MALWARES ET ATTAQUES RÉSEAU

Activité 1 - IDENTIFICATION DES DIFFERENTS TYPES DE MALWARES

1. Qu’est ce qu’un virus ?

Un virus est un petit programme malveillant caché dans un autre programme, qui se charge en mémoire et
exécute les instructions que son auteur a programmé. les différents types de virus :
virus mutant : sont des clones, ou plus exactement des «virus mutants», des virus ayant été réécrits par d'autres
utilisateurs afin d'en modifier leur comportement ou leur signature.
virus polymorphe : Les virus polymorphes tentent d'échapper à la détection antivirus en modifiant leurs
modèles d'octets pour chaque infection, aussi l'antivirus ne peut rechercher de constantes séquences d'octets.
rétrovirus : On appelle « rétrovirus » ou « virus flibustier » (en anglais bounty hunter) un virus ayant la capacité
de modifier les signatures des antivirus afin de les rendre inopérants.
virus du secteur d’amorçage : On appelle « virus de secteur d'amorçage » (ou virus de boot), un virus capable
d'infecter le secteur de démarrage d'un disque dur (MBR, soit master boot record)
virus transapplicatif (macros) : un tel virus peut être situé à l'intérieur d'un document Word ou Excel, et
exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers,
mais aussi d'accéder au système d'exploitation (généralement Windows).

2. Les différents types de MALWARES (logiciels malveillants)

malware définition Moyens de protection

Vers (worm) Virus capables de se multiplier dans la mémoire de antivirus
l’ordinateur infecté et de se propager vers d’autres
ordinateurs cibles.

Cheval de sont des virus permettant de créer une faille dans un -Antivirus
Troie système (généralement pour permettre à son concepteur -firewall
(trojan) de s'introduire dans le système infecté afin d'en prendre le -bouffe troyen (pour nettoyer
contrôle) après infection)

Bombe des virus capables de se déclencher suite à un événement

logique particulier (date système, activation distante, ...)

Spyware est un programme chargé de recueillir des informations sur Ne pas installer de logiciels
(espiogiciel) l'utilisateur de l'ordinateur sur lequel il est installé (on d’origine douteuse.
l'appelle donc parfois mouchard) afin de les envoyer à la anti-spywares.
société qui le diffuse pour lui permettre de dresser le profil firewall.
des internautes
Keyloggers (littéralement enregistreur de touches) est un dispositif -utiliser un anti spyware
(matériel ou logiciel) chargé d'enregistrer les frappes de -N'installez pas de logiciels dont
touches du clavier à l'insu de l'utilisateur. la provenance est douteuse,
-Soyez prudent lorsque vous
vous connectez sur un
ordinateur qui ne vous
appartient pas !
Hoax (en français canular) un courrier électronique propageant -Vigilance.
une fausse information et poussant le destinataire à -Vérifier sur des sites spécialisés
diffuser la fausse nouvelle à tous ses interlocuteurs. comme hoaxbuster.com

TAF : faites une recherche sur Internet pour définir et décrire le fonctionnement des malwares
suivants : Ransomware , Scareware , Rootkits , Adware , Phishing

1/4
 Activité 2 : IDENTIFICATION DES ATTAQUES RESEAU

3. Qu’est-ce qu’un pirate informatique (hacker)?

Personne s'introduisant dans un système informatique à l’insu de son propriétaire dans un but nuisible ou non.

4. Quels sont les différents types de pirates informatiques ?

White hat hackers -black hat hackers- grey hat hackers - script kiddies – hacktivists
5. Les attaques réseau: Les attaques réseau peuvent être classes en 3 catégories
A- les attaques de reconnaissance (Reconnaissance Attacks) : comprennent les tentatives non autorisées de
découverte et de cartographie des systèmes, des services et des vulnérabilités du réseau
B-Attaques d’accès (Access Attacks) = exploitation des vulnérabilités connues dans les services
d’authentification, dans les services web et ftp pour avoir accès aux ordinateurs cibles.
C- Attaques par Déni de Service (Denial of Service (DoS) Attacks) –mettent les ordinateurs cibles hors service.

Exemples d’attaques réseau

Attaque
Attaque par force brute (sur mot
de passe)
(Reconnaissance Attacks)
Attaque par dictionnaire (sur mot
de passe)
(Reconnaissance Attacks)
Attaque hybride (sur mot de
passe)
(Reconnaissance Attacks)
Moyens de protection ou
Explication
Atténuation
le cassage d'un mot de passe en
testant tous les mots de passe
possibles.
-Stratégie de mots de passes
le cassage d'un mot de passe en forts
testant des mots à signification - antimalware (qui detecte les
réelle keyloggers)
- respect des procédures de
Il s'agit d'une combinaison d'attaque sécurité par les utilisateurs
par force brute et d'attaque par
dictionnaire.

