Securité Informatique ch2

ATTAQUES ET
CLASSIFICATION
Aspects de la sécurité : services
Authentification
Intégrité Non répudiation
Confidentialité Disponibilité
21/10/2022
Authentification
Assurer l’identité d’un objet quelque soit son type : personne,

serveur, application ou tout système informatique
21/10/2022
Envoi de la requête + vérification de la Succès de la vérification + entité
légitimité de l’entité authentifiée + envoi de la réponse
Identifiant login Mot de
Nom et Identifiant login Mot de
unique passe
prénom unique passe
179 harryUp A256G
Harry 179 harryUp A256G_ _
Potter 184 Hermione JH567
Hermione 184 Hermione JH567 4 3
Granger 6
206 Ron LOPM
Ronald 206 Ron LOPM
Weasley 025 Dragon NHG67
Drago 025 Dragon NHG67 1
Malefoy 011 DoDo MP97G
Dolores 011 DoDo MP97G

Ombrage 5
Base
….. ….. ….. … de
données
Serveur d’Authentification
2
Authentification + Autorisation
Nom et Identifiant login Mot de Autorisation
prénom unique passe du groupe
Harry 179 harryUp A256G_ Gryffondor Serveur d’Authentification

Potter
Hermione 184 Hermione JH567 Gryffondor
Granger
Ronald 206 Ron LOPM Gryffondor
Weasley
Drago 025 Dragon NHG67 Serpenta
Malefoy
Serveur d’autorisation
Dolores 011 DoDo MP97G Serpenta
Ombrage
Après authentification, Harry n’est
….. ….. ….. … autorisé qu’à accéder au groupe
Gryffondor
Non répudiation
Impossibilité pour une personne ou pour toute autre entité

engagée dans une communication par voie informatique, de nier
avoir reçu ou émis un message.
Non répudiation
Bonjour Harry, peux-tu m’envoyer le cours de

maths
Bonjour Ron, d’accord.

Répudiation
Tu es toujours nul Harry
Pourquoi tu me dis ça Ron ?
Dis quoi exactement ?
Tu viens de me dire que je suis nul!
Jamais, je n’ai pas envoyé de

message
Disponibilité Confidentialité Intégrité
Assurer que les

services ou Assurer qu’une Garantir qu’un objet
l’information soient information ne soit (document, fichier,
utilisable et pas compromise par message) ne soit
accessible par les un tiers qui n ’est modifié durant la
utilisateurs pas autorisé communication
autorisés
21/10/2022
Aspects de la sécurité Actions exécutées pour
casser les services de la
sécurité en détournant les
mécanismes
Attaques
(2)
Services
(1) Mécanismes
(3)
Fonctionnalités requises
pour assurer un Moyens utilisés pour
environnement sécurisé en assurer les services de la
faisant appel aux sécurité en luttant contre
mécanismes les attaques
Classification des attaques : standard X.800
On distingue deux types d’attaques :

Les attaques passives et les attaques actives
21/10/2022
Attaques passives
- Espionnage : L’adversaire écoute l’information transmise.
- Analyse de trafic : L’adversaire observe qui transmet à qui et la quantité

d’information transmise.
21/10/2022
Attaques passives
- L’attaquant cherche :
- Des adresses IP importantes But : Collecte et

- Architecture du réseau reconnaissance des
- Emplacement des nœuds informations pour
- Informations d’authentification exploitation
- Information secrète
21/10/2022
Attaques passives : outils et techniques
Détecter le mot de passe avec renifleur du réseau Wireshark
21/10/2022
aspirateur de sites web : HTTrack
Une copie du site web comprendra

l’ensemble des pages, liens, images
et code du site d’origine.
Nous pouvons explorer et fouiller de

fond en comble le site web hors
connexion, sans avoir à passer du
temps à nous balader sur le serveur
web de l’entreprise.
21/10/2022
opérateurs Google – Google Dorks : Google Hacking ou Google Dorks
Google Dorks c'est l'ensemble des

possibilités de recherches avec la
syntaxe propre à Google, et qui
permet de faire du hacking de sites
web ou d'application web ou SaaS.
21/10/2022
opérateurs Google – Google Dorks : Google Hacking ou Google Dorks
- Trouver des informations
sensibles (des mails stockés en
ligne, des mots de passe, ...).
- Trouver des pages

