Académique Documents
Professionnel Documents
Culture Documents
Département d’informatique
ISTA-LUBUMBASHI
SECURITE INFORMATIQUE
Nombre d’heures : (30+15) H
2. TITULAIRE DU COURS
3. METHODES
4. OBJECTIFS DU COURS
L’objectif général de ce cours est de fournir aux étudiants ayant participés
à cet enseignement, des méthodes et techniques de conception et des
réalisations de protections des systèmes informatiques afin de les
permettre d’intégrer les différentes notions et concepts de la sécurité dans
la mise en place des systèmes informatiques dont ils sont (seront) appelés
à implémenter dans leurs activités quotidiennes.
2
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Appréhender d’une façon générale, les notions liées à la cryptographie et
à la cryptanalyse des informations des systèmes traditionnels jusqu’aux
systèmes dits modernes (informatiques), en y appliquant les méthodes
correspondantes ;
Objectifs du cours
Comprendre la notion sur les attaques informatiques dans un
système d’information ;
Informer les étudiants à utiliser les certificats et la cryptographie à
clés publiques pour chiffrer les données ;
Former l’étudiant à utiliser les outils de sécurité capable de tester
ou de sécuriser les réseaux et les systèmes d’information ;
- Méthode participative,
- Le cours magistral,
- L’étude et recherche personnelle,
- La présence individuelle,
- Travaux pratiques en classe ou à domicile (en groupe ou individuelle),
- Interrogations : méthode classique et / ou choix multiple à chaque fin de
deux chapitres,
- Examen : méthode classique et / ou choix multiple.
PLAN DU COURS
1. Les anti-virus
2. Les systèmes de détection d’intrusion
3. Les firewalls (pare-feu)
4
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
CHAPITRE I. INTRODUCTION A LA SECURITE INFORMATIQUE
I.1. LES ENJEUX DE LA SECURITE DES SYSTEMES d’information
a. Système d’information
La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour réduire la
vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles.
L’objectif de la sécurité informatique est d’assurer que les ressources matérielles et/ou
logicielles d’un parc informatique sont uniquement utilisées dans le cadre prévu et par
des personnes autorisées.
La sécurité a pour objectif de réduire les risques pesant sur le système d’information,
pour limiter leurs impacts sur le fonctionnement et les activités métiers des
organisations…
5
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
La gestion de la sécurité au sein d’un système d’information n’a pas pour objectif de
faire de l’obstruction. Au contraire :
- Elle contribue à la qualité de service que les utilisateurs sont en
droit d’atteindre ;
- Elle garantit au personnel le niveau de protection qu’ils sont en droit
d’atteindre ;
6
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Par contre, d’autres sont souvent méconnues comme les obligations et responsabilités
légales des dirigeants d’entreprise dans l’exploitation et la maîtrise de leur système
d’information.
Ces exigences impliquent la mise en place d’une protection des systèmes sous la
forme d’une politique de sécurité avec :
• L’élaboration de règles et procédures,
• La définition des actions à entreprendre et des personnes responsables,
• La détermination du périmètre concerné.
Ce périmètre comprend à la fois les données aussi bien sous forme électronique que
papier (fichiers, messages…), les transactions dans les réseaux, les applications
logicielles et bases de données. Il ne faut pas oublier l’aspect continuité des services
du traitement de l’information et les plans de reprise d’activité après sinistre.
Une majorité des actes de délinquance réalisés sur Internet sont commis par des
groupes criminels organisés, professionnels et impliquant de nombreux acteurs à
savoir :
Des groupes spécialisés dans le développement de programmes
malveillants et virus informatiques ;
Des groupes en charge de l’exploitation et de la commercialisation de
services permettant de réaliser des attaques informatiques ;
Un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit des
hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes d’une
attaque et dont les serveurs sont contrôlés par des pirates ;
Des groupes en charge de la vente des données volées, et principalement
des données de carte bancaire ;
Des intermédiaires financiers pour collecter l’argent qui s’appuient
généralement sur des réseaux de mules.
La sécurité des données couvre quatre objectifs principaux, et est représentée sous
forme d’acronymes (D.I.C.P) :
8
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
• La disponibilité est l’assurance que les personnes autorisées ont accès à
l’information quand elles le demandent ou dans les temps requis pour son
traitement.
• L’intégrité est la certitude de la présence non modifiée ou non altérée d’une
information et de la complétude des processus de traitement.
