firewall), ils permettent d’analyser le trafic du réseau.
Enfin pour résoudre le problème que nous avons soulevé à la problématique, nous avons choisi
de mettre en place un IDS /IPS.
2. Objectifs spécifiques
Ce projet-mémoire vise trois objectifs spécifiques

• Installation et mise en place d’un IDS/IPS.
• Configuration d’IDS/IPS.
• Test de la configuration du système de détection et de prévention d’intrusion.
III. Hypothèse de recherche
1. Hypothèse générale
Un réseau d'entreprise classique comporte plusieurs points d'accès à d'autres sous-

réseaux, à la fois publics et privés. Le défi consiste à garantir la sécurité de ces réseaux tout en
les gardant ouverts à leurs clients. À l'heure actuelle, les attaques sont si sophistiquées qu'elles
peuvent déjouer les meilleurs systèmes de sécurité, notamment ceux qui sont seulement
protégés par un chiffrement ou des pares-feux. Malheureusement, ces technologies ne peuvent
à elles seules contrecarrer les attaques actuelles (virus polymorphes, malware…).
La détection d'intrusion est le processus qui consiste à surveiller les événements qui se
produisent sur le réseau afin de les analyser pour détecter les signes d'éventuels incidents,
violations ou menaces imminentes aux stratégies de sécurité. La prévention d'intrusion consiste
à prévenir l’attaque en bloquant le paquet. Ces systèmes sont intégrés au réseau afin de détecter
les potentiels attaques et d'y mettre fin.

6.
2. Hypothèses secondaires
La détection d'intrusion est le processus qui consiste à surveiller les événements qui se
produisent sur un réseau et à les analyser pour détecter les signes d'éventuelles violations ou
menaces imminentes aux stratégies de sécurité. La prévention d'intrusion consiste à détecter les
intrusions puis à résoudre les incidents détectés. Ces mesures de sécurité sont disponibles sous
la forme de systèmes de détection d'intrusion (IDS) et de systèmes de prévention d'intrusion
(IPS). Ces systèmes sont intégrés au réseau afin de détecter les incidents potentiels et d'y mettre
fin.
IV. Pertinence du sujet
La défense en profondeur consiste à créer un système de protection multicouche au sein

de son infrastructure. Chaque couche peut être couverte par différents contrôles de sécurité.
Cela permet de construire un environnement plus sûr, sans laisser de zone d’ombre qu’un
attaquant pourrait mettre à profit pour compromettre le réseau visé.
Un système de détection et de prévention d’intrusion (IDS/IPS) bien configuré et
déployé de manière appropriée doit compter parmi les contrôles de sécurité en place. Ces
produits opèrent en écoutant passivement le trafic réseau (IDS) ou l’interceptant (IPS) pour le
comparer à des jeux de règles consistant en autant de signatures de trafic malicieux ou suspect.
Les systèmes de prévention d’intrusion (IPS) sont des éléments critiques au sein d’une
entreprise. Ils permettent d’avoir une grande visibilité en termes de sécurité. Ils garantissent
également une protection au niveau réseau et au niveau système pour faire face à l’ensemble
des attaques. Les IPS se présentent sous la forme d’un équipement à part entière, d’un agent
installé sur un serveur ou d’un logiciel présent dans un environnement virtuel. Ils sont utilisés
pour détecter de façon proactive les signes d’une intrusion sur un réseau et réagir en
conséquence (générer une alarme ou bloquer l’intrusion en fonction du mode déploiement).
Les réseaux évoluent, les réseaux d’entreprises se dématérialisent, notamment avec
l’essor du Cloud Computing. Les terminaux des utilisateurs sont de plus en plus hétérogènes.
En conséquence, les frontières du SI deviennent floues et difficiles à identifier. Dans ce type
d’environnement, un IPS est devenu indispensable. En effet, là ou un firewall permet de fixer

7.
les limites du réseau, un IPS agit au niveau du flux et fonctionne de façon totalement
transparente.
V. Revue critique de la littérature
Un IDS est l’implémentation des pratiques et mécanismes de détection d’intrusion. Les

IDS ont donc pour rôle de détecter et/ou de bloquer (on parle dans ce cas d’IPS) des attaques
survenant au sein d’un système ou d’un réseau. Ils peuvent être déployés sur l’hôte surveillé,
on parle alors de HIDS ; ou bien sur le réseau surveillé, on parle alors de NIDS.
Farzad Sabahi et A. Movaghar dans leur ouvrage “Intrusion Detection : A Survey” (2008
Third International Conference on Systems and Networks Communications, Oct 2008, pp. 23–
26) expliquent qu’il y a deux types de détecteurs d’intrusion : ceux basés sur des règles à propos
du système, et ceux basés sur la découverte d’anomalies du système. L’utilisation d’un système
expert, qui est un des moyens de réaliser de la détection d’intrusion avec des règles, peut reposer
sur des signatures connues de menaces, sur des règles concernant les données collectées ou sur
les transitions d’état du système. Ce type de détecteur d’intrusion a l’avantage d’être précis et
de très bien fonctionner sur des menaces connues mais il est incapable de détecter de nouvelles
menaces, contrairement à la deuxième technique, avait souligné Zarpelão dans son ouvrage
“A survey of intrusion detection in Internet of Things”, vol. 84, 2017, pp. 25.
En effet, les IDS basés sur les anomalies, surveillent le comportement du système qu’ils
protègent, et tentent de détecter toute variation suspecte de ce comportement. Ils requièrent
ainsi de pouvoir caractériser précisément le comportement du système qu’ils surveillent, ce qui
peut être parfois compliqué et peut nécessiter beaucoup de ressources.
L’architecture des détecteurs d’intrusion peut également grandement varier, selon le
type de système surveillé, les ressources nécessaires à la détection de l’intrusion ou les données
utilisées. Ainsi, Sabahi explique que les IDS centralisés sont les plus courants, mais des
architectures distribuées et hybrides ont été proposées. Dans une architecture centralisée, le
système qui est surveillé est celui qui est chargé de détecter les anomalies, et l’analyse des
trames réseau se fait sur un ou des nœuds du réseau, qui sont les systèmes qui vont collecter les
informations nécessaires à la détection d’intrusion. En revanche, les architectures distribuées
reposent essentiellement sur des agents qui vont aller collecter les informations sur divers hôtes
et acheminer cette information jusqu’à un autre système qui se chargera de la détection.

8.
CHAPITRE II : CADRE METHODOLOGIQUE
I. Cadre de l’étude
Ce mémoire s’inscrit dans le cadre de notre stage de fin d’Etudes de 1er cycle universitaire,
effectué dans les locaux de l’Agence pour la Sécurité de la Navigation Aérienne (ASECNA) en
vue de l’obtention du Diplôme de Licence en Réseaux des Données et de Sécurité (RDS) à
l’Ecole Supérieure des Télécommunications (EST-Niger).
L’objectif de ce présent mémoire est d’étudier un thème correspondant au programme

d’enseignement de l’établissement. Le thème " Mise en place d’un Système de Détection et
de Prévention d’Intrusion avec Suricata " est choisi dans un premier temps par l’étudiant
mais peut être accepté ou changé par la structure d’accueil. Cette étude nous permettra entre
autres de joindre la pratique à la théorie et d’avoir une expérience professionnelle dans
l’entreprise d’accueil.
II. Délimitation du champ d’étude
Notre étude se focalise sur l’ASECNA et est réalisée dans le cadre d’un mémoire pour
l’obtention d’un diplôme de licence en Réseaux des Données et de Sécurité.
La délimitation de notre étude se fera sur deux axes :
➢ Une délimitation spatiale : notre structure d’accueil est la représentation au Niger

de l’ASECNA (Agence pour la Sécurité de la Navigation Aérienne). Notre
projet, sera focalisé sur le service MIRE/I (Maintenance Infrastructure
Radioélectriques et Informatiques) de ladite Agence.
➢ Une délimitation temporaire : Tout au long de notre stage nous avons visité les
différentes unités du service Technique de l’ASECNA communément appelé
MIRE/I (Maintenance Infrastructures Radioélectriques/ Informatique). Les

9.
enjeux, défis et tâches quotidiennes auxquelles font face ses techniciens ont été
notre quotidien.
III. Technique d’investigation
Les techniques d’investigation sont les différentes sources de connaissances qui ont
contribué à l’élaboration dudit document.
➢ De la recherche observatoire impliquant l’observation et la critique de l’existant au sein
de la structure d’accueil, en passant par des entrevues avec les responsables du réseau
et services informatiques ;
➢ Les documents et mémoires lus sur le sujet général : ‘IDS/IPS’ ;
➢ De la recherche expérimentale où des séances de tests et de collectes des résultats ont
été effectuées en laboratoire par utilisation des outils de virtualisation (Virtual box) ;
➢ Et une recherche comparative des différentes variables afin d’arriver à une conclusion.
IV. Echantillonnage
Ce point consiste à étaler de façon plus spécifique la population sur laquelle l’étude est
portée, l’unité d’échantillonnage, ainsi que la méthode d’échantillonnage choisie.
1. La population mère
L’échantillonnage concerne les administrateurs réseau en général. Ceux-ci constituent la

population mère. En revanche, la solution, une fois les hypothèses vérifiées aura pour but d’être
implémentée au sein de l’unité réseau et service informatique de l’ASECNA.
2. L’unité d’échantillonnage
Les données à analyser sont le temps et le taux d’intrusion (attaques) sur les équipements
d’un réseau informatique.
3. Méthode d’échantillonnage
La méthode empirique est celle qui convient le mieux à cette étude. Elle consiste en effet à
sélectionner de façon raisonnable les éléments susceptibles de jouer le rôle d’échantillon en
raison de leurs caractéristiques intrinsèques. Ici il paraît évident que les personnes ayant un
minimum de connaissances en audit SI seront les candidats.

10.
V. Difficultés rencontrées
• Problème de documentation sur le sujet, presque tous les documents ayant traité le sujet
sont en anglais.
• La configuration de la solution est très complexe.
• L’accès aux données de l’entreprise d’accueil est très difficile.
• Problème de machine pour faire les tests et la rédaction, vu que la carte mère de ma
machine a grillée en pleine rédaction du projet.
• Problème d’assistance au sein de l’entreprise d’accueil.

11.
Deuxième partie
Cadre Organisationnel et Théorique

12.
CHAPITRE I : Cadre organisationnel
I. Présentation de l’ASECNA
L'agence pour la sécurité de la navigation aérienne en Afrique et à Madagascar (ASECNA)

est un établissement publique international doté de la personnalité morale et jouissant de
l'autonomie financière. Agissant dans le domaine de la navigation aérienne, elle a pour devise:
" Les routes du ciel, notre métier", siège au 32, avenue Jean-Jaurès à Dakar et gère un espace
aérien de 16 100 000 km² réparti en six régions d'informations de vol (Antananarivo,
Brazzaville, Dakar Océanique, Dakar Terrestre, Niamey, Ndjamena). Elle compte aujourd'hui
dix-et-huit (18) États membres dont le Niger (Voir Annexe N°1).
1. Historique
L'ASECNA fut créée en 1959 suite à une convention signée à Saint-Louis au Sénégal par
quatorze (14) pays africains dont le Bénin, le Burkina Faso, le Cameroun, la Centrafrique, le
Congo, la Cote d’ivoire, le Gabon, le Madagascar, le Mali, la Mauritanie, le Niger, le Sénégal,
le Tchad, le Togo et un (1) pays d'Europe, la France. L'ASECNA avait alors pour principale
motivation d'éviter le morcellement de l'espace aérien de l'Afrique noire à une période où
l'aviation était en pleine expansion en Afrique. Cette convention avait aussi pour objectif d'unir
les pays africains pour avoir les moyens nécessaires à la sécurité de la navigation aérienne.
Le 15 Octobre 1974, suite à une nouvelle convention signée à Dakar, l'ASECNA devient le
modèle en matière de coopération inter-états Africains et l’un des leaders du développement
des technologies de navigation par satellite et des gestions du trafic en Afrique. Ainsi, en 2004
déjà dix (10) centres de contrôle régionaux, cinquante-sept (57) tours de contrôle, vingt-cinq
(25) aéroports internationaux et soixante-seize (76) nationaux et régionaux étaient supervisés
par l'ASECNA.
Cependant, en 2007, d'importantes turbulences ont eu lieu au sein de l'ASECNA en raison
de l'avortement d'une tentative de dissidence du Sénégal et de Madagascar. La quiétude est par
contre revenue avec ses États membres, le Sénégal et le Madagascar y compris.

13.
Par la suite, le contrat liant le Sénégal à l'ASECNA va être rompu puis à l'exemple des autres
pays, celui-ci va se réapproprier la gestion de ses aéroports secondaires non confiés à
l'ASECNA par la convention de Dakar. Cette convention est révisée une fois de plus le 25 Avril
2010 à Dakar.
2. Les activités de l’ASECNA
En vertu de l'article 2 de la convention de Dakar, les activités de l'ASECNA consistent à assurer

:
✓ Le contrôle, la régularité et la sécurisation des seize-millions-cent mille (16 100 000)
km² de son espace aérien ;
✓ Le guidage des avions ;
✓ La transmission des messages techniques et de trafic ;
✓ L'information en vol, ainsi que le recueil des données ;
✓ La prévision et la transmission des informations météorologiques ;
✓ Les aides terminales sur les 27 aéroports principaux des états membre africains et
Malgache à travers : le contrôle d’aérodrome, le contrôle d’approche et les services de
sécurité incendie ;
✓ La maintenance de l’ensemble des installations nécessaires à la mise en œuvre de ses

différentes prestations.
Outre ces activités, l'ASECNA peut se voir confier d'autres tâches en référence aux articles 10
et 12 de la convention de Dakar. Il s'agit de :
✓ La gestion ou l’entretien de toute exploitation d’utilité aéronautique ou météorologique;

14.
✓ L’exécution d’étude et de contrôle de travaux d’aéroports ou d’installation techniques

ainsi que leur maintenance.
Aussi, des missions d'ingénieries lui sont confiées par les États membres et l’agence en
assure l’exécution avec le concours de ses directions spécialisées, dont principalement la
Directions des Étude et Projets.
De plus, l'agence peut passer des contrats avec des États non membres qui désirent utiliser
ses services au titre de l’article 11 de la convention de Dakar. Ainsi, de nombreux états africains
non membres, notamment en Afrique de l’Est, au Maroc, à l’Île de Maurice, ainsi que dans la
zone du Caraïbes bénéficient de services de calibration en vol et d'aide à la navigation aérienne.
Par ailleurs, pour mener à bien ces variétés de services, l'ASECNA a besoin de personnels
qualifiés et dispose ainsi de trois (3) grandes écoles :
❖ L'EAMAC : École Africaine de la Météorologie et de l'Aviation Civile créée en 1963,

à Niamey (NIGER), elle a pour objectif de former des agents assurant les fonctions
d'encadrement et de responsabilité dans les domaines de la Météorologie, de l'Aviation
Civile, de l'Électronique et de l'Informatique. Elle organise également des stages de
formation continue au profit d'agents cadres et d'exécution des pays membres et des
pays non-membres de l'ASECNA.
❖ ERNAM : Ecole Régionale de la Navigation Aérienne et du Management est créée en

1994 et basée à Dakar (Sénégal). Elle forme dans les domaines tels que la sûreté de
l'aviation civile, la gestion des aéroports, le management, l'informatique, la maintenance
des infrastructures de génie civil, l'anglais, etc…
❖ ERSI : École Régionale de Sécurité Incendie crée en 1964 à Douala (Cameroun) est une
école spécialisée dans la formation en sécurité incendie d'aéroport en Afrique. L'école
offre une formation initiale (pompiers d'aérodrome, techniciens et techniciens
supérieurs), une formation continue (des formateurs, chefs de brigade, mécaniciens de
maintenance des véhicules et matériels de sauvetage et lutte contre l'incendie contre
l'incendie…) et des formations spécifiques au profit de structures aéronautiques d’États
non membres et à des entreprises privées.

