SÉCURITÉ RÉSEAUX

Pr. Ouahi Hassan

Pr. Zebbara Khalid
Dép. Génie informatique et systèmes intelligents
k.zebbara@uiz.ac.ma
h.ouahi@uiz.ac.ma
Chapitre 2: Menaces des réseaux TCP/IP
(Partie2)

Chapitre 2 2
Rappel: Modèle général de menace

Classification selon le modèle générale de menace réseau

Chapitre 2 3
Rappel: Attaques passives et actives

Classification selon la nature de l’attaque

Chapitre 2 4
Rappel: Attaques internes et externes

Internal and external

attacks Model

Classification selon la localité de l'attaquant ou bien l’origine de l'attaque

Chapitre 2 5
Rappel: Modèle STRIDE de Microsoft

Classification selon le(s) but(s) de l’attaquant

Chapitre 2 6
Autres classifications d’attaques
On trouve aussi d’autres classifications de cyber-attaques selon:
o La nature de l’attaquant
o La technique utilisée pour ‘acheminer’ l’attaque
o La vulnérabilité ou les vulnérabilités exploitée(s) par
l’attaquant.

Chapitre 2 7
 Nature de l’attaquant
 Selon la nature de l’attaquant, on peut classer les attaques on deux grandes catégories:
1. Attaques non structurées ou de novices (script-kiddies) :
 Ces attaquants sont généralement sans ‘réelles’ mauvaises intentions, mais peuvent
causer de vrais dommages ;
 Ils utilisent les outils développés par d’autres attaquants (e.g. procurés via Internet) ;
2. Attaques structurées ou d’experts :
 Ces attaquants sont souvent très motivés et techniquement compétents ;
 Ils créent leur propres outils ou en perfectionnent ceux d’autrui ;
 Ces attaques ont toujours un but précis (vol d’info et/ou argent, causer des
dommages,…) ;
 Si le but est de nuire, les dommages sont souvent très sérieux et peuvent aller jusqu’à
anéantir tout le SI.
 Variante plus évoluée: APT (Advanced Persistent Threat).

Chapitre 2 8
Technique utilisée pour ‘acheminer’ l’attaque

On distingue 3 types d’attaques en se basant sur la technique utilisé pour

‘acheminer’ l’attaque: (1) directes, (2) indirectes par rebond, indirectes par
Botnet.
Attaques directes:
o L’attaquant attaque directement sa cible à partir de son ordinateur.
o Il est plus simple, dans ce cas, de remonter à l'origine de l'attaque et
identifier l'attaquant.

Chapitre 2 9
Technique utilisée pour ‘acheminer’ l’attaque

 Attaques indirectes par rebond :

o L’attaquant envoie les paquets d'attaque (parfois sous forme de requête) à un
ordinateur intermédiaire, qui répercute l'attaque (ou la réponse à la requête) vers
la cible.
o Une attaque indirecte par rebond a deux ‘avantages’ :
 Masquer l'identité (l'adresse IP) de l’attaquant ;
 Utiliser, éventuellement, les ressources de l'ordinateur intermédiaire (si il est
plus puissant en termes de CPU, bande passante, ...) pour attaquer.

Chapitre 2 10
Technique utilisée pour ‘acheminer’ l’attaque

Attaques par Botnet :

o Attaques qui exploitent un énorme réseau de machines compromises
commandées à distance par un maître.

Schématisation d’une
attaque DDoS par Botnet

Chapitre 2 11
Classification des attaques réseau
En résumé, les attaques réseau peuvent être classées selon plusieurs
critères dont les plus importantes:
1. Le modèle de menace réseau de base
2. La localité de l’attaquant ou bien l’origine de l'attaque : Attaque
externe VS Attaque Interne
3. Le(s) but(s) de l’attaquant (ex: Modèle Microsft STRIDE)
4. La nature de l’attaquant: Attaques novices; Attaques d’experts
5. La technique utilisée pour ‘acheminer’ l’attaque ;
6. Les vulnérabilités exploitées par l’attaquant.

Chapitre 2 12
 IV. Méthodologie
d’une cyber-attaque

Chapitre 2 13
Introduction
L’étude de la méthodologie des cyber-attaques permet de:
openser comme un attaquant (haking éthique);
ocomprendre le fonctionnement des attaques;
orechercher toujours les faiblesses et les
vulnérabilités des assets du système d’information,
afin de les corrigés.