Pour les messages échangés, il concerne la protection contre l’altération
accidentelle ou volontaire d’un message transmis.
• La confidentialité est l’assurance que l’information n’est accessible qu’aux
personnes autorisées, qu’elle ne sera pas divulguée en dehors d’un
environnement spécifié. Elle traite de la protection contre la consultation de
données stockées ou échangées. Cela est réalisable par un mécanisme de
chiffrement pour le transfert ou le stockage des données.
• La preuve consiste à garantir que l’émetteur d’une information soit bien identifié
et qu’il a les droits et les accès logiques, que le récepteur identifié est bien
autorisé à accéder à l’information.
9
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Les objectifs de base peuvent être traités sous la forme de solutions de sécurité sous
la forme de matériels, de logiciels, de procédures, de support opérationnel pour :
Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur
une échelle permet de déterminer si ce bien est correctement sécurisé.
Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très
fort) :
Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes
niveaux de DICP. Exemple avec un site institutionnel simple (statique) d’une entreprise
qui souhaite promouvoir ses services sur internet :
10
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
c. Mécanisme de sécurité pour atteindre les besoins DICP
11
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
I.3. NOTIONS DE VULNERABILITE, MENACE, ATTAQUE
a. Notion de « vulnérabilités »
La vulnérabilité est une faille dans les actifs, les contrôles de sécurité technique ou les
procédures d’exploitation ou d’administration utilisées dans l’entreprise. Elle consiste,
en général, en une faiblesse dans la protection du système, sous la forme d’une
menace qui peut être exploitée pour intervenir sur l’ensemble du système ou d’un intrus
qui s’attaque aux actifs.
b. Notions de « menaces »
Une menace est quelqu’un ou quelque chose qui peut exploiter une vulnérabilité pour
obtenir, modifier ou empêcher l’accès à un actif ou encore le compromettre. Elle existe
en corrélation avec des vulnérabilités. Il peut y avoir aussi plusieurs menaces pour
chaque vulnérabilité. La connaissance des différents types de menaces peut aider
dans la détermination de leur dangerosité et des contrôles adaptés permettant de
réduire leur impact potentiel.
La menace est une source effective d’incidents pouvant entraîner des effets
indésirables et graves sur un actif ou un ensemble d’actifs, l’entreprise par elle-même.
12
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Les menaces peuvent être classées par :
• Origine ou source,
• Type,
• Motivation, action.
c. Notion de « risque »
Le risque est la possibilité qu’une chose critique apparaisse. Son évaluation permet
d’établir des actions pour réduire et maintenir la menace à un niveau raisonnable et
acceptable.
Les risques peuvent être qualifiés selon leurs origines (externes ou internes).
• Les risques externes :
- Les attaques non ciblées. Toute entreprise est concernée par l’agression
13
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
• Les postes nomades : ordinateurs portables, assistants numériques de poche,
téléphones évolués portables (Smart phones).
• Des infrastructures, services et applications mal protégés.
• Un plan de sauvegarde ou de secours informatique inexistant ou non
opérationnel.
L’impact d’un risque
Il peut être exprimé par les conséquences ou les préjudices affectant un actif : atteinte
à l’intégrité, perte de disponibilité, atteinte à l’image de marque, perte de chiffre
d’affaires.
Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une attaque
représente la concrétisation d’une menace, et nécessite l’exploitation d’une
vulnérabilité.
Une attaque ne peut donc avoir lieu (et réussir) que si le bien est affecté par une
vulnérabilité.
Ainsi, tout le travail des experts sécurité consiste à s’assurer que le S.I. ne
possède aucune vulnérabilité.
14
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces vulnérabilités
plutôt que de viser un objectif 0 inatteignable.
15
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Virus polymorphes – Ils se cachent dans divers cycles de chiffrement
et de déchiffrement. Le virus chiffré et un moteur de mutation associé
sont initialement déchiffrés par un programme de déchiffrement. Le
virus infecte ensuite une zone de code. Le moteur de mutation
développe alors une nouvelle procédure de déchiffrement, le virus
chiffre le moteur de mutation et une copie du virus avec un algorithme
correspondant à la nouvelle procédure de déchiffrement. Le package
chiffré constitué du moteur de mutation et du virus est attaché au
nouveau code, et le processus se répète. De tels virus sont difficiles à
détecter, mais ils ont un haut niveau d’entropie en raison des
nombreuses modifications de leur code source. Un logiciel antivirus ou
des outils gratuits comme Process Hacker peuvent utiliser cette
particularité pour les détecter.