15.
II. Représentation de l’ASECNA du Niger
1. Présentation de la Représentation
La représentation de l'ASECNA du Niger est l'une des dix-et-huit (18) représentations

situées dans chacun des pays membres de l'agence. Elle siège à l'aéroport international DIORI
Hamani de Niamey. Elle est subdivisée en deux blocs, un bloc technique et un bloc
administratif ainsi qu'un ensemble de locaux éparpillés sur son site.
Aussi, la représentation est sectionnée en plusieurs services complémentaires qui sont entre
autres :
➢ Le service maintenance des infrastructures radioélectriques et informatiques
(MIRE) : Son rôle est d'assurer l'installation et la maintenance de tous les équipements
électriques, radioélectriques et informatique de la Représentation. Il est important de
noter que le stage effectué s'est déroulé au sein de service. Particulièrement dans l'unité
des Réseaux et Services Informatiques (RSI) qui se charge spécialement de la sécurité
et l'administration de tout le réseau informatique de l'agence.
➢ Le service d'exploitation de la météorologie : Il est en charge de l'exploitation

météorologique de l'organisation internationale de météorologie et de la prévision des
phénomènes météorologiques pour une bonne navigation aérienne ;
➢ Le service d'infrastructures génie civil : Qui s'occupe de l'entretien de la piste

d'atterrissage, du parc automobile, du mobilier du bureau, des parkings d’avion et des
bâtiments ;
➢ Le service Achat-Approvisionnement : chargé de recevoir et stocker tous les matériels

et fournitures que l’ASECNA utilise.
➢ Le service administratif et financier : il est responsable de la gestion administrative,

financière et du personnel ;

16.
➢ Le service chargé sûreté, qualité, sécurité et environnement.
➢ Le service de commandement d’aérodrome de Niamey/Abidjan.
➢ Le service contrôle en route : chargé d’effectuer les contrôles des avions en route.
2. Organigramme de l’ASECNA
Figure 1:Organigramme de l'ASECNA

17.
3. Le service MIRE
Le Service MIRE/I (Maintenance et Infrastructures RadioElectriques et Informatiques)

a pour rôle de maintenir l'ensemble des installations des Unités du services MIRE/I dans un bon
état de fonctionnement, de suivre la mise en place des installations nouvelles dont il assume la
responsabilité et d'effectuer, éventuellement, les installations qui lui sont confiées. Le service
MIRE/I assure deux (02) types de maintenances qui sont : une maintenance préventive, c’est
prévenir les pannes à travers des tâches quotidiennes, hebdomadaires, semestrielles, mensuelles
ou annuelles et une maintenance curative, c’est le fait d’intervenir sur une panne, de dépanner
l’équipement en panne.
L’Unité MIRE/I est subdivisée en quatre (04) unités : Trois (03) unités de Maintenance
ELB (Energie et Balisage) ; CNS (Communication, Navigation et Surveillance) ; RSI/MTO
(Réseaux Système Informatique et Météo) ;) ; et une (01) unité d’appui à la maintenance QIP
(Qualification et Intégration du Personnel).). L’Unité MIRE/I est sous la responsabilité du
Chargé Exploitation MIRE et Informatique qui est le CMIRE.
De plus le service MIRE/I est assuré H24 par des équipes de quart qui se relaie de 8H-14H, de
14H-21H et de 21H-8H en vue d’assurer de manière continue la sécurité et la régularité du
trafic aérien.
3.1 QIP
L’Unité QIP du service MIRE/I comme son nom l’indique, elle a pour rôle d’évaluer la
qualification des agents du service MIRE/I, de contrôler la qualité de service de chaque unité
mais aussi dans son volet ‘Intégration du personnel’, elle prend en charge l’intégration des
nouveaux recrus et stagiaires, elle vise la mise à jour des compétences intellectuelles et
pratiques de ses agents à travers des formations et des certifications. Le QIP ne dispose que
d’un seul agent : c’est le chargé Qualification et Intégration du Personnel.
3.2 CNS

18.
L’Unité CNS est une unité du service MIRE/I de l’ASECNA. Elle s’occupe de la
maintenance préventive et curative, et de l’installation des équipements de communication, de
navigation et de surveillance. Comme son nom l’indique, le CNS se divise en trois (03) volets
qui sont la Communication qui fait allusion à l’installation, l’entretien, le contrôle et le suivis
des équipements d’aide à la communication, la Navigation qui est consacré à l’installation, la
maintenance des équipements d’aides à la navigation et la Surveillance qui consiste à veiller
sur les avions se trouvant dans la zone CCR (Centre de Contrôle Régional)
à travers un radar (radiodétections andranging).
3.3 ELB
Elle s’occupe de la maintenance des installations électriques et du balisage. En ce sens,

elle gère tout le système d’énergie électrique de tous les équipements de l’ASECNA, la prise
en charge des équipements par les groupes électrogènes ou le champ solaire et aussi la gestion
des balises de la piste d’atterrissage.
3.4 RSI
L’Unité RSI/MTO (Réseaux Système Informatique et Météo) a pour vocation de

prendre en charge tous les équipements d’interconnexions réseaux, de multiplexage et de
compression de donnée, mais aussi tous les équipements météorologiques aussi serveurs que
clients (capteurs météos, transcodeur, modem ascii en bande classique) ; à ceux-là s’ajoutent
les bases de données des données météorologiques, données aéronautiques, des serveurs de
gestion, de la facturation et redevances aéronautiques. Le responsable RSI/MTO est chargé de
proposer, cordonner et mettre en œuvre la politique de maintenance en matière de gestion des
équipements matériels et logiciels informatiques de l’Agence.

19.
CHAPITRE II : CADRE CONCEPTUEL
Introduction
Au long de ce chapitre, nous présenterons quelques notions et technologies qui nous

permettront de mieux cerner notre travail enfin de donner un bref aperçu au lecteur le contexte
dans lequel nous allons travailler.
I. Les réseaux informatiques
1. Définition
Le terme générique « réseau » définit un ensemble d'entités (objets, personnes, etc.)

interconnectées les unes avec les autres. Un réseau permet ainsi de faire circuler des éléments
matériels ou immatériels entre chacune de ses entités selon des règles bien définies.
2. Le modèle OSI
2.1 Définition
Le modèle OSI (Open System Interconnexion) est un modèle générique et standard

d’architecture d’un réseau en 7 couches, élaboré par l’organisme ISO (Organisation
Internationale de normalisation) en 1984. La mise en évidence de ces différentes couches se
base sur les caractéristiques suivantes qui étaient recherchées par l’ISO :
• Création d’une couche lorsqu’un niveau d’abstraction est nécessaire.
• Définition précise des services et opérations de chaque couche.
• Définition des opérations de chaque couche en s’appuyant sur des protocoles

normalisés.
• Choix des frontières entre couches de manière à minimiser le flux d’information aux
interfaces.
• Définition d’une couche supplémentaire lorsque des opérations d’ordre différent

doivent être réalisées.

20.
2.2 Les différentes couches du modèle OSI
Dans le découpage en 7 couches, on distingue :
• Les couches basses (1-4) : transfert de l’information par les différents services de transport.
• Les couches hautes (5-7) : traitement de l’information par les différents services applicatifs.
Niveau Couche
7 Application
6 Présentation
5 Session
4 Transport
3 Réseau
2 Liaison de données
1 Physique
Tableau 1: Le modèle OSI

Présentation des couches
• La couche application (7) : offre aux utilisateurs des services normalisés pour la
conception de leurs applications.
• La couche présentation (6) : réalise la compression et le chiffrement, et vérifie la
syntaxe des données échangées.
• La couche session (5) : contrôle le dialogue entre les machines qui communiquent. Elle
gère en particulier la synchronisation du dialogue et la reprise après interruption.

21.
• La couche transport (4) : assure le transport de bout en bout, c’est-à-dire entre les deux
stations qui communiquent. Elle garantit que le message est acheminé entre les deux
stations avec la qualité de service demandée. Le terme qualité de service désigne un
ensemble de propriétés que le demandeur du service exige du prestataire, telles que la
garantie d’un débit minimum, le respect d’une borne maximum de temps de livraison
de messages, . . .
• La couche réseau (3) : assure l’acheminement des blocs d’information à travers le sous-
réseau. Elle choisit le meilleur chemin entre les deux commutateurs d’entrée-sortie du
sous-réseau. Les blocs d’information de niveau 3 sont appelés paquets.
• La couche liaison de donnée (2) : elle est responsable de l’acheminement sans erreur
des blocs d’information entre les deux machines qui se trouvent aux extrémités d’une
liaison de données. Les blocs d’information de niveau 2 sont appelés trames.
• La couche physique (1) : définit les moyens mécaniques (connecteurs), électriques et

fonctionnels nécessaires à l’activation, au maintien et à la désactivation des connexions
physiques destinées à la transmission des données binaires au niveau de la couche
liaison de données. Elle fournit donc tous les éléments matériels et logiciels nécessaires
au transport correct des données binaires, comme :
o Les interfaces de connexion des équipements informatiques au support de

transmission, appelées jonctions ;
o Les supports de transmission ;
o Les cartes réseaux ;
3. Le modèle TCP/IP
3.1 Définition
Le protocole TCP/IP, développé originellement par le ministère de la défense américain en

1981, propose l’évolution des concepts déjà utilisés en partie pour le réseau historique ARPAnet
(1972), et est employé en très forte proportion sur le réseau Internet. Au-delà de son aspect
historique, TCP/IP doit aussi son succès à son indépendance vis-à-vis de tout constructeur
informatique. En réalité, TCP/IP définit une suite de divers protocoles probabilistes, appelé
aussi modèle DOD (Departement of Defense), pour la communication sur un réseau

22.
informatique, notamment le protocole TCP et le protocole IP qui sont parmi les principaux
protocoles de ce modèle
3.2 Découpage en couches
Modèle OSI Modèle TCP/IP
7 Application
6 Présentation 4 Application
5 Session
4 Transport 3 Transport
3 Réseau 2 Internet
2 Liaison de donnée
1 Physique 1 Hôte réseau
Tableau 2:Modèle OSI et Modèle TCP/IP

Le protocole TCP/IP étant antérieur au modèle OSI, il ne respecte pas réellement celui-
ci. Cependant, on peut faire grossièrement correspondre les différents services utilisés et
proposés par TCP/IP avec le modèle OSI, et obtenir ainsi un modèle en 4 couches.
Les services des couches 1 et 2 (physique et liaison) du modèle OSI sont intégrés dans une seule
couche (hôte réseau), les couches 5 et 6 (session et présentation) n’existent pas réellement dans
le modèle TCP/IP et leurs services sont réalisés par la couche application si besoin est :
• Hôte réseau : La couche hôte-réseau, intégrant les services des couches physique et
liaison du modèle OSI, a en charge la communication avec l’interface physique afin de
transmettre ou de récupérer les paquets de données qui lui sont transmis de la couche
supérieure. Le protocole utilisé pour assurer cet interfaçage n’est pas explicitement
défini puisqu’il dépend du réseau utilisé ainsi que du nœud (Ethernet en LAN, X25 en
WAN, ...etc.).

23.
• Internet : La couche Internet, correspondant à la couche réseau du modèle OSI,

s’occupe de l’acheminement, à bonne destination, des paquets de données
indépendamment les uns des autres, soit donc de leur routage à travers les différents
nœuds par rapport au trafic et à la congestion du réseau. Il n’est en revanche pas du
ressort de cette couche de vérifier le bon acheminement. Le protocole IP (Internet
Protocol) assure intégralement les services de cette couche, et constitue donc l’un des
points-clefs du modèle TCP/IP. Le format et la structure des paquets IP sont précisément
définis.
• Transport : La couche transport, pendant de la couche homonyme du modèle OSI, gère

le fractionnement et le réassemblage en paquets du flux de données à transmettre. Le
routage ayant pour conséquence un arrivage des paquets dans un ordre incertain, cette
couche s’occupe aussi du réagencement ordonné de tous les paquets d’un même
message. Les deux principaux protocoles pouvant assurer les services de cette couche
sont les suivants :
- TCP (Transmission Control Protocol) : protocole fiable, assurant une

communication sans erreur par un mécanisme
question/réponse/confirmation/synchronisation (orienté connexion).
- UDP (User Datagram Protocol) : protocole non fiable, assurant une

communication rapide mais pouvant contenir des erreurs en utilisant un
mécanisme question/réponse (sans connexion).
• Application : La couche application, similaire à la couche homonyme du modèle OSI,

correspond aux différentes applications utilisant les services réseaux pour communiquer
à travers un réseau. Un grand nombre de protocole divers de haut niveau permettent
d’assurer les services de cette couche :
- Telnet : ouverture de session à distance, port 23.
- FTP (File Transfer Protocol) : protocole de transfert de fichiers, port 20 et 21.
- HTTP (HyperText Transfer Protocol) : protocole de transfert de l’hypertexte,

port 80.

