République du Cameroun Repubic ofCamero

on
Paix – Travail– Patrie Peace– Work– Fatherland
…………….. ……………..
JFN-DOUALA JFN-DOUALA

Cours d’introduction à la sécurité informatique

Cible : Réseaux et Sécurité 1

Enseignant : M. MBUETANG RAPHAËL
Master en Sécurité Réseaux
Année Académique : 2022 / 2023

1
 SOMMAIRE

SOMMAIRE ..........................................................................................................................................i
RÉSUMÉ .............................................................................................................................................. ii
INTRODUCTION .................................................................................................................................. ii
Chapitre 1 : Généralités sur la sécurité informatique...........................................................................1
I. Généralités..............................................................................................................................1
II. Définitions...............................................................................................................................1
III. LES RISQUES LIES A LA SECURITE INFORMATIQUE ................................................................3
IV. TYPOLOGIE DES RISQUES INFORMATIQUES .........................................................................5
V. GESTION DES RISQUES INFORMATIQUES .................................................................................6
VI. ETABLISSEMENT ET ELEMENTS D’UNE POLITIQUE DE SECURITE INFORMATIQUE .................8
VII. PRINCIPAUX DEFAUTS DE SECURITE INFORMATIQUE ......................................................... 10
VIII. Exercices d’application ...................................................................................................... 10
Chapitre 2 : Les Attaques et Virus Informatiques ............................................................................... 11
I. Introduction .......................................................................................................................... 11
II. Les attaques informatiques ................................................................................................... 11
III. Les logiciels ou programmes malveillants .......................................................................... 14
IV. Solutions ........................................................................................................................... 18
Chapitre 3 : La cryptographie ............................................................................................................ 22
I. Rappels mathématiques ........................................................................................................ 22
II. Quelques définitions ............................................................................................................. 22
Chapitre 4 : Quelques notions sur la cybersécurité ............................................................................ 23

i
 RÉSUMÉ

Ce cours d’introduction à la sécurité informatique s’adresse aux étudiants de première année de

la filière du Génie Réseaux et Télécommunication (GTR) spécialement ceux de la spécialité
Réseaux et sécurité. Il va leur permettre d’avoir les notions sur la sécurité des systèmes
d’informations et les mesures à prendre pour garantir l’intégrité et l’accès aux informations

INTRODUCTION

Ce cours sera réparti sur 04 chapitres : généralités sur la sécurité informatique, les types
d’attaques et de virus, les solutions pour la sécurisation d’un parc informatique, les notions de
cryptographie et cybersécurité.

ii
 Chapitre 1 : Généralités sur la sécurité informatique

Objectif général : à la fin de ce chapitre l’étudiant sera capable de maîtriser les concepts liés
à la sécurité informatique.
Objectifs spécifiques :
- Définir les mots clés
- Donner les avantages et inconvénients de la sécurité informatique
- Présenter les exigences de la sécurité informatique
- Énumérer quelques risques liés à la sécurité informatique
- Présenter les attaques et virus pouvant bloquer un système informatique.

I. Généralités

La sécurisation des systèmes informatiques vient du fait de l’émergence des intrusions et

piratage des données au sein des infrastructures conduisant parfois à la paralysie de ce dernier.
Les définitions des concepts clefs sur la sécurité des systèmes informatiques seront abordées
dans ce chapitre : les enjeux de cette sécurité sont très importants et il n'est pas surprenant de
trouver du vocabulaire généralement calqué aux séries policières.

II. Définitions

1. La sécurité :

Pour être mieux compris, nous allons remonter dans le temps. Elle peut être définit comme
"Situation politique, économique, matérielle ou morale dont tout risque ou tout danger est
exclu" explique le dictionnaire Focus-Bordas et qui complète cette définition par "Dispositif
destiné à éviter tout accident".
En résumé, la sécurité informatique est l’ensemble des moyens mis en œuvre pour réduire la
vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles. Elle a pour
objectif de s’assurer que les ressources matérielles et/ou logicielles d’un parc informatique
soient uniquement utilisées dans le cadre prévu et par des personnes autorisées [1].
C'est actuellement la préoccupation majeure de tous les organismes communicants par réseaux.
Désormais une fonction dédiée à la sécurité des systèmes d'information existe : ASSI (Agent
de Sécurité des Systèmes d'Information) ou RSSI (Responsable Sécurité des Systèmes
d'Information).
2. L’identification

L'identité est un ensemble d'éléments qui permettent de reconnaître un individu (ex: Marck
Atangana ), une entité ou bien une marque. Toutefois, une identité peut être copiée et les
contrefaçons existent. L'identifiant est un élément normalisé associé à cette identité : par
exemple, le numéro INSEE est un identifiant unique en France. Une adresse MAC est

1
également un numéro unique désignant une seule interface réseau. Il est malheureusement facile
de copier ou forger un identifiant : la sécurité ne peut pas être assurée par un identifiant seul.

3. L’Authentification

Pour s'assurer qu'un identifiant soit bien présenté par l'identité (l'utilisateur) qu'il représente, il
faut authentifier ce dernier.
L'authentification est le procédé permettant à un individu ou une entité de prouver son identité
: la photo sur une carte nationale d'identité, une empreinte digitale, vocale ou rétinienne pour
des systèmes perfectionnés ou encore un mot de passe ou une carte à puce pour les méthodes
les plus courantes.
L'authentification repose ainsi sur la notion d'un secret partagé ou d'éléments infalsifiables.

4. L’Autorisation

Pour utiliser les ressources d'un environnement sécurisé, il est nécessaire d'avoir une ou
plusieurs autorisations. L'autorisation correspond généralement à une fonction dans cet
environnement. En informatique, les droits fournis à un utilisateur authentifié sont liés à son
rôle et éventuellement au moyen employé pour se connecter. De plus, les accès aux ressources
impliquent des droits attribués de manière individuelle d'une part, et par l'appartenance à des
groupes, d'autre part.

5. L’Accounting

L'accounting est un terme anglais qui se traduit littéralement par "comptabilité" mais la
signification du terme est plutôt "traçabilité". L'accounting permet de suivre le fonctionnement
d'un réseau en fournissant des statistiques sur la charge globale, le nombre d'utilisateurs actifs,
les accès rejetés, etc.
En termes de sécurité, l'accounting est fondamental : en effet, l'ASSI et l'entreprise étant
responsables des fautes commises à partir de leur réseau, il leur est nécessaire de pouvoir
déterminer avec précision qui l'utilise et à quel moment.
6. La cryptologie

La cryptologie est la science des écritures secrètes et des messages chiffrés. Elle comprend la
cryptographie et la cryptanalyse. La loi française définit les prestations de cryptologie comme
étant "toutes prestations visant à transformer à l'aide de conventions secrètes des informations
ou signaux clairs en information ou signaux inintelligibles pour des tiers, ou à réaliser
l'opération inverse, grâce à des moyens, matériels ou logiciels conçus à cet effet".
Cette science emploie un vocabulaire souvent mal utilisé et dont les anglicismes sont venus
remplacer les termes français. La liste ci-dessous redonne la définition exacte de ces mots et
entre parenthèses, leur équivalent anglais.
▪ Cryptographie (cryptography) : du grec kruptos, caché, et graphein, écrire. Science
du chiffrement.