Virus furtifs – Ils prennent le contrôle de certaines fonctions du
système pour se dissimuler. Pour ce faire, ils compromettent les
logiciels de détection des logiciels malveillants de telle sorte que ceux-
ci signalent qu’une zone infectée n’est pas infectée. Ces virus
masquent toute augmentation de la taille d’un fichier infecté ou toute
modification de la date et de l’heure de la dernière modification du
fichier.
Chevaux de Troie – Ce sont des programmes qui se cachent dans un
programme utile et qui ont généralement une fonction malveillante.
Une différence majeure entre les virus et les chevaux de Troie est que
ces derniers ne se répliquent pas d’eux-mêmes. En plus de lancer des
attaques contre un système, un cheval de Troie peut établir une porte
dérobée qui peut être exploitée par des attaquants. Par exemple, un
cheval de Troie peut être programmé pour ouvrir un port à numéro
élevé afin que le pirate l’utilise pour écouter puis exécuter une attaque.
Bombe logique – Il s’agit d’un type de logiciel malveillant ajouté à une
application et qui est déclenché par un événement spécifique, comme
une condition logique ou une date et une heure spécifiques.
Vers – Ils diffèrent des virus en ce qu’ils ne s’attachent pas à un fichier
hôte, ce sont des programmes autonomes qui se propagent sur les
réseaux et les ordinateurs. Les vers se propagent généralement via les
16
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
pièces jointes aux e-mails : l’ouverture de la pièce jointe active le
programme du ver. Pour un exploit typique, le ver envoie une copie de
lui-même à chaque contact e-mail de l’ordinateur infecté. En plus de
mener des activités malveillantes, un ver qui se propage sur Internet
et surcharge les serveurs de messagerie peut entraîner des attaques
par déni de service contre des nœuds du réseau.
Injecteurs – Ce sont des programmes utilisés pour installer des virus
sur les ordinateurs. Dans de nombreux cas, l’injecteur n’est pas infecté
par un code malveillant et peut donc ne pas être détecté par un logiciel
antivirus. Un injecteur peut également se connecter à Internet et
télécharger des mises à jour de logiciel antivirus se trouvant sur un
système compromis.
Rançongiciels (ransomware) – Il s’agit d’un type de logiciel
malveillant qui bloque l’accès aux données de la victime et menace de
les publier ou de les supprimer à moins qu’une rançon ne soit versée.
Si un rançongiciel simple peut verrouiller le système d’une manière qui
n’est pas difficile à réparer pour une personne bien informée, un
rançongiciel plus avancé utilisera une technique appelée extorsion
cryptovirale, qui chiffre les fichiers de la victime de manière à les rendre
presque impossible à récupérer sans la clé de déchiffrement.
Logiciels publicitaires (adware) – Ce sont des applications
logicielles utilisées par les entreprises à des fins de marketing ; des
bannières publicitaires sont affichées pendant l’exécution d’un
programme. Les logiciels publicitaires peuvent être téléchargés
automatiquement sur votre système lorsque vous naviguez sur un site
Web quelconque et peuvent s’afficher dans des fenêtres contextuelles
ou dans une barre qui apparaît automatiquement sur l’écran de votre
ordinateur.
Logiciels espions (spyware) – Ce sont des programmes installés
pour recueillir des informations sur les utilisateurs, leurs ordinateurs ou
leurs habitudes de navigation. Ils surveillent à votre insu tout ce que
vous faites et envoient les données à un utilisateur distant. Ils peuvent
également télécharger et installer d’autres programmes malveillants
depuis Internet. Les logiciels espions fonctionnent comme les logiciels
17
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
publicitaires, mais il s’agit généralement d’un programme distinct qui
s’installe à votre insu lorsque vous installez une application gratuite.
a. Erreurs et omissions
Ce sont des menaces importantes pour l’intégrité des données et des systèmes. Ces
erreurs ont souvent une origine humaine. En effet, même les programmes les plus
sophistiqués ne peuvent pas tout détecter. N’importe quelle personne intervenant sur
le système d’information (utilisateur, administrateur système, développeur...) contribue
directement ou indirectement à ces dangers mettant en péril la sécurité des systèmes.
Souvent l’erreur concerne une menace (erreur d’entrée de données, erreur de
programmation…) ou encore crée elle-même la vulnérabilité.
b. Fraude et vol
Les fraudes ou vols peuvent être commis par l’intérieur ou l’extérieur de l’entreprise.
