TP1 : Sécurité des systèmes informatiques

Exercice 1 : Testez votre antivirus

Pour tester votre antivirus en toute sécurité, vous pouvez utiliser le fichier de test Eicar. Ce
fichier est détecté comme un virus par les antivirus mais cela n'en est pas un, il ne contient
aucun code viral. Si le faux virus est détecté, c'est que votre antivirus est actif et vous protège.

1. Pour créer ce faux virus, vous avez simplement besoin du bloc-note de Windows. Cliquez
sur le bouton Démarrer, sur Programmes, Accessoires puis sur Bloc-notes.

2. Recopiez alors la chaîne de caractères suivante dans le bloc-notes :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-
FILE!$H+H*

3. Enregistrez alors le fichier en cliquant sur le menu Fichier puis sur Enregistrer sous.

4. Déroulez la liste Type puis sélectionnez l'option Tous les fichiers.

5. Saisissez ensuite eicar.com dans la zone de texte Nom du fichier. Choisissez

l'emplacement où enregistrer le fichier dans le cadre d'Explorateur puis cliquez sur le bouton
Enregistrer.

6. Si votre antivirus est correctement activé, il doit alors instantanément vous alerter de la
présence du virus Eicar.

1
7. Demandez alors à votre antivirus de supprimer le fichier.

Si votre antivirus ne voit rien, c'est qu'il y a un problème. Ou bien vous l'avez mal installé, ou
bien la protection permanente est mal configurée. Consultez donc la documentation de votre
logiciel pour corriger ce problème.
Si le faux virus n'est toujours pas détecté, vous devez alors songer sérieusement à changer de
logiciel antivirus.

Exercice 2 : Craquage d’un mot de passe

Des outils comme ceux listés sur ce lien, existent pour décrypter les mots de passe faibles:
http://www.presse-citron.net/10-outils-utilises-par-les-hackers-pour-cracker-les-mot-de-passe-
ou-comment-mieux-securiser-les-votres/
Pour ce TP,
I- créer 5 nouveaux comptes utilisateurs pour la circonstance avec mot de passe
faible ou sans mot de passe.

1- Nom utilisateur : francois Mot de Passe :

2- Nom utilisateur : albert Mot de Passe : bertal
3- Nom utilisateur : firmin Mot de Passe : nimrif
4- Nom utilisateur : alice Mot de Passe : alice
5- Nom utilisateur : paul Mot de Passe : Paula4518
II- Installation et utilisation de John the ripper

John The Ripper est un perceur (cracker) de mot de passe en local. Il est disponible sur plusieurs
distributions.

2
 Sa particularité réside principalement dans sa rapidité à casser les différents chiffrements (DES,
BSDI, MD5, SHA-256, SHA-512, bcrypt, LM Windows...) en consommant très peu de
ressources, ce qui le classe parmi les meilleurs outils. Il tentera dans un premier temps de
détecter les mots de passe faibles (Attaque par dictionnaire), puis ensuite agir de façon
ingénieuse (Attaque hybride).

John the ripper utilise les 3 modes suivants :

- Mode single (1): John teste des combinaisons de mots de passe basées sur les logins
utilisateurs. Par exemple: alicelinux, ALICELINUX, alicelinux1, linuxalice…
- Mode wordlist (2): John testera tous les mots de passe présents dans sa wordlist fournie
par défaut (plus de 3000 mots de passe populaires) ou une autre prédéfinie dans le fichier
john.conf
- Mode incrémental (3): John va ensuite tester toutes les combinaisons possibles selon
des règles prédéfinies. Ce mode est extrêmement long et ne se termine généralement
jamais.

Télécharger John à partir de son site officiel www.openwall.com/john

Suivre les instructions suivantes :

[root@linux1 ~]# tar xzf john-1.8.0.tar.gz
[root@linux1 ~]# chmod 777 john-1.8.0
[root@linux1 ~]# cd john-1.8.0/src
[root@linux1 src]# make
[root@linux1 src]# make linux-x86-any ou make clean generic ou make clean linux-x86-64
[root@linux1 src]#cd ..
[root@linux1]# run/john

Créer le fichier des mots de passe

[root@linux1] # sudo run/unshadow /etc/passwd /etc/shadow > passwd.l
[root@linux1]# chmod 777 passwd.l
[root@linux1]# run/john passwd.l
[root@linux1]# run/john passwd.l --format=crypt

Quelle remarque faites-vous ?

Exercice 3:
Mettre en place le réseau suivant après avoir installé les machines virtuelles Ubuntu.

10.2.0.1 10.1.0.1
eth0 10.2.0.2 eth1 10.1.0.2

Client Interne Firewall Client externe

3
Exercice 4 : Outils de diagnostic réseau

Scanner de réseau

Il est parfois utile de scanner les ports ouverts sur un réseau ou une machine, lorsque par
exemple une application ne fonctionne pas comme cela se doit. Même lorsque tout semble
fonctionner, il est utile de lancer des diagnostics sur le réseau, pour vérifier qu'il n'y a rien d'anormal.

Un scan de port a pour objectif d'indiquer quels sont les ports ouverts sur une machine.

I- Utilisation de nmap

a- Installation de Nmap

Pour installer Nmap sur une distribution à base de Debian, ouvrez un terminal et lancez la
commande suivante :

sudo apt-get install nmap

b- Utilisation principale de nmap

nmap est en quelque sorte l'équivalent de netstat, mais s'utilise à distance. Il permet en effet de
balayer un ensemble de ports classiques d'un ou plusieurs serveurs distants et de lister parmi
ces ports ceux sur lesquels une application répond aux connexions entrantes. nmap est en outre
capable d'identifier certaines applications, parfois avec la version correspondante.

Exemple

#nmap 10.2.0.1

# nmap -A localhost

Quelques options de nmap

#nmap -sS 127.0.0.1

l'option -sS précise qu’on veut faire un scan avec des segments SYN, on ne scanne donc que
les ports TCP.

Voir tous les ports UDP ouverts sur une machine : #nmap -sU 127.0.0.1

Connaitre le système d'exploitation de la machine (TCP/IP fingerprint) : #nmap -O 127.0.0.1

Scanner un port précis. Ici, c'est le port http : #nmap -p 80 127.0.0.1

Scanner une plage de ports. Ici on scanne du port 0 au 80 : #nmap -p 0-80 127.0.0.1

II- Wireshark

Pour installer wireshark faire : apt-get install wireshark

4
 Lancer l’utilitaire et scanner le réseau.
Pour filtrer les paquets, taper par exemple :
- icmp permet de ne voir que les paquets ICMP
- dns or icmp permet de ne voir que les paquets ICMP ou dns
- ip.addr==10.2.0.1 and dns permet de ne voir que les paquets dns contenant l’adresse
10.2.0.1
- frame.numbre>10 and frame.number<50 permet de ne voir que les paquets dont les
numéros sont compris entre 10 et 50