24.
- SMTP (Simple Mail Transfer Protocol) : protocole simple de transfert de

courrier, port 25 (sans chiffrement), et le port 465 (chiffrement implicite).
- DNS (Domain Name System) : système de nom de domaine, port 53.
4. Topologie réseau
4.1 Définition
Une topologie de réseau informatique correspond à l’architecture (physique ou logique) de

celui-ci, définissent les liaisons entre les équipements du réseau et une hiérarchie éventuelle
entre eux. Elle peut définir la façon dont les équipements sont interconnectés et la représentation
spatiale du réseau (topologie physique). Elle peut aussi définir la façon dont les données
transitent dans les lignes de communication (topologies logiques).
4.2 Topologies de réseaux locaux classiques
Les architectures suivantes sont ou ont effectivement été utilisées dans des réseaux
informatiques grand public ou d’entreprise. La topologie d’un réseau correspond à son
architecture physique. En ce sens où leur structure détermine leur type.
Il existe 2 modes de propagation classant ces topologies :
4.2.1 Mode de diffusion (topologie en bus ou en anneau)
Ce mode de fonctionnement consiste à n’utiliser qu’un seul support de transmission. Le

principe est que le message est envoyé sur le réseau, ainsi toute unité réseau est capable de voir
le message et d’analyser selon l’adresse du destinataire si le message lui est destiné ou non.
• Le réseau en anneau
Un réseau a une topologie en anneau quand toutes ses stations sont connectées en chaine
les unes aux autres par une liaison bipoint de la dernière à la première. Chaque station joue le
rôle de station intermédiaire. Chaque station qui reçoit une trame, l’interprète et la réémet à la
station suivante de la boucle si c’est nécessaire. La défaillance d'un hôte rompt la structure d'un

25.
réseau en anneau si la communication est unidirectionnelle ; en pratique un réseau en anneau

est souvent composé de 2 anneaux contrarotatifs.
Les ordinateurs d'un réseau en anneau ne sont pas systématiquement reliés en boucle, mais
peuvent être connectés à un répartiteur appelé « MAU », (pour Multi station Access Unit) qui
va gérer la communication entre les ordinateurs reliés en allouant à chacun d'eux un « temps de
parole ».
En cas de collision de deux messages, les deux seraient perdus, mais les règles d'accès à
l'anneau (par exemple, la détention d'un jeton) sont censées éviter ce cas de figure.
Figure 2: Topologie de réseau en anneau
• Le réseau en bus
La topologie Réseau en bus (informatique) est représentée par un câblage unique des unités
réseaux. Il a également un faible coût de déploiement et la défaillance d'un nœud (ordinateur)

26.
ne scinde pas le réseau en deux sous-réseaux. Ces unités sont reliées de façon passive par
dérivation électrique ou optique. Les caractéristiques de cette topologie sont les suivantes :
- Lorsqu'une station est défectueuse et ne transmet plus sur le réseau, elle ne

perturbe pas le réseau.
- Lorsque le support est en panne, c'est l'ensemble du réseau qui ne fonctionne

plus.
- Le signal émis par une station se propage dans un seul sens ou dans les deux
sens.
- Si la transmission est bidirectionnelle : toutes les stations connectées reçoivent

les signaux émis sur le bus en même temps (au délai de propagation près).
- Le bus, dans le cas de câbles coaxiaux, est terminé à ses extrémités par
des adaptateurs d'impédance (des « bouchons ») pour éliminer les réflexions du
signal.
Figure 3: Topologie de réseau en bus
4.2.2 Mode point à point (topologie en étoile ou maillée)

27.
Dans ce mode, le support physique ne relie qu’une paire d’unités seulement. Pour que deux
unités réseaux communiquent, elles passent obligatoirement par un intermédiaire (le nœud).
• Le réseau en étoile
La topologie Réseau en étoile aussi appelée Hub and spoke est la topologie la plus courante
actuellement. Omniprésente, elle est aussi très souple en matière de gestion et de dépannage
d'un réseau : la panne d'un nœud ne perturbe pas le fonctionnement global du réseau. En
revanche, l'équipement central (un concentrateur hub et plus souvent sur les réseaux modernes,
un commutateur) qui relie tous les nœuds, constitue un point unique de défaillance : une panne
à ce niveau rend le réseau totalement inutilisable. Le réseau Ethernet est un exemple de
topologie en étoile. L'inconvénient principal de cette topologie réside dans la longueur des
câbles utilisés.
Figure 4: Topologie de réseau en étoile

28.
• Le réseau maillé
Une topologie maillée correspond à plusieurs liaisons point à point. (Une unité réseau peut
avoir (1, N) connexions point à point vers plusieurs autres unités.) Chaque terminal est relié à
tous les autres. L'inconvénient est le nombre de liaisons nécessaires qui devient très élevé
lorsque le nombre de terminaux l'est : s'il y a N terminaux, le nombre de liaisons nécessaires
est de N(N-1) /2.
Cette topologie se rencontre dans les grands réseaux de distribution (Exemple : Internet).
L'information peut parcourir le réseau suivant des itinéraires divers, sous le contrôle de
puissants superviseurs de réseau, ou grâce à des méthodes de routage réparties.
Figure 5: Topologie de réseau maillé

29.
II. La sécurité informatique
1. Définition
La sécurité d'un réseau informatique est un ensemble de moyens techniques,

organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et
garantir sa sécurité contre les menaces accidentelles ou intentionnelles. En général, la sécurité
d'un réseau englobe celle du système informatique sur lequel il s'appuie.
2. Objectif de la sécurité informatique
Le système d’informations représente l’ensemble des données de l’entreprise ainsi que ses
infrastructures matérielles et logicielles. Le système d’informations représente un patrimoine
essentiel de l’entreprise, qu’il convient de protéger. La sécurité informatique, d’une manière
générale, consiste à assurer que les ressources matérielles et logicielles d’une organisation sont
uniquement utilisées dans le cadre prévu. La sécurité informatique vise les objectifs suivants :
• Confidentialité : seules les personnes autorisées peuvent avoir accès aux informations
qui leur sont destinées (notion de droit ou de permissions). Tout accès indésirable doit
être empêché.
• Authentification : les utilisateurs doivent prouver leur identité par l’usage de code
d’accès. Cela permet de gérer les droits d’accès aux ressources concernées et maintenir
la confiance dans les relations d’échange.
• Intégrité : les données doivent être celle que l’on attend et ne doivent pas être altérées
de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être
exacts et complets.
• Disponibilité : l’accès aux ressources du système d’information doit être permanent et
sans failles durant les plages d’utilisations prévues. Les services et les ressources sont
accessibles rapidement et régulièrement.
• La non-répudiation : aucun utilisateur ne doit pouvoir contester les opérations qu’il a
réalisées dans le cadre de ses actions autorisées et aucun tiers ne doit pouvoir s’attribuer
les actions d’un autre utilisateur.

30.
Une fois les objectifs de la sécurisation déterminée, les risques pesant sur chacun de ces
éléments peuvent être estimés en fonction des menaces. Les précautions doivent être envisagées
en fonction des vulnérabilités propres au contexte auquel le système d’information est censé
apporter service et appui.
3. La politique de sécurité
La Politique de Sécurité du Système d’Information (PSSI) définit l’intégralité de la stratégie

de sécurité informatique de l’entreprise. Elle se traduit par la réalisation d’un document qui
regroupe l’ensemble des règles de sécurité à adopter ainsi que le plan d’actions ayant pour
objectif de maintenir le niveau de sécurité de l’information dans l’organisme.
La PSSI, élaborée « sur-mesure » pour chaque établissement, décrit l’ensemble des enjeux,
des besoins, des contraintes, ainsi que des règles à adopter propres à chaque structure. Elle doit
être validée par la direction et prise en compte par chaque collaborateur.
4. Les vulnérabilités
Tous les systèmes informatiques sont vulnérables. Peu importe le niveau de vulnérabilité
de ceux-ci. Une vulnérabilité est une faille ou une faiblesse pouvant être exploitée par une
personne mal intentionnée pour nuire. Les vulnérabilités des systèmes peuvent être classées en
catégorie (humaine, technologique, organisationnelle, mise en œuvre).
• Vulnérabilités humaines : L'être humain de par sa nature est vulnérable. La plupart
des vulnérabilités humaines proviennent des erreurs (négligence, manque de
compétences, surexploitation, etc.), car ne dit-on pas souvent que l'erreur est humaine
? Un SI étant composé des humains, il convient d'assurer leur sécurité si l'on veut
garantir un maximum de sécurité dans le SI.
• Vulnérabilités technologiques : Avec la progression exponentielle des outils
informatiques, les vulnérabilités technologiques sont découvertes tous les jours. Ces
vulnérabilités sont à la base dues à une négligence humaine lors de la conception et la
réalisation.
• Vulnérabilités organisationnelles : Les vulnérabilités d'ordre organisationnel sont
dues à l'absence des documents cadres et formels, des procédures (de travail, de
validation) suffisamment détaillées pour faire face aux problèmes de sécurité du
système. Quand bien même ces documents et procédures existent, leur vérification et
mises à jour ne sont pas toujours bien assurées.

31.
• Vulnérabilités mise en œuvre : Les vulnérabilités au niveau mise en œuvre peuvent

être dues au non prise en compte de certains aspects lors de la réalisation d'un projet.
5. Les menaces
Une menace désigne l’exploitation d’une faiblesse de sécurité par un attaquant, que ce soit
interne ou externe à l’entreprise. La probabilité qu’elle soit une faille de sécurité, est évaluée
par des études statistiques même si elle est difficile à réaliser.
6. Les logiciels malveillants
Ce sont des logiciels développés par des hackers dans le but de nuire à un système
d’informations.
• Les Virus : un virus est un segment de programme qui, lorsqu’il s’exécute, se reproduit
en s’adjoignant à un autre programme (du système ou d’une application), et qui devient
ainsi un cheval de Troie, puis le virus peut ensuite se propager à d’autres ordinateurs
(via un réseau) à l’aide du programme légitime sur lequel il s’est greffé. Il peut
également avoir comme effets de nuire en perturbant plus ou moins gravement le
fonctionnement de l’ordinateur infecté.
• Les Vers : Un ver est un programme autonome qui se reproduit et se propage à l’insu
des utilisateurs. Contrairement aux virus, un ver n’a pas besoin d’un logiciel hôte pour
se dupliquer. Le ver a habituellement un objectif malicieux, par exemple :
- Espionner l’ordinateur dans lequel il réside ;
- Offrir une porte dérobée à des pirates informatiques ;
- Détruire des données sur l’ordinateur infecté ;
- Envoyer de multiples requêtes vers un serveur internet dans le but de le saturer.
• Les chevaux de Troie : Un cheval de Troie est une forme de logiciel malveillant
déguisé en logiciel utile. Son but : se faire exécuter par l’utilisateur, ce qui lui permet
de contrôler l’ordinateur et de s’en servir pour ses propres fins. Généralement d’autres
logiciels malveillants seront installés sur votre ordinateur, tels que permettre la collecte
frauduleuse, la falsification ou la destruction de données.
• Les logiciels espions : (Espiogiciel ou logiciel espion) est un programme ou un sous-
programme, conçu dans le but de collecter des données personnelles sur ses utilisateurs
et de les envoyer à son concepteur, ou à un tiers via Internet ou tout autre réseau

32.
informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits
utilisateurs.
• Le spam : correspond à l'envoi intempestif de courriers électroniques, publicitaires ou
non, vers une adresse mail. Le spam est une pollution du courrier légitime par une
énorme masse de courrier indésirable non sollicité.
7. Les intrusions
Une intrusion est définie comme une faute malveillante d’origine interne ou externe
résultant d’une attaque qui a réussi à exploiter une vulnérabilité. Elle est susceptible de produire
des erreurs pouvant provoquer une défaillance vis-à-vis de la sécurité, c’est-à-dire une violation
de la politique de sécurité du système. Le terme intrusion sera employé dans le cas où l’attaque
est menée avec succès et où l’attaquant a réussi à s’introduire et/ou compromettre le système.
8. Les attaques
Une attaque est définie comme faute d’interaction malveillante visant à violer une ou
plusieurs propriétés de sécurité. C’est une faute externe créée avec l’intention de nuire, y
compris les attaques lancées par des outils automatiques : vers, virus, etc. La notion d’attaque
ne doit pas être confondue avec la notion d’intrusions.
8.1 Les types d’attaques
Les hackers utilisent plusieurs techniques d'attaques. Ces attaques peuvent être regroupées
en trois familles différentes :
• Les attaques directes : C’est la plus simple des attaques. Le hacker attaque directement
sa victime à partir de son ordinateur. La plupart des hackers utilisent cette technique. En
effet, les programmes de hack qu’ils utilisent ne sont que faiblement paramétrables, et
un grand nombre de ces logiciels envoient directement les paquets à la victime.

33.
Figure 6:Attaque directe

• Les attaques indirectes par rebond : Cette attaque est très prisée des hackers. En effet,
le rebond a deux avantages :
- Masquer l’identité du hacker.
- Utiliser les ressources de l’ordinateur intermédiaire car il est plus puissant pour
attaquer.
Le principe en lui-même, est simple : Les paquets d’attaque sont envoyés à l’ordinateur
intermédiaire, qui répercute l’attaque vers la victime. D’où le terme par rebond.

34.
Figure 7: Attaque indirecte par rebond
• Les attaques indirectes par réponse : Cette attaque est un dérivé de l'attaque par
rebond. Elle offre les mêmes avantages, du point de vue du hacker. Mais au lieu
d'envoyer une attaque à l'ordinateur intermédiaire pour qu'il la répercute, l'attaquant va
lui envoyer une requête, et c'est cette réponse à la requête qui va être envoyée à
l'ordinateur victime.
Figure 8: Attaque indirecte par réponse

35.
8.2 Les catégories d’attaques
Il existe quatre catégories d’attaques :

• Attaques par interruption : C’est une attaque qui porte atteinte à la disponibilité. La
destruction d’une pièce matérielle (tel un disque dur), la coupure d’une ligne de
communication, ou la mise hors service d’un système de gestion de fichiers en sont des
exemples.
Figure 9: Attaque par interruption

• Attaque par interception : C’est une attaque portée à la confidentialité. Il peut s’agir
d’une personne, d’un programme ou d’un ordinateur. Une écoute téléphonique dans le
but de capturer des données sur un réseau, ou la copie non autorisée de fichiers ou de
programme en sont des exemples.

