1.

1- Sécurisez l’architecture du Système d'Information

1.2- Découvrez les scénarios d’attaques

Qui m'attaque ?
On catégorise parfois les attaquants entre l'étudiant boutonneux dans son garage
s'amusant à pirater des systèmes pendant ses vacances de Noël, jusqu'à l’État
disposant d'une cohorte de soldats numériques, de moyens importants et de temps,
tout cela pour viser un objectif motivé.

À moins d'être une agence de renseignement, la question importante est rarement

de savoir si un attaquant est un État, une mafia ou un concurrent industriel peu
scrupuleux. Effectivement, connaître votre attaquant ne changera pas la manière
dont vous vous protégerez. D'autant que l'attaquant dans un mois, un an ou dix ans
ne sera pas toujours le même. Vous apprendrez souvent trop tard son identité,
parfois justement lorsque votre système d'information sera déjà compromis !
Plutôt que de rentrer dans une compréhension complexe de l'attaquant, je vous
propose de regarder ensemble quoi protéger, de réfléchir aux impacts d'une
attaque en fonction de vos composants ou des applications métier visées pour
ensuite définir des mesures qui bloqueront les vecteurs d'attaques identifiés.

Quel impact ?
La plupart du temps, les bonnes pratiques d'architecture et de durcissement de
système permettront de vous prémunir de la majorité des attaques. Ces mesures
sont souvent simples et peu coûteuses… pour peu que vous les prévoyez dès le
départ !

Dans certains cas, l'état de l'art ne suffit pas et il faudra proportionner les mesures
permettant d'atteindre un objectif de sécurité :

Mettre les efforts au bon endroit pour limiter les impacts les plus importants,

 Se contenter des mesures génériques pour les systèmes pour lesquels les
impacts sont faibles et acceptables.
L'impact pourra prendre différentes formes en fonction des systèmes, des types
de données manipulées et des finalités métier. Pour donner quelques exemples :

 Une PME réalisant de la vente en ligne sera préoccupée par la confidentialité

de sa base client, des données personnelles et de paiement par carte
bancaire. Par ailleurs, la disponibilité de son site de vente en ligne sera
critique, car en cas d'incident, elle perd des ventes qui ne sont pas reportées
plus tard, ce qui a un impact direct sur son chiffre d'affaire et sa marge.
 Un notaire devra assurer l'intégrité de ses documents. La disponibilité de son
poste de travail lui rendra service, mais il saura travailler avec des documents
papier s'il a une panne de quelques heures.
 Un industriel de défense devra assurer la confidentialité de données
classifiées, ainsi que la traçabilité des accès.
Ces quelques exemples schématiques montrent que chaque métier aura sa propre
préoccupation, pouvant porter sur la Disponibilité, l'Intégrité, la Confidentialité ou
la Traçabilité. En fonction des attaques, l'un ou l'ensemble peuvent être mis à mal.
Un déni de service n'aura un impact que sur la disponibilité. La perte d'une clé USB
non chiffrée n'aura un impact que sur la confidentialité. Mais souvent, la
compromission d'un système a à la fois un impact sur sa disponibilité, l'intégrité et la
confidentialité de ses données, ainsi que la traçabilité des accès ou de la
modification des données !

Quels types d'attaques ?

Regardons ensemble les trois attaques les plus répandues.

Le déni de service
Un déni de service vise à rendre un système ou un service réseau indisponible. Il
se déroule en deux étapes : épuiser les ressources, puis rendre le système visé
indisponible. 
Épuiser les ressources

Les premières attaques se contentent d'inonder le système visé de requêtes

pour épuiser ses ressources. Il est possible de faire cela en envoyant en masse
des paquets TCP SYN, UDP, des paquets TCP fragmentés sans jamais terminer
l'échange, etc. Ceci est permis par l'exploitation des défauts d'implémentation de
certains protocoles : en envoyant des paquets mal formés, l'attaquant fait tout
simplement planter le service réseau ou la pile de communication qui est en face.
Rendre le système visé indisponible

Au fur et à mesure que les défauts d'implémentation les plus courant sont corrigés,
les attaquants s'adaptent pour rendre le système visé indisponible avec uniquement
des connexions similaires en tout point avec celles de clients légitimes. Or, cela
oblige l'attaquant à avoir une capacité d'envoi de messages, en particulier une
bande passante, supérieure à celle du serveur visé. Cela devient plus difficile sur des
hébergements professionnels.
Déni de service distribué : émettre grâce à de nombreux systèmes compromis

