Introduction à la sécurité Informatique

Introduction
Aujourd'hui la communication et la technologie sont les maîtres mots de notre société, où les réseaux informatiques ne
cessent de grandir et de se développer. Cette évolution est fortement liée aux techniques et aux supports de communication
utilisés dans les réseaux. les interconnexions de réseaux sont innombrables et pratiquement tous les réseaux se trouvent
aujourd'hui imbriqués les uns dans les autres , constituant le réseau fédérateur des réseaux de la planète Internet . Les
spécialises prévoient que les réseaux mobiles et sans les pourraient devenir prédominants dans le transport de la multimédia,
laissant aux réseaux fixes le transport des données à hauts débits.
L'intégration des réseaux locaux dans le système d'information d'une entreprise
a conduit au concept de réseau d'entreprise, dans lequel l'utilisateur peut
accéder à toutes les ressources de l'entreprise. Néanmoins, la connexion du
réseau d'entreprise à Internet rend l'ensemble de ses ordinateurs vulnérables
aux menaces et aux intrusions. Elle oblige celle-ci à adopter des procédures de
sécurité contraignantes pour tous les utilisateurs, particulièrement lorsque des
ordinateurs externes, désirent utiliser le réseau de l'entreprise via Internet. En
effet, toutes les entreprises craignent des attaques informatiques, sans
toujours savoir quelles formes celles-ci peuvent prendre. Dans ce module, nous
identifierons les menaces les plus courantes d'un réseau, et nous apprenons
comment le protéger avec les techniques existantes.
 1. Sécurité informatique
Il est courant que les systèmes informatiques ne sont pas infaillibles. Régulièrement, des
espions internes ou externes, pénètrent des systèmes informatiques afin de les détruire, ou la
plupart du temps, pour dérober de l'information sensible, dans un but lucratif ou politique.
Certaines failles des systèmes, appelées vulnérabilités, conduisent au vol de données
confidentielles, ou permettent la prise de contrôle à distance d'équipements réseau. Ainsi, une
vulnérabilité non corrigée dans une entreprise peut lui causer des pertes financières, ou même
un retard technologique majeur dû au vol de données à haute valeur concurrentielle.
Chaque jour de nouvelles vulnérabilités sont découvertes et publiées, concernant différents
éléments, équipements et logiciels des systèmes informatiques. L'objectif de la veille de
vulnérabilité est de corriger les éléments vulnérables du système, en vérifiant la criticité des
failles exploitables, et d'estimer le risque de sécurité. La problématique étant de corriger ces
vulnérabilités avant qu'elles ne puissent être exploitées. Pour ce faire, différentes méthodes,
normes ou frameworks peuvent être appliqués, dans le but de contrôler et améliorer la qualité
du processus de protection du système d'information.
 1.1. Définitions :
La sécurité informatique est l'ensemble de moyens mis en œuvre pour éviter et/ou
minimiser les défaillances naturelles dues à l'environnement ou au défaut du système
d'information et les attaques malveillantes intentionnelles dont les conséquences sont
catastrophiques.

La sécurité d'un réseau est un niveau de garantie que les ordinateurs du réseau
fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les
droits qui leurs ont été octroyés .