36.
Figure 10: Attaque par interception
• Attaque par modification : Il s’agit d’une attaque portée à l’intégrité. Changer des
valeurs dans un fichier de données, altérer un programme de façon à bouleverser son
comportement ou modifier le contenu de messages transmis sur un réseau sont des
exemples de telles attaques.
Figure 11: Attaque par modification
• Attaque par fabrication : C’est une attaque portée à l’authenticité. Il peut s’agir de
l’insertion de faux messages dans un réseau ou l’ajout d’enregistrements à un fichier.

37.
Figure 12: Attaque par fabrication
8.3 Quelques attaques courantes
➢ Le Déni de Service : Ce genre d’attaques (denial of service en anglais ou DoS) sont des
attaques qui visent à rendre une machine ou un réseau indisponible durant une certaine
période. Cette attaque est dangereuse quand elle vise les entreprises dépendantes de leur
infrastructure réseau.
➢ Le SYN flood : Cette attaque utilise des paquets TCP contenant le flag SYN. Ce flag
signifie initier une connexion avec la cible. En envoyant un nombre très important de
ces paquets, on oblige le serveur à démarrer un socket de connexion pour chaque
requête, il enverra donc des paquets contenant les flags SYN, ACK pour établir la
connexion mais ne recevra jamais de réponses. Le serveur ayant arrivé à saturation à
cause de la grande fille d’attente de connexion ne pourra plus pouvoir répondre aux
connexions légitimes des utilisateurs.
➢ Le PING flood : Elle consiste à simplement envoyer un nombre maximal de PING

simultané jusqu'à saturer la victime. On utilise généralement la commande Ping sous

38.
Linux mais une des conditions pour que l'attaque soit efficace est de posséder plus de
bande passante que la victime.
➢ Le Smurf : Les attaques Smurf profite d'une faiblesse d’IPv4 et d'une mauvaise
configuration pour profiter des réseaux permettant l'envoi de paquets de broadcast. Le
broadcast est une adresse IP qui permet de joindre toutes les machines d'un réseau.
L'attaquant envoie au broadcast des paquets contenant l'IP source de la victime ainsi
chaque machine sur le réseau va répondre à la cible à chaque requête de l'attaquant. On
se sert du réseau comme un amplificateur pour perpétrer l'attaque, cette méthode porte
aussi le nom d'attaque réfléchie permettant à l'attaquant de couvrir ces traces et de rendre
l'attaque plus puissante.
➢ Teardrop Attack : Elle consiste à envoyer des paquets IP invalides à la cible, ces
paquets peuvent être fragmentes, ou contenir des données corrompues ou qui dépassent
la taille réglementaire. Sur certains systèmes comme les Windows avant 98 ou les Linux
avant 2.0.32, ces paquets ne peuvent être interprétés et rendrons la machine inopérante.
➢ Les attaques distribuées : La plupart des attaques, cité plus haut, peuvent être exécutés
de manière distribuée, on parle de DDoS pour Distributed Denial of Service. Les
attaques distribuées se basent sur ce fait : attaquer une cible toute seule se traduit souvent
par un échec, alors que si un grand nombre de machines s'attaquent à la même cible
alors l'attaque a plus de chance de réussir.
➢ ARP spoof : L'ARP spoof est une attaque très puissante qui permet, en général, de
sniffer le trafic sur le réseau en s'interposant entre une ou des victimes et la passerelle.
Elle permet même de sniffer et récupérer des mots de passes sur des connexions
sécurisés SSL. L'attaque inonde le réseau avec des trames ARP liant l'adresse physique
de l'attaquant avec la passerelle. De cette manière, le cache ARP des victimes est
corrompu et tout le trafic est redirige vers le poste de l'attaquant.
➢ DNS spoof : De la même manière, on peut corrompre le DNS d'une victime.

Normalement, ceci permet de rediriger la victime vers des sites pirates que l'on contrôle

39.
mais dans le cadre d'un déni service, on corrompt le cache DNS de fausses informations
qui rendront impossible l'accès aux sites web.
➢ IP Spoofing : Il existe plusieurs types d'IP Spoofing. La première est dite Blind
Spoofing, c'est une attaque "en aveugle". Les paquets étant forgés avec une adresse IP
usurpée, les paquets réponses iront vers cette adresse. Il sera donc impossible à
l'attaquant de récupérer ces paquets. Il sera obligé de les "deviner". Cependant, il existe
une autre technique que le Blind Spoofing. Il s'agit d'utiliser l'option IP Source Routing
qui permet d'imposer une liste d'adresses IP des routeurs que doit emprunter le paquet
IP. Il suffit que l'attaquant route le paquet réponse vers un routeur qu'il contrôle pour le
récupérer. Néanmoins, la grande majorité des routeurs d'aujourd'hui ne prennent pas en
compte cette option IP et jettent tous paquets IP l'utilisant.
➢ Les chevaux de Troie : Leur objectif est le plus souvent d'ouvrir une porte dérobée
("backdoor") sur le système cible, permettant par la suite à l'attaquant de revenir à loisir
épier, collecter des données, les corrompre, contrôler voire même détruire le système.
Certains chevaux de Troie sont d'ailleurs tellement évolués qu'ils sont devenus de
véritables outils de prise en main et d'administration à distance.
➢ Les virus informatiques : Un vers est un programme parasite. Il n'est pas forcément
autopropageable. Son but est de grignoter des ressources système : CPU, mémoire,
espace disque, bande passante... Ces petits bouts de programme sont dépendants du
système d'exploitation ou d'un logiciel. Ils se propagent, comme toutes données binaires,
par disquettes, CD ROM, réseaux.
➢ Les buffers overflow : Un buffer overflow est une attaque très efficace et assez
compliquée à réaliser. Elle vise à exploiter une faille, une faiblesse dans une application
pour exécuter un code arbitraire qui compromettra la cible.
➢ Le Mail Bombing : Elle consiste à envoyer un nombre faramineux d'emails (plusieurs

milliers par exemple) à un ou des destinataires. L'objectif étant de :
- Saturer le serveur de mails

40.
- Saturer la bande passante du serveur et du ou des destinataires,

- Rendre impossible aux destinataires de continuer à utiliser l'adresse
électronique.
➢ Social Engineering : C’est une technique qui a pour but d'extirper des informations à
des personnes. Contrairement aux autres attaques, elle ne nécessite pas de logiciel. La
seule force de persuasion est la clé de voûte de cette attaque. Il y a quatre grandes
méthodes de social engineering : par téléphone, par lettre, par internet et par contact
direct.
III. Les moyens de sécuriser un réseau informatique
La sécurité d’un réseau c’est la sécurité des éléments qui le compose, il existe plusieurs
mécanismes et dispositifs de sécurité, parmi eux :
1. Les antivirus
Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des logiciels
malveillants. Ceux-ci peuvent se baser sur l'exploitation de failles de sécurité, mais il peut
également s'agir de programmes qui modifient ou suppriment des fichiers, que ce soit des
documents de l'utilisateur de l'ordinateur infecté, ou des fichiers nécessaires au bon
fonctionnement de l'ordinateur.
Un antivirus vérifie les fichiers et courriers électroniques, les secteurs de boot (pour détecter
les virus de boot), mais aussi la mémoire vive de l'ordinateur, les médias amovibles (clefs USB,
CD, DVD, etc.), les données qui transitent sur les éventuels réseaux (dont internet), etc.
2. Les mises à jour
Pour éviter les dénis de services applicatifs, on doit maintenir tous les logiciels de son
système à jour puisque les mises à jour permettent souvent de corriger des failles logicielles,
qui peuvent être utilisées par un attaquant, pour mettre l'application hors service, ou pire, le
serveur. Il est donc impératif de mettre son système à jour très régulièrement C'est un moyen
très simple à mettre en place pour se protéger des attaques applicatives.
Editer des options dans les fichiers de configuration qui stocke des données concernant
chaque connexion reçue par la machine telle l’adresse IP source, le numéro de port, l’âge de la
connexion. En analysant ces données, on peut facilement détecter les comportements suspects
et éviter certains types d’attaque.

41.
3. Les firewalls
En français on dit pare-feu ou garde-barrière, c’est un système permettant de protéger un
ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers (notamment
internet). Le pare-feu est un système permettant de filtrer les paquets de données échangés avec
le réseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces réseau
suivante :
- Une interface pour le réseau à protéger (réseau interne) ;
- Une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié,
constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs
réseaux externes.
4. Architecture DMZ
Une DMZ (Demilitarized zone) est une zone d'un réseau d'entreprise, située entre le réseau
local et Internet, derrière le pare-feu. Il s'agit d'un réseau intermédiaire regroupant des serveurs
ou services (HTTP, DHCP, mails, DNS, etc.). Ces serveurs devront être accessibles depuis le
réseau interne de l’entreprise et, pour certains, depuis les réseaux externes. Le but est ainsi
d'éviter toute connexion directe au réseau interne.
5. VPN
Dans les réseaux informatiques, le réseau privé virtuel (Virtual Private Network en anglais,
abrégé en VPN) est une technique permettant aux postes distants de communiquer de manière
sûre, tout en empruntant des infrastructures publiques (internet).
Un VPN repose sur un protocole, appelé protocole de tunnelisation, c'est-à-dire un protocole
permettant aux données passant d'une extrémité à l'autre du VPN d'être sécurisées par des
algorithmes de cryptographie.
6. Les algorithmes de chiffrement
Il existe deux grandes familles d’algorithmes de chiffrements, ceux à clés symétriques et
ceux à clés asymétriques.
• Algorithme de chiffrement symétrique : il consiste à utiliser la même clé pour le
chiffrement ainsi que pour le déchiffrement. Il est donc nécessaire que les deux
interlocuteurs se soient mis d’accord sur une clé privée, ou ils doivent utiliser un canal
sécurisé pour l’échanger.
• Algorithme de chiffrement asymétrique : c’est une méthode cryptographique faisant
intervenir une paire de clés asymétrique (une clé publique et une clé privée). Elle utilise
cette paire de clés pour le chiffrement et le déchiffrement. La clé publique est rendue

42.
publique et elle est distribuée librement, la clé privée quant à elle n’est jamais distribuée
et doit être gardé secrète.
7. Les contrôles d’accès
L’accès au système d’information exige une identification et une authentification au
préalable. L’utilisation de comptes partagés ou anonymes est interdite. Des mécanismes
permettant de limiter les services, les données, les privilèges auxquels à accès l’utilisateur en
fonction de son rôle dans l’organisation doit être mis en œuvre.
Les accès aux serveurs et aux réseaux doivent être journalisés L’attribution et la
modification des accès et privilèges d’un service doivent être validées par le propriétaire du
service.
Pour les services sensibles, un inventaire régulièrement mis à jour en sera dressé. Il importe
de bien différencier les différents rôles et de n’attribuer que les privilèges nécessaires.
8. Les IDS/IPS
La détection d’intrusion est définie comme étant un mécanisme écoutant le trafic réseau de
manière furtive, afin de repérer des activités anormales ou suspectes et permettant ainsi d’avoir
une stratégie de prévention sur les risques d’attaques.
IV. IDS/IPS comme moyen de sécurité
1. Système de détection d’intrusion

Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un
mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un
réseau ou un hôte). Il permet ainsi d’avoir une action de prévention et d'intervention sur les
risques d’intrusion.
1.1 Les types de système de détection d’intrusion
Il existe plusieurs types d’IDS, mais on peut les classer en deux familles :
• Les HIDS : Network IDS, système de détection d'intrusion réseau ;
• Les NIDS : Host IDS, système de détection d'intrusion de type hôte.
Les autres IDS sont en réalité des dérivées de ces familles : les IDS Hybrides…
1.1.1 Les HIDS
Les systèmes de détection d'intrusion basés sur l'hôte ou HIDS (Host IDS) analysent
exclusivement l'information concernant cet hôte. Comme ils n'ont pas à contrôler le trafic du
réseau mais "seulement" les activités d'un hôte ils se montrent habituellement plus précis sur
les types d'attaques subies.

43.
De plus, l'impact sur la machine concernée est sensible immédiatement, par exemple
dans le cas d’une attaque réussie par un utilisateur. Ces IDS utilisent deux types de sources pour
fournir une information sur l'activité de la machine : les logs et les traces d'audit du système
d'exploitation.
Chacun a ses avantages, les traces d'audit sont plus précises et détaillées et fournissent
une meilleure information alors que les logs qui ne fournissent que l'information essentielle
sont plus petits. Ces derniers peuvent être mieux contrôlés et analysés en raison de leur taille,
mais certaines attaques peuvent passer inaperçues, alors qu’elles sont détectables par une
analyse des traces d’audit.
1.1.2 Les NIDS
Le rôle essentiel d'un IDS réseau est l'analyse et l'interprétation des paquets circulant sur ce
réseau. L’implantation d’un NIDS sur un réseau se fait de la façon suivante : des capteurs sont
placés aux endroits stratégiques du réseau et génèrent des alertes s’ils détectent une attaque.
Ces alertes sont envoyées à une console sécurisée, qui les analyse et les traite éventuellement.
Cette console est généralement située sur un réseau isolé, qui relie uniquement les capteurs et
la console.
• Les capteurs
Les capteurs placés sur le réseau sont placés en mode furtif (ou stealth mode), de façon à
être invisibles aux autres machines. Pour cela, leur carte réseau est configurée en mode
"promiscues", c’est à dire le mode dans lequel la carte réseau lit l'ensemble du trafic, de plus
aucune adresse IP n’est configurée.
Un capteur possède en général deux cartes réseaux, une placée en mode furtif sur le réseau,
l’autre permettant de le connecter à la console de sécurité. Du fait de leur invisibilité sur le
réseau, il est beaucoup plus difficile de les attaquer et de savoir qu’un IDS est utilisé sur ce
réseau.
1.1.3 Système d’intrusion hybride
IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permettent, de
surveiller le réseau et les terminaux. Les sondes sont placées en des points stratégiques, et
agissent comme NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent
alors les alertes à une machine qui va centraliser le tout, et lier les informations d’origines
multiples. Ainsi, on comprend que les IDS hybrides sont basés sur une architecture distribuée,
ou chaque composant unifie son format d’envoi. Cela permet de communiquer et d’extraire des
alertes plus exactes.