d'authentification d'application
web.
- Trouver du matériel connecté à

Internet (caméras vidéo, routeurs
internet, imprimantes, mais aussi
matériel industriel, ...).
- Trouver des serveurs web mal

configurés, ou installés par défaut.
21/10/2022
Identifier les adresses électroniques et sous-domaines
Script Python il permet de cataloguer

rapidement et précisément les
adresses de courrier électronique et
les sous-domaines directement liés à
la cible.
21/10/2022
Exploiter les résolutions DNS nslookup
permet d’interroger les serveurs

DNS et d’obtenir des
enregistrements sur les différents
hôtes qu’ils connaissent.
21/10/2022
Scans : ping
Ping : tester la présence d’une

machine sur le réseau en envoyant
des paquets de type ICMP Echo.
21/10/2022
Scans de ports : nmap, Netcat, SolarWinds Port Scanner
identifier les ports ouverts et

déterminer les services actifs sur le
système cible.
21/10/2022
Identifier les ports ouverts et

déterminer les services actifs sur le
système cible.
Un port est un emplacement virtuel

au niveau duquel les communications
commencent et se terminent.
21/10/2022
Les ports TCP et UDP
•En envoyant un paquet à une adresse IP, la machine sait vers quel port l’acheminer en
fonction de l’application utilisée ou du contenu du paquet. Chaque service s’exécutant sur la
machine doit « écouter » un port spécifique. Les 1 023 premiers ports TCP sont dédiés aux
applications les plus connues comme FTP (21), HTTP (80) ou encore SSH (22). Les
ports TCP 1024 à 49151 peuvent être utilisés par des services ou applications. Les
ports 49152 et suivants sont totalement libres.
21/10/2022
Un scanner de ports envoie un paquet

réseau TCP ou UDP demandant à un port
quel est son statut. Trois réponses sont
possibles :
1.Ouvert, accepté : l’ordinateur répond

et demande s’il peut faire quelque chose
pour vous.
2.Fermé, n’écoute pas : l’ordinateur

répond que le port est en cours
d’utilisation et indisponible pour le
moment.
3.Filtré, ignoré, bloqué : l’ordinateur ne

répond pas du tout.
21/10/2022
Attaques actives
Sont plus faciles à détecter, mais difficiles à éviter. ;
- Usurpation d’identité
- Rejeu
- Modification des messages
- Interruption du service (déni de service)
21/10/2022
Attaques actives – usurpation d’identité
- Une entité prétend être légitime.

- Elle est l’origine des attaques actives : elle inclut les autres formes
d'attaques actives (rejeu, modification et déni de service).
21/10/2022
Attaque ARP spoofing
Rappel : Principe du protocole ARP
Le protocole ARP (Address Resolution Protocol)
permet à la couche liaison de données de trouver
l’adresse MAC à partir de l’adresse IP grâce à la
table ARP.
Pour trouver l’adresse MAC correspondante à
l’adresse IP « 192.168.52.2 », ARP de la machine
« 192.168.52.1 » envoie à toutes les machines un
message (broadcast/diffusion) de type :
Quelle est l’adresse MAC de 192.168.52.2 ?

Répondre à 192.168.52.1
La machine «192.168.52.2 » répond par un

message (unicast) du type :
192.168.52.2 à l’adresse MAC 03-CA-4B-2C-13-
8A 21/10/2022
Cette attaque intervient lorsqu’une machine pirate communique une fausse information à une
machine victime.
- Machine A (IP_A, MAC_A) communique avec la machine B (IP_B, MAC_B), en présence

d’une machine pirate P.
21/10/2022
La machine « P » envoie une réponse ARP à la machine « A » lui demandant de mettre à jour
sa table ARP avec « IP_B → MAC P ».
21/10/2022
Lorsque la machine « A » envoie un message à l’adresse IP_B, ce dernier sera envoyé vers
l’adresse MAC_P (et pas à MAC_B).
La machine pirate « P » peut faire la même chose avec la machine « B » en lui envoyant une
fausse information ARP.
21/10/2022
Les tables ARP des machines « A » et « B » étant erronées, les messages entre « A » et
« B » seront reçus par la machine « P ».
21/10/2022
Attaques actives – Rejeu (Replay)
- Réalisée en deux phases :
- 1- la capture passive d’un message
- 2- la retransmission ultérieure de ce message pour produire un effet non
autorisé
- Exemple : Rejeu d’une transaction bancaire
21/10/2022
Attaques actives – modification des messages
Implique la modification du contenu du message original ou que les

messages sont réordonnés pour produire un effet non autorisé
21/10/2022
Attaque SQL injection
Cette attaque insère un code