Chapitre 2 14
Introduction
Il existe plusieurs méthodologies d’attaques:
o MITRE ATT&CK®
https://attack.mitre.org/
o The Cyber Kill Chain®
https://www.lockheedmartin.com/en-
us/capabilities/cyber/cyber-kill-chain.html
o CEH hacking phases
o…

Chapitre 2 15
Phases de piratage (Hacking Phases)
En générale un pirate suit les 5 grandes
étapes suivantes:
1. Reconnaissance (Reconnaissance,
also know as Footprinting and
information gathering Phase):
2. Balayage (Scanning)
3. Obtenir l’accès (Gaining Access)
4. Maintenir l’accès (Maintaining
Access)
5. Couvrir les traces (Clearing
tracks)

Chapitre 2 16
 1. Reconnaissance
Dans cette phase, l’attaquant rassemble autant
d’informations que possible sur la cible avant de lancer
01
l’attaque.
02 Le terme provient de l'armée, qui effectue une
reconnaissance avant de se lancer dans une mission
03
d’attaque.
04 On distingue deux types de reconnaissance:
o reconnaissance passive
05
o reconnaissance active

Chapitre 2 17
 1. Reconnaissance
La reconnaissance passive: connu aussi sous le nom de
« footprinting » est une tentative d'obtenir des informations
01 sur les ordinateurs, les systèmes et les réseaux ciblés sans
s'engager activement avec les systèmes. L’objectif est de
02
rassembler le maximum d’informations utiles sans alerter la
victime.
03
Elle est baser sur la collection des informations à accès
04 publique tel que les données publiées sur Internet:
 Moteurs de recherche: Google, Google Hacking Database,
05 Shodan, …
 Réseaux sociaux: Facebook, …,

Chapitre 2 18
 1. Reconnaissance

01

02

03

04

05

Chapitre 2 19
 1. Reconnaissance
o https://www.routerpasswords.com/

01

02

03

04

05

Chapitre 2 20
1. Reconnaissance
La reconnaissance active est une technique de reconnaissance où des
pirates informatiques ou des hackers éthiques communiquent avec un
système ou une personne cible pour collecter des informations
importantes.
Techniques et outils les plus utilisés:
o Ingénierie social (Business email compromise (BEC), SMS and
voice phishing, …) : Par exemple, en utilisant des appels
téléphoniques au service d’assistance ou au service technique.
o Spyse: plateforme web qui combine des techniques de
reconnaisances actives et passives avec un accès instantané aux
données.

Chapitre 2 21
1. Reconnaissance

Chapitre 2 22
1. Reconnaissance

Chapitre 2 23
1. Reconnaissance

Chapitre 2 24
1. Reconnaissance

Chapitre 2 25
1. Reconnaissance

Chapitre 2 26
1. Reconnaissance
La principale différence entre la reconnaissance active et passive réside dans la
méthode utilisée pour collecter les informations.
o En reconnaissance active, les attaquants interagissent en fait avec un
réseau cible et laissent ainsi des traces.
o En reconnaissance passive, ils ne s'engagent pas activement avec les
systèmes, laissant moins ou pas d'indices de leur présence.
Étant donné que les méthodes de reconnaissance diffèrent, leurs résultats
varient également.
o La reconnaissance active peut être plus risquée mais peut générer des
informations plus utiles.
o La reconnaissance passive produit des données moins fiables et prend
souvent du temps.

Chapitre 2 27
2. Scanning
01 Dans cette phase, les pirates utilisent les informations
découvertes durant la phase de reconnaissance pour examiner le
02
réseau.
Les pirates cherchent des informations qui peuvent les aider à
03
préparer des attaques telles que : les noms des ordinateurs, des
04 adresses IP , des comptes d’utilisateurs, des ports ouverts, des
vulnérabilités, ….
05
Principalement, on distingue trois techniques:
o Port Scanning: Cette phase consiste à analyser la cible à la
recherche d'informations telles que les ports ouverts, les
systèmes Live, divers services exécutés sur l'hôte.
Chapitre 2 28
2. Scanning
o Vulnerability Scanning: vérification de la cible pour
01 identifier les faiblesses ou vulnérabilités qui pourraient
être exploitées. Généralement réalisé à l'aide d'outils
02 automatisés.
o Network Mapping: Le mappage du réseau permet la
03 recherche de la topologie du réseau, des routeurs, des
serveurs pare-feu le cas échéant, des informations sur
04
l'hôte et dessin d'un schéma de réseau avec les
informations disponibles. Cette carte peut constituer une
05
information précieuse tout au long du processus de
piratage.

Chapitre 2 29
2. Scanning
Le balayage est une extension logique de la reconnaissance active et,
01 en fait, certains experts ne différencient pas le balayage de la
reconnaissance active.
02 Il y a une légère différence, cependant, en ce que le balayage implique
une analyse plus approfondie de la part de l'attaquant. Souvent, les
03 phases de reconnaissance et de balayage se chevauchent et il n'est pas
toujours possible de séparer les deux.
04 Outils les plus utilisés : nmap, Nessus, OpenVAS, Nikto, …

Remarque: Dans un nombre important de documents les phases de

05
reconnaissance et de balayage sont regroupé dans une seule phase :
« Reconnaissance and Scanning »