2
 ▪ Cryptanalyse (Cryptanalysis) : Art de déchiffrer les messages codés (sans obtenir par
voie officielle les mécanismes ou les codes utilisés).
▪ Chiffrement (encryption) : Ensemble de méthodes permettant de rendre un message
incompréhensible. Les anglicismes suivants sont parfois employés : cryptage et crypter
(à la place de chiffrer). Les anglais emploient aussi le terme encipher (et decipher) pour
déchiffrer.
▪ Stéganographie (Steganography) : La stéganographie consiste à cacher un message
dans un document anodin afin qu'il passe inaperçu. Actuellement, il est facile de cacher
un fichier texte dans une image jpeg par exemple.
▪ Cryptogramme (CipherText) : message codé résultant du chiffrement.
▪ Texte en clair (Plaintext) : message original.
▪ Challenge (challenge) : employé dans le sens de défi, il représente une épreuve qu'il
faut réussir pour obtenir un avis positif. Le chiffrement d'un ensemble de données de
taille limitée est un challenge.
7. Les exigences en sécurité informatique

Il convient d'identifier les exigences fondamentales en sécurité informatique, qui caractérisent

ce à quoi s'attendent les utilisateurs de systèmes informatiques au regard de la sécurité :
▪ La confidentialité - Seules les personnes habilitées doivent avoir accès aux données.
Toute interception ne doit pas être en mesure d'aboutir, les données doivent être
cryptées, seuls les acteurs de la transaction possèdent la clé de compréhension.
▪ L'intégrité - Il faut garantir à chaque instant que les données qui circulent sont bien
celles que l'on croit, qu'il n'y a pas eu d'altération (volontaire ou non) au cours de la
communication. L'intégrité des données doit valider l'intégralité des données, leur
précision, l'authenticité et la validité.
▪ La disponibilité - Il faut s'assurer du bon fonctionnement du système, de l'accès à un
service et aux ressources à n'importe quel moment. La disponibilité d'un équipement
se mesure en divisant la durée durant laquelle cet équipement est opérationnel par la
durée durant laquelle il aurait dû être opérationnel.
▪ La non-répudiation - Une transaction ne peut être niée par aucun des correspondants.
La non-répudiation de l'origine et de la réception des données prouve que les données
ont bien été reçues. Cela se fait par le biais de certificats numériques grâce à une clé
privée.
▪ L'authentification - Elle limite l'accès aux personnes autorisées. Il faut s'assurer de
l'identité d'un utilisateur avant l'échange de données.
Bref, on mesure la sécurité d'un système entier à la sécurité du maillon le plus faible. Ainsi, si
tout un système est sécurisé techniquement mais que le facteur humain, souvent mis en cause,
est défaillant, c'est toute la sécurité du système qui est remise en cause.

III. LES RISQUES LIES A LA SECURITE INFORMATIQUE

Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité le sont
aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin d'identifier les
problèmes potentiels avec les solutions avec les coûts associés. L'ensemble des solutions
retenues doit être organisé sous forme d'une politique de sécurité cohérente, fonction du niveau

3
de tolérance au risque. On obtient ainsi la liste de ce qui doit être protégé. Il faut cependant
prendre conscience que les principaux risques restent : câble arraché, coupure secteur, crash
disque, mauvais profil utilisateur … Voici quelques éléments pouvant servir de base à une étude
de risque :
▪ Quelle est la valeur des équipements, des logiciels et surtout des informations ?
▪ Quel est le coût et le délai de remplacement ?
▪ Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en
réseau (programmes d'analyse des paquets, logs…).
▪ Quel serait l’impact sur la clientèle d'une information publique concernant des
intrusions sur les ordinateurs de la société ?
En fait, avec le développement d'internet, les entreprises ont ouvert leur système
d'information à leurs partenaires ou leurs fournisseurs, elles sont plus au niveau de l'architecture
trois tiers ou n-tiers. Il devient donc nécessaire de connaître les ressources de l'entreprise à
protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système. En revanche,
la sécurité est un compromis entre coûts, risques et contraintes. On comprendra mieux le poids
d’un risque en se fiant à la formule suivante :

𝑴𝒆𝒏𝒂𝒄𝒆 × 𝑽𝒖𝒍𝒏é𝒓𝒂𝒃𝒊𝒍𝒊𝒕é
𝑹𝒊𝒔𝒒𝒖𝒆 =
𝑪𝒐𝒏𝒕𝒓𝒆 𝒎𝒆𝒔𝒖𝒓𝒆

▪ Risque - C'est la probabilité qu’une menace exploite une vulnérabilité. Autrement dit,
c’est une possibilité qu’un fait dommageable se produise.
▪ Vulnérabilité - C'est une faiblesse inhérente à un système (software ou hardware).
Appelée parfois faille ou brèche, elle représente le niveau d'exposition face à la menace
dans un contexte particulier.
▪ Menace - c'est le danger (interne ou externe) tel qu’un hacker, un virus, etc.
▪ Contre-mesure - c'est un moyen permettant de réduire le risque dans une organisation.
En conséquence de la formule :
▪ Le risque est d’autant plus réduit que les contre-mesures sont nombreuses ;
▪ Le risque est plus important si les vulnérabilités sont nombreuses.

L’utilisation de l’outil informatique est susceptible de nous exposer à divers types des
risques. Il importe donc de pouvoir mesurer ces risques en fonction de la probabilité ou de la
fréquence de leurs survenances et aussi en mesurant leurs effets possibles. Ces effets peuvent
avoir des conséquences négligeables ou catastrophiques :

4
▪ Le traitement informatique en cours échoue : il suffit de le relancer, éventuellement par
une autre méthode si on craint que la cause ne réapparaisse ;
▪ L’incident est bloquant et on doit procéder à une réparation ou une correction avant de
poursuivre le travail entrepris.

Il est cependant à noter que ces mêmes incidents peuvent avoir des conséquences
beaucoup plus fâcheuses :
▪ Données irrémédiablement perdues ou altérées, ce qui les rend inexploitables par la suite ;
▪ Données ou traitements durablement indisponibles, pouvant entrainer l’arrêt d’une
production ou d’un service ;
▪ Divulgation d’informations confidentielles ou erronées pouvant profiter à des sociétés
concurrentes ou nuire à l’image de marque de l’entreprise ;
▪ Déclenchement d’actions pouvant provoquer des accidents physiques ou induire des
humains.

IV. TYPOLOGIE DES RISQUES INFORMATIQUES

En sécurité informatique, il existe deux grands types des risques à savoir : les risques humains
et les risques matériels.

