Académique Documents
Professionnel Documents
Culture Documents
Introduction
Aujourd'hui la communication et la technologie sont les maîtres mots de notre société, où les réseaux informatiques ne
cessent de grandir et de se développer. Cette évolution est fortement liée aux techniques et aux supports de communication
utilisés dans les réseaux. les interconnexions de réseaux sont innombrables et pratiquement tous les réseaux se trouvent
aujourd'hui imbriqués les uns dans les autres , constituant le réseau fédérateur des réseaux de la planète Internet . Les
spécialises prévoient que les réseaux mobiles et sans les pourraient devenir prédominants dans le transport de la multimédia,
laissant aux réseaux fixes le transport des données à hauts débits.
L'intégration des réseaux locaux dans le système d'information d'une entreprise
a conduit au concept de réseau d'entreprise, dans lequel l'utilisateur peut
accéder à toutes les ressources de l'entreprise. Néanmoins, la connexion du
réseau d'entreprise à Internet rend l'ensemble de ses ordinateurs vulnérables
aux menaces et aux intrusions. Elle oblige celle-ci à adopter des procédures de
sécurité contraignantes pour tous les utilisateurs, particulièrement lorsque des
ordinateurs externes, désirent utiliser le réseau de l'entreprise via Internet. En
effet, toutes les entreprises craignent des attaques informatiques, sans
toujours savoir quelles formes celles-ci peuvent prendre. Dans ce module, nous
identifierons les menaces les plus courantes d'un réseau, et nous apprenons
comment le protéger avec les techniques existantes.
1. Sécurité informatique
Il est courant que les systèmes informatiques ne sont pas infaillibles. Régulièrement, des
espions internes ou externes, pénètrent des systèmes informatiques afin de les détruire, ou la
plupart du temps, pour dérober de l'information sensible, dans un but lucratif ou politique.
Certaines failles des systèmes, appelées vulnérabilités, conduisent au vol de données
confidentielles, ou permettent la prise de contrôle à distance d'équipements réseau. Ainsi, une
vulnérabilité non corrigée dans une entreprise peut lui causer des pertes financières, ou même
un retard technologique majeur dû au vol de données à haute valeur concurrentielle.
Chaque jour de nouvelles vulnérabilités sont découvertes et publiées, concernant différents
éléments, équipements et logiciels des systèmes informatiques. L'objectif de la veille de
vulnérabilité est de corriger les éléments vulnérables du système, en vérifiant la criticité des
failles exploitables, et d'estimer le risque de sécurité. La problématique étant de corriger ces
vulnérabilités avant qu'elles ne puissent être exploitées. Pour ce faire, différentes méthodes,
normes ou frameworks peuvent être appliqués, dans le but de contrôler et améliorer la qualité
du processus de protection du système d'information.
1.1. Définitions :
La sécurité informatique est l'ensemble de moyens mis en œuvre pour éviter et/ou
minimiser les défaillances naturelles dues à l'environnement ou au défaut du système
d'information et les attaques malveillantes intentionnelles dont les conséquences sont
catastrophiques.
La sécurité d'un réseau est un niveau de garantie que les ordinateurs du réseau
fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les
droits qui leurs ont été octroyés .
2. Mise en œuvre du plan et des outils de sécurisation : l'entreprise établit le plan d'actions
recommandé, en mettant en place différents niveaux de prestations : Mise en place des
méthodes et des outils de sécurité (antivirus, pare-feu, . . . ), Accompagnement et formation des collaborateurs,
et gestion et résolution en temps réel des incidents de sécurité ;
3. Action continue en aval : le rôle de l'entreprise ne s'arrête pas à la 2ème phase, mais continue
d'effectuer des actions tout au long de la collaboration avec le client. Des actions diverses peuvent
être effectuées telles que : initier un reporting régulier et détaillé des failles éventuelles et faire évoluer les
méthodes de sauvegarde et de sécurisation.
2.2 Définitions
2.2.1 Vulnérabilité
Une vulnérabilité, appelée parfois faille ou brèche, est une faiblesse dans un système
informatique, laissant à un assaillant l'opportunité de porter atteinte à l'intégrité de ce système
en le rendant instable. Analogiquement à une maison, cela revient à laisser une porte non-
verrouillée. Du coup, cette porte (faille) peut potentiellement être utilisée par des voleurs
(hackers) pour accéder de façon illégitime à la maison (au système)
Les vulnérabilités résident souvent sur des programmes, car, tout ce qui est codé peut
potentiellement contenir des vulnérabilités : notamment les hyperviseurs, les systèmes
d'exploitation, les librairies et les logiciels, etc. Sachant que les protocoles de communication
sont implémentés en des programmes, des vulnérabilités peuvent également y apparaître.