La cybersécurité est l'ensemble des outils, des politiques, des concepts et

mécanismes de sécurité, des méthodes de gestion des risques, et des
technologies qui sont utilisés pour protéger les systèmes informatiques
matériels et logiciels des organisations (entreprises et gouvernements).
 1.2. Pourquoi la sécurité des réseaux est importante ?
De nos jours, les réseaux informatiques ne cessent de grandir et de se développer,
notamment à cause de l'avènement de l'internet des objets où les objets du
quotidien sont devenus connectés. Les dégâts dus aux intrusions aux réseaux
informatiques se sont diversités, à savoir, le vol des données confidentielles, le
vol d'informations, l'atteinte à la vie privée, le vol d'argents, la perte de
connaissance des clients, la pertes financières, etc.
Ceci est dû à la croissance d'Internet, des attaques, des failles des technologies,
des failles de politiques de sécurité et changement de profil des pirates, etc.
Aujourd'hui, les types de menaces potentielles sont en évolution constante et
deviennent de plus en plus complexes.
De ce fait, la montée du commerce mobile et des réseaux sans l requière des
solutions de sécurité intégrées plus transparentes et plus flexibles, car la mise en
œuvre des attaques demande de moins en moins de connaissances techniques et
d'expériences.
 1.3. Rôle des entreprises de sécurité informatique
Beaucoup d'entreprises ou d'organisations confient la gestion de la sécurité de leur système
informatique à des prestataires externes plutôt que de recruter en interne. Ces entreprises
prestataires, généralement expertes en sécurité informatique, mènent de multiples actions pour
leurs clients. Une entreprise spécialisée en sécurité informatique ne peut jamais être sûr de la
sûreté des systèmes qu'elle gère, mais elle doit :
 Améliorer la sécurité par rapport à ce qu'elle était avant,
 Comparer et estimer l'état de sécurité du système,
 S'assurer que toutes les précautions raisonnables ont été prises pour optimiser la protection
des données,
 Garder la sécurité dynamique dans le temps et évaluer les processus mis en place pour
entretenir la sécurité à long terme,
 Trouver le juste équilibre entre l'accès aux ressources que les réseaux actuels contiennent et
la protection contre le vol des données sensibles.
L'intervention des entreprises de sécurité se fait généralement en 3 phases :
1. Analyse et audit : il s'agit de mener une première opération d'analyse et d'audit du système, afin d'identifier
les risques ainsi que de suggérer une politique performante de sécurisation ;

2. Mise en œuvre du plan et des outils de sécurisation : l'entreprise établit le plan d'actions
recommandé, en mettant en place différents niveaux de prestations : Mise en place des
méthodes et des outils de sécurité (antivirus, pare-feu, . . . ), Accompagnement et formation des collaborateurs,
et gestion et résolution en temps réel des incidents de sécurité ;

3. Action continue en aval : le rôle de l'entreprise ne s'arrête pas à la 2ème phase, mais continue
d'effectuer des actions tout au long de la collaboration avec le client. Des actions diverses peuvent
être effectuées telles que : initier un reporting régulier et détaillé des failles éventuelles et faire évoluer les
méthodes de sauvegarde et de sécurisation.

1.4. Applications de la sécurité

Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces
potentielles, et donc de connaître à quel endroit intervient l'attaque.
1.4.1 Sécurité des équipements
La sécurité physique est un aspect fondamental de tout type de sécurité pour garantir l'intégrité,
la confidentialité et la disponibilité des informations. Les composants matériels constituant les
systèmes qui peuvent être vulnérables, sont les ordinateurs, les routeurs, les imprimantes, les
médias de stockage, les circuits d'alimentation, etc.
Au niveau matériel, pour éviter les intrusions, la mise en place de routeurs, de switchs
manageables, de pare-feu, de systèmes de filtrage et autres proxy peuvent être une solution au
renforcement de la sécurité informatique du parc matériel.