SQL dans les requêtes réalisées
entre le serveur web et la base
de données.
elle peut contourner les
formulaires d’authentification ou
même détruire toute la base de
données.
21/10/2022
L’attaquant peut fournir les informations suivantes :
- Nom d’utilisateur : « Ali’;-- »
- Mot de passe : n’importe quelle valeur
- La requête sera exécutée comme indiquée dans la figure ci-dessous.
21/10/2022
Les caractères « -- » marquent le début d’un commentaire en langage SQL, la requête est
équivalente à :
Résultat : l’attaquant peut se connecter avec n’importe quel mot de passe.
21/10/2022
La construction de la requête par concaténation de chaînes. On peut injecter le mot de passe
malveillant pour contourner la connexion dans la requête. Une fois la concaténation de chaînes
effectuée,
La clause WHERE de la requête devient :
21/10/2022
Si l'on considère ce qui suit :
•AND a la priorité sur OR (vrai pour la plupart des implémentations SQL)
• password = 'idontknow’ est FALSE pour l'e-mail donné
•1=1 est toujours TRUE
on peut réduire la clause WHERE comme suit :
21/10/2022
Attaques actives – déni de service
-interrompre ou dégrader le service d’un réseau.

- Perturber le réseau ou toute entité en les submergeant avec des
messages inutiles de manière à dégrader leur performance.
21/10/2022
Attaques DOS et DDOS
Attaque DOS
Cette attaque est réalisée par une seule machine afin d’exploiter une
vulnérabilité logicielle ou inonder une cible par de fausses requêtes,
généralement dans le but d'épuiser les ressources du serveur.
Attaque DDOS
Une attaque provenant de plusieurs sources à la fois. L’attaquant peut

communiquer avec d'autres machines pour coopérer ensemble et lancer une
attaque sur le serveur.
Attaque DDOS
Cette attaque provoque l’inondation du serveur par des requêtes qu’il ne peut
plus les traiter. Par conséquent, les ressources du serveur sont épuisées
(RAM, CPU, bande passante du réseau)
Comment l’attaquant peut impliquer les autres machines ?
L'attaquant développe un
programme malveillant
(malware) et le distribue
sur Internet en le
plaçant dans des sites
Web, des e-mails avec
pièces jointes
malveillantes.
Lorsque’ une machine

vulnérable accède à ces
sites Web infectés ou
ouvre ces pièces jointes
malveillantes, le malware
sera installé sans même
que le propriétaire sache
que son ordinateur a été
infecté.
Maintenant, les machines infectées

sont recrutées dans une armée pour
effectuer une attaque DDOS. Cette
armée s'appelle botnet ou réseau
zombie.
Ce botnet n'est pas seulement limité à
quelques ordinateurs, ils peuvent être
des centaines ou même des milliers
d'ordinateurs dispersés dans le monde
entier.
l'attaquant contrôle ce botnet et
envoie des commandes à tous les bots
en choisissant la date et l’heure de
l’attaque.
L'attaque DDOS peut durer des
heures ou des jours
Type d’attaque DDOS : Attaque de la couche application : HTTP flood
L’attaquant exploite des requêtes