1. RISQUES HUMAINS

Ce sont les plus importants, même s’ils sont le plus souvent ignorés ou minimisés. Ils
concernent les utilisateurs mais également les informaticiens eux-mêmes. On peut citer :

▪ La maladresse – commettre des erreurs ou exécuter de traitement non souhaité, ou

effacer involontairement des données ou des programmes ; etc.
▪ L’inconscience et l’ignorance – introduire des programmes malveillants sans le savoir
(par exemple lors de la réception du courrier). Des nombreux utilisateurs d’outils
informatiques sont encore inconscients ou ignorants des risques qu’ils font courir aux
systèmes qu’ils utilisent. Réaliser des manipulations inconsidérées (autant avec des
logiciels qu’avec du matériel) ;
▪ La malveillance – ces dernières années, il est impossible d’ignorer les différents
problèmes de virus et des vers. Certains utilisateurs peuvent volontairement mettre en
péril le système d’informations, en y introduisant en connaissance de cause de virus ou
en introduisant volontairement des mauvaises informations dans une base des données.
On parle même de la « cybercriminalité » ;
▪ L’ingénierie sociale – une méthode pour obtenir d’une personne des informations
confidentielles, que l’on n’est pas normalement autorisé à obtenir, en vue de les exploiter
à d’autres fins.

Elle consiste à :

→ Se faire passer pour quelqu’un que l’on n’est pas (en général un administrateur réseau) ;

5
 → Demander des informations personnelles (nom de connexion, mot de passe, données
confidentielles, etc.) en intervenant un quelconque prétexte (problème dans le réseau,
modification de celui-ci, etc.) ;

Elle peut se faire soit au moyen d’une simple communication téléphonique ; soit par mail, soit
en se déplaçant directement sur place
▪ L’espionnage – surtout industriel, emploie les mêmes moyens, ainsi que bien d’autres,
pour obtenir des informations sur des activités concurrentes, procédés de fabrication,
projets en cours, futurs produits, politique de prix, clients et prospects, etc.

2. RISQUES MATERIELS

Ils sont liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et
logiciels. Ces incidents sont plus ou moins fréquents selon les soins apportés lors de la
fabrication et de l’application des procédures de tests effectués avant que les ordinateurs et les
programmes ne soient mis en service [1]. Certaines de ces pannes ont des causes indirectes,
voire très indirectes, donc difficiles à prévoir. On peut citer :

▪ Les incidents liés au matériel : la plupart des composants électroniques modernes

produits en grandes séries, peuvent comporter des défauts de fabrication. Ils finissent
un jour ou l’autre par tomber en panne. Certains de ces pannes sont assez difficiles à
déceler car intermittentes ou rares. Parfois, elles relèvent d’une erreur de conception.

▪ Les incidents liés au logiciel : ce sont les plus fréquents. Les systèmes d’exploitation
et les programmes sont de plus en plus complexes car ils font de plus en plus de choses.
Ils nécessitent l’effort conjoint de dizaines, de centaines, voire de milliers de
développeurs. Ces derniers peuvent faire des erreurs de manière individuelle ou
collective que les meilleures méthodes de travail et les meilleurs outils de contrôle ou
de test ne peuvent pas éliminer en totalité.
▪ Les incidents liés à l’environnement : les machines électroniques et les réseaux de
communication sont sensibles aux variations de températures ou d’humidité ainsi
qu’aux champs électromagnétiques. Dès lors, il est possible qu’un ordinateur tombe en
panne de manière définitive ou intermittente à cause des conditions climatiques
inhabituelles ou par l’influence d’installations électriques notamment industrielles.

V. GESTION DES RISQUES INFORMATIQUES

La gestion des risques informatiques est un ensemble d’opérations de gérer et de diriger les
différentes incidences liées à la manipulation de l’outil informatique. La gestion des risques
consiste en trois actions majeures :
▪ Etudier les risques potentiels (identifier/mettre au jour ces risques) ;
▪ Imposer des règles de sécurité adéquates pour réduire ces risques ;
▪ Formation des utilisateurs.

6
 1. ETUDIER LES RISQUES POTENTIELS

Cette phase consiste à faire un examen intégral de la méthodologie de l'étude des risques
informatique en vigueur. Cela se matérialise aux moyens :
▪ Définition de l’environnement : Définition des acteurs et leurs intérêts ; Importance
de la sécurité dans la stratégie de l’entreprise ; Type de données impliquées ; Visibilité
extérieure de la sécurité (importance pour la clientèle, le public).
▪ Etude des menaces : Identifier la nature de la menace : accidentelles (désastre, bugs…)
ou intentionnelles (attaques, vols…) ; S'enquérir des sources de la menace : personnel
non autorisé, intrus, logiciel ; Localiser la menace : procédures manuelles, informatique
(software, réseau, stockage, hardware), infrastructure (concrète et abstraite).
▪ Etude des vulnérabilités : Etudes des faiblesses engendrées par l’exécution d’une
menace.
▪ Etude des risques : Probabilité d’occurrence de ces menaces conduisant à une
vulnérabilité.
▪ Estimation du risque et du plan stratégique : Risque (Coût des pertes à court, moyen
et long terme engendrées, Coût de la mise en place de la contremesure tant au niveau
logique que logistique, Comparer la perte potentielle au coût de la contre-mesure) ; Plan
stratégique (Planning de l’implémentation avec prise en compte des besoins futurs en
termes de sécurité ou non, Planning du suivi de l’implémentation).
▪ Mise en place du plan de sécurité : Les mécanismes de sécurité mis en place peuvent
gêner les utilisateurs et les consignes et règles y définies peuvent devenir de plus en plus
compliquées au fur et à mesure que le réseau s'étend. Ainsi, la sécurité informatique doit
être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages
qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système
d'information en toute confiance. Raison pour laquelle il est nécessaire de définir dans
un premier temps une politique de sécurité dont la mise en œuvre s'effectue en quatre
phases :
- Identifier les besoins en termes de sécurité, les risques informatiques pesant sur
l'entreprise et leurs éventuelles conséquences ;
- Elaborer des règles et des procédures à mettre en œuvre dans les différents
services de l'organisation pour les risques identifiés ;
- Surveiller et détecter les vulnérabilités du système d'information et se tenir
informé des failles sur les applications et matériels utilisés ;
- Définir les actions à entreprendre et les personnes à contacter en cas de détection
d'une menace.
▪ Audit de sécurité : L'audit de sécurité consiste à s'appuyer sur un tiers de confiance (de
préférence une société spécialisée en sécurité informatique) afin de valider les moyens
de protection mis en œuvre, au regard de la politique de sécurité. En fait, l'objectif de
l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement
appliquée et que l'ensemble des dispositions prises forme un tout cohérent.
2. IMPOSER DES RÈGLES DE SÉCURITÉ ADÉQUATES

Ceci consiste en la définition de procédures internes à l’entreprise basées sur :

7
 ▪ Des règles administratives : Suivre des standards de sécurité (normes ISO) ; Suivre les
lois.
▪ Des règles physiques : Gardes, caméras, alarmes, verrous et Accès aux locaux sécurisés
par biométrie.
▪ Des règles techniques : Déterminer des niveaux de classification des données ; Définir
des niveaux d’accès à ces données ; Utiliser la cryptographie pour le traitement et le
stockage de l’information ; Mettre en place un firewall matériel et/ou logiciel, ...
3. FORMATION DES UTILISATEURS