Par expérience, il s’avère, la plupart du temps, que la menace vient de l’intérieur (des
utilisateurs ayant des accès privilégiés aux systèmes). En effet, par défaut, ce sont les
utilisateurs familiers de l’entreprise qui sont dans la meilleure position pour commettre
des forfaits.
18
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
c. Les Hackers
Le terme hacker ou encore cracker fait référence à la personne qui s’introduit dans
les systèmes d’information sans autorisation pour, dans le pire des cas, provoquer des
dégradations dans les données ou les applications. Ses actions peuvent s’effectuer à
partir de l’intérieur (dans le cas où il a pu obtenir un accès sur le réseau) ou de
l’extérieur de l’entreprise. Toutefois, il n’est pas toujours facile de détecter sa présence
sur les systèmes ni de connaître ce qu’il a provoqué comme dégâts.
Ils font référence aux virus, chevaux de Troie, bombes logiques et autres logiciels
indésirables. Souvent, leur point d’entrée se situe au niveau des ordinateurs
personnels mal protégés lors de leur connexion sur Internet. Leurs effets peuvent
s’étendre à tout le réseau de l’entreprise en contaminant d’autres matériels.
Il est possible de se protéger de la plupart des risques liés à ces menaces. Aussi, dans
les premières phases de mise en place de la sécurité du système d’information, un
état des lieux, sous forme de diagnostic, va être nécessaire pour préparer une
meilleure protection en détectant les vulnérabilités.
Virus
Un virus est un logiciel capable de s’installer sur un ordinateur à l’insu de son utilisateur
légitime. Le terme virus est réservé aux logiciels qui se comportent ainsi avec un but
malveillant, parce qu’il existe des usages légitimes de cette technique dite code mobile.
19
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
En général, pour infecter un système, un virus agit de la façon suivante : il se présente
sous la forme de quelques lignes de code en langage machine binaire qui se greffent
sur un programme utilisé sur le système cible, afin d’en modifier le comportement.
Une fois implanté sur son programme-hôte, le greffon possède aussi en général la
capacité de se recopier sur d’autres programmes, ce qui accroît la virulence de
l’infection et peut contaminer tout le système ; la désinfection n’en sera que plus
laborieuse.
Vers
Un ver (worm) est une variété de virus qui se propage par le réseau. Il peut s’agir d’un
bot. En fait, alors qu’il y a sept ou huit ans les virus n’étaient pas des vers (ils ne se
propageaient pas par le réseau) et les vers n’étaient pas des virus (ils ne se
reproduisaient pas), aujourd’hui la confusion entre les deux catégories est presque
totale.
Cheval de Troie
Un cheval de Troie (Trojan Horse) est un logiciel qui se présente sous un jour honnête,
utile ou agréable, et qui une fois installé sur un ordinateur y effectues des actions
cachées et pernicieuses.
Porte dérobée
Une porte dérobée (backdoor) est un logiciel de communication caché, installé par
expemble par un virus ou par un cheval de Troie, qui par exemple donne à un
agresseur extérieur accès via le réseau à l’ordinateur victime.
f. Hameçonnage et ingénierie sociale
L’hameçonnage (anglais : « phishing ») constitue une « attaque de masse » qui vise
à abuser de la « naïveté » des clients ou des employés pour récupérer leurs identifiants
de banque en ligne ou leurs numéros de carte bancaire…
1. Réception d’un mail utilisant le logo et les couleurs de l’entreprise
2. Demande pour effectuer une opération comme la mise-à-jour des données
personnelles ou la confirmation du mot de passe
3. Connexion à un faux-site identique à celui de l’entreprise et contrôlé par
l’attaquant
4. Récupération par l’attaquant des identifiants/mots de passe (ou tout autre
donnée sensible) saisie par le client sur le faux site
20
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
L’« ingénierie sociale » constitue une « attaque ciblée » qui vise à abuser de la «
naïveté » des employés de l’entreprise :
• Pour dérober directement des informations confidentielles, où
Pour introduire des logiciels malveillants dans le système d’information de la
banque
21
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
h. Violation d’accès non autorisé : mots de passe faibles
Des mots de passe simples ou faibles (notamment sans caractères spéciaux comme
« ! » ou « _ » et des chiffres) permettent – entre autre – à des attaquants de mener les
actions suivantes :
• Utiliser des scripts automatiques pour tester un login avec tous les mots de
passe couramment utilisés (issus d’un dictionnaire) ;
• Utiliser des outils pour tenter de « casser » le mot de passe. Ces outils sont très
efficaces dans le cadre de mots de passe simples, et sont beaucoup moins
efficaces dans le cas de mots de passe longs et complexes.