Pour augmenter leur capacité d'envoi, les attaquants lancent des attaques depuis
des milliers de systèmes compromis (souvent appelés « zombies »), ce qui donne un
« déni de service distribué ». Dans ce cas, les systèmes compromis servant à
émettre les requêtes peuvent être des postes de travail, mais aussi des équipements
connectés (IoT). Il arrive par exemple que des attaquent soient effectuées à partir de
caméras connectées sur Internet dont l'interface d'administration était restée avec un
mot de passe par défaut.
Déni de service distribué (ou DDoS en anglais)
Certains dénis de service se montrent plus subtiles, en tirant partie du déséquilibre
entre des requêtes légères et des réponses du serveur plus lourdes, soit en taille,
soit en temps de traitement pour les construire.
Ceci arrive par exemple sur des serveurs de jeux en ligne où le protocole sous-jacent
est UDP. Ça facilite la falsification de la provenance de l'attaquant, avec des
requêtes très petites, mais des réponses du serveur beaucoup plus volumineuses,
ce qui consomme la bande passante d'autant plus rapidement !

Ce type d'attaque peut aussi se produire tout simplement sur des serveurs Web pour
lesquels l'appel à certaines pages ou certaines fonctions vont générer des
traitements importants, par exemple des requêtes lourdes sur une base de données.

Le défacement
Un attaquant qui réalise un « défacement » modifie le contenu d’un site Web, la
plupart du temps pour afficher un message politique, religieux ou contestataire vis-à-
vis des produits de l’entreprise. Pour faire cela, l’attaquant peut mener différentes
attaques :
  Rechercher le compte et mot de passe d’accès à une interface
d’administration ou à un service d’échange de fichiers (par exemple FTP ou
WebDav) qui permet de déposer les données du site Web sur le serveur,
 Exploiter une vulnérabilité dans le serveur Web, le serveur d’application, le
CMS utilisé ou l’application elle-même,
 Compromettre un hébergeur pour défacer les sites de l’ensemble de ses
clients.
Le défacement porte atteinte avant tout à l’image de l’entreprise et à la confiance
que ses clients lui portent.
La compromission d'un site Web
La compromission d’un site Web utilise les même vecteurs d’attaque que le
défacement mentionné précédemment, mais l’attaquant aura d’autres buts. L'impact
ne sera donc pas seulement un défaut d’intégrité du site Web. Parmi les actions
possibles de l’attaquant, on peut mentionner :

 Le vol des données stockées sur le serveur et sur sa base de données,

par exemple les données personnelles des utilisateurs (dont leurs comptes,
mots de passe, adresses mail ou physique, etc.). Il pourra revendre ces
données personnelles (un marché le rémunère au volume, type de données et
leur fraîcheur). Avec des bases de comptes et mots de passe, il pourra
essayer d’accéder à d’autres sites en ligne dont les mêmes utilisateurs
pourraient être clients. De manière générale, l’attaquant pourra aussi voler sur
les serveur des données de paiement par carte bancaire.         
 Le piégeage des pages hébergées sur le site pour y ajouter un code qui
tentera d’exploiter une ou plusieurs vulnérabilités des navigateurs Web (ou de
leurs greffons) qui se connectent sur le site. Cela permettra à l’attaquant du
site Web de compromettre un grand nombre de postes de travail. Ainsi, il
pourra ensuite voler leurs données ou réaliser des dénis de service distribués,
comme nous avons pu le voir juste avant.
 La mise en indisponibilité du site Web, en supprimant du contenu, ajoutant
des bugs dans le site, ou encore en redirigeant vers le site d’un concurrent.
Dans le chapitre suivant, je vous détaillerai comment les attaquants mènent des
attaques plus évoluées.

En résumé
 La typologie de l'attaquant importe peu, il faut d'abord définir quoi protéger,
maintenir un impact acceptable et parer de manière générale aux vecteurs
d'attaque identifiés.
 L'impact s'exprime en matière de Disponibilité, Intégrité, Confidentialité et
Traçabilité.
 Différents types d'attaque auront des impacts différents : 
o un déni de service sur la disponibilité,
o un défacement sur l'intégrité,
o une compromission de site Web à la fois sur la disponibilité,
l'intégrité, la confidentialité et la traçabilité.