1.4.2 Sécurité des applications logicielles

Afin de garantir la protection du système d'information face aux différentes menaces, le
minimum consiste à installer un antivirus et éventuellement un pare-feu logiciel, afin de limiter
les risques d'infection du système d'exploitation de la machine.
1.4.3 Sécurité des données
Les données d'un système représentent la cible principale des attaques. Ces
données proviennent des données saisies, en cours de traitement, ou celles qui
sont stockées. Les techniques de piratage qui visent à recueillir des informations
confidentielles sont nombreuses. Il existe des bonnes pratiques afin de réduire le
risque potentiel du vol des données comme l'utilisation d'un mot de passe
différent pour chaque service et de crypter les données stockées.
1.4.4 Sécurité des réseaux de télécommunication
Comme les informations confidentielles circulent dans les réseaux, la sécurité des communications est devenue une
priorité des utilisateurs et des entreprises. En effet, les réseaux offrent un moyen pour attaquer les systèmes et
peuvent être eux aussi une cible d'attaque. Donc, il est nécessaire de se protéger contre des intrusions malveillantes
à travers les réseaux. Par ailleurs, une multitude de virus se propagent à l'insu des utilisateurs dans les fichiers
téléchargés. Les virus sont susceptibles de détruire des documents ou même de provoquer la perte totale des
informations stockées dans les machines. Parmi les solutions actuelles, est de mettre en place des mécanismes de
contrôle d'accès et des protocoles sécurisés qui apportent plusieurs services : l'authentification, la confidentialité,
l'intégrité, ou la non-répudiation.
1.4.5 Conclusion
Le moyen le plus efficace pour gérer la sécurité d'un système informatique est de déterminer
les menaces et ensuite prendre les mesures adéquates.
 2. Menaces et mesures de protection
2.1 Introduction
Ce chapitre consiste à exposer la définition des concepts de sécurité ainsi que les différents types d'attaque d'un
réseau.

2.2 Définitions
2.2.1 Vulnérabilité
Une vulnérabilité, appelée parfois faille ou brèche, est une faiblesse dans un système
informatique, laissant à un assaillant l'opportunité de porter atteinte à l'intégrité de ce système
en le rendant instable. Analogiquement à une maison, cela revient à laisser une porte non-
verrouillée. Du coup, cette porte (faille) peut potentiellement être utilisée par des voleurs
(hackers) pour accéder de façon illégitime à la maison (au système)
Les vulnérabilités résident souvent sur des programmes, car, tout ce qui est codé peut
potentiellement contenir des vulnérabilités : notamment les hyperviseurs, les systèmes
d'exploitation, les librairies et les logiciels, etc. Sachant que les protocoles de communication
sont implémentés en des programmes, des vulnérabilités peuvent également y apparaître.
2.2.2 Menace
Une menace est une action potentielle susceptible de provoquer un dommage sur un système
et ayant un impact sur ses fonctionnalités, son intégrité ou sa disponibilité. De ce fait, une
vulnérabilité d'un système représente son niveau d'exposition face à une menace.
2.2.3 Risque
Un risque que peut provoquer une menace à un système est estimé en fonction de la
sensibilité et de la vulnérabilité de ce système. Il est donc important de mesurer le risque, non
seulement en se basant sur la probabilité ou sur la fréquence de son arrivée, mais aussi en
mesurant son effet possible. Donc, tout système (Actif) présentant une vulnérabilité pourra
être à tout moment exploitée par un assaillant. Une attaque potentielle du système est vue
comme une menace visant à nuire ce système.
2.2.4 Sensibilité
Dans un système informatique, plus une information est stratégique pour une entreprise, plus
elle a de la valeur, ce qui la rend sensible. De ce fait, si une information sensible est révélée
au public, cela nuirait à l'entreprise et à la vie privée des individus. Concrètement, la
sensibilité de l'information réside dans sa disponibilité, son intégrité et sa confidentialité.
 2.2.5 Attaque
Une attaque est une action représentant le moyen d'exploiter une vulnérabilité pour compromettre la sécurité d'un système. Il
peut y avoir plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables.

2.2.6 Intrusion
Une Intrusion est un ensemble d'actions entrainant la compromission de la sécurité d'une entreprise, par exemple, accéder sans
autorisation aux données du système et/ou du réseau de l'entreprise, en contournant les dispositifs de sécurité mis en place. Les
raisons des intrusions sont diverses, le but pourrait être la modification ou le vol d'informations confidentielles, ou bien la
destruction des données du système. Donc, l'objectif principal de la détection d'intrusion est de repérer les actions d'un
attaquant qui tente de ou qui tire partie des vulnérabilités du système. Il est indispensable de définir précisément ce qui est une
intrusion, c'est à dire une défaillance de sécurité.
 2.3 Attaques d'un réseau
Une attaque réseau est dénie comme une intrusion dans une infrastructure de communication afin d'obtenir un accès non
autorisé à des ressources ou d'exploiter des vulnérabilités existantes. elle est généralement constituée de deux phases : une
attaque passive qui analysera, dans un premier temps, le trafic réseau pour collecter des informations sensibles, puis comme
deuxième phase, une attaque active, qui consiste à nuire au réseau.