Il est de plus en plus admis que la sécurité est essentielle. Les coûts engendrés par les
pertes de données dues aux attaques réseaux et autres malwares diminuent sensiblement
d’années en années1. Il est beaucoup plus simple de corrompre l’utilisateur et ce qui l’entoure
que l’algorithme de chiffrement utilisé comme par exemple :
▪ L’utilisateur ne connait pas les risques engendrés par la conservation de la liste des mots
de passe utilisés à côté de l’ordinateur ;
▪ Il est souvent plus simple de s’introduire dans l’ordinateur de l’utilisateur afin de
retrouver le texte en clair (hacking, vol, . . .) ;
▪ Il est possible de l’espionner, le pousser à la délation, pratiquer le shoulder-surfing ou
tout autre technique dite de “social engineering”, ...
Il ne s’agira donc pas ici d’expliquer aux employés comment fonctionnent les
algorithmes qu’ils utiliseront, mais plutôt comment et dans quelles conditions ils devront les
utiliser en définissant des règles qui ne devront pas être transgressées. Il y a également plusieurs
manières de réagir à un risque, des plus « sûres » aux plus inconscientes :
▪ Transférer les risques à une compagnie d’assurances ;
▪ Réduire les risques en implémentant des contre-mesures qui peuvent être :
 Dissuasives : empêcher une attaque ;
 Préventives : faire échouer une attaque ;
 Correctrices : réduire les dommages causés par une attaque ;
 Ignorer/Négliger les risques ;
 Accepter les risques si les contre-mesures sont trop onéreuses
Certes, il y a toujours un risque, aussi infime soit-il. Il faudra donc peser le pour et le
contre lors de la mise en place éventuelle d’une contre-mesure. Toutefois, en 2007, on remarque
une remontée de la somme totale des pertes, due à la fraude financière.

VI. ETABLISSEMENT ET ELEMENTS D’UNE POLITIQUE DE

SECURITE INFORMATIQUE

L’élément de politique de sécurité est l'ensemble des orientations suivies par une
organisation en termes de sécurité. Elle est élaborée au niveau de système de pilotage
(Direction), car elle concerne tous les utilisateurs du système. La sécurité informatique de
l'entreprise repose sur une bonne connaissance des règles par les employés, grâce à des actions

8
de formation et de sensibilisation auprès des utilisateurs, mais elle doit aussi aller au-delà de
cela tout en couvrant les champs ci-après :
▪ Mise en place des correctifs ;
▪ Définition de la police de sécurité ;
▪ Objectifs, Portée, Responsables ;
▪ Une stratégie de sauvegarde correctement planifiée ;
▪ Description de la sécurité (de l’infrastructure physique, des données informatiques, des
applications, du réseau) ;
▪ Plan en cas de sinistre (Un plan de reprise après incident) ;
▪ Sensibilisation du personnel aux nouvelles procédures ;
▪ Sanctions en cas de manquements.
Suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut
préparer une politique à l'égard de la sécurité. C’est elle qui fixe les principaux paramètres,
notamment les niveaux de tolérance et les coûts acceptables. Voici quelques éléments pouvant
aider à définir une politique :
▪ Quels furent les coûts des incidents informatiques passés ?
▪ Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes ?
▪ Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?
▪ Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu’elle
devient contraignante ?
▪ Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils
accessibles de l’externe ?
▪ Quelle est la configuration du réseau et y a-t-il des services accessibles de l’extérieur ?
▪ Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et
la confidentialité des informations (exemple : loi « informatique et liberté », archives
comptables…) ?
Il ne faut pas également perdre de vue que la sécurité est comme une chaîne, guère plus
solide que son maillon le plus faible. En plus de la formation et de la sensibilisation permanente
des utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :
▪ Défaillance matérielle : Tout équipement physique est sujet à défaillance (usure,
vieillissement, défaut…) ; L'achat d'équipements de qualité et standard accompagnés
d'une bonne garantie avec support technique est essentiel pour minimiser les délais de
remise en fonction. Seule une forme de sauvegarde peut cependant protéger les données.
▪ Défaillance logicielle : Tout programme informatique contient des bugs. La seule façon
de se protéger efficacement contre ceux-ci est de faire des copies de l'information à
risque. Une mise à jour régulière des logiciels et la visite des sites consacrés à ce type
de problèmes peuvent contribuer à en diminuer la fréquence.
▪ Accidents (pannes, incendies, inondations…) - Une sauvegarde est indispensable pour
protéger efficacement les données contre ces problèmes. Cette procédure de sauvegarde
peut combiner plusieurs moyens fonctionnant à des échelles de temps différentes :
Disques RAID pour maintenir la disponibilité des serveurs ; Copie de sécurité via le
réseau (quotidienne) ; Copie de sécurité dans un autre bâtiment (hebdomadaire).
▪ Erreur humaine : Outre les copies de sécurité, seule une formation adéquate du
personnel peut limiter ce problème.

9
 ▪ Vol via des dispositifs physique (disques et bandes) : Contrôler l'accès à ces
équipements : ne mettre des unités de disquette, bandes… que sur les ordinateurs où
c’est essentiel. Mettre en place des dispositifs de surveillances.
▪ Virus provenant de disquettes : Ce risque peut être réduit en limitant le nombre de
lecteur de disquettes en service. L’installation de programmes antivirus peut s’avérer
une protection efficace mais elle est coûteuse, diminue la productivité, et nécessite de
fréquentes mises à jour.
▪ Piratage et virus réseau : Cette problématique est plus complexe et l’omniprésence
des réseaux, notamment l’Internet, lui confère une importance particulière. Les
problèmes de sécurité de cette catégorie sont particulièrement dommageables et font
l’objet de l’étude qui suit.

VII. PRINCIPAUX DEFAUTS DE SECURITE INFORMATIQUE

Les défauts de sécurité peuvent être considérés comme des modifications accidentelles
ou inconscientes du fonctionnement normal des équipements informatiques. Les défauts de
sécurité d’un système d’information les plus souvent constatés sont :
▪ Installation des logiciels et matériels par défaut ;
▪ Mises à jour non effectuées ;
▪ Mots de passe inexistants ou par défaut ;
▪ Services inutiles conservés (Netbios…) ;
▪ Traces inexploitées ;
▪ Pas de séparation des flux opérationnels des flux d’administration des systèmes ;
▪ Procédures de sécurité obsolètes ;
▪ Eléments et outils de test laissés en place dans les configurations en production ;
▪ Authentification faible ;
▪ Télémaintenance sans contrôle fort.

VIII. Exercices d’application : Introduction à la Sécurité Informatique

Exercice 1 :
1. Quels sont les différents types de sécurité étudiés au cours ?
2. Identifiez les exigences fondamentales en sécurité informatique.
Puis, expliquez la différence entre eux.
3. Aujourd’hui, les chercheurs en sécurité informatique s’intéressent davantage au "Privacy»
? Peut-on la classifier comme une exigence de sécurité ?
4. Quels sont les services offerts par le contrôle d’accès ?
Exercice 2 :
1. L'authentification est un moyen pour vérifier ou pour prouver l'identité
d'un utilisateur. Cependant, l'utilisateur doit il présenter quelles informations pour prouver son i
dentité ?
2. Quel est la différence entre authentification, authentification à deux
facteurs, et authentification à trois facteurs ? Donnez des exemples.
3. Présentez le schéma "Authentification vs. Autorisation" vu au cours.
4. Quels sont les différents types d'intégrité.
10
 Chapitre 2 : Les Attaques et Virus Informatiques

Objectif général : dans ce chapitre, il sera question pour l’étudiant de maîtriser les notions de
bases en matière d’attaques informatiques.
Objectifs spécifiques :
▪ Définir les termes clés
▪ Citer les types d’attaques et leurs moyens d’actions
▪ Présenter quelques virus et leurs principes de fonctionnement

I. Introduction

En informatique, il existe de nombreuses attaques possibles : certaines sont basées sur des bugs
ou failles des logiciels, d'autres sur l'accès à certaines ressources insuffisamment protégées ou
encore sur l'ignorance ou la curiosité des utilisateurs.