HTTP GET ou POST apparemment
légitimes pour attaquer un serveur
Web ou une application.
Cette attaque peut être comparée à

une situation où l'on actualisera d’une
façon constante un navigateur web sur
de nombreux ordinateurs différents à
la fois. Cela donne lieu à un grand
nombre de requêtes HTTP qui
submergent le serveur, provoquant un
déni de service.
Type d’attaque DDOS : Attaque de la couche réseau : SYN flood
Processus d’établissement de liaison d’une
connexion TCP
1. le client envoie un paquet SYN au serveur afin

d’établir la connexion.
2.Le serveur répond à ce paquet initial avec un

paquet SYN/ACK, afin d’accuser réception de la
communication.
3.Enfin, le client renvoie un paquet ACK pour

accuser réception du paquet provenant du
serveur.
4.Après avoir terminé cette séquence d’envoi et

de réception de paquets, la connexion TCP est
ouverte et capable d’envoyer et de recevoir des
données.
Pour créer un déni de service, un pirate exploite

le fait qu’après réception d’un paquet SYN initial,
le serveur répond avec un ou plusieurs paquets
SYN/ACK et attend l’étape finale du handshake.
1.Le pirate envoie un volume élevé de paquets

SYN au serveur ciblé, souvent avec des adresses
IP usurpées.
2.Le serveur répond ensuite à chacune des

demandes de connexion et laisse un port ouvert
prêt à recevoir la réponse.
3. Pendant que le serveur attend le dernier

paquet ACK, qui n’arrive jamais, le pirate
continue d’envoyer plus de paquets SYN.
L’arrivée de chaque nouveau paquet SYN
oblige le serveur à maintenir temporairement
une nouvelle connexion de port ouverte
pendant un certain temps, et une fois que
tous les ports disponibles ont été utilisés, le
serveur ne peut plus fonctionner
normalement.
Comparaison entre attaque passive et attaque active
21/10/2022
Comparaison entre attaque passive et attaque active
21/10/2022
Autre type de classification : Modélisation des menaces
Modélisation des menaces : threat modeling
Utilisé pour identifier et éliminer les vulnérabilités potentielles avant qu’une seule
ligne de code ne soit écrite. L’utilisation de méthodologies de modélisation des
menaces devrait être la première étape vers la création de réseaux, de systèmes et
d’applications qui seront sécurisés par conception.
21/10/2022
STRIDE – Méthodologie de modélisation des menaces
21/10/2022
21/10/2022
Spoofing identity – Usurpation d’identité
Se produit lorsque le pirate informatique prétend être une autre

personne, assumant l’identité et les informations contenues dans cette
identité pour commettre une fraude.
Exemple : e-mail envoyé à partir d’une adresse mail falsifiée.
Les identités falsifiées peuvent inclure à la fois des identités humaines et

techniques. Grâce à l’usurpation d’identité, le pirate informatique peut
accéder via une seule identité vulnérable pour ensuite exécuter une
cyberattaque beaucoup plus importante.
21/10/2022
Spoofing identity – Usurpation d’identité
21/10/2022
Tampering – altération des données
Se produit lorsque des données ou des informations sont modifiées sans

autorisation.
Les moyens par lesquels un acteur malveillant peut exécuter une falsification
peuvent consister à modifier un fichier de configuration pour prendre le
contrôle du système, à insérer un fichier malveillant ou à supprimer/modifier
un fichier journal.
Une journalisation et un stockage appropriés sont essentiels pour prendre en

charge la surveillance des fichiers.
21/10/2022
Tampering – altération des données
21/10/2022
Répudiation
Les menaces de répudiation surviennent lorsqu’un acteur malveillant effectue

une opération illégale ou malveillante dans un système, puis nie son implication
dans l’attaque. Dans ces attaques, le système n’a pas la capacité de tracer
réellement l’activité malveillante pour identifier un pirate informatique.
Les attaques de répudiation sont relativement faciles à exécuter sur les

systèmes de messagerie, car très peu de systèmes vérifient la validité du
courrier sortant. La plupart de ces attaques commencent comme des attaques
d’accès.
21/10/2022
Information disclosure - Divulgation d’informations
La divulgation d’informations est également connue sous le nom de fuite