Attaque man in the middle consiste à écouter le réseau à l'aide

d'un outil appelé sniffer
(Access Attacks) pour exploiter ou falsifier les
données échangées.
NIDS ;Cryptage ;
Attaque par rejeu consistant à intercepter des paquets authentification ; antirejeu
de données et à les renvoyer tels
(Access Attacks) quel (sans aucun déchiffrement) au
serveur destinataire.

DoS est un type d'attaque visant à

Attaques par déni de service
rendre indisponible pendant un
temps indéterminé les services ou
ressources d'une organisation. Installer les Patchs de sécurité
Se fait par saturation ou par exploit
d’une vulnérabilité.
DDOS=DistributedDOS

créer un datagramme IP dont la

Attaque du ping de la mort
taille totale excède la taille
(DoS)
maximum autorisée (65536 octets).
Un tel paquet envoyé à un système
possédant une pile TCP/IP
vulnérable, provoquera un plantage.

2/4

Attaque par fragmentation
(Dos)
Attaque LAND
(Dos)
Attaque SYN
(DoS)
Spoofing IP.
(Reconnaissance Attacks)
Vol de session TCP (hijacking)
(Reconnaissance Attacks)
Analyse du réseau (sniffers)
(Reconnaissance Attacks)
Balayage de ports (scanners de
vulnérabilités)
(Reconnaissance Attacks)
Arnaques - Ingénierie sociale
(Reconnaissance Attacks)
Consiste à insérer dans des paquets
fragmentés des informations de
décalage erronées. Ainsi, lors du
réassemblage il existe des vides ou
des recoupements (overlapping),
pouvant provoquer une instabilité
du système.
consiste ainsi à envoyer un paquet
possédant la même adresse IP et le
même numéro de port dans les
champs source et destination des
paquets IP pour planter le
destinataire vulnérable.
SYN consiste à envoyer un grand
nombre de requêtes SYN à un hôte
avec une adresse IP source
inexistante ou invalide. Ainsi, il est
impossible que la machine cible
reçoive un paquet ACK.
Si les ressources utilisées par la
machine cible pour stocker les
requêtes en attente sont épuisées,
elle risque d'entrer dans un état
instable pouvant conduire à un
plantage ou un redémarrage
Consistant à remplacer l'adresse IP
de l'expéditeur d'un paquet IP par
l'adresse IP d'une autre machine.
Cette technique permet ainsi à un
pirate d'envoyer des paquets
anonymement
Ou de contourner un parefeu
technique consistant à intercepter
une session TCP initiée entre deux
machine afin de la détourner.
Outils qui captent et analysent le
Cryptage ; segmentation du
trafic réseau (etherreal ; tcpDump..)
réseau ; détecteurs de sniffers ;
réduire la puissance des
équipements sans fil
utilitaire permettant de réaliser un
audit de sécurité d'un réseau en
effectuant un balayage des ports
ouverts
Il s'agit ainsi d'une technique
consistant à obtenir des
informations de sécurité de la part
des utilisateurs par téléphone,
courrier électronique, courrier
traditionnel ou contact direct.
3/4

Phishing (hameçonnage)
(Reconnaissance Attacks)
Attaques du protocole DHCP
Attaque par épuisement de
ressources
Faux serveurs DHCP
Attaques du protocole DNS
Le DNS ID spoofing
Le DNS cache poisoning
Attaques du protocole FTP
serveur FTP anonyme
Boucing attack - Attaque par
rebonds
technique d'« ingénierie sociale »
c'est-à-dire consistant à exploiter
non pas une faille informatique mais
la « faille humaine » en dupant les
internautes par le biais d'un courrier
électronique semblant provenir
d'une entreprise de confiance,
typiquement une banque ou un site
de commerce.
Explication Moyens de protection
Le pirate génère un grand nombre
de requêtes DHCP semblant venir
d’un grand nombre de clients Utiliser les réservations DHCP
différents, le serveur épuisera vite
son stock d’adresses
Le pirate peut activer un faux
serveur DHCP à la place du vrai il Utiliser les serveurs DHCP
autorisés
pourra ainsi contrôler tout le trafic
réseau.
Explication Moyens de protection
Consiste à envoyer une fausse
réponse à une requête DNS avant le
serveur DNS. De cette façon, le
pirate peut rediriger vers lui le trafic -Installer régulièrement les
à destination d’une machine qu’il MAJ de sécurité.
-Autoriser uniquement les
l’intéresse.
requêtes provenant de vos
machines.
Consiste à empoisonner le cache
d’un serveur DNS avec de fausses
informations
Explication Moyens de protection
Serveur acceptant les connexions ftp
-Pas de serveur ftp anonyme
anonymes
-Utiliser sftp
consistent à utiliser un serveur FTP
-Utiliser un firewall pour filtrer
anonyme comme relais pour se l’accès au ftp
connecter à d’autres serveurs FTP
4/4