II. Les attaques informatiques

Il existe deux grandes catégories d’attaques réseaux, classifiée généralement par le type
de support de transmission utilisé dans le réseau. Nous avons :
▪ Attaques des réseaux classiques
▪ Attaques des réseaux sans fil
1. Définitions

Il existe une multitude de définition du terme attaque, pour mieux nous situer nous allons
présenter quelques-unes.
D’après [2] une attaque ou cyberattaque peut être vu comme une action volontaire et
malveillante menée via un réseau informatique dans l’optique de causer un dommage aux
informations et aux personnes qui les traitent. Et tout le monde peut en être la cible : les
particuliers, les entreprises, les institutions, les services administratifs, financiers et de santé...
Il peut également être perçu comme étant toute tentative d'accès non autorisé à un
ordinateur, un système informatique ou un réseau informatique dans le but de causer des
dommages. Les attaques informatiques visent à désactiver, perturber, détruire ou contrôler des
systèmes informatiques ou à modifier, bloquer, supprimer, manipuler ou soutirer les données
contenues dans ces systèmes [3].
En somme, nous pouvons définir les attaques informatiques comme étant une action
malveillante mener par un individu, un groupe, un organisme, un Etat pour dans une
infrastructure informatique dans l’optique de paralyser celui-ci et y extraire les informations.

11
 2. Types d’Attaques des réseaux classiques

a) Attaques externes

Les attaques externes sont les attaques menées depuis l'Internet. Tout réseau connecté à Internet
est soumis à de nombreuses attaques qui ont plusieurs objectifs [3]:

▪ Obtenir des informations sur les serveurs du réseau : la connaissance du système

d'exploitation permet d'en connaître les failles officielles et peut-être trouver un serveur
qui n'a pas été mis à jour. L'attaque la moins discrète est le balayage de port car elle est
facilement repérable. Elle est intéressante pour le pirate car des services comme le
transfert de fichier (FTP), le terminal distant (Telnet), le service de messagerie (SMTP,
POP.…) renvoient généralement une chaîne de caractères indiquant le nom et la version
de l'application gérant ces ports.
▪ Obtenir un compte sur une machine connectée au réseau : en utilisant une faiblesse
du système d'exploitation, un pirate peut se connecter sur une machine et agir par
rebond. L'attaque menée vers un réseau sera détectée comme provenant d'une machine
corrompue mais ce ne sera pas celle du pirate.
▪ Obtenir un plantage d'un serveur : l'arrêt brutal d'un serveur ne permet pas d'obtenir
d'informations sur l'attaquant, par contre, l'indisponibilité de ce serveur peut entraîner
des pertes importantes pour l'entreprise : informations, transactions, ordres, etc., comme
l'attaque menée en janvier 2003 sur les serveurs coréens puis américains (13000 guichets
de la "Bank of America" ont perdu l'historique de leurs transactions). Les attaques
classiques sont le déni de services (DoS ou Deny of Service) ou le remplissage de buffer
(buffer overflow). Elles sont basées sur les failles des systèmes visés.
▪ Intercepter et modifier des communications : en bloquant un serveur, le pirate peut
introduire à sa place un serveur qui aura presque la même fonction. Toutefois, ce
nouveau serveur peut également modifier les messages qui transitent par lui et en
changer le contenu. L'intérêt est que le destinataire reçoit d'une machine qu'il croit
connaître, un message modifié tandis que le pirate dispose de l'information originale.
Ce type d'attaque est appelé "man in the middle" (MITM) ou l'homme du milieu.

b) Attaques par ingénierie sociale

Les attaques par ingénierie sociale sont tournées vers les utilisateurs et administrateurs. Plutôt
que de tenter une attaque externe, le pirate va tenter d'obtenir l'information par un des employés
de la société. Pour cela, il peut se faire passer pour un commercial, un technicien de
maintenance, un administrateur du réseau. Il emploiera le téléphone, le courrier, le courrier
12
électronique, voire même le contact direct. Kevin Mitnick un hacker connu a écrit un livre
[MITN04] sur ces techniques. Le phishing 11 est d'ailleurs devenu une technique très en vogue
par courrier électronique en affichant un message demandant de renouveler les mots de passe
d'un compte chez un organisme connu. Le lien affiché pointe en réalité vers une page web d'un
serveur pirate imitant la mise en page du site officiel et l'utilisateur confiant saisit les
informations demandées en croyant être sur le site officiel. Même si le message ne touche
qu'une partie de la population, le pirate dispose alors d'une base de données contenant les
identifiants et mots de passe de nombreux utilisateurs du service officiel (généralement, ce sont
les banques qui sont le plus visées).
c) Attaques par infection

Les attaques par infection concernent les virus, les vers, les spywares et les chevaux de Troie.
Ce sont des fichiers contenant du code exécutable (macro VBS pour les fichiers DOC ou XLS
par exemple) et qui, lorsque le fichier est ouvert, tente d'infecter le poste de l'utilisateur.
Pour paraître crédible, les virus utilisent généralement le carnet d'adresses de la machine, aussi
il n'est pas surprenant de trouver un message d'un ami franco-français qui écrit... en anglais !
Ce devrait être suffisamment surprenant pour ne pas ouvrir la pièce jointe et pourtant de
nombreuses personnes se laissent attraper. Le fléau est tel que de nombreux administrateurs
généralisent le déploiement des antivirus sur leurs serveurs de courrier.
Les vers utilisent le réseau via les applications diverses comme les navigateurs, les programmes
peer-to-peer, les lecteurs multimédias, les messageries instantanées... ils n'ont pas besoin d'une
action de la part de l'utilisateur pour s'activer.
Un cheval de Troie (par référence au héros mythique Ulysse) est un programme malicieux
intégré dans un programme sain. Lorsque le programme sain est lancé, le cheval de Troie
s'active et écoute sur un port du système (dans une plage peu utilisée pour éviter un conflit) : il
peut alors accepter des commandes en provenance d'un pirate. Le plus célèbre est probablement
"Back Orifice" en référence à la suite "Back Office" de Microsoft. Actuellement, une nouvelle
menace par cheval de Troie voit le jour avec des programmes capables de valider un message
d'alerte provenant d'un pare-feu personnel (CERT – janvier 2005).
Les spywares sont des logiciels espions qui recueillent des informations sur le comportement
de l'utilisateur. Certaines données privées sont parfois placées dans des "cookies", de petits
fichiers utilisés par les sites web pour mémoriser des données. Une autre utilisation des
spywares est l'enregistrement des touches appuyées par l'utilisateur : le pirate est alors en
mesure de connaître les mots de passe tapés au clavier. Ces programmes sont aussi appelés
"keylogger".

