Académique Documents
Professionnel Documents
Culture Documents
Chapitre 2 2
Rappel: Modèle général de menace
Chapitre 2 3
Rappel: Attaques passives et actives
Chapitre 2 4
Rappel: Attaques internes et externes
Chapitre 2 5
Rappel: Modèle STRIDE de Microsoft
Chapitre 2 6
Autres classifications d’attaques
On trouve aussi d’autres classifications de cyber-attaques selon:
o La nature de l’attaquant
o La technique utilisée pour ‘acheminer’ l’attaque
o La vulnérabilité ou les vulnérabilités exploitée(s) par
l’attaquant.
Chapitre 2 7
Nature de l’attaquant
Selon la nature de l’attaquant, on peut classer les attaques on deux grandes catégories:
1. Attaques non structurées ou de novices (script-kiddies) :
Ces attaquants sont généralement sans ‘réelles’ mauvaises intentions, mais peuvent
causer de vrais dommages ;
Ils utilisent les outils développés par d’autres attaquants (e.g. procurés via Internet) ;
2. Attaques structurées ou d’experts :
Ces attaquants sont souvent très motivés et techniquement compétents ;
Ils créent leur propres outils ou en perfectionnent ceux d’autrui ;
Ces attaques ont toujours un but précis (vol d’info et/ou argent, causer des
dommages,…) ;
Si le but est de nuire, les dommages sont souvent très sérieux et peuvent aller jusqu’à
anéantir tout le SI.
Variante plus évoluée: APT (Advanced Persistent Threat).
Chapitre 2 8
Technique utilisée pour ‘acheminer’ l’attaque
Chapitre 2 9
Technique utilisée pour ‘acheminer’ l’attaque
Chapitre 2 10
Technique utilisée pour ‘acheminer’ l’attaque
Schématisation d’une
attaque DDoS par Botnet
Chapitre 2 11
Classification des attaques réseau
En résumé, les attaques réseau peuvent être classées selon plusieurs
critères dont les plus importantes:
1. Le modèle de menace réseau de base
2. La localité de l’attaquant ou bien l’origine de l'attaque : Attaque
externe VS Attaque Interne
3. Le(s) but(s) de l’attaquant (ex: Modèle Microsft STRIDE)
4. La nature de l’attaquant: Attaques novices; Attaques d’experts
5. La technique utilisée pour ‘acheminer’ l’attaque ;
6. Les vulnérabilités exploitées par l’attaquant.
Chapitre 2 12
IV. Méthodologie
d’une cyber-attaque
Chapitre 2 13
Introduction
L’étude de la méthodologie des cyber-attaques permet de:
openser comme un attaquant (haking éthique);
ocomprendre le fonctionnement des attaques;
orechercher toujours les faiblesses et les
vulnérabilités des assets du système d’information,
afin de les corrigés.
Chapitre 2 14
Introduction
Il existe plusieurs méthodologies d’attaques:
o MITRE ATT&CK®
https://attack.mitre.org/
o The Cyber Kill Chain®
https://www.lockheedmartin.com/en-
us/capabilities/cyber/cyber-kill-chain.html
o CEH hacking phases
o…
Chapitre 2 15
Phases de piratage (Hacking Phases)
En générale un pirate suit les 5 grandes
étapes suivantes:
1. Reconnaissance (Reconnaissance,
also know as Footprinting and
information gathering Phase):
2. Balayage (Scanning)
3. Obtenir l’accès (Gaining Access)
4. Maintenir l’accès (Maintaining
Access)
5. Couvrir les traces (Clearing
tracks)
Chapitre 2 16
1. Reconnaissance
Dans cette phase, l’attaquant rassemble autant
d’informations que possible sur la cible avant de lancer
01
l’attaque.
02 Le terme provient de l'armée, qui effectue une
reconnaissance avant de se lancer dans une mission
03
d’attaque.