Réflexion sur l’utilisation des mots de passe : les mots de passe constituent une
faiblesse significative pour la cybersécurité. En effet, les êtres humains n’ont pas la
22
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
capacité de mémoriser de nombreux mots de passe, complexes, différents pour
chaque application, etc.
Pour cette raison, d’autres moyens d’authentification émergent, de façon à libérer
les individus des problématiques des mots de passe. Quelques exemples : la
biométrie, les tokens USB, les matrices papier, la vérification via un code SMS, les
« one time password », etc.
23
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
CHAPITRE II. LES FAILLES DE LA SECURITE ET LE PIRATAGE
En entreprise, c’est le réseau local qui est connecté à Internet. Il est donc
indispensable de contrôler les communications entre le réseau interne et
l'extérieur. De plus une formation du personnel est indispensable (règles de
sécurité, déontologie, attention aux participations aux forums qui sont archivées
...). Les problèmes de sécurité qu’on peut rencontrer sur un réseau d'entreprise
ou sur l'Internet relèvent d'abord de la responsabilité des victimes avant d'être
imputables aux hackers. Les menaces qui ont sensiblement augmenté au cours
de ces dernières années, nous indique la dernière étude du Computer Security
Institute, un institut professionnel de San Francisco qui réalise chaque année un
sondage auprès des entreprises en collaboration avec le FBI. Dans cette étude,
plus de 40 % des sociétés interrogées ont déclaré que des intrus s’étaient
introduits dans leurs systèmes depuis l'Internet, 38 % des sociétés ont détecté
des attaques de type “déni de service”, et 94 % ont été infectées par un virus en
2014.
D’autre part, votre sécurité peut dépendre d’autres entreprises dont vous
pensez, parfois à tort, qu’elles ont assuré leur propre sécurité. Alors que le
gouvernement et les forces de l’ordre cherchent à interpeller les intrus, les
sociétés ne se préoccupent trop souvent que de relancer leurs réseaux après
une attaque : « Le secteur privé ne cherche pas à savoir qui est responsable,
tout ce qui intéresse les entreprises, c’est que l’attaque cesse ».
24
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
DNS spoofing - Pousse un serveur de DNS à accepter l‟intrus. Solution :
séparer le DNS du LAN de celui de l‟espace public.
25
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
pensent que les crackers sont des gens paresseux, irresponsables et pas
très brillants.
Déni de service (DoS) - Le but d'une telle attaque n'est pas de dérober des
informations sur une machine distante, mais de paralyser un service ou un
réseau complet. Les utilisateurs ne peuvent plus alors accéder aux
ressources. Les deux exemples principaux, sont le « ping flood » ou l‟envoi
massif de courrier électronique pour saturer une boîte aux lettres
(mailbombing). La meilleure parade est le firewall ou la répartition des
serveurs sur un réseau sécurisé.
26
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
II.2. PRINCIPALES ATTAQUES INFORMATIQUES
27
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
le mécanisme de déclenchement (par exemple, la bombe logique
comme la bombe logique surnommée vendredi 13 se déclenche lorsqu'un
évènement survient) ;
LOGICIEL
MALVEILLANT
CHEVAL DE
VER VIRUS
TROIE
28
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Les programmes malveillants ont été développés pour de nombreux
systèmes d'exploitation et applications. Pourtant, certains d'entre eux n'ont
jamais été concernés. En effet, les auteurs de virus privilégient les systèmes
d'exploitation largement utilisés ; les systèmes comportant des vulnérabilités ; et
ceux pour lesquels une documentation détaillée est disponible (puisqu'elle inclut
des descriptions des services et des règles en vigueur pour écrire des
programmes compatibles). Le volume de logiciels malveillants destinés à
Windows et Linux est à peu près proportionnel à leurs parts de marché
respectives.
Sur Internet, les virus peuvent contaminer une machine de plusieurs manières :
29
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Ouverture sans précautions de documents contenant des macros ;
30
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Psyb0t est un virus informatique découvert en janvier 2009. Il est
considéré comme étant le seul virus informatique ayant la capacité
d'infecter les routeurs et modem haut-débit.