3. Attaques des réseaux sans fil

Les réseaux sans fil sont sensibles aux attaques précédentes comme les autres réseaux
mais ils ouvrent également la voie à de nouvelles attaques : parce que les ondes hertziennes ne
sont pas facilement contrôlables, la mauvaise implantation d'un point d'accès réseau sans fil
revient à placer des prises réseaux hors des locaux.
Deux méthodes existent pour détecter des réseaux sans fil et permettre leur écoute : le "war-
driving" et le "war-shalking".

13
 a) War-driving

Le war-driving est une technique simple qui consiste à circuler dans les rues et les lieux
publics à la recherche d'émetteurs. Un PC portable équipé avec une carte réseau sans fil écoute
les différentes fréquences et détecte les caractéristiques des informations reçues.
b) War-chalking

Le war-chalking est une extension du war-driving. Cette méthode consiste simplement

à noter près de l'émetteur (du moins dans sa zone d'émission) ses caractéristiques : est-ce un
réseau ouvert, fermé, protégé ? Pour cela, trois symboles sont couramment utilisés (illustration
5).

Figure 1 : Symboles utilisés dans le war-chalking

Ceux qui n'en connaissent pas la signification n'y voit qu'un graffiti alors que les hackers y
voient une occasion de se connecter au réseau. De plus, l'attribution d'adresses IP de manière
dynamique facilite la mise en œuvre d'un équipement sur ce réseau.
Une fois détectés, les réseaux sans fil sont la cible des attaques précédemment citées mais aussi
des suivantes (liées aux techniques de déni de service) :
c) Brouillage

Les fréquences employées par les réseaux sans fil peuvent être brouillées afin qu'aucune
communication ne puisse passer. Bien que brutale, cette attaque utilisée de manière ponctuelle
et irrégulière perturbe un réseau sans permettre de trouver facilement l'origine.
d) Arp-poisoning

Ce type d'attaque consiste à répondre plus rapidement que les autres postes à la demande
de corrélation entre adresse IP et adresse MAC (arp-who-has) mais en fournissant une fausse
adresse MAC. Une méthode dérivée de cette attaque est de remplir les tables ARP des
équipements du réseau pour les saturer. Le résultat rend possible l'usurpation d'une machine par
une autre machine hors des locaux de l'entreprise.

III. Les logiciels ou programmes malveillants

Parmi les multiples procédés d’attaque contre le système d’information, il convient de

réserver une place spéciale à une famille de logiciels malveillants (les anglophones ont créé à
leur intention le néologisme malware) qui se répandent en général par le réseau, soit par accès

14
direct à l’ordinateur attaqué, soit cachés dans un courriel ou sur un site Web attrayant, mais
aussi éventuellement par l’intermédiaire d’une disquette, d’une clé USB ou d’un CD-Rom. La
destination de ces logiciels est de s’installer sur l’ordinateur dont ils auront réussi à violer les
protections pour y commettre des méfaits, et aussi pour se propager vers d’autres victimes. Ce
chapitre leur sera consacré ; essayons pour commencer d’en définir et d’en dresser une
nomenclature [5].
Définitions

Un virus est un programme malveillant ou « parasite » qui s’attache à un programme

principal dont il modifie l’environnement de travail avec un objectif généralement destructeur.
Les programmes virus ont aussi la possibilité de se propager de machine en machine
directement avec le programme infecté (copie de programme), mais aujourd’hui de plus en plus
par exploitation du carnet d’adresses de la machine infectée.

1. Types de logiciels malveillants

Aujourd’hui, c’est un truisme, quiconque navigue sur l’Internet ou reçoit du courrier

électronique s’expose aux logiciels malveillants que sont les virus, les vers et quelques autres
que nous allons décrire. Comme tout le monde navigue sur l’Internet ou reçoit du courrier
électronique, il importe que chacun acquière un minimum d’information sur ces logiciels
nuisibles, ne serait-ce que pour pouvoir les nommer aux experts auxquels on demandera de
l’aide pour s’en débarrasser. C’est l’objet du petit catalogue que voici.
a) Virus

Un virus est un logiciel capable de s’installer sur un ordinateur à l’insu de son utilisateur
légitime. Le terme virus est réservé aux logiciels qui se comportent ainsi avec un but
malveillant, parce qu’il existe des usages légitimes de cette technique dite de code mobile : les
appliquettes Java et les procédures JavaScript sont des programmes qui viennent s’exécuter sur
votre ordinateur en se chargeant à distance depuis un serveur Web que vous visitez, sans que
toujours vous en ayez conscience, et en principe avec un motif légitime. Les concepteurs de
Java et de JavaScript nous assurent qu’ils ont pris toutes les précautions nécessaires pour que
ces programmes ne puissent pas avoir d’effet indésirable sur votre ordinateur, bien que ces
précautions, comme toutes précautions, soient faillibles. Les appliquettes Java s’exécutent dans
un bac à sable (sandbox) qui en principe les isole totalement du système de fichiers qui contient
vos documents ainsi que du reste de la mémoire de l’ordinateur.
En général, pour infecter un système, un virus agit de la façon suivante : il se présente sous
la forme de quelques lignes de code en langage machine binaire qui se greffent sur un
programme utilisé sur le système cible, afin d’en modifier le comportement. Le virus peut être
tout entier contenu dans ce greffon, ou il peut s’agir d’une simple amorce, dont le rôle va être
de télécharger un programme plus important qui sera le vrai virus.

15
 Une fois implanté sur son programme-hôte, le greffon possède aussi en général la capacité
de se recopier sur d’autres programmes, ce qui accroît la virulence de l’infection et peut
contaminer tout le système ; la désinfection n’en sera que plus laborieuse.

On remarque que la métaphore par laquelle ce type de programme est nommé virus n’est
pas trop fallacieuse, car les vrais virus, ceux de la biologie, procèdent de façon assez analogue
: sans trop schématiser, on peut dire qu’un virus est un fragment d’acide désoxyribonucléique
(ADN) ou d’acide ribonucléique (ARN)

b) Virus réticulaire (botnet)

La cible d’un virus informatique peut être indirecte : il y a des exemples de virus qui se
propagent silencieusement sur des millions d’ordinateurs connectés à l’Internet, sans y
commettre le moindre dégât. Puis, à un signal donné, ou à une heure fixée, ces millions de
programmes vont se connecter à un même serveur Web, ce qui provoquera son effondrement.
C’est ce qu’on appelle un déni de service distribué (Distributed Denial of Service, DDoS).

Un tel virus s’appelle en argot SSI un bot, et l’ensemble de ces virus déployés un botnet. Les
ordinateurs infectés par des bots sont nommés zombis.
c) Ver

Un ver (worm) est une variété de virus qui se propage par le réseau. Il peut s’agir d’un
bot (cf. ci-dessus). En fait, alors qu’il y a cinq ou six ans les virus n’étaient pas des vers (ils ne
se propageaient pas par le réseau) et les vers n’étaient pas des virus (ils ne se reproduisaient
pas), aujourd’hui la confusion entre les deux catégories est presque totale.
d) Cheval de Troie

Un cheval de Troie (Trojan horse) est un logiciel qui se présente sous un jour honnête, utile ou
agréable, et qui une fois installé sur un ordinateur y effectue des actions cachées et pernicieuses.
e) Porte dérobée

Une porte dérobée (backdoor) est un logiciel de communication caché, installé par
exemple par un virus ou par un cheval de Troie, qui donne à un agresseur extérieur accès à
l’ordinateur victime, par le réseau.
f) Bombe logique

Une bombe logique est une fonction, cachée dans un programme en apparence honnête,
utile ou agréable, qui se déclenchera à retardement, lorsque sera atteinte une certaine date, ou
lorsque surviendra un certain événement. Cette fonction produira alors des actions indésirées,
voire nuisibles.