44.
Avantages Inconvénients
HIDS - Découvrir plus facilement un cheval de - Taux élevé de faux positifs.

Troie puisque les informations et les
- Ils sont plus vulnérable aux
possibilités sont très étendues.
attaques de type DoS
- Détecter les attaques impossibles à
- ils consomment beaucoup
détecter avec des IDS réseau puisque le
de ressources CPU.
trafic est souvent crypté.
- Observer les activités sur les hôtes avec

précision.
NIDS - Les capteurs peuvent être bien sécurisés - La probabilité de faux

puisqu’ils se content d’observer le trafic. négative (attaques non
détectées) il est élevé et il est
- Détecte plus facilement les scans grâce
difficile de le contrôler le
aux signatures.
réseau entier.
- Filtrage des trafics.
- Ils doivent principalement
fonctionner de manière
cryptée d’où une
complication de l’analyse des
paquets.
HYBRIDE - Moins de faux positifs. - Ils ont moins de facilité à

détecter les scans.
- Meilleur corrélation (la corrélation permet
de générer des alertes à partir de celle
existantes).
Tableau 3: comparaison des différents types d’IDS
1.2 Architecture d’un IDS

45.
Plusieurs schémas ont été proposés pour décrire les composants d’un système de détection
d’intrusions. Parmi eux, nous avons retenu celui issu des travaux d’Intrusions Detection
exchange formatWorking Group (IDWG) de l’Internet Engineering Task Force (IETF) comme
base de départ, car il résulte d’un large consensus parmi les intervenants du domaine.
L’objectif des travaux du groupe IDWG est la définition d’un standard de communication
entre certains composants d’un système de détection d’intrusions. La figure illustre ce modèle
et permet d’introduire un certain nombre de concepts :
Source de Opérateur
données
Capteur
Réaction
Notification
Analyseur (MDI)
Manager
Administrateur
Figure 13:Modèle générique de la détection d'intrusions proposé par l'IDWG
L’architecture IDWG d’un système de détection d’intrusions contient des capteurs qui
envoient des événements à un analyseur. Les capteurs couplés avec un analyseur forment une
sonde, cette dernière envoie des alertes vers un manager qui la notifie à un opérateur humain.
1.2.1 Les différents éléments de l’architecture
• Administrateur : Personne chargée de mettre en place la politique de sécurité, et par
conséquent, de déployer et configurer les IDS.
• Alerte : Message formaté émis par un analyseur s’il trouve des activités intrusives dans
une source de données.

46.
• Analyseur : C’est un outil logiciel qui met en œuvre l’approche choisie pour la
détection (comportementale ou par scénarios), il génère des alertes lorsqu’il détecte une
intrusion.
• Capteur : logiciel générant des événements en filtrant et formatant les données brutes
provenant d’une source de données.
• Evènement : Message formaté et renvoyé par un capteur. C’est l’unité élémentaire
utilisée pour représenter une étape d’un scénario d’attaques connu.
• Manager : Composant d’un IDS permettant à l’opérateur de configurer les différents
éléments d’une sonde et de gérer les alertes reçues et éventuellement la réaction.
• Notification : La méthode par laquelle le manager d’IDS met au courant l’opérateur de
l’occurrence d’alerte.
• Opérateur : Personne chargée de l’utilisation du manager associé à l’IDS. Elle propose
ou décide de la réaction à apporter en cas d’alerte. C’est, parfois, la même personne que
l’administrateur.
• Réaction : Mesures passives ou actives prises en réponse à la détection d’une attaque,
pour la stopper ou pour corriger ses effets.
• Sonde : Un ou des capteurs couplés avec un analyseur.
• Source de données : Dispositif générant de l’information sur les activités des entités
du système d’information.
Dans ce modèle qui représente le processus complet de la détection ainsi que
l’acheminement des données au sein d’un IDS. L’administrateur configure les différents
composants (capteur(s), analyseurs(s), manager(s)) selon une politique de sécurité bien définie.
Les capteurs accèdent aux données brutes, les filtrent et les formatent pour ne renvoyer que les
événements intéressants à un analyseur. Les analyseurs utilisent ces événements pour décider
de la présence ou non d’une intrusion et envoient dans le cas échéant une alerte au manager,
qui notifie l’opérateur humain, une réaction éventuelle peut être menée automatiquement par le
manager ou manuellement par l’opérateur.
1.2.2 Vocabulaire de la détection d’intrusion
• Attaque ou intrusion : Action qui permet de violer la politique de sécurité.
• Audit de sécurité : C’est l’ensemble des mécanismes permettant la collecte
d’informations sur les actions faites sur un système d’information.
• Détection d’intrusion : recherche de traces laissées par une intrusion dans les données
produites par une source.

47.
• Faux positif : Alerte en l’absence d’attaque.

• Faux négatif : Absence d’alerte en présence d’attaque.
• Vulnérabilité : Faille de conception, d’implémentation ou de configuration d’un
système logiciel ou matériel.
• Log (trace d’audit) : C’est un fichier système à analyser.
• Exploit : Terme utilisé pour désigner un programme d’attaque.
• Scénario : Suite constituée des étapes élémentaires d’une attaque.
• Signature : Suites des étapes observables d’une attaque, utilisée par certains analyseurs
pour rechercher dans les activités des entités, des traces de scénarios d’attaques connus.
• Système de détection d’intrusion : Ensemble constitué d’un ou plusieurs capteurs, un
ou plusieurs analyseurs et un ou plusieurs managers.
• Corrélation : C’est l’interprétation conceptuelle de plusieurs événements (alertes)
visant à leur assigner une meilleure sémantique et à réduire la quantité globale
d’événements (d’alertes).
1.3 Emplacement d’un système de détection d’intrusion
Il existe plusieurs endroits stratégiques où il convient de placer un IDS.

Le schéma suivant illustre un réseau local ainsi que les positions que peut y prendre un
IDS :
Figure 14: Emplacement pour un IDS

48.
• Position 1 : Sur cette position, l'IDS va pouvoir détecter l'ensemble des attaques
frontales, provenant de l'extérieur, en amont du firewall. Ainsi, beaucoup d'alertes seront
remontées ce qui rendra les logs difficilement consultables.
• Position 2 : Si l'IDS est placé sur la DMZ, il détectera les attaques qui n'ont pas été
filtrées par le firewall et qui relèvent d'un certain niveau de compétence. Les logs seront
ici plus clairs à consulter puisque les attaques bénignes ne seront pas recensées.
• Position 3 : L'IDS peut ici rendre compte des attaques internes, provenant du réseau
local de l'entreprise. Il peut être judicieux d'en placer un à cet endroit étant donné le fait
que 80% des attaques proviennent de l'intérieur. De plus, si des trojans ont contaminé
le parc informatique (navigation peu méfiante sur internet) ils pourront être ici
facilement identifiés pour être ensuite éradiqués.
1.4 Classification des IDS

Nous pouvons classifier les systèmes de détection d’intrusions selon cinq critères :
• La source des données à analyser.
• Le lieu de l'analyse des données.
• La fréquence de l'analyse.
• Le comportement en cas d'attaque détectée.
• La méthode de détection utilisée.

49.
Système
Applications
Source des données
Réseau
IDS
Système de Approche
détection Méthode de détection comportementa
d’intrusion le
Approche par
scénarios
Centralisée
Analyse des données
Locale
Périodique
Fréquence de l’analyse Continue
Actif
Comportement après
détection
Passif
Figure 15: Classification des IDS

50.
1.4.1 Source des données à analyser

Les sources possibles de données à analyser sont une caractéristique essentielle des
systèmes de détection d'intrusions puisque ces données constituent la matière première du
processus de détection. Les données proviennent soit de logs générés par le système
d'exploitation, soit de logs applicatifs, soit d'informations provenant du réseau, soit encore
d'alertes générées par d'autres IDS.
➢ Source d’information du système

Un système d'exploitation fournit généralement plusieurs sources d'information :
• Commandes systèmes : Presque tous les systèmes d'exploitation fournissent des
commandes pour avoir un instantané de ce qui se passe.
• Accounting : L'accounting fournit de l'information sur l'usage des ressources partagées
par les utilisateurs (temps processeur, mémoire, espace disque, débit réseau,
applications lancées, ...).
• Audit de sécurité : Tous les systèmes d'exploitation modernes proposent ce service
pour fournir des événements système, les associer à des utilisateurs et assurer leur
collecte dans un fichier d'audit. On peut donc potentiellement disposer d'informations
sur tout ce que font (ou ont fait) les utilisateurs : accès en lecture à un fichier, exécution
d'une application, etc.
➢ Source d’information réseau
Des dispositifs matériels ou logiciels (snifer) permettent de capturer le trafic réseau.
Cette source d'information est particulièrement adaptée lorsqu'il s'agit de rechercher les
attaques en déni de service qui se passent au niveau réseau ou les tentatives de pénétration
à distance. Le processus d'interception des paquets peut être rendu quasiment invisible pour
l'attaquant car on peut utiliser une machine dédiée juste reliée à un brin du réseau,
configurée pour ne répondre à aucune sollicitation extérieure et dont personne ne
soupçonnera l'existence.
Néanmoins, il est difficile de garantir l'origine réelle de l'attaque que l'on a détectée car
il est facile de masquer son identité en modifiant les paquets réseau.
➢ Source d’information applicative
Les applications peuvent également constituer une source d'information pour les IDS.
Les capteurs applicatifs sont de deux natures :

51.
• Capteur interne : Le filtrage sur les activités de l'application est alors exécuté par le
code de l'application.
• Capteur externe : Le filtrage se fait à l'extérieur de l'application. Plusieurs méthodes
sont utilisées : un processus externe peut filtrer les logs produits par l'application ou bien
l'exécution de l'application peut être interceptée (au niveau de ses appels de librairies ou
d’un proxy applicatif).
Prendre ses informations directement au niveau de l'application présente plusieurs
avantages. Premièrement, les données interceptées ont réellement été reçues par
l'application. Il est donc difficile d'introduire une désynchronisation entre ce que voit
passer le capteur applicatif et ce que reçoit l'application contrairement à ce qu'il peut se
passer avec les capteurs réseau. Ensuite, cette source d'information est généralement de
plus haut niveau que les sources système et réseau. Cela permet donc de filtrer des
événements qui ont une sémantique plus riche. Finalement, si l'on prend l'exemple d'une
connexion web chiffrée par SSL, un capteur réseau ne verra passer que des données
pseudo-aléatoires tandis qu'un capteur associé au serveur web pourra analyser le texte
en clair de la requête.
➢ Source d’information basée sur IDS
Une autre source d'information, souvent de plus haut niveau que les précédentes, peut
être exploitée. Il s'agit des alertes remontées par des analyseurs provenant d'un IDS. Chaque
alerte synthétise déjà un ou plusieurs événements intéressants du point de vue de la sécurité.
Elles peuvent être utilisées par un IDS pour déclencher une analyse plus fine à la suite
d'une indication d'attaque potentielle. De surcroît, en corrélant plusieurs alertes, on peut
parfois détecter une intrusion complexe de plus haut niveau. Il y aura alors génération d'une
nouvelle alerte plus synthétique que l'on qualifie de méta-alerte.
1.4.2 Méthode de détection
Deux approches de détection ont été proposées :

• L’approche comportementale : Cette approche se base sur l’hypothèse selon laquelle
nous pouvons définir un comportement normal de l’utilisateur et que toute déviation par
rapport à celui-ci est potentiellement suspecte.
• L’approche par scénario : Elle s’appuie sur un modèle constitué des sections interdites
dans le système d’informatique, ce modèle s’appuie sur la connaissance techniques

52.
employées par les attaquants : on tire des scénarios d’attaque et on recherche dans les
traces d’audit leur éventuelle survenue.
1.4.2.1 L’approche comportementale
Les détecteurs d’intrusions comportementaux reposent sur la création d’un modèle de

référence représentant le comportement de l’entité surveillée en situation de fonctionnement
normal. Ce modèle est ensuite utilisé durant la phase de détection afin de pouvoir mettre en
évidence d’éventuelles déviations comportementales. Pour cela, le comportement de l’entité
surveillée est comparé à son modèle de référence. Une alerte est levée lorsqu’une déviation trop
importante (notion de seuil) vis-à-vis de ce modèle de comportement normal est détectée.
Le principe de cette approche est de considérer tout comportement n’appartenant pas au
modèle de comportement normal comme une anomalie symptomatique d’une intrusion ou
d’une tentative d’intrusion.
On peut distinguer deux catégories de profils :
1.4.2.1.1 Profils construits par apprentissage
Parmi les méthodes proposées pour construire les profils par apprentissage, les plus
marquantes sont les suivantes :
• Méthode statistique : le profil est calculé à partir de variables considérées comme
aléatoires et échantillonnées à intervalles réguliers. Ces variables peuvent être le temps
du processeur utilisé, la durée et l'heure des connexions, etc. Un modèle statistique est
alors utilisé pour construire la distribution de chaque variable et pour mesurer, au travers
d'une grandeur synthétique, le taux de déviation entre un comportement courant et le
comportement passé.
• Système expert : Ici, c'est une base de règles qui décrit statistiquement le profil de
l'utilisateur au vu de ses précédentes activités. Son comportement courant est comparé
aux règles, à la recherche d'une anomalie. La base de règles est rafraîchie régulièrement.
• Réseaux de neurones : La technique consiste à apprendre à un réseau de neurones le

comportement de l'entité à surveiller. Par la suite, lorsqu'on lui fournira en entrée les
actions courantes effectuées par l'entité, il devra décider de leur normalité.