Le virus Tchernobyl ou CIH est connu pour avoir été un des plus
destructeurs. Il détruisait l'ensemble des informations du système attaqué
et parfois il rendait la machine quasiment inutilisable. Il a sévi de 1998 à
2002.
31
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
informaticiens Victor A. Vyssotsky, Robert Morris Sr. et M. Douglas McIlroy
des Bell Labs et appelé « Core War ». Pour ce jeu, chaque joueur écrit un
programme et le charge en mémoire vive. Le système d'exploitation, qui se doit
juste d'être multitâche, exécute tour à tour une instruction de chacun des
programmes. L'objectif du jeu est de détruire les programmes adverses tout en
assurant sa propre prolifération. Les joueurs ne connaissent pas l'emplacement
du programme adverse. Les programmes sont capables de se recopier, de se
réparer, de se déplacer en différentes zones de la mémoire et « d'attaquer » les
programmes adverses en écrivant de façon non déterministe dans d'autres
zones de la mémoire. La partie se termine au bout d'un temps défini ou lorsque
l'un des joueurs voit tous ses programmes inactifs ou détruits. Le vainqueur est
celui qui possède le plus grand nombre de copies actives. C'est l‟acte de
naissance de la programmation des virus.
32
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
le métamorphisme - contrairement au chiffrement simple et au
polymorphisme, où le corps du virus ne change pas et est simplement
chiffré, le métamorphisme permet au virus de modifier sa structure même et
les instructions qui le composent ;
Les virus lents - A la différence d‟un virus rapide qui infecte les fichiers dès
qu‟ils sont manipulés par le système, les virus lents n‟infectent les fichiers
qu‟en cas de modification, ce qui rend leur détection plus subtile.
Les virus furtifs - Un virus furtif est un virus qui, lorsqu'il est actif, dissimule
les modifications apportées aux fichiers ou aux secteurs de boot. En règle
générale, ce phénomène est rendu possible par le virus qui observe les
appels aux fonctions de lecture des fichiers et falsifie les résultats renvoyés
par ces fonctions. Cette méthode permet au virus de ne pas être détecté par
les utilitaires anti-virus qui recherchent des modifications éventuelles
35
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
apportées aux fichiers. Néanmoins, pour que cela soit possible, le virus doit
être actif en mémoire résidente, ce qui est détectable par les anti-virus.
Les virus polymorphes - Un virus polymorphe est un virus qui produit des
copies variées de lui-même, mais qui restent opérationnelles. Ces stratégies
ont été employées dans l'espoir que les utilitaires anti-virus ne puissent pas
détecter toutes les variantes du virus.
Les virus « cavité » - Les virus cavités sont des virus qui écrasent une partie
du fichier hôte qui est constitué d'une constante (en général, des 0) sans
augmenter la taille du fichier et tout en préservant sa fonctionnalité.
Les virus blindés - Un virus blindé est un virus qui utilise des astuces
spéciales pour que son dépistage, son désassemblage et la compréhension
de son code soient plus durs. Ils utilisent certaines ruses techniques pour
mieux résister au désassemblage et à la détection et rendre leur
fonctionnement quasiment incompréhensible.
Les virus souterrains - Les virus souterrains sont des virus qui appellent
directement les vecteurs d'interruption du DOS et du BIOS, contournant ainsi
36
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
tout programme de contrôle qui pourrait être chargé et avoir intercepté ces
mêmes vecteurs dans le but de détecter l'activité d'un virus. Certains anti-
virus utilisent cette même technique pour contourner un virus inconnu ou non
détecté.
Les bombes ANSI - Une bombe ANSI est une séquence de caractères,
généralement incluse dans un fichier texte, qui reprogramme certaines
fonctions du clavier d'ordinateurs ayant une console ANSI (écran + clavier).
On peut ainsi reprogrammer la touche Enter d'un clavier pour qu'elle exécute
l'instruction format c : suivi de la fonction Enter. Néanmoins, cette possibilité
ne constitue pas une grande menace. En effet, il est rare pour un logiciel
moderne d'exiger un ordinateur tournant sur une console ANSI. De même,
peu de gens utilisent des logiciels qui envoient simplement la sortie sur le
terminal, donc une bombe ANSI dans un émail ne reprogrammerait pas votre
clavier.
37
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Un virus se compose de 3 fonctionnalités principales et d'une quatrième
optionnelle (mais de plus en plus présente dans les virus afin d'en améliorer
l'efficacité), comme le montre la Figure ci-dessous :
38
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
originales et spécifiques. Cette condition peut aussi être à l'origine du bon
fonctionnement ou non du virus.