16
 g) Logiciel espion

Un logiciel espion, comme son nom l’indique, collecte à l’insu de l’utilisateur légitime
des informations au sein du système où il est installé, et les communique à un agent extérieur,
par exemple au moyen d’une porte dérobée.

Une variété particulièrement toxique de logiciel espion est le keylogger (espion

dactylographique ?), qui enregistre fidèlement tout ce que l’utilisateur tape sur son clavier et le
transmet à son honorable correspondant ; il capte ainsi notamment identifiants, mots de passe
et codes secrets.

h) Courrier électronique non sollicité (spam)

Le courrier électronique non sollicité (spam) consiste en « communications électroniques

massives, notamment de courrier électronique, sans sollicitation des destinataires, à des fins
publicitaires ou malhonnêtes », selon Wikipédia. Ce n’est pas à proprement parler du logiciel,
mais les moyens de le combattre sont voisins de ceux qui permettent de lutter contre les virus
et autres malfaisances, parce que dans tous les cas il s’agit finalement d’analyser un flux de
données en provenance du réseau pour rejeter des éléments indésirables.

Les messages électroniques non sollicités contiennent généralement de la publicité, le plus

souvent pour de la pornographie, des produits pharmaceutiques destinés à améliorer les
dimensions et les performances de certaines parties du corps humain, des produits financiers ou
des procédés d’enrichissement rapide. Parfois il s’agit d’escroqueries pures et simples, qui
invitent le lecteur à accéder à un site qui va lui extorquer son numéro de carte bancaire sous un
prétexte plus ou moins vraisemblable, cela s’appelle le phishing. Rappelons la définition de
l’escroquerie par les articles L 313-1 à 313-3 du Code Pénal Français comme : « Le fait, soit
par l’usage d’un faux nom, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres
frauduleuses, de tromper une personne physique et de la convaincre à remettre des fonds, des
valeurs ou un bien quelconque ou à fournir un service ou à consentir un acte opérant obligation
ou décharge ».

2. Attaques sur le Web et sur les données

Avec la multiplication et la diversification des usages du Web, notamment pour des sites
marchands ou de façon plus générale pour des transactions financières, sont apparues de
nouveaux types d’attaques qui en exploitent les faiblesses de conception. D’autre part, des
attaquants que l’on pourrait nommer les charognards informatiques exploitent dans les
documents des zones que leurs auteurs croient avoir effacées, cependant que d’autres pillent les
disques durs des matériels de rebut.

17
 3. Principe d’action

Les virus fonctionnent en tâche fond. Lorsqu’une certaine condition (date, type d’activité...) est
réalisée, le virus effectue la tâche pour laquelle il a été programmé. Les virus peuvent altérer
les données, les diffuser vers des adresses aléatoires ou préprogrammées, modifier le
comportement du système allant de l’instabilité à la paralysie, voire à la destruction de certains
composants du système (effacement du BIOS...).
Les types de virus

IV. Solutions

Pour contrer les attaques des logiciels malveillants, plusieurs mesures peuvent être prises.
Un système de protection informatique est un ensemble des techniques permettant de se
prémunir contre les attaques et piraterie informatique, en interdisant la copie de contenus d’un
support (logiciel) ou en rendant inutilisable toute intrusion dans le système. Les systèmes de
protection informatique les plus connus sont :
▪ Les anti-virus ;
▪ Les systèmes de détection (et prévention) d’intrusion (IDS) ;
▪ Les firewalls ;
1. LES ANTI-VIRUS

Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des
logiciels malveillants (dont les virus informatiques ne sont qu'une catégorie). Ces derniers
peuvent se baser sur l'exploitation de failles de sécurité, mais il peut également s'agir de logiciels
modifiants ou supprimant des fichiers, que ce soit des documents de l'utilisateur stockés sur
l'ordinateur infecté, ou des fichiers nécessaires au bon fonctionnement de l'ordinateur (le plus
souvent ceux du système d'exploitation).
Il est intéressant de noter qu’une fois un fichier infecté, il ne l’est jamais deux fois. En
effet, un virus est programmé de telle sorte qu’il signe le fichier dès qu’il est contaminé. On
parle ainsi de signature de virus. Cette signature consiste en une suite de bits apposés au fichier.
Cette suite, une fois décelée, permettra de reconnaitre le virus. Lorsque le virus est détecté par
l’antivirus, plusieurs possibilités sont offertes pour l’éradiquer :
▪ Supprimer le fichier infecté ;
▪ Supprimer le code malicieux du fichier infecté ;
▪ Placer le ou les fichiers infectés en "quarantaine" pour un traitement futur.
Voici les anti-virus les plus populaires selon leurs finalités :
▪ Les principaux anti-virus des PC et Serveurs : AhnLab V3 Internet Security - Avast
Antivirus - AVG - Avira AntiVirus - Bitdefender - ClamWin - ClamAV - Comodo
Antivirus - Comodo Internet Security - Dr. Web - NOD32 - F-Secure - F-PROT -
Fortinet - G Data Software - Advanced SystemCare - iolo System Shield - Kaspersky
AntiVirus - Kaspersky Internet Security -KingSoft - Mac Internet Security - McAfee
18
 VirusScan - Microsoft Security Essentials - Windows Defender - Panda - 360 Safeguard
- Outpost Security Suite - Sophos - Symantec Endpoint Protection - Immunet - Element
Anti-Virus - Norton AntiVirus - Norton Internet Security - Spyware Doctor -
VirusBarrier - Trend Micro Internet Security - TrustPort - Vba32 AntiVirus - Zone
Alarm.
▪ Les principaux anti-virus des mobiles et tablettes : AhnLab Mobile Security (en) -
Avast Antivirus - AVG - Avira Free Android Security - Bitdefender Mobile Security -
CM Security - Comodo Mobile Security - Dr. Web Mobile Security Suite - ESET
Mobile Security - F-Secure Mobile Security - G Data MobileSecurity - Lookout Mobile
Security - McAfee Mobile Security - FireAMP Mobile - Trend Micro Mobile Security
- TrustPort Mobile Security - VirusBarrier.
a) FONCTIONNEMENT DE L’ANTI-VIRUS