04 On distingue deux types de reconnaissance:
o reconnaissance passive
05
o reconnaissance active
Chapitre 2 17
1. Reconnaissance
La reconnaissance passive: connu aussi sous le nom de
« footprinting » est une tentative d'obtenir des informations
01 sur les ordinateurs, les systèmes et les réseaux ciblés sans
s'engager activement avec les systèmes. L’objectif est de
02
rassembler le maximum d’informations utiles sans alerter la
victime.
03
Elle est baser sur la collection des informations à accès
04 publique tel que les données publiées sur Internet:
Moteurs de recherche: Google, Google Hacking Database,
05 Shodan, …
Réseaux sociaux: Facebook, …,
Chapitre 2 18
1. Reconnaissance
01
02
03
04
05
Chapitre 2 19
1. Reconnaissance
o https://www.routerpasswords.com/
01
02
03
04
05
Chapitre 2 20
1. Reconnaissance
La reconnaissance active est une technique de reconnaissance où des
pirates informatiques ou des hackers éthiques communiquent avec un
système ou une personne cible pour collecter des informations
importantes.
Techniques et outils les plus utilisés:
o Ingénierie social (Business email compromise (BEC), SMS and
voice phishing, …) : Par exemple, en utilisant des appels
téléphoniques au service d’assistance ou au service technique.
o Spyse: plateforme web qui combine des techniques de
reconnaisances actives et passives avec un accès instantané aux
données.
Chapitre 2 21
1. Reconnaissance
Chapitre 2 22
1. Reconnaissance
Chapitre 2 23
1. Reconnaissance
Chapitre 2 24
1. Reconnaissance
Chapitre 2 25
1. Reconnaissance
Chapitre 2 26
1. Reconnaissance
La principale différence entre la reconnaissance active et passive réside dans la
méthode utilisée pour collecter les informations.
o En reconnaissance active, les attaquants interagissent en fait avec un
réseau cible et laissent ainsi des traces.
o En reconnaissance passive, ils ne s'engagent pas activement avec les
systèmes, laissant moins ou pas d'indices de leur présence.
Étant donné que les méthodes de reconnaissance diffèrent, leurs résultats
varient également.
o La reconnaissance active peut être plus risquée mais peut générer des
informations plus utiles.
o La reconnaissance passive produit des données moins fiables et prend
souvent du temps.
Chapitre 2 27
2. Scanning
01 Dans cette phase, les pirates utilisent les informations
découvertes durant la phase de reconnaissance pour examiner le
02
réseau.
Les pirates cherchent des informations qui peuvent les aider à
03
préparer des attaques telles que : les noms des ordinateurs, des
04 adresses IP , des comptes d’utilisateurs, des ports ouverts, des
vulnérabilités, ….
05
Principalement, on distingue trois techniques:
o Port Scanning: Cette phase consiste à analyser la cible à la
recherche d'informations telles que les ports ouverts, les
systèmes Live, divers services exécutés sur l'hôte.
Chapitre 2 28
2. Scanning
o Vulnerability Scanning: vérification de la cible pour
01 identifier les faiblesses ou vulnérabilités qui pourraient
être exploitées. Généralement réalisé à l'aide d'outils
02 automatisés.
o Network Mapping: Le mappage du réseau permet la
03 recherche de la topologie du réseau, des routeurs, des
serveurs pare-feu le cas échéant, des informations sur
04
l'hôte et dessin d'un schéma de réseau avec les
informations disponibles. Cette carte peut constituer une
05
information précieuse tout au long du processus de
piratage.
Chapitre 2 29
2. Scanning
Le balayage est une extension logique de la reconnaissance active et,
01 en fait, certains experts ne différencient pas le balayage de la
reconnaissance active.
02 Il y a une légère différence, cependant, en ce que le balayage implique
une analyse plus approfondie de la part de l'attaquant. Souvent, les
03 phases de reconnaissance et de balayage se chevauchent et il n'est pas
toujours possible de séparer les deux.