Séquence de camouflage - Malgré leur petite taille, les virus peut être vite
repérés (pour certains). Les développeurs de virus ont donc élaboré plusieurs
techniques pour cacher le virus. Il existe plusieurs techniques. Nous les
aborderons en parlant des virus polymorphes et furtifs par la suite.
Il s'avère qu'en dépit de leur finalité, tous les virus fonctionnent selon un
modèle unifié qui les décrit tous: le modèle de virus générique. Eric Filiol et
JeanPaul Fizaine estiment que le virus est une sorte de machine de Turing se
décomposant en sous autres machines de Turing connectées entre elles dont
chacune représente un élément fonctionnel. Un virus V est un quadruplet :
Inf={E, R, A, T}
Les virus informatiques suivent un cycle de vie, qui recense 7 grandes étapes :
40
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Reproduction (infection): comme nous l'avons dit, le virus doit se
reproduire .Un virus correctement conçu se reproduira un nombre
important de fois avant de s'active r. C‟est là le meilleur moyen de s'assurer
de la pérennité d'un virus.
41
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
découverts très rapidement. Dans les faits, rares sont les virus ayant
complètement disparu.
La plupart du temps, les vers n‟ont d‟autres utilités que la destruction (s‟ils
s‟accompagnent d‟une bombe logique), et la congestion du réseau. Malgré tout,
le ver a parfois d‟autres utilisations. Certaines entreprises les utilisent pour tester
la sécurité de leur réseau intranet. L'objectif des vers n‟est pas seulement de se
reproduire mais habituellement, ils sont un objectif malfaisant, par exemple :
42
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Détruire des données sur l'ordinateur où il se trouve ou y faire d'autres
dégâts ;
En majorité, des vers écrits sous forme de scripts peuvent être intégrés
dans un courriel ou sur une page HTML (chevaux de Troie). Ces vers sont activés
par les actions de l'utilisateur qui croit accéder à des informations lui étant
destinées. Un ver peut aussi être programmé en C, C++, Delphi, assembleur,
ou dans un autre langage de programmation. La plupart du temps, les vers
utilisent des failles de logiciels pour se propager.
Voici les quelques exemples des vers sur Internet les plus célèbres :
Félicitations vous venez d'être tirer au sort pour un séjour aux Etats-Unis.
43
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Le ver informatique le plus populaire est le ver crée par Samy Kankar qui
lui a donné son nom : le ver SAMY. Il a infecté plus d'un million d'utilisateur
MySpace en seulement 20 heures. Voici ce qu'affichait le ver à l'écran des
utilisateurs infectés : “mais par dessus tout, Samy est mon héros”. Chaque
personne visitant un profil infecté se faisait infecter à son tour.
44
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
sa conférence Turing. Berné, l'utilisateur va télécharger et installer le programme,
pensant avoir affaire à une version saine.
Le cheval de Troie ne doit pas être confondu avec d'autres notions proches :
45
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
de Troie qui contient le RAT, mais le RAT n'est pas le cheval. Contrairement
à ce qu'on lit parfois, le T de RAT ne signifie pas Trojan mais Tool (outil).
46
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Pour l'« attaquant », l'utilité d'un « rootkit » est soit de mettre à disposition
des ressources système (temps processeur, connexions réseaux, etc.) sur une,
voire plusieurs machines, parfois en utilisant la « cible » comme intermédiaire
pour une autre attaque ; soit d'espionner, d'accéder aux données stockées ou en
transit sur la machine cible2. Ils sont généralement classés parmi les logiciels
malveillants, mais pas toujours ; ils peuvent utiliser des « techniques virales »
pour se transmettre (par exemple, en utilisant un virus ou un cheval de Troie). Il
existe des outils de détection et des méthodes de protection pour les contrer mais
elles ne sont pas totalement efficaces.
47
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Lorsqu‟un pirate, prenant le contrôle d‟un équipement du réseau, se
place au milieu d‟une communication il peut écouter ou modifier celle-ci. On parle
alors de « l‟homme du milieu » (man in the middle). Les points sensibles
permettant cette technique sont les plus souvent les protocoles :
48
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Virus : un virus, éventuellement spécifique à la victime et donc
indétectable, peut écrire dans le fichier « hosts »… Solution : bloquer les
.vbs et .exe.