53.
• Analyse de signatures : Il s'agit de construire un modèle de comportement normal des

services réseaux. Le modèle consiste en un ensemble de courtes séquences d'appels
système représentatifs de l'exécution normale du service considéré. Des séquences
d'appels étrangères à cet ensemble sont alors considérées comme l'exploitation
potentielle d'une faille du service.
Pour toutes ces méthodes, le comportement de référence utilisé pour l'apprentissage étant
rarement exhaustif, on s'expose à des risques de fausses alarmes (faux positifs). De plus, si des
attaques ont été commises durant cette phase, elles seront considérées comme normales
(Risque de faux négatifs).
1.4.2.1.2 Profils spécifiant une politique de sécurité (policy-based)
Pour les IDS dits policy-based, il n'y a pas de phase d'apprentissage. Leur comportement
de référence est spécifié par une politique de sécurité : la détection d'une intrusion intervient
chaque fois que la politique est violée. Le profil est ici une politique de sécurité qui décrit la
suite des appels systèmes licites d'une application.
L’approche comportementale possède un certain nombre d’avantages et d’inconvénients :
Les avantages :
- L’analyse comportementale n’exige pas des connaissances préalables sur les attaques.
- Elle permet la détection de la mauvaise utilisation des privilèges.
- Elle permet de produire des informations qui peuvent être employées pour définir des
signatures pour l’analyse basée connaissance.
Les inconvénients :
- Les approches comportementales produisent un taux élevé des alarmes type faux positif
en raison des comportements imprévisibles des utilisateurs et des réseaux.
- Ces approches nécessitent des phases d’apprentissage pour caractériser les profils de
comportement normaux.
- Les alarmes génériques par cette approche ne sont pas significatives.
1.4.2.2 Approche par scénarios
On construit des scénarios d'attaque en spécifiant ce qui est caractéristique de l'attaque et

qui doit être observé dans les traces d'audit. L'analyse des traces d'audit se fait à la recherche de
ces scénarios. Les méthodes proposées sont les suivantes :

54.
• Système expert : Le système expert comporte une base de règles qui décrit les attaques.
Les événements d'audit sont traduits en des faits qui sont interprétables par le système
expert. Son moteur d'inférence décide alors si une attaque répertoriée s'est ou non
produite.
• Analyse de signatures : Il s'agit là de la méthode la plus en vue actuellement. Des

signatures d'attaques sont fournies à des niveaux sémantiques divers selon les outils (de
la suite d'appels système aux commandes passées par l'utilisateur en passant par les
paquets réseau). Divers algorithmes sont utilisés pour localiser ces signatures connues
dans les traces d'audit. Ces signatures sont toujours exprimées sous une forme proche
des traces d'audit. Si l'on prend l'exemple des NIDS, les algorithmes de recherche de
motifs utilisés permettent d'obtenir de bonnes performances en vitesse de traitement
mais génèrent de nombreuses fausses alertes.
• Automates à états finis : Plusieurs IDS utilisent des automates à états finis pour coder
le scénario de reconnaissance de l'attaque. Cela permet d'exprimer des signatures
complexes et comportant plusieurs étapes. On passe d'un état initial sûr à un état final
attaqué via des états intermédiaires. Chaque transition entre états est déclenchée par des
conditions sur les événements remontés par les capteurs.
L’approche par scénario possède un certain nombre d’avantages et d’inconvénients :

Avantages :
- L’analyse basée connaissance est très efficace pour la détection d’attaque avec un taux
très bas des alarmes de type faux positif.
- Les alarmes générées sont significatives.
Inconvénients :
- Cette analyse basée connaissance permet seulement la détection des attaques qui sont
connues au préalable. Donc, la base de connaissances doit être constamment mise à jour
avec les signatures des nouvelles attaques.
- Le risque que l’attaquant peut influencer sur la détection après la reconnaissance des
signatures.
1.4.3 Localisation de l’analyse des données

55.
On peut également faire une distinction entre les IDS en se basant sur la localisation réelle
de l'analyse des données :
• Analyse centralisée : Certains IDS ont une architecture multi-capteurs (ou
multisondes). Ils centralisent les événements (ou alertes) pour analyse au sein d'une
seule machine. L'intérêt principal de cette architecture est de faciliter la corrélation entre
événements puisqu'on dispose alors d'une vision globale. Par contre, la charge des
calculs (effectués sur le système central) ainsi que la charge réseau (due à la collecte des
événements ou des alertes) peuvent être lourdes et risquent de constituer un goulet
d'étranglement.
• Analyse locale : Si l'analyse du flot d'événements est effectuée au plus près de la source
de données (généralement en local sur chaque machine disposant d'un capteur), on
minimise le trafic réseau et chaque analyseur séparé dispose de la même puissance de
calcul. En contrepartie, il est impossible de croiser des événements qui sont traités
séparément et l'on risque de passer à côté de certaines attaques distribuées.
1.4.4 Fréquence de l’analyse

Une autre caractéristique des systèmes de détection d'intrusions est leur fréquence
d’utilisation :
• Périodique : certains systèmes de détection d'intrusions analysent périodiquement les
fichiers d'audit à la recherche d'une éventuelle intrusion ou anomalie passée. Cela peut
être suffisant dans des contextes peu sensibles (on fera alors une analyse journalière, par
exemple).
• Continue : la plupart des systèmes de détection d'intrusions récents effectue leur
analyse des fichiers d'audit ou des paquets réseau de manière continue afin de proposer
une détection en quasi temps-réel. Cela est nécessaire dans des contextes sensibles
(confidentialité) et/ou commerciaux (confidentialité, disponibilité). C'est toutefois un
processus coûteux en temps de calcul car il faut analyser à la volée tout ce qui se passe
sur le système.
1.4.5 Comportement après détection
Une autre façon de classer les systèmes de détection d'intrusions consiste à les classer par
type de réaction lorsqu'une attaque est détectée :
• Passive : la plupart des systèmes de détection d'intrusions n'apportent qu'une réponse
passive à l'intrusion. Lorsqu'une attaque est détectée, ils génèrent une alarme et notifient

56.
l'administrateur système par e-mail, message dans une console, voire même par beeper.
C'est alors lui qui devra prendre les mesures qui s'imposent.
• Active : d'autres systèmes de détection d'intrusions peuvent, en plus de la notification à
l'opérateur, prendre automatiquement des mesures pour stopper l'attaque en cours. Par
exemple, ils peuvent couper les connexions suspectes ou même, pour une attaque
externe, reconfigurer le pare-feu pour qu'il refuse tout ce qui vient du site incriminé.
Des outils tels que RealSecure ou NetProwler proposent ce type de réaction. Toutefois,
il apparait que ce type de fonctionnalité automatique est potentiellement dangereux car
il peut mener à des dénis de service provoqués par l'IDS. Un attaquant déterminé peut,
par exemple, tromper l'IDS en usurpant des adresses du réseau local qui seront alors
considérées comme la source de l'attaque par l'IDS. Il est préférable de proposer une
réaction facultative à un opérateur humain (qui prend la décision finale).
1.5 Points forts des IDS
Un IDS permet de repérer des anomalies dans le trafic réseau comme suit :
• Détecter les tentatives de découvertes du réseau.
• Détecter dans certains cas, si l’attaque a réussi ou non.
• Détecter le Dénis de Service.
• Détecter le niveau d’infection du système informatique et les zones réseaux touchées.
• Repérer les machines infectées.
• Alerter de façon centrale pour toutes les attaques.
• Réagir aux attaques et corriger les problèmes éventuels.
Si on compare les HIDS et NIDS, les HIDS présente un avantage considérable par rapport à un
NIDS dans le cas où le trafic est crypté. En effet, un NIDS n’a pas connaissance des clés de
cryptage et ne peut appliquer ses algorithmes de détection au niveau des données chiffrées.
La détection est effectuée à l’extrémité de la chaine de communication, une fois le flux
est décrypté. Ceci est réalisé en mettant en œuvre un agent HIDS directement sur le serveur
cible. Les flux chiffrés sont ainsi décodés par la cible et transmis ensuite au monteur d’analyse
du NIDS.
1.6 Limite des IDS
Parmi les faiblesses des IDS on trouve :
• Nombreux faux positifs.
• Configuration complexe et longue.
- Nombreux faux positifs après configuration.

57.
• Pas de connaissance de la plate-forme.

- De ses vulnérabilités.
- Du contexte métier.
• Les attaques applicatives sont difficilement détectables.
- Injection SQL.
- Exploitation de CGI mal conçus
• Des évènements difficilement détectables.
- Scans lents / distribués.
- Canaux cachés / tunnels.
• Pollution des IDS.
- Consommation des ressources de l'IDS.
- Perte de paquets.
- Déni de service contre l'IDS / l'opérateur.
- Une attaque réelle peut passer inaperçue.
• Attaque contre l'IDS lui-même.
• Ils ne peuvent pas compenser les trous de sécurité dans les protocoles réseaux.
• Ils ne peuvent pas compenser des manques significatifs dans votre stratégie de sécurité,
votre politique de sécurité ou votre architecture de sécurité.
2. Système de prévention d’intrusion
Le système de prévention d’intrusion ou IPS a pour fonction principale d’empêcher toute
activité suspecte détectée au sein d’un système : ils sont capables de prévenir une attaque avant
qu'elle atteigne sa destination.
Contrairement aux IDS, les IPS sont des outils aux fonctions « actives », qui en plus de
détecter une intrusion, tentent de la bloquer.
Le principe de fonctionnement d’un IPS est analogue à celui d’un IDS, ajoutant à cela
l’analyse des contextes de connexion, l’automatisation d'analyse des logs et la coupure des
connexions suspectes. Contrairement aux IDS classiques, aucune signature n'est utilisée pour
détecter les attaques. Avant toute action, une décision en temps réel est exécutée (l'activité est
comparée aux règles existantes). Si l'action est conforme à l'ensemble des règles, la permission
de l’exécuter sera accordée et l'action sera exécutée. Si l'action est illégale (c'est-à-dire si le
programme demande des données ou veut les changer alors que cette action ne lui est pas
permise), une alarme est générée. Dans la plupart des cas, les autres détecteurs du réseau (ou

58.
une console centrale connectées à l’IPS) en seront aussi informés dans le but d’empêcher les
autres ordinateurs d'ouvrir ou d'exécuter des fichiers spécifiques (si on est en réseau).
2.1 Les types de système de prévention d’intrusion
On peut classer les IPS en deux groupes suivants leurs domaines d'utilisation :
• Les NIPS (Network based IPS) se trouvent sur des équipements en coupure sur le
réseau. Ils combinent les fonctions d’un IDS et d’un pare-feu. Tout comme l’IDS,
ils détectent les paquets IP suspects, et tout comme le pare-feu, en cas de paquet
suspect, ils détruisent immédiatement le paquet ainsi que les paquets suivants
appartenant au même flux. L’IPS doit bien entendu envoyer une alarme à
l’administrateur pour que ce dernier soit averti de ce problème. Les IPS peuvent
aussi servir à corriger en temps réel certaines incohérences de protocole qui sont
liées aux nombreuses piles TCP/IP existantes et à la grande diversité d’interprétation
des spécifications de TCP/IP. Les NIPS ont alors pour fonction de nettoyer les
paquets IP avant de les transmettre.
• Les HIPS/KIPS : Host IPS, plus connu sous l'appellation de systèmes de prévention
d’intrusions « kernel » (KIPS), spécifiques aux hôtes. Ils supervisent l'intégralité
des activités sur la machine où elle est déployée. L’utilisation d’un détecteur
d’intrusions au niveau noyau peut s’avérer parfois nécessaire pour sécuriser une
station. Le KIPS peut également interdire l’OS d’exécuter un appel système qui
ouvrirait un Shell de commandes. Puisqu’un KIPS analyse les appels systèmes, il
ralentit l’exécution : c’est pourquoi c'est une solution rarement utilisée sur des
serveurs souvent sollicités. Exemple de KIPS : Secure IIS, qui est une surcouche du
serveur IIS de Microsoft. Le HIPS peut bloquer les trafics anormaux comme :
- Lecture / écriture de fichiers protégés.
- Accès aux ports réseau.
- Comportements anormaux des applications.
- Bloque les accès en écriture par exemple, bloque les tentatives de
récupération de droit root.
- Connexions suspectes (sessions RPC actives anormalement longues
sur des machines distantes, etc.).