2.2.2 Menace
Une menace est une action potentielle susceptible de provoquer un dommage sur un système
et ayant un impact sur ses fonctionnalités, son intégrité ou sa disponibilité. De ce fait, une
vulnérabilité d'un système représente son niveau d'exposition face à une menace.
2.2.3 Risque
Un risque que peut provoquer une menace à un système est estimé en fonction de la
sensibilité et de la vulnérabilité de ce système. Il est donc important de mesurer le risque, non
seulement en se basant sur la probabilité ou sur la fréquence de son arrivée, mais aussi en
mesurant son effet possible. Donc, tout système (Actif) présentant une vulnérabilité pourra
être à tout moment exploitée par un assaillant. Une attaque potentielle du système est vue
comme une menace visant à nuire ce système.
2.2.4 Sensibilité
Dans un système informatique, plus une information est stratégique pour une entreprise, plus
elle a de la valeur, ce qui la rend sensible. De ce fait, si une information sensible est révélée
au public, cela nuirait à l'entreprise et à la vie privée des individus. Concrètement, la
sensibilité de l'information réside dans sa disponibilité, son intégrité et sa confidentialité.
2.2.5 Attaque
Une attaque est une action représentant le moyen d'exploiter une vulnérabilité pour compromettre la sécurité d'un système. Il
peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables.
2.2.6 Intrusion
Une Intrusion est un ensemble d'actions entrainant la compromission de la sécurité d'une entreprise, par exemple, accéder sans
autorisation aux données du système et/ou du réseau de l'entreprise, en contournant les dispositifs de sécurité mis en place. Les
raisons des intrusions sont diverses, le but pourrait être la modification ou le vol d'informations confidentielles, ou bien la
destruction des données du système. Donc, l'objectif principal de la détection d'intrusion est de repérer les actions d'un
attaquant qui tente de ou qui tire partie des vulnérabilités du système. Il est indispensable de définir précisément ce qui est une
intrusion, c'est à dire une défaillance de sécurité.
2.3 Attaques d'un réseau
Une attaque réseau est dénie comme une intrusion dans une infrastructure de communication afin d'obtenir un accès non
autorisé à des ressources ou d'exploiter des vulnérabilités existantes. elle est généralement constituée de deux phases : une
attaque passive qui analysera, dans un premier temps, le trafic réseau pour collecter des informations sensibles, puis comme
deuxième phase, une attaque active, qui consiste à nuire au réseau.
Par mascarade (ou usurpation d'identité) : Cette attaque a lieu lorsqu'une entité prétend être une entité différente. Ce type
d'attaque est l'origine de toutes les autres attaques actives,
Par rejeu : Ce type d'attaques consiste à capturer un message transmis (attaque passive), ensuite à le retransmettre
ultérieurement pour produire un effet non autorisé,
Par modification de message : Cette attaque permet de modifier le contenu du message ou de réordonner les messages pour
produire un effet non autorisé,
Par déni de service : Le principe de cette attaque est de perturber ou d'interrompre le service d'un réseau. Son but est de
saturer le service avec des messages inutiles afin de dégrader les performances du service ou de provoquer la perte des
messages. Il est difficile de garantir une protection absolue contre les attaques actives à cause des vulnérabilités existantes au
niveau matériel, logiciel et protocolaire, surtout si ces derniers n'ont pas été vérifiés et validés formellement.
2.3.3 Etapes d'une attaque
Pour procéder à une attaque d'un réseau ou un service, l'assaillant suit généralement une méthode
en sept étapes :
1. Analyse d'empreinte (reconnaissance) : Un service d'une entreprise, comme par exemple sa page Web, peut fournir
des données telles que les adresses IP des serveurs. Avec ces données, l'assaillant peut élaborer le profil ou l'empreinte
de la sécurité de cette entreprise ;
2. Enumération des informations : l'assaillant étend sa connaissance du profil de sécurité en surveillant le trac du réseau à
l'aide d'un analyseur de paquets comme l'outil Wireshark par exemple. Par ailleurs, il peut chercher des informations tels
que les numéros de version des serveurs FTP ou des serveurs de messagerie. Ensuite, il peut croiser ces informations avec
des bases de données de vulnérabilité ;
3. Manipulation des utilisateurs pour obtenir un accès : Les employés de l'entreprise utilisent parfois des mots de passe
faciles à casser. Dans d'autres cas, ils peuvent être trompés par des assaillants astucieux et leur fournissent des données
d'accès sensibles ;
4. Escalade des privilèges : Une fois un accès de base obtenu, l'assaillant utilise ses compétences
pour augmenter ses privilèges d'accès au réseau, tout en essayant d'être indétectable par les
techniques sécuritaires de l'entreprise ;
5. Collecte d'autres mots de passe et secrets : Avec davantage de privilèges d'accès, l'assaillant se sert de ses talents pour
accéder à des informations sensibles bien protégées, tels que les rapports internes ou même les contrats numérisés de
l'entreprise ;
6. Installation de portes dérobées (Backdoors) : Les portes dérobées sont des moyens permettant à l'assaillant d'entrer
secrètement dans le système sans être détecté, servant de faille du système de l'entreprise. La porte dérobée la plus courante
est le port TCP ou UDP ouverts en écoute ;
7. Exploitation du système compromis : Une fois qu'il a compromis le fonctionnement du système, l'assaillant utilise la
porte dérobée pour lancer des attaques vers d'autres hôtes du réseau.