04 Outils les plus utilisés : nmap, Nessus, OpenVAS, Nikto, …
Chapitre 2 30
2. Scanning
Exemple 1: nmap
01 o nmap est un logiciel de balayage des réseaux. L’outil est
disponible, sous licence de logiciel libre (en particulier, Nmap
02 Public Source License (NPSL)) sur le site http://insecure.org.
o Cet outil est utilisé par les pirates pour préparer des attaques
03
(phase de balayage), et par les administrateurs
01
02
03
04
05
nmap est la commande d'exécution; l'option -T4 signifie une exécution plus rapide; et
172.16.108.172est l'adresse IP de la cible Chapitre 2 32
2. Scanning
o nmap open state: L’état « open » ou bien ouverte en français signifie que
la machine cible accepte des connexions TCP ou des paquets UDP sur ce
port. Cela permet d’indiquer les services réseau disponibles.
o Les gens soucieux de la sécurité savent pertinemment que chaque port
ouvert est un boulevard pour une attaque.
o Les attaquants et les pen-testers veulent exploiter ces ports ouverts,
tandis que les administrateurs essaient de les fermer ou de les protéger
avec des pare-feux sans gêner leurs utilisateurs légitimes.
Chapitre 2 33
2. Scanning
nmap -O 192.168.0.1
01
02
nmap -O 192.168.0.1
03
04
05
Chapitre 2 34
2. Scanning
Exercice d’application: Consulter la page de manuel linux de la commande
nmap (man page: man nmap) et donner la signification des commandes
suivantes:
1. nmap -V
2. nmap -v scanme.nmap.org
3. nmap -sS -O scanme.nmap.org/24
4. nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127
5. nmap -v -iR 100000 -P0 -p 80
6. nmap 192.168.0.*
7. nmap 192.168.0.101 192.168.0.102 192.168.0.103
8. nmap -F 192.168.1.1
9. nmap --reason 192.168.1.1
Chapitre 2 35
2. Scanning
Exemple 2: Nessus
Chapitre 2 36
2. Scanning
Chapitre 2 37
2. Scanning
Chapitre 2 38
2. Scanning
Exemple 3: MoSF est un Framework tout-en-un (all-in-one framework)
open-source, qui permet d’évaluer et tester la sécurité des applications mobiles
(Android, iOS, et Winodws). MobSF offre un cadre efficace et rapide
d'évaluation de la sécurité des apps mobiles.
Chapitre 2 40
3. Gaining Access
01 Le pirate exploite les vulnérabilités découvertes durant
les phases précédentes, et utilisent diverses méthodes
02
(cyber-attaques) pour accéder de manière non autorisée à
03 un système, un réseau, ou une application cible.
Le pirate tente d’augmenter ses privilèges au niveau
04
administrateur afin de pouvoir contrôler tout le système
05
(attaques d’élévation de privilèges).
Chapitre 2 41
4. Maintaining Access
01 L’attaquant dans cette phase tente de conserver sa présence
dans le réseau, système ou application cible.
02 Maintenir l'accès signifie ajouter une porte dérobée
(backdoors) au système , réseau ou application cible afin que
03 l'attaquant puisse revenir à l'avenir si nécessaire.
Un attaquant peut faire plusieurs choses pour gagner en
04
persistance comme l'injection d'un malware, la désactivation
des mécanismes de protection, l'ajout d'un root-kit, trojan, ect.
05
Un hacker peut également utiliser cette machine ou réseau
pour toute autre attaque contre la même organisation ou une
autre organisation.
Chapitre 2 42
5. Clearing tracks
01 Le pirate tente d'enlever toutes les traces de l'attaque, tels que:
o les fichiers journaux (log files);
02 o les alarmes de système de détection d'intrusion (IDS);
o désinstaller toutes les applications qu'il a utilisées;
03 o…
Un pirate professionnel peut également utiliser des outils anti-
04 forensics.
Remarque: L’analyse forensique est la branche de cybersecurité, qui
05 consiste à réaliser des investigations après une attaque informatique,
afin de produire des prevue numérique à la demande d’une
institution de type judiciaire par réquisition, ordonnance ou
jugement.
Chapitre 2 43
Fin du chapitre 2
Chapitre 2 44