59.
2.2 Fonctionnement d’un IPS

Les systèmes de prévention des intrusions fonctionnent en analysant tout le trafic du réseau.
Il existe un certain nombre de menaces différentes que les IPS peuvent empêcher, notamment :
• Attaque par déni de service (DDoS).
• Attaque par déni de service distribué.
• Divers types de failles de sécurité.
• Ver.
• Virus.
L’IPS effectue une inspection des paquets en temps réel, en examinant minutieusement
chaque paquet qui circule sur le réseau. Si des paquets malveillants ou suspects sont détectés,
l’IPS effectuera l’une des actions suivantes :
• Mettra fin à la session TCP qui a été exploitée et bloquer l’adresse IP source ou le
compte utilisateur fautif pour empêcher l’accès non éthique à toute application, hôte
cible ou ressource réseau.
• Supprimera ou remplacera tout contenu malveillant rester sur le réseau suite à une
attaque. Cela est effectué en reconditionnant les charges, en supprimant les informations
d’en-tête et en retirant toute pièce jointe infectée des serveurs de fichiers ou de courrier
électronique.
Source de
données
Capteur
Analyseur (MDI)
Vulnérabilité
Bloquer
Attaque
Figure 16: Architecture fonctionnelle d'un IPS

60.
2.3 Types de préventions

Un système de prévention des intrusions est généralement configuré pour utiliser un certain
nombre d’approches différentes pour protéger le réseau contre les accès non autorisés. On peut
citer :
• Approche basée sur les signatures : Cette approche utilise des signatures prédéfinies
de menaces réseau bien connues. Lorsqu’une attaque correspondant à l’une de ces
signatures ou à l’un de ces modèles est lancée, le système prend les mesures nécessaires.
• Approche basée sur les anomalies : Permet de surveiller tout comportement anormal
ou inattendu sur le réseau. Si une anomalie est détectée, le système bloque
immédiatement l’accès à l’hôte cible.
• Approche basée sur les politiques : Cette approche nécessite que les administrateurs
configurent les politiques de sécurité en fonction des politiques de sécurité
organisationnelles et de l’infrastructure du réseau. Lorsqu’une activité viole une
politique de sécurité, une alerte est déclenchée et envoyée aux administrateurs système.
2.4 Type de réponses aux attaques

On distingue 2 types de réponses face aux attaques ou intrusions :
• Réponse active : Les réponses actives consistent à répondre directement à une
attaque, la plupart du temps en générant des requêtes de fin de connexion vers la
source de manière à la contraindre à cesser son activité intrusive sur le champ. Dans
le cas de données TCP, ceci se traduit par l’envoi de paquets RST qui marquent la
fin d’une session aussi bien vers la source que la destination. Dans le cas des
protocoles ICMP ou UDP qui n’implémentent pas de machines d’états, il peut
s’avérer plus complexe de marquer une fin de session dans la mesure où la notion
même de session n’existe pas. Une méthode couramment utilisée consiste à générer
des requêtes ICMP Network Unreachable ou UDP Port Unreachable en espérant que
la source reçoive ces requêtes et cesse d’émettre.
L'IPS utilise la génération de paquets pour couper la connexion :
- TCP Reset
- ICMP Network Unreachable
- UDP Port Unreachable
- Drop

61.
• Réponse passive : Cette technique consiste à bloquer les flux associés à une activité
intrusive sans en informer la source, c'est-à-dire sans générer de paquets spécifiques
à destination du pirate. Les réponses passives se traduisent la plupart du temps par
des opérations de reconfiguration automatique d’un firewall (NIDS) le fait avec
packetfilter (firewall) afin de bloquer les adresses IP source impliquées dans les
intrusions.
Le problème n'est pas le même que la réponse active, n'ayant aucune action vis à vis de
l'attaquant celui-ci n'est pas aux courant de la présence de l'IPS. En revanche le problème de
l’authenticité de la source de l’attaque est le même. Avec un firewall on a aussi la possibilité de
se couper d'un réseau important.
En effet, si le pirate usurpe une adresse IP sensible telle qu’un routeur d’accès ou un serveur
DNS, l’entreprise qui implémente une reconfiguration systématique d’un firewall risque tout
simplement de se couper elle-même du monde extérieur.
2.5 Limites des IPS

Les principales limites et contraintes des IPS à ce jour semblent être leur mise en place
délicate, leur administration rebutante, la possibilité de bloquer tout le réseau en cas de fausse
alerte, ainsi que l’inexistence d’un standard actuel.
Conclusion
Ce chapitre nous a permis de découvrir les systèmes de détection et de prévention
d’intrusions, leurs fonctionnements et leur capacité. La plupart des IDS/IPS sont fiables, ce qui
explique qu'ils sont souvent intégrés dans les solutions de sécurité. Les avantages qu'ils
présentent face aux autres outils de sécurités les favorisent, mais d'un autre côté cela n'empêche
pas que les meilleurs IDS/IPS présentent aussi des lacunes et quelques inconvénients. Nous
comprenons donc bien qu'ils sont nécessaires mais ne peuvent pas se passer de l'utilisation
d'autres outils de sécurité visant à combler leurs défauts. Nous allons voir dans le chapitre
suivant comment réussir une bonne configuration de ces derniers afin de mieux sécuriser le
réseau.

61.
Troisième partie
Cadre Analytique

62.
CHAPITRE I : Etude de l’existant
1. Présentation du réseau informatique de la structure
Disposant d’un firewall Fortinet Fortiget, qui fait le filtrage des paquets tout en tant les
paquets illégitimes, on se fait beaucoup face à des conflits d’adresse IP au sein du réseau local,
ce qui peut justifier l’usurpation d’une adresse du réseau local par une personne externe n’étant
pas autoriser, d’où la probabilité d’une intrusion. Ne disposant pas d’un tableau de bord
expliquant de façon précis et détaillé des intrusions faites au sein de notre réseau, ceci reste une
vulnérabilité du réseau, qui peut être exploitée afin d’atteindre à la disponibilité des services.
Cette pratique d’usurpation d’adresse IP ralentissent le travail, et des fois ca porte atteinte
à la confidentialité des certaines informations, puisque une imprimantes qui est dans un service
peut imprimer les données d’un autre service, ce qui porte atteinte au niveau d’information. Au
sein de notre stage on a résolu maintes situations de cas, et prenait énormément de temps,
surtout si les machines victimes sont nombreuses.
Une parmi les solutions est la mise en place d’un système de détection et prévention
d’intrusion sur une machine dédiée, afin de mieux assister le firewall afin de garantir une
sécurité maximale.
Figure 17: Architecture du réseau informatique du service MIRE/I

63.
2. Emplacement de la solution IDS/IPS
On placera notre système IDS/IPS juste après le routeur, mais on lui définira l’adresse du
réseau sur lequel il va écouter et détecter tout trafic suspect.
Cette nouvelle disposition permettra à l’administrateur du système de détection et

prévention d’intrusion, d’avoir une vue globale sur tout le réseau, mais aussi garantir la sécurité
du réseau. Le système IDS/IPS surveille tout le trafic du réseau local, détecte les intrusions et
bloque les paquets de manière préventive.
Figure 18: Architecture de la solution proposée

64.
CHAPITRE II : Choix et mise en place de la solution
Introduction
Ce chapitre présente les différentes étapes d’installation de notre système de détection et de
prévention d’intrusion SURICATA, de l’outils EVEBOX qui nous sera utile pour la lecture des
alertes mais aussi de l’outils SPLUNK pour la lecture des fichiers logs.
I. Analyse et choix de la solution et de l’environnement pour IDS/IPS

1. Choix de solution
L’analyse concurrentielle est une étape très importante pour le choix d’une solution. Elle
consiste à déterminer les principaux concurrents d’afin d’extraire leurs aspects positifs et
négatifs. Pour mieux choisir une solution d’IDS/IPS, nous avons établi le tableau comparatif
ci-dessous :
Distributeur Licence Utilisation Journalisation Méthode Environnement

de d’installation
détection
Suricata Gratuit NIDS/NIPS Syslog, fichier, Signature Unix, Linux, Mac

base de données OS, Windows
Anomalie
Bro Gratuit NIDS/NIPS Syslog, base de Signature Unix, Linux, Mac

données, fichier OS
Anomalie
Snort Gratuit NIDS/NIPS Syslog, fichier, Signature Unix, Linux,

base de données Windows
Anomalie
OSSEC Gratuit HIDS Syslog, fichier Signature Unix, Linux, Mac

OS, Windows
Sagan Gratuit HIDS/NIDS Syslog, fichier Signature Unix, Linux, Mac

OS
Anomalie
Tableau 4: comparatif des solutions IDS/IPS

65.
Apres l’analyse du tableau comparatif, la seule solution susceptible de répondre à l’attente

de notre projet, et qui marche sur toutes les plateformes est SURICATA.
2. Choix de l’environnement
La solution choisie marche sur toutes les plateformes, pour le choix du système
d’exploitation sur lequel on va installer notre système, on va tenir compte du système
d’exploitation qui demande moins de ressources matérielles, qui est facilement accessible et
libre aussi. S’agissant de la plateforme Mac OS, elle n’est fonctionnelle que sur les machines
MAC, vu qu’on ne dispose pas de machine MAC on ne va pas tenir compte de la plateforme.
Voici un tableau récapitulatif des différentes plateformes, tout en précisant les ressources
nécessaires pour l’installation de la solution.
Plateforme Licence Coût Mémoire Espace Processeur

vive disque
Debian Libre Gratuit 512 Mo 3 Go 1 GHz
CentOS Libre Gratuit 512 Mo 2 Go 500 MHz
Ubuntu Libre Gratuit 192 Mo 1 Go 300 MHz
Windows Professionnelle Gratuit 512 Mo 32 Go 1,4 GHz

server
Tableau 5: Tableau comparatif des systèmes d’exploitation

Étant donné qu’une machine est dédiée à l’installation de ce système, nous avons choisis
parmi les solutions qui seraient les plus rapides à mettre en route, la stabilité du système mais
aussi la possibilité de pouvoir alerter rapidement l’administrateur du système. Étant donné que
Linux est un système dont on peut comprendre réellement le fonctionnement technique, nous
avons opté pour ce type de système, tout précisément Ubuntu vu qu’il demande moins de
ressources.
II. Conception
Les logiciels utilisés :
• Suricata 6.0.3
• Splunk Enterprise Security
• Evebox
• ELK

66.
• Ubuntu 20.04 LTS

• Ubuntu server
• VirtualBox
1. Présentation de Suricata
Suricata est un moteur de détection d’intrusions (IDS), de prévention d’intrusions (IPS) et
de surveillance réseau orienté sécurité (NSM). Suricata est développé par une fondation à but
non lucratif, l’Open Information Security Foundation (OISF) qui a été créé pour supporter le
projet. Avec un développement initié en 2008, Suricata est maintenant un logiciel mûr qui
évolue néanmoins très rapidement sous l’impulsion de la communauté de Suricata et de la
fondation OISF.
Avec des mises à jour constantes de notre communauté dédiée, Suricata suit le rythme des
besoins des utilisateurs, la sophistication des adversaires et la vitesse des réseaux
d'aujourd'hui. Suricata combine un langage de signature complet pour faire correspondre les
menaces inconnues, les violations de politique et les comportements malveillants avec la
capacité de détecter également des anomalies dans le trafic multi-gigabit qu'il inspecte. Suricata
peut enregistrer des requêtes HTTP, enregistrer et stocker des certificats TLS, extraire des
fichiers des flux et les stocker sur disque. La prise en charge complète de la capture pcap permet
une analyse facile. Tout cela fait de Suricata un moteur puissant pour votre écosystème Network
Security Monitoring (NSM).
Suricata est capable d'inspecter le trafic multi-gigabit. Le moteur est construit autour d'une
base de code multi-thread, moderne, propre et hautement évolutive.
2. Présentation de Splunk Enterprise Security

Splunk Enterprise Security (ES) est une solution de sécurité de l'information et de gestion
des événements (SIEM) offrant un aperçu global des données générées à partir de technologies
de sécurité comme les réseaux, leurs extrémités, leurs points d'accès, les malwares, les
vulnérabilités système et les renseignements d'identité. Dans notre projet Splunk nous serviras
de visualiser nos fichiers logs génères lors d’une intrusion, et dresser un graphe de statistique
pour les intrusions détectées.

67.
Figure 19: Interface de connexion de Splunk
3. Présentation de Evebox
EveBox est un outil Web de gestion des alertes et des événements pour les événements
générés par le moteur de détection des menaces réseau Suricata.
Figure 20: Interface web de Evebox

4. ELK
ELK est un outil d'analyse de logs composé de 3 logiciels : Elasticsearch, Logstash et
Kibana. Elasticsearch est un moteur de recherche et d’analyse qui utilise le format JSON. Son
objectif est d’extraire efficacement les données à partir de sources de données structurées ou

68.
non structurées en temps réel, Logstash normalise les données temporelles et Kibana est un
outil de visualisation.
5. Ubuntu 20.04 LTS

Ubuntu est un système d’exploitation GNU/Linux basé sur Debian. Il est développé,
commercialisé et maintenu pour les ordinateurs individuels, les serveurs et les objets
connectes par la société Canonical.
Ubuntu est disponible en deux versions, une qui évolue tous les six mois, et une version
LTS, pour Long Term Support " Support long terme " qui évolue tous les deux ans. Ubuntu se
définit comme "un système d'exploitation utilisé par des millions de PC à travers le monde " et
avec une interface "simple, intuitive, et sécurisée ". Elle est la distribution la plus utilisé pour
accéder aux sites web, et le système d'exploitation le plus utilisé pour les serveurs
informatiques.
Nous avons choisi la version de Ubuntu 20.04 LTS pour notre projet, car nous avons déjà
cette version installer physiquement sur notre machine.
6. Ubuntu server
Nous allons installer Ubuntu server sous une machine virtuelle, elle nous servira de machine
pour les tests intrusions.
7. VirtualBox
VirtualBox est un puissant produit de virtualisation x86 et AMD64/Intel64 pour les
entreprises et les particuliers. Non seulement VirtualBox est un produit extrêmement riche en
fonctionnalités et hautes performances pour les entreprises clientes, mais c'est également la
seule solution professionnelle disponible gratuitement en tant que logiciel Open Source selon
les termes de la licence publique générale GNU (GPL) version 2.
VirtualBox fonctionne sur les hôtes Windows, Linux, Macintosh et Solaris.

69.
Figure 21: Interface de VirtualBox
II. Installation et configuration de Suricata
Avant que Suricata puisse être utilisé, il doit être installé. Suricata peut être installé sur
diverses distributions à l’aide des packages binaires. Nous on va utiliser la méthode source pour
installer Suricata.
1. Installation depuis la source
• L’installation à partir des fichiers de distribution source donne le plus de contrôle sur
l’installation de Suricata. Nous procédons alors à l’installation de Suricata via le lien de
leur site web sur notre console :
wget https://www.openinfosecfoundation.org/download/Suricata-5.0.3.tar.gz

70.
Figure 22: Installation de Suricata

• Désarchivage du package de Suricata à travers la commande suivante : tar -xvzf
Suricata-5.0.3.tar.gz
Figure 23: Désarchivage du package de Suricata

Pour la compilation de Suricata on aura besoin des bibliothèques suivantes et de leur en-
tête de développement installés :
- Libjansson : Bibliothèque C pour encoder, décoder et manipuler des
données JSON.
- Libpcap : la bibliothèque libpcap permet de récupérer les paquets
directement à partir des cartes réseau, et de faire des captures des
paquets.