2.3.1 Buts des attaques

Généralement les attaques que peut subir un réseau, cible les informations sensibles an de nuire
à l'entreprise concernée. ils existent quatre objectifs potentiels d'une attaque :

L'interruption : vise la disponibilité des informations dans un réseau (Déni de service, . . . ),

L'interception : vise la confidentialité des données circulant dans un réseau (capture de contenu, analyse de trac, . . . ),
La modification : vise l'intégrité des informations en provoquant des incohérences dans le système (modification, rejeu, ...),
La fabrication : vise l'authenticité des informations en usurpant l'identité d'un utilisateur ou d'un service (mascarade, ...).
2.3.2 Classifications des attaques réseaux
Les attaques peuvent être classées en deux grandes catégories, selon la phase de leur opération :
Attaques passives : consistent à écouter et à surveiller les transmissions sur un canal, sans modifier les données dans un
réseau. En effet, l'attaquant peut intercepter et capturer une donnée transmise, ou bien analyser le trafic d'un réseau dans le
but de rechercher des informations sensibles pouvant être utilisées pour d'autres types d'attaques, tels que les mots de passe.
Les attaques passives sont généralement indétectables, mais une prévention est possible en cryptant la transmission entre les
nœuds du réseau,
Attaques actives : consistent à modifier les messages transmis, à s'introduire dans des équipements d'un réseau, ou à
perturber le bon fonctionnement de ce dernier. Contrairement aux attaques passives, les attaques actives sont détectables dû
aux dommages conséquents qu'elles peuvent provoquer. Le but d'un attaquant est d'essayer de contourner ou d'entrer dans un
système sécurisé pour voler, modifier, désactiver ou détruire des données sensibles. Voici les attaques actives les plus
connues :

Par mascarade (ou usurpation d'identité) : Cette attaque a lieu lorsqu'une entité prétend être une entité différente. Ce type
d'attaque est l'origine de toutes les autres attaques actives,
Par rejeu : Ce type d'attaques consiste à capturer un message transmis (attaque passive), ensuite à le retransmettre
ultérieurement pour produire un effet non autorisé,
Par modification de message : Cette attaque permet de modifier le contenu du message ou de réordonner les messages pour
produire un effet non autorisé,
Par déni de service : Le principe de cette attaque est de perturber ou d'interrompre le service d'un réseau. Son but est de
saturer le service avec des messages inutiles afin de dégrader les performances du service ou de provoquer la perte des
messages. Il est difficile de garantir une protection absolue contre les attaques actives à cause des vulnérabilités existantes au
niveau matériel, logiciel et protocolaire, surtout si ces derniers n'ont pas été vérifiés et validés formellement.
 2.3.3 Etapes d'une attaque
Pour procéder à une attaque d'un réseau ou un service, l'assaillant suit généralement une méthode
en sept étapes :
1. Analyse d'empreinte (reconnaissance) : Un service d'une entreprise, comme par exemple sa page Web, peut fournir
des données telles que les adresses IP des serveurs. Avec ces données, l'assaillant peut élaborer le profil ou l'empreinte
de la sécurité de cette entreprise ;