2.4 Types d'attaques d'un réseau
Toutes les entreprises craignent les attaques informatiques, sans toujours savoir quelles formes celles-ci peuvent prendre.
Au fil des années, les mesures de sécurité se sont améliorées et certains types d'attaques sont devenus moins fréquents,
tandis que d'autres ont fait leur apparition. Pour concevoir des solutions de sécurité des réseaux, il faut tout d'abord évaluer
l'ensemble des attaques existantes aujourd'hui et comprendre leur mode de fonctionnement. Ces attaques sont variées, mais
on peut les catégoriser selon leur mode d'opération :
Analyse des paquets : L'assaillant peut aussi intercepter les paquets TCP/IP ou les paquets des autres protocoles et décoder leur
contenu au moyen d'un analyseur de protocole comme Wireshark. Une fois les paquets interceptés, ils peuvent être analysés
pour y rechercher des informations vulnérables. Afin de neutraliser l'analyse des paquets, il est conseillé de :
Utiliser des commutateurs au lieu de concentrateurs pour éviter de diffuser le trafic à tous les hôtes du réseau,
Utiliser une méthode de chiffrement adéquate au système qui ne consomme pas beaucoup de ressources,
Interdire l'utilisation de protocoles susceptibles d'être écoutés, comme le protocole SNMP.
2.4.2 Attaques d'accès
L'accès au système est la possibilité pour un assaillant d'accéder à un périphérique pour lequel il ne dispose pas d'autorisation
c'est-à-dire un compte ou un mot de passe. La pénétration non autorisée dans un système implique généralement l'utilisation
d'un moyen hardware de piratage, d'un script ou d'un outil exploitant une vulnérabilité connue de ce système. Les attaques
d'accès exploitent des vulnérabilités connues dans les services d'authentification, les services FTP et les services Web. On
distingue quatre types d'attaques :
Attaques de mot de passe : Pour obtenir le mot de passe d'un utilisateur, l'assaillant peut lancer différents types
d'attaque :
(1) des attaques par force brute qui consistent à lancer plusieurs tentatives répétées de connexion à une ressource
partagée, comme un serveur ou un routeur, afin d'identifier un compte utilisateur et/ou un mot de passe, en utilisant
généralement des outils tels que LophtCrack ;
(2) des analyses de paquets permettant de capter les comptes et les mots de passe utilisateurs transmis en clair, en
utilisant des outils tels que WireSharck;
(3) des programmes de type cheval de Troie pouvant sniffer la saisie des mots de passes sur la machine de l'utilisateur,
Exploitation de la confiance : Elle consiste à compromettre un hôte de confiance et ensuite à travers ce dernier lancer des
attaques sur d'autres hôtes du réseau. Par exemple, dans le réseau d'une entreprise, si un hôte interne (protégé par un pare-feu),
mais qu'il est accessible depuis un hôte de confiance externe (situé de l'autre côté du pare-feu), l'hôte interne peut être attaqué
par le biais de l'hôte externe,
Redirection de port : Cette attaque de type exploitation de la confiance, consiste à utiliser un hôte compromis pour faire
passer, au travers d'un pare-feu, un trac qui serait normalement bloqué. Ce type d'attaque est principalement limité par
l'utilisation de modèles de confiance appropriés. Le rôle d'un antivirus, installé sur un hôte, est de détecter et d'empêcher toute
installation d'utilitaires de redirection de port sur cet hôte,
Attaque de l'homme du milieu (man-in-the-middle) : Cette attaque est menée par un assaillant qui se place entre deux
machines légitimes d'un réseau. Par exemple, l'assaillant pourrait mettre en place un site Web dont l'adresse est
|http://www.assaillant.dz/http://www.siteweb.dz| afin de se prendre pour le site Web légitime |http://www.siteweb.dz|. Le
déroulement des échanges pourrait être comme suit :
1. La victime demande une page Web du site Web légitime, mais la machine de cette victime, la demande auprès de la machine
de l'assaillant ;
2. La machine de l'assaillant reçoit la demande et récupère la page du site Web d'origine ;
3. En cas d'une attaque active, l'assaillant modifie la page d'origine et transforme à sa façon les données qu'elle contient ;