71.
- Libpcre : Il s'agit d'une bibliothèque de fonctions qui prend en charge les expressions
rationnelles ayant une syntaxe et une sémantique aussi proches que possible de celles
du langage Perl 5.
- Zlib : Zlib permet la compression et la décompression des données.
- Libyaml : Libyaml est une bibliothèque C pour analyser et émettre des données en
YAML 1.1, un format de sérialisation de données intelligible.
Figure 24: Installation des bibliothèques pour Suricata

• Configuration des fonctionnalités de prévention d’intrusion à travers la commande
suivante :
./configure –-enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var

72.
Figure 25: Configuration des fonctionnalités de prévention

Pour activer le système de prévention des intrusions (IPS) de Suricata, on doit installer
quelques packages supplémentaires. La fonction IPS permet au système d'ajouter des règles de
pare-feu de manière dynamique pour bloquer les attaques détectées.
Les différents packages à installer :
- Libnetfilter-queue-dev libnetfilter-queue1 : Libnetfilter_queue est une bibliothèque
d'espace utilisateur fournissant une API aux paquets qui ont été mis en file d'attente par
le filtre de paquets du noyau. Il fait partie d'un système qui déprécie l'ancien mécanisme
ip_queue / libipq.
- Libnetfilter-log-dev libnetfilter-log1 : Libnetfilter-log est une bibliothèque d'espace

utilisateur fournissant une interface aux paquets qui ont été enregistrés par le filtre de
paquets du noyau.
- Libnfnetlink-dev libnfnetlink0 : Libnfnetlink est la bibliothèque de bas niveau pour le
noyau de communication/espace utilisateur lié à netfilter. Il fournit une infrastructure
de messagerie générique pour les sous-systèmes netfilter dans le noyau (tels que
nfnetlink_log, nfnetlink_queue, nfnetlink_conntrack) et leurs utilisateurs respectifs
et/ou outils de gestion dans l'espace utilisateur.

73.
Figure 26: Supplément pour l'intégration IPS iptables/nftables

• Démarrage du service de Suricata.
• Vérification du démarrage du service de Suricata.
Figure 27:Vérification du service de Suricata

74.
2. Configuration de Suricata
Suricata utilise le format Yaml pour la configuration. Le fichier Suricata.yaml inclus dans
le code source, est l’exemple de configuration de Suricata. Ce document expliquera chaque
option.
Editons le fichier de configuration Suricata.yaml, pour apporter les configurations suivantes :
Figure 28: Ouverture du fichier de configuration de Suricata

• Utilisateur et groupe : Nous allons configurer l’utilisateur et le groupe pour exécuter
Suricata. L’utilisateur sera "suri" et le nom du groupe "suri" aussi.

75.
Figure 29: Configuration de l'utilisateur pour exécuter Suricata

• Configuration de l’adresse IP du réseau sur lequel Suricata va écouter. L’adresse IP de
notre réseau sans fil est : 192.168.43.0/24
Figure 30: Configuration de l'adresse IP du réseau sur lequel Suricata va écouter
• Mise à jour des règles de Suricata : sudo suricata-update

o Sudo : pour avoir les mêmes privilèges que le superutlisateur.
o Suricata-update : mise à jour des règles de suricata.

76.
Figure 31: Mise des règles de Suricata
Figure 32: Utilisation des règles de Suricata par défaut

• Les sorties d’événements : Dans le répertoire /var/log/Suricata, toutes les sorties de
Suricata seront enregistrées (alertes et événements).

77.
Figure 33: Répertoire de sortie des événements de Suricata par défaut
Pour notre test nous allons configurer EVE, qui est un format d’événement
extensible, qui nous permettra de sortie pour nos alertes et événements.
Figure 34: Configuration de la sortie EVE

78.
• Journal des paquets (pcap-log) : Avec l'option pcap-log, nous pouvons enregistrer
tous les paquets enregistrés par Suricata dans un journal nommé log. pcap. De cette
façon, nous pouvons jeter un œil à tous les paquets lorsque nous le souhaitons.
Figure 35: Configuration du journal des paquets

3. Installation des outils tiers pour la gestion des alertes
3.1 Evebox
• Téléchargement du paquet Debian de evebox depuis leur site :
https://evebox.org/files/release/latest/, puis on télécharge la version
evebox_0.14.0amd64.deb.
Figure 36: Version de evebox à télécharger
• Procéder au dépaquetage du paquet evebox evebox_0.14.0amd64.deb télécharger.

79.
Figure 37: Dépaquetage de evebox
• Démarrage de evebox
- Pour démarrer evebox, on doit taper la commande suivante : evebox serveur -e -v
http:// nom de la machine : numéro de port.
o Evebox serveur : précision du service de evebox.
o -v : pour indiquer la verbosité.
o -e http:// nom de la machine (adresse locale) : numéro de port (9200) :
spécifie le mode de connexion (interface web) et le nom de la machine de la
machine de connexion.
o - -input /var/log/suricata/eve.json : spécifie le fichier dans lequel evebox va
charger les alertes.
Figure 38: spécification de l'interface web de connexion
• Evebox server démarrage sur l’adresse local (127.0.0.1) avec comme numéro de
port :5636
3.2 Splunk
• Téléchargement de du paquet Debian de Splunk depuis leur site :
https://www.splunk.com/fr_fr/download/splunk-enterprise.html
• Dépaquetage du paquet Debian de Splunk télécharger :

80.
Figure 39: Dépaquetage du paquet de Splunk
• Démarrage de Splunk
Pour démarrer Splunk on se positionne dans le répertoire /opt/splunk/bin.
Ensuite on tape la commande : splunk start - -accept-licence. Cette commande permet
de démarrer Splunk tout en acceptant les conditions d’utilisation.
Figure 40: Démarrage de Splunk
Figure 41: Adresse de l'interface web de démarrage de Splunk
4. Simulation
4.1 Description
On va simuler une attaque flood qui est une attaque par dénis de service, le
fonctionnement de l’attaque vise à rendre un serveur indisponible pour le trafic légitime en
consommant toutes les ressources serveur disponibles. En envoyant à plusieurs reprises des
paquets de demande de connexion initiale (SYN), l’attaque est en mesure de submerger tous
les ports disponibles sur une machine serveur ciblée, ce qui oblige l’appareil ciblé à
répondre lentement au trafic légitime, ou l’empêche totalement de répondre.
4.2 Méthodes d’approche

81.
Notre système IDS/IPS déjà installé sur notre machine Ubuntu 20.04, nous allons démarrer
notre système Ubuntu server qui est dans le même réseau que la machine surveillante (IDS/IPS),
nous allons procéder à l’attaque flood à travers notre système Ubuntu server.
Adresse IP de la machine surveillante : 192.168.43.11
Adresse IP de la machine Ubuntu server : 192.168.43.21
Interface de notre carte réseau : wlp3s0

4.3 Utilitaire pour l’attaque
Nous allons installer l’utilitaire hping3 pour simuler l’attaque.
Figure 42: Installation de l'utilisateur hping3 pour l'attaque

4.4 Procédure d’attaque
Tapons la commande suivante pour l’attaque : hping3 -S - -flood -V -p adresse IP de la

machine cible
Hping3 : l’utilitaire d’attaque
-S : spécification de l’adresse source (facultatif)
- -flood : spécifie le type d’attaque
-V : indique la verbosité
-p : numéro de port du serveur web

82.
Adresse IP de la machine cible : adresse IP de la machine surveillante (IDS/IPS)

Le serveur web est configuré sur le port 90.
4.4.1 Lancement de l’attaque
Figure 43: Lancement de l'attaque

On remarque 144181 paquets transmis.
• Ouverture du ficher eve.json de suricata pour voir la sortie des alertes.
Figure 44: Lecture des alertes par le fichier eve.json

On remarque qu’avec le fichier eve.json les informations sur l’intrusion ne sont pas
facilement compréhensible.
• Visualisation du tableau de bord du suricata pour voir les événements.

83.
Figure 45: les alertes de l'attaque remontée par evebox
• Sélection d’un événement pour avoir plus de détails :
Figure 46: Caractéristique d'un événement
On remarque que la source du paquet est l’adresse IP de notre machine Ubuntu, et la destination
l’adresse IP de la machine d’écoute. Il y’a aussi l’interface sur lequel suricata écoute qui est

84.
wlp3s0. Et l’événement est de type flow (flux). Et pour la prévention le paquet est bloqué, on
remarque au niveau de l’état du paquet est fermé.
Figure 47: Blocage du paquet pour la prévention

5. Statistique des attaques
Nous allons visualiser les statistiques des différentes intrusions avec Splunk.
Nous allons dans un premier temps spécifier à Splunk le fichier qu’il va charger pour nous
dresser les statistiques. Dans notre cas notre fichier sera le fichier de sortie des alertes qui est
eve.json.
Figure 48: Connexion à notre compte Splunk

85.
Figure 49: Sélection du fichier pour les statistiques
Figure 50: Statistique des intrusions

On remarque une forte inondation de paquet icmp lors de l’intrusion mené mercredi le
22 septembre à 00 :21 :50.

86.
Conclusion Générale
Les réseaux informatiques ont évolué au fil du temps à une vitesse vertigineuse.
L’interconnexion de ces réseaux à internet les a directement exposés aux menaces
informatiques. Ce projet m’a permis d’approfondir mes connaissances, notamment en termes
de configuration dans un environnement "Linux ". De plus j’ai aussi enrichi mes connaissances
dans le domaine de la sécurité d’un réseau local, grâce à la mise en place d’un système de
détection et de prévention d’intrusions. L’étude que nous avons menée nous a conduits à
découvrir l’une des mesures de sécurité à déployer, pour assurer la sécurité d’un réseau
informatique. Nous avons eu l’initiative de mettre en place un système de détection et de
prévention d’intrusions dans le but de renforcer la sécurité au sein d’un réseau LAN, il s’agit
de l’IDS/IPS "Suricata". Nous avons présenté l’aspect théorique sur la sécurité des réseaux
informatique et toutes les notions qui s’y rapportent, l’aspect pratique quant à lui a fait l’objet
d’implémentation de la solution proposée, suivi des différents tests d’évaluation réalisés,
permettant de garantir le succès de la démarche de configuration, l’utilisation de cet outil dans
un réseau est fonctionnelle en termes de perspectives.

87.
Webographie
[07/09/2021] https://fr.wikipedia.org/wiki/Système_de_prévention_d’intrusion.html
[14h39]
[07/09/2021] https://www.techniques-ingenieur.fr/base-documentaire/archives-
th12/archives-securite-des-systemes-d-information-tiasi/archive-1/pare-feu-
te7550/systemes-de-prevention-d-intrusion-te7550niv10007.html [16h30]
[07/09/2021] https://www.forcepoint.com/fr/cyber-edu/intrusion-prevention-system-
ips.html [20h12]
[09/09/21] http://igm.univ-mlv.fr/~dr/XPOSE2009/Sonde_de_securite_IDS_IPS/IPS.html
[10h32]
[09/09/21] http://igm.univ-
mlv.fr/~dr/XPOSE2009/Sonde_de_securite_IDS_IPS/solutions.html [14h02]
[09/09/21] http://www.journaldunet.com/solutions/0312/031212_ids_ips.html [15h14]
[10/09/21] https://www.softwaretestinghelp.com/intrusion-detection-systems.html
[15h30]
[10/09/21]
https://fr.wikipedia.org/wiki/Ubuntu_(syst%C3%A8me_d%27exploitation).html
[11h42]
[10/09/21] https://fr.wikipedia.org/wiki/Suricata_(logiciel).html [02h02]
[12/09/21] https://fr.wikipedia.org/wiki/Splunk.html [03h19]
[12/09/21] https://www.virtualbox.org/.html [00h12]

88.
Bibliographie
• Pierre Chifflier and Arnaud Fontaine, architecture système sécurisée de sonde IDS
réseau.
• Tristan Colombo, sécurité & linux.
• Baudoin Karle, IDS-IPS.
• Robin Gassais, détection d’intrusion sur les objets connectés par analyse
comportementale.
• Damien Riquet, une architecture de détection d’intrusions réseau distribuée basée sur
un langage dédié.

i.
Annexes
Figure 51: Rapport d'alertes du 05/10/21 par evebox
Figure 52: Installation de logstash
Figure 53: Installation de Kibana

ii.
Figure 54: Installation du serveur web nginx

Memoire Jacques RDS

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Jacques RDS

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE DU NIGER

Ministère des postes et des nouvelles technologies de communications

MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU DIPLOME DE :

LICENCE EN RESEAUX DE DONNEES ET SECURITE

PRESENTE PAR : ENCADRE PAR :

Licence 3 RDS Jacques Yonaba Boukar

En premier lieu, je remercie mon maitre de mémoire Mr Owonola

IKOUSSENIN. Sa disponibilité, ses directives et son sens du détail m’ont permis

Mes remerciements à l’égard de mon encadreur professionnel Mr DORO

Licence 3 RDS Jacques Yonaba Boukar

Liste des figures

Licence 3 RDS Jacques Yonaba Boukar

Figure 47: Blocage du paquet pour la prévention ............................................................................ 84

Licence 3 RDS Jacques Yonaba Boukar

Liste des tableaux

Licence 3 RDS Jacques Yonaba Boukar

ARPAnet : Advanced Research Projects Agency Network

ASECNA : Agence pour la Sécurité de la Navigation Aérienne

CNS : Communication Navigation et Surveillance

CPU : Central Processing unit

DOD : United States Department of Defense

DOS : Denial of Service

DDOS : Distributed Denial of Service

DHCP : Dynamic Host Configuration Protocol

DMZ : Demilitarized Zone

DNS : Domain Name System

DVD : Digital Video Disc

ELB : Energie et Balisage

FTP : File Transfert Protocol

HIDS : Host Intrusion Detection System

HIPS : Host Intrusion Prevention System

HTTP : Hypertext Transfert Protocol

ICMP : Internet Control Message Protocol

IDS : Intrusion Detection System

IDWG : Intrusion Detection Exchange Format

IETF : Internet Engineering Task Force

Licence 3 RDS Jacques Yonaba Boukar

IIS : Internet Information Services

IPS : Intrusion Prevention System

ISO : International Organization for Standardization

KIPS : Kernel Intrusion Prevention System

LAN : Local Area Network

MAU : Multi station Access Unit

MDI : Medium Dependent Interface

NIDS : Network Intrusion Detection System

NIPS : Network Intrusion Prevention System

NSM : Network Security Monitoring

OSI : Open System Interconnection

PSSI : Politique de Sécurité de Système d’Information

QIP : Qualification et Intégration du Personnel

ROM : Read Only Memory

RSI/MTO : Réseaux Service

SIEM : Security Information Event Management

SMTP : Simple Mail Transfer Protocol

SQL : Structured Query Language

Licence 3 RDS Jacques Yonaba Boukar

TCP : Transmission Control Protocol

TLS : Transport Layer Security

UDP : User Datagram Protocol

USB : Universal Serial Bus

VPN : Virtual Private Network

WAN : Wide Area Network

Licence 3 RDS Jacques Yonaba Boukar