2. Enumération des informations : l'assaillant étend sa connaissance du profil de sécurité en surveillant le trac du réseau à
l'aide d'un analyseur de paquets comme l'outil Wireshark par exemple. Par ailleurs, il peut chercher des informations tels
que les numéros de version des serveurs FTP ou des serveurs de messagerie. Ensuite, il peut croiser ces informations avec
des bases de données de vulnérabilité ;
3. Manipulation des utilisateurs pour obtenir un accès : Les employés de l'entreprise utilisent parfois des mots de passe
faciles à casser. Dans d'autres cas, ils peuvent être trompés par des assaillants astucieux et leur fournissent des données
d'accès sensibles ;
4. Escalade des privilèges : Une fois un accès de base obtenu, l'assaillant utilise ses compétences
pour augmenter ses privilèges d'accès au réseau, tout en essayant d'être indétectable par les
techniques sécuritaires de l'entreprise ;
5. Collecte d'autres mots de passe et secrets : Avec davantage de privilèges d'accès, l'assaillant se sert de ses talents pour
accéder à des informations sensibles bien protégées, tels que les rapports internes ou même les contrats numérisés de
l'entreprise ;
6. Installation de portes dérobées (Backdoors) : Les portes dérobées sont des moyens permettant à l'assaillant d'entrer
secrètement dans le système sans être détecté, servant de faille du système de l'entreprise. La porte dérobée la plus courante
est le port TCP ou UDP ouverts en écoute ;
7. Exploitation du système compromis : Une fois qu'il a compromis le fonctionnement du système, l'assaillant utilise la
porte dérobée pour lancer des attaques vers d'autres hôtes du réseau.
 2.4 Types d'attaques d'un réseau

Toutes les entreprises craignent les attaques informatiques, sans toujours savoir quelles formes celles-ci peuvent prendre.
Au fil des années, les mesures de sécurité se sont améliorées et certains types d'attaques sont devenus moins fréquents,
tandis que d'autres ont fait leur apparition. Pour concevoir des solutions de sécurité des réseaux, il faut tout d'abord évaluer
l'ensemble des attaques existantes aujourd'hui et comprendre leur mode de fonctionnement. Ces attaques sont variées, mais
on peut les catégoriser selon leur mode d'opération :

2.4.1 Attaques de reconnaissance

La reconnaissance est la découverte non autorisée des systèmes, de leurs adresses et de leurs services, ou encore la
découverte de leurs vulnérabilités. Il s'agit d'une collecte d'informations qui, dans la plupart des cas, précède un autre type
d'attaque. Parmi les attaques courantes de ce type, nous citons :
Requêtes Internet : l'assaillant peut utiliser des outils d'Internet, comme les outils nslookup et whois , pour découvrir
facilement les adresses IP attribuées à une entreprise ou à une entité donnée ;
Balayages ping : Une fois ces adresses IP connues, l'assaillant peut lancer des requêtes ICMP de type ping vers les
adresses IP publiquement accessibles pour déterminer celles qui sont actives. Certaines outils de balayage existent comme
fping ou gping , permettant d'envoyer systématiquement des requêtes ping à une plage d'adresses ou à toutes les adresses
d'un sous réseau. Cette approche est similaire à celle qui consiste à utiliser un annuaire téléphonique et à appeler tous les
numéros pour savoir qui répond,
Balayages de ports : Lorsque les adresses IP actives sont identifiées, l'assaillant se sert d'un outil de balayage des ports pour
détecter les services réseau ou les ports ouverts sur chaque adresse IP active. Nmap et Superscan sont des exemples d'outils de
balayage conçus pour détecter les ports ouverts sur un hôte du réseau. Concrètement l'outil de balayage interroge les ports pour
connaître le type et la version des applications, le type et la version du OS, etc. Grâce à ces informations, l'assaillant peut
déterminer s'il existe des vulnérabilités qu'il peut exploiter,