d’informations. Cela se produit lorsqu’une application ou un site Web révèle
involontairement des données à des utilisateurs non autorisés.
•Révéler les noms des répertoires cachés, leur structure et leur contenu
Fournir un accès aux fichiers de code source via des sauvegardes temporaires
•Mentionner explicitement les noms de table ou de colonne de base de
données dans les messages d'erreur
•Exposer inutilement des informations hautement sensibles, telles que les
détails de la carte de crédit
21/10/2022
Information disclosure - Divulgation d’informations
21/10/2022
Denial of Service- Déni de service
Les attaques par déni de service (DoS) empêchent un utilisateur autorisé d’accéder
aux ressources auxquelles il devrait pouvoir accéder.
Les attaques DoS deviennent plus importantes et plus fréquentes, avec environ 12,5
millions d’armes DDoS détectées en 2020.
Cela démontre les volumes qu’un attaquant disposant de ressources suffisantes peut
atteindre
21/10/2022
Elevation of privilege - élévation de privilèges
Grâce à l’élévation des privilèges, un utilisateur autorisé ou non autorisé dans

le système peut accéder à d’autres informations qu’il n’est pas autorisé à voir.
Un exemple de cette attaque pourrait être aussi simple qu’un contrôle

d’autorisation manqué, ou même une élévation par falsification de données où
l’attaquant modifie le disque ou la mémoire pour exécuter des commandes non
autorisées.
21/10/2022

Securité Informatique ch2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securité Informatique ch2

Transféré par

Droits d'auteur :

Formats disponibles

ATTAQUES ET

Intégrité Non répudiation

Assurer l’identité d’un objet quelque soit son type : personne,

Dolores 011 DoDo MP97G

Harry 179 harryUp A256G_ Gryffondor Serveur d’Authentification

Impossibilité pour une personne ou pour toute autre entité

Bonjour Harry, peux-tu m’envoyer le cours de

Bonjour Ron, d’accord.

Tu es toujours nul Harry

Pourquoi tu me dis ça Ron ?

Dis quoi exactement ?

Tu viens de me dire que je suis nul!

Jamais, je n’ai pas envoyé de

Assurer que les

On distingue deux types d’attaques :

- Espionnage : L’adversaire écoute l’information transmise.

- Analyse de trafic : L’adversaire observe qui transmet à qui et la quantité

- Des adresses IP importantes But : Collecte et

Une copie du site web comprendra

Nous pouvons explorer et fouiller de

Google Dorks c'est l'ensemble des

- Trouver des pages

- Trouver du matériel connecté à

- Trouver des serveurs web mal

Script Python il permet de cataloguer

permet d’interroger les serveurs

Ping : tester la présence d’une

identifier les ports ouverts et

Identifier les ports ouverts et

Un port est un emplacement virtuel

Les ports TCP et UDP

Un scanner de ports envoie un paquet

1.Ouvert, accepté : l’ordinateur répond

2.Fermé, n’écoute pas : l’ordinateur

3.Filtré, ignoré, bloqué : l’ordinateur ne

Sont plus faciles à détecter, mais difficiles à éviter. ;

- Une entité prétend être légitime.

Quelle est l’adresse MAC de 192.168.52.2 ?

La machine «192.168.52.2 » répond par un

- Machine A (IP_A, MAC_A) communique avec la machine B (IP_B, MAC_B), en présence

Implique la modification du contenu du message original ou que les

Cette attaque insère un code

- Nom d’utilisateur : « Ali’;-- »

- Mot de passe : n’importe quelle valeur

- La requête sera exécutée comme indiquée dans la figure ci-dessous.

Résultat : l’attaquant peut se connecter avec n’importe quel mot de passe.

-interrompre ou dégrader le service d’un réseau.

Une attaque provenant de plusieurs sources à la fois. L’attaquant peut

Lorsque’ une machine

Maintenant, les machines infectées

L’attaquant exploite des requêtes

Cette attaque peut être comparée à

1. le client envoie un paquet SYN au serveur afin

2.Le serveur répond à ce paquet initial avec un

3.Enfin, le client renvoie un paquet ACK pour

4.Après avoir terminé cette séquence d’envoi et

Pour créer un déni de service, un pirate exploite

1.Le pirate envoie un volume élevé de paquets

2.Le serveur répond ensuite à chacune des

3. Pendant que le serveur attend le dernier

Spoofing identity – Usurpation d’identité

Se produit lorsque le pirate informatique prétend être une autre

Exemple : e-mail envoyé à partir d’une adresse mail falsifiée.