4. L'assaillant envoie la page demandée falsifiée à la victime.
2.4.3 Attaques par déni de service (DoS)
Le Déni de service (DoS ) apparaît lorsqu'un assaillant désactive ou altère un réseau, des systèmes ou des services dans le
but de refuser le service prévu aux utilisateurs normaux. Les attaques par DoS mettent le système en panne ou le ralentissent
au point de le rendre indisponible et inutilisable, en empêchant l'utilisation d'un service par les personnes autorisées dû à
l'épuisement des ressources du système. C'est pour cette raison que les attaques par DoS sont les plus redoutées. Dans la
plupart des cas, l'attaque se résume à exécuter un programme pirate ou un script. Il existe plusieurs types d'attaques de DoS,
on peut citer :
Attaques par ping fatal : Autrefois, elles profitaient des vulnérabilités des anciens systèmes d'exploitation (année 90).
L'assaillant modifiait la partie IP de l'en-tête d'un paquet ping pour indiquer une quantité de données supérieure à la quantité
réelle du paquet. En effet, un paquet ping contient normalement de 64 à 84 octets, tandis qu'un ping fatal peut atteindre 65
535 octets. Donc, l'envoi d'un ping de cette taille peut bloquer un hôte cible d'ancienne génération.
La plupart des réseaux ne sont actuellement plus vulnérables à ce type d'attaque,
Attaques par Inondation SYN (SYN Flooding) : Sachant qu'une connexion TCP suit trois 3 étapes, une attaque par
inondation SYN consiste à envoyer un grand nombre de requêtes SYN (plus de 1000) au serveur ciblé. Ce dernier répond
par le message SYN-ACK habituel, mais l'hôte malveillant ne répond jamais par un message ACK final pour achever la
procédure de connexion. Etant donné que ces connexions semi-ouvertes consomment des ressources mémoires, au bout d'un
certain temps le serveur est saturé et ne peut plus accepter de connexions car il se met dans un état d'attente infinie par
manque de ressources pour répondre aux requêtes SYN valides,
Attaques DDoS (Distributed DoS) : Ce type d'attaques est conçu pour saturer le réseau de données illégitimes, qui submergent
la liaison Internet au point d'empêcher tout trac légitime. Les attaques DDoS s'appuient sur des méthodes similaires aux deux
autres attaques DoS, mais elles se déploient toutefois à une plus grande échelle. En général, des centaines ou des milliers de
points d'attaque tentent de submerger une cible. Pour saturer le réseau victime, le principe est d'utiliser plusieurs sources pour
l'attaque et des maîtres (masters) qui les contrôlent. L'assaillant utilise des maîtres pour contrôler plus facilement les sources.
En effet, il a besoin de se connecter (en TCP) aux maîtres pour configurer et préparer l'attaque. Les maîtres se contentent
d'envoyer des commandes aux sources en UDP. Les outils de type DDoS les plus connus sont Tribal Flood
Network (TFN), TFN2K, Trinoo, Stacheldraht, etc.
2.4.4 Attaques de programmes malveillants (malware)
Des programmes/logiciels malveillants peuvent être installés sur une machine hôte dans le but d'endommager un système ou
d'empêcher l'accès aux services de ce dernier. Ces programmes essayent souvent de se reproduire et de se propager pouvant
causer des dégâts multiples pour le réseau informatique, tels que :
Gêne : affiche des publicités, ralentit ou plante le système,
Espionnage : vole les mots de passe et les informations bancaires, ou envoie des documents sensibles,
Contrôle d'une machine : la machine infectée devient un zombie contrôlé par l'assaillant, et généralement enrôlé dans un
botnet (robot network). Un programme de ce type peut être :
Un virus : est un programme malveillant intégré à un autre programme, an d'exécuter des fonctions indésirables sur la
machine de l'utilisateur. Il a besoin d'un mécanisme de livraison, comme un archive (zip, . . . ) ou un chier exécutable joint à
un e-mail, pour transmettre son code d'un système à un autre. Donc, il ne peut pas se reproduire sans l'aide d'un programme
cible. Il se distingue fondamentalement du ver par le fait qu'une interaction humaine est nécessaire pour
le propager. Cette propagation s'effectue principalement en trois phases : infection, activation, et duplication. Les types de
virus sont :
Virus parasite : s'attaque aux codes source des fichiers exécutables et se réplique en exécutant des derniers en cherchant
s'il y a d'autre fichiers exécutables à infecter,
Virus résidant en mémoire : hébergé en mémoire et considéré comme un programme du système, il infecte tous les
programmes qui s'exécutent,