Analyse des paquets : L'assaillant peut aussi intercepter les paquets TCP/IP ou les paquets des autres protocoles et décoder leur
contenu au moyen d'un analyseur de protocole comme Wireshark. Une fois les paquets interceptés, ils peuvent être analysés
pour y rechercher des informations vulnérables. Afin de neutraliser l'analyse des paquets, il est conseillé de :
Utiliser des commutateurs au lieu de concentrateurs pour éviter de diffuser le trafic à tous les hôtes du réseau,
Utiliser une méthode de chiffrement adéquate au système qui ne consomme pas beaucoup de ressources,
Interdire l'utilisation de protocoles susceptibles d'être écoutés, comme le protocole SNMP.
 2.4.2 Attaques d'accès

L'accès au système est la possibilité pour un assaillant d'accéder à un périphérique pour lequel il ne dispose pas d'autorisation
c'est-à-dire un compte ou un mot de passe. La pénétration non autorisée dans un système implique généralement l'utilisation
d'un moyen hardware de piratage, d'un script ou d'un outil exploitant une vulnérabilité connue de ce système. Les attaques
d'accès exploitent des vulnérabilités connues dans les services d'authentification, les services FTP et les services Web. On
distingue quatre types d'attaques :
Attaques de mot de passe : Pour obtenir le mot de passe d'un utilisateur, l'assaillant peut lancer différents types
d'attaque :
(1) des attaques par force brute qui consistent à lancer plusieurs tentatives répétées de connexion à une ressource
partagée, comme un serveur ou un routeur, afin d'identifier un compte utilisateur et/ou un mot de passe, en utilisant
généralement des outils tels que LophtCrack ;
(2) des analyses de paquets permettant de capter les comptes et les mots de passe utilisateurs transmis en clair, en
utilisant des outils tels que WireSharck;
(3) des programmes de type cheval de Troie pouvant sniffer la saisie des mots de passes sur la machine de l'utilisateur,
Exploitation de la confiance : Elle consiste à compromettre un hôte de confiance et ensuite à travers ce dernier lancer des
attaques sur d'autres hôtes du réseau. Par exemple, dans le réseau d'une entreprise, si un hôte interne (protégé par un pare-feu),
mais qu'il est accessible depuis un hôte de confiance externe (situé de l'autre côté du pare-feu), l'hôte interne peut être attaqué
par le biais de l'hôte externe,

Redirection de port : Cette attaque de type exploitation de la confiance, consiste à utiliser un hôte compromis pour faire
passer, au travers d'un pare-feu, un trac qui serait normalement bloqué. Ce type d'attaque est principalement limité par
l'utilisation de modèles de confiance appropriés. Le rôle d'un antivirus, installé sur un hôte, est de détecter et d'empêcher toute
installation d'utilitaires de redirection de port sur cet hôte,
Attaque de l'homme du milieu (man-in-the-middle) : Cette attaque est menée par un assaillant qui se place entre deux
machines légitimes d'un réseau. Par exemple, l'assaillant pourrait mettre en place un site Web dont l'adresse est
|http://www.assaillant.dz/http://www.siteweb.dz| afin de se prendre pour le site Web légitime |http://www.siteweb.dz|. Le
déroulement des échanges pourrait être comme suit :
1. La victime demande une page Web du site Web légitime, mais la machine de cette victime, la demande auprès de la machine
de l'assaillant ;
2. La machine de l'assaillant reçoit la demande et récupère la page du site Web d'origine ;
3. En cas d'une attaque active, l'assaillant modifie la page d'origine et transforme à sa façon les données qu'elle contient ;
4. L'assaillant envoie la page demandée falsifiée à la victime.
 2.4.3 Attaques par déni de service (DoS)