Chapitre 2 30
2. Scanning
Exemple 1: nmap
01 o nmap est un logiciel de balayage des réseaux. L’outil est
disponible, sous licence de logiciel libre (en particulier, Nmap
02 Public Source License (NPSL)) sur le site http://insecure.org.
o Cet outil est utilisé par les pirates pour préparer des attaques
03
(phase de balayage), et par les administrateurs

04 systèmes/réseaux et de sécurité pour découvrir des hôtes et des

services sur un réseau informatique en envoyant des paquets et
05 en analysant la réponse.
o La syntaxe générale d’une commande nmap est la suivante :
nmap [types de scans] [options] cibles
Chapitre 2 31
 2. Scanning

01

02

03

04

05

 nmap est la commande d'exécution; l'option -T4 signifie une exécution plus rapide; et
172.16.108.172est l'adresse IP de la cible Chapitre 2 32
2. Scanning
o nmap open state: L’état « open » ou bien ouverte en français signifie que
la machine cible accepte des connexions TCP ou des paquets UDP sur ce
port. Cela permet d’indiquer les services réseau disponibles.
o Les gens soucieux de la sécurité savent pertinemment que chaque port
ouvert est un boulevard pour une attaque.
o Les attaquants et les pen-testers veulent exploiter ces ports ouverts,
tandis que les administrateurs essaient de les fermer ou de les protéger
avec des pare-feux sans gêner leurs utilisateurs légitimes.

Chapitre 2 33
2. Scanning
nmap -O 192.168.0.1
01

02

nmap -O 192.168.0.1
03

04

05

Nmap indique que la machine cible utilise un noyau Linux 2.4.21-grsec

Chapitre 2 34
 2. Scanning
Exercice d’application: Consulter la page de manuel linux de la commande
nmap (man page: man nmap) et donner la signification des commandes
suivantes:
1. nmap -V
2. nmap -v scanme.nmap.org
3. nmap -sS -O scanme.nmap.org/24
4. nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127
5. nmap -v -iR 100000 -P0 -p 80
6. nmap 192.168.0.*
7. nmap 192.168.0.101 192.168.0.102 192.168.0.103
8. nmap -F 192.168.1.1
9. nmap --reason 192.168.1.1
Chapitre 2 35
2. Scanning
Exemple 2: Nessus

Chapitre 2 36
2. Scanning

Chapitre 2 37
2. Scanning

Chapitre 2 38
2. Scanning
Exemple 3: MoSF est un Framework tout-en-un (all-in-one framework)
open-source, qui permet d’évaluer et tester la sécurité des applications mobiles
(Android, iOS, et Winodws). MobSF offre un cadre efficace et rapide
d'évaluation de la sécurité des apps mobiles.

Interface Web de l'analyseur statique du framework MobSF (Mobile Security Framework

Chapitre 2 39
2. Scanning
Attention : Tout acte de balayage de réseau non-autorise est assimile a une
attaque et donc répréhensible selon la loi. Nous nous limitons a faire des
balayages des machines dans des machines virtuelles, et des sites web mise en
ligne spécifiquement distante à des fins pédagogiques tel que:
o http://scanme.nmap.org/

Chapitre 2 40
3. Gaining Access
01 Le pirate exploite les vulnérabilités découvertes durant
les phases précédentes, et utilisent diverses méthodes
02
(cyber-attaques) pour accéder de manière non autorisée à
03 un système, un réseau, ou une application cible.
Le pirate tente d’augmenter ses privilèges au niveau
04
administrateur afin de pouvoir contrôler tout le système
05
(attaques d’élévation de privilèges).

Chapitre 2 41
4. Maintaining Access
01 L’attaquant dans cette phase tente de conserver sa présence
dans le réseau, système ou application cible.
02 Maintenir l'accès signifie ajouter une porte dérobée
(backdoors) au système , réseau ou application cible afin que
03 l'attaquant puisse revenir à l'avenir si nécessaire.
Un attaquant peut faire plusieurs choses pour gagner en
04
persistance comme l'injection d'un malware, la désactivation
des mécanismes de protection, l'ajout d'un root-kit, trojan, ect.
05
Un hacker peut également utiliser cette machine ou réseau
pour toute autre attaque contre la même organisation ou une
autre organisation.

Chapitre 2 42
5. Clearing tracks
01 Le pirate tente d'enlever toutes les traces de l'attaque, tels que:
o les fichiers journaux (log files);
02 o les alarmes de système de détection d'intrusion (IDS);
o désinstaller toutes les applications qu'il a utilisées;
03 o…
Un pirate professionnel peut également utiliser des outils anti-
04 forensics.
Remarque: L’analyse forensique est la branche de cybersecurité, qui
05 consiste à réaliser des investigations après une attaque informatique,
afin de produire des prevue numérique à la demande d’une
institution de type judiciaire par réquisition, ordonnance ou
jugement.

Chapitre 2 43
Fin du chapitre 2

Chapitre 2 44