Un logiciel antivirus vérifie les fichiers et courriers électroniques, les secteurs de démarrage
(afin de détecter les virus de boot), mais aussi la mémoire vive de l'ordinateur, les médias
amovibles (clefs USB, CD, DVD, etc.), les données qui transitent sur les éventuels réseaux (dont
internet) …. Différentes méthodes sont possibles :
▪ Les principaux antivirus du marché se concentrent sur des fichiers et comparent alors
la signature virale du virus aux codes à vérifier ;
▪ La méthode heuristique est la méthode la plus puissante, tendant à découvrir un code
malveillant par son comportement. Elle essaie de le détecter en analysant le code d'un
programme inconnu. Parfois de fausses alertes peuvent être provoquées ;
▪ L’analyse de forme repose sur du filtrage basé entre des règles rege-xp ou autres, mises
dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de
messagerie électronique supportant les rege-xp type postfix puisqu'elle ne repose pas
sur un fichier de signatures.
Les antivirus peuvent balayer le contenu d'un disque dur, mais également la mémoire vive
de l'ordinateur. Pour les anti-virus les plus modernes, ils agissent en amont de la machine en
scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux descendant (téléchargement)
que montant (téléchargement ou upload). Ainsi, les courriels sont examinés, mais aussi les
fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions
réseau, clefs USB…
b) TECHNIQUES DE DETECTION DES ANTI-VIRUS

En général, la guerre entre virus et antivirus est bien réelle. Dès qu’un groupe agit, le
camp opposé tente de trouver la parade. Pour détecter les virus, les antivirus doivent user de
plusieurs techniques spécialement :
▪ Le scanning des signatures (Dictionnaire) : La détection des virus consiste à la
recherche de ces signatures à partir d’une base de données de signatures (on parle
également de définitions de virus). Le principal avantage de cette technique est la
possible de détecter le virus avant qu’il ne soit en action. Cependant, il est nécessaire
que sa signature soit présente dans la base de données afin qu’il soit détecté. De plus, il
est nécessaire de tenir la base régulièrement à jour afin de pouvoir détecter les nouveaux
virus.

19
 ▪ Le moniteur de comportement : Il s’agit ici de contrôler en continu toute activité
suspecte telles que les lectures et écritures dans des fichiers exécutables, les tentatives
d’écriture dans les secteurs de partitions et de boot du disque.

▪ Liste blanche : est une technique de plus en plus utilisée pour lutter contre les logiciels
malveillants. Au lieu de rechercher les logiciels connus comme malveillants, on
empêche l'exécution de tout logiciel à l'exception de ceux qui sont considérés comme
fiables par l'administrateur système. En adoptant cette méthode de blocage par défaut,
on évite les problèmes inhérents à la mise à jour du fichier de signatures virales. De
plus, elle permet d'empêcher l'exécution de logiciels indésirables. Étant donné que les
entreprises modernes possèdent de nombreuses applications considérées comme fiables,
l'efficacité de cette technique dépend de la capacité de l'administrateur à établir et mettre
à jour la liste blanche. Cette tâche peut être facilitée par l'utilisation d'outils
d'automatisation des processus d'inventaire et de maintenance.

▪ Le contrôleur d’intégrité : Le principe est que l’antivirus maintienne une liste des
fichiers exécutables associés à leur taille, leur date de création, de modification, voire
un CRC (Contrôleur Redondance Cyclique). L’utilisation du CRC permet de vérifier
qu’un exécutable n’a pas été modifié en comparant sa somme de contrôle avant et après
son exécution. En effet, en dehors d’une mise à jour explicite du fichier, un fichier
exécutable n’est pas censé être modifié. Le même type de vérifications peut être instauré
avec la date et l’heure de modification. Cependant, il suffira aux virus de mémoriser ces
valeurs afin de pouvoir les restaurer par la suite.

▪ L’analyse heuristique : A la différence du moniteur de comportement qui détecte les

modifications causées par les virus, l’analyse heuristique tente de détecter les virus
avant leur exécution, en cherchant des portions de code suspectes. Il pourrait par
exemple chercher des séquences de lecture suivies de séquences d’écriture sur un même
fichier exécutable. Cette technique permet donc de détecter des virus même s’ils ne sont
pas présents dans la base de données, puisque l’analyseur teste des séquences
d’instructions communes à de nombreux virus.
c) LES SYSTEMES DE DETECTION D’INTRUSION

Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme
destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un
hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des
intrusions. Les IDS, les plus connus selon leurs différentes catégories sont :
▪ Les IDS réseau (NIDS) : Snort ; Bro ; Suricata ; Enterasys ; Check Point ; Tipping point
; etc.
▪ Les IDS système (HIDS) : AIDE ; Chkrootkit ; DarkSpy ; Fail2ban ; IceSword ; OSSEC
; Rkhunter ; Rootkit Unhooker; Tripwire ; etc.
▪ Les IDS hybride : Prelude; OSSIM ; etc.

20
 d) TYPOLOGIE DE SYSTÈMES DE DÉTECTION D'INTRUSION

Il existe trois grandes familles distinctes d’IDS :

▪ Les NIDS (Network Based Intrusion Detection System), qui surveillent l'état de la
sécurité au niveau du réseau ;
▪ Les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité
au niveau des hôtes. Les HIDS sont particulièrement efficaces pour déterminer si un
hôte est contaminé et les NIDS permettent de surveiller l’ensemble d’un réseau
contrairement à un HIDS qui est restreint à un hôte.
▪ Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes.

2. LES FIREWALLS (PARE-FEU)

Un pare-feu (parfois appelé coupe-feu, garde-barrière, barrière de sécurité, ou encore

firewall). Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu est
aussi appelé packet filter. Traduction littérale : mur de feu) est un logiciel et/ou un matériel
permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont
les types de communications autorisés sur ce réseau informatique. Le pare-feu a pour objectif
principal de surveiller et contrôler les applications et les flux de données (paquets), en
empêchant les connexions non-autorisées sur un réseau informatique ou autres. En fait, un
firewall peut être configuré à de nombreux niveaux :
▪ Niveau des adresses IP : on peut lui faire accepter les flux de données provenant d’une
plage d’adresses, ou même d’une adresse uniquement.
▪ Niveau des noms de domaine : il est également possible d’empêcher l’accès à certaines
adresses Internet.
▪ Niveau des protocoles : pour empêcher tout transfert FTP, tout accès Telnet, ou encore
pour éviter le surf sur Internet (HTTP).
▪ Niveau des ports : pour supprimer le FTP, on peut refuser les connexions sur le port 21.
▪ Niveau des mots ou phrases : semblable aux expressions régulières, il est possible de
refuser les paquets dont le contenu renferme des séquences de lettres données.

Figure 2 : Structure d'un pare feu

21
 Chapitre 3 : La cryptographie

Objectif général : dans ce chapitre, il sera question pour l’étudiant de maîtriser les notions de
bases en matière d’attaques informatiques.
Objectifs spécifiques :
▪ Définir les termes clés
▪ Citer les types d’attaques et leurs moyens d’actions
▪ Présenter quelques virus et leurs principes de fonctionnement

I. Rappels mathématiques

1. Arithmétique

II. Quelques définitions

22
 Chapitre 4 : Quelques notions sur la cybersécurité

Objectif général : dans ce chapitre, il sera question pour l’étudiant de maîtriser les notions de
bases en matière d’attaques informatiques.
Objectifs spécifiques :
▪ Définir les termes clés
▪ Citer les types d’attaques et leurs moyens d’actions
▪ Présenter quelques virus et leurs principes de fonctionnement

23