Le Déni de service (DoS ) apparaît lorsqu'un assaillant désactive ou altère un réseau, des systèmes ou des services dans le
but de refuser le service prévu aux utilisateurs normaux. Les attaques par DoS mettent le système en panne ou le ralentissent
au point de le rendre indisponible et inutilisable, en empêchant l'utilisation d'un service par les personnes autorisées dû à
l'épuisement des ressources du système. C'est pour cette raison que les attaques par DoS sont les plus redoutées. Dans la
plupart des cas, l'attaque se résume à exécuter un programme pirate ou un script. Il existe plusieurs types d'attaques de DoS,
on peut citer :
Attaques par ping fatal : Autrefois, elles profitaient des vulnérabilités des anciens systèmes d'exploitation (année 90).
L'assaillant modifiait la partie IP de l'en-tête d'un paquet ping pour indiquer une quantité de données supérieure à la quantité
réelle du paquet. En effet, un paquet ping contient normalement de 64 à 84 octets, tandis qu'un ping fatal peut atteindre 65
535 octets. Donc, l'envoi d'un ping de cette taille peut bloquer un hôte cible d'ancienne génération.
La plupart des réseaux ne sont actuellement plus vulnérables à ce type d'attaque,

Attaques par Inondation SYN (SYN Flooding) : Sachant qu'une connexion TCP suit trois 3 étapes, une attaque par
inondation SYN consiste à envoyer un grand nombre de requêtes SYN (plus de 1000) au serveur ciblé. Ce dernier répond
par le message SYN-ACK habituel, mais l'hôte malveillant ne répond jamais par un message ACK final pour achever la
procédure de connexion. Etant donné que ces connexions semi-ouvertes consomment des ressources mémoires, au bout d'un
certain temps le serveur est saturé et ne peut plus accepter de connexions car il se met dans un état d'attente infinie par
manque de ressources pour répondre aux requêtes SYN valides,
Attaques DDoS (Distributed DoS) : Ce type d'attaques est conçu pour saturer le réseau de données illégitimes, qui submergent
la liaison Internet au point d'empêcher tout trac légitime. Les attaques DDoS s'appuient sur des méthodes similaires aux deux
autres attaques DoS, mais elles se déploient toutefois à une plus grande échelle. En général, des centaines ou des milliers de
points d'attaque tentent de submerger une cible. Pour saturer le réseau victime, le principe est d'utiliser plusieurs sources pour
l'attaque et des maîtres (masters) qui les contrôlent. L'assaillant utilise des maîtres pour contrôler plus facilement les sources.
En effet, il a besoin de se connecter (en TCP) aux maîtres pour configurer et préparer l'attaque. Les maîtres se contentent
d'envoyer des commandes aux sources en UDP. Les outils de type DDoS les plus connus sont Tribal Flood
Network (TFN), TFN2K, Trinoo, Stacheldraht, etc.
 2.4.4 Attaques de programmes malveillants (malware)

Des programmes/logiciels malveillants peuvent être installés sur une machine hôte dans le but d'endommager un système ou
d'empêcher l'accès aux services de ce dernier. Ces programmes essayent souvent de se reproduire et de se propager pouvant
causer des dégâts multiples pour le réseau informatique, tels que :
Gêne : affiche des publicités, ralentit ou plante le système,
Espionnage : vole les mots de passe et les informations bancaires, ou envoie des documents sensibles,
Contrôle d'une machine : la machine infectée devient un zombie contrôlé par l'assaillant, et généralement enrôlé dans un
botnet (robot network). Un programme de ce type peut être :
Un virus : est un programme malveillant intégré à un autre programme, an d'exécuter des fonctions indésirables sur la
machine de l'utilisateur. Il a besoin d'un mécanisme de livraison, comme un archive (zip, . . . ) ou un chier exécutable joint à
un e-mail, pour transmettre son code d'un système à un autre. Donc, il ne peut pas se reproduire sans l'aide d'un programme
cible. Il se distingue fondamentalement du ver par le fait qu'une interaction humaine est nécessaire pour
le propager. Cette propagation s'effectue principalement en trois phases : infection, activation, et duplication. Les types de
virus sont :
Virus parasite : s'attaque aux codes source des fichiers exécutables et se réplique en exécutant des derniers en cherchant
s'il y a d'autre fichiers exécutables à infecter,
Virus résidant en mémoire : hébergé en mémoire et considéré comme un programme du système, il infecte tous les
programmes qui s'exécutent,