Les logiciels espions sont souvent inclus dans des logiciels gratuits et
s'installent généralement à l'insu de l'utilisateur. Ils ne sont généralement actifs
qu'après redémarrage de l'ordinateur. Certains, comme Gator, sont furtifs et ne
se retrouvent donc pas dans la table des processus (accès : {Ctrl+alt+suppr} pour
Windows, {ps} pour Unix). Un logiciel anti-espion performant peut toutefois les
détecter et envoie une alerte avant leur installation.
Les logiciels espions sont souvent présents dans des gratuiciels, ou des
partagiciels, afin de rentabiliser leur développement. Certains gratuiciels cessent
de fonctionner après la suppression de l'espiogiciel associé. On ne connaît pas
de logiciels libres comme Mozilla Firefox qui contiennent des logiciels espions.
Enfin, certains administrateurs systèmes ou administrateurs réseaux installent ce
type de logiciel pour surveiller à distance l'activité de leurs ordinateurs, sans avoir
à se connecter dessus.
50
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
II.3.2.2. MODE OPÉRATOIRE DES LOGICIELS ESPIONS
51
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Pour les utilisateurs non-néophytes, l'utilisation des logiciels libres peut
être un moyen de lutter contre les logiciels espions. En effet, les sources de ces
logiciels sont disponibles, vérifiables et modifiables, ce qui permet la détection et
l'élimination de logiciels espions de ces programmes s'ils en contiennent. Dans
les logiciels non libres les sources ne sont pas disponibles, il est donc plus difficile
de détecter la présence de ce genre de menace et impossible de l'éliminer.
Certains programmes soi-disant destinés à lutter contre les logiciels espions
contiennent eux-mêmes ce type de menace, ou se révèlent totalement
inefficaces avec pour seul but de facturer une licence d'utilisation (cas de
Spyware Assassin par exemple)3.
52
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
malveillants, appelés rogues, sont de faux anti-espions qui installent en fait des
spywares.
Le cookie est l'équivalent d'un fichier texte de petite taille, stocké sur le
terminal de l'internaute. Existant depuis les années 1990, ils permettent aux
développeurs de sites web de conserver des données utilisateur afin de faciliter
la navigation et de permettre certaines fonctionnalités. Les cookies ont toujours
été plus ou moins controversés car elles contiennent des informations
personnelles résiduelles pouvant potentiellement être exploitées par des tiers.
Ces informations censées être privées ne le sont pas vraiment, puisqu'elles sont
accessibles à un certain point. Il est envoyé en tant qu'en-tête HTTP par le
serveur web au navigateur web qui le renvoie inchangé à chaque fois qu'il accède
au serveur. Un cookie peut être utilisé pour une authentification, une session
(maintenance d'état), et pour stocker une information spécifique sur l'utilisateur,
comme les préférences d'un site ou le contenu d'un panier d'achat électronique.
53
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Le terme cookie est dérivé de magic cookie, un concept bien connu dans
l'informatique d'UNIX, qui a inspiré l'idée et le nom des cookies de navigation.
Quelques alternatives aux cookies existent, chacune a ses propres utilisations,
avantages et inconvénients.
54
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
CHAPITRE III. SYSTEMES DE PROTECTION INFORMATIQUE
Les anti-virus ;
Les systèmes de détection (et prévention) d’intrusion (IDS) ;
Les firewalls ;
56
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Les principaux antivirus du marché se concentrent sur des fichiers et
comparent alors la signature virale du virus aux codes à vérifier ;
L‟analyse de forme repose sur du filtrage basé entre des règles rege-xp
ou autres, mises dans un fichier junk. Cette dernière méthode peut être
très efficace pour les serveurs de messagerie électronique supportant les
rege-xp type postfix puisqu'elle ne repose pas sur un fichier de signatures.
Les antivirus peuvent balayer le contenu d'un disque dur, mais également la
mémoire vive de l'ordinateur. Pour les anti-virus les plus modernes, ils agissent
en amont de la machine en scrutant les échanges de fichiers avec l'extérieur,
aussi bien en flux descendant (téléchargement) que montant (téléchargementt
ou upload). Ainsi, les courriels sont examinés, mais aussi les fichiers copiés sur
ou à partir de supports amovibles tels que cédéroms, disquettes, connexions
réseau, clefs USB…
III.1.2. TECHNIQUES DE DETECTION DES ANTI-VIRUS
En général, la guerre entre virus et antivirus est bien réelle. Dès qu‟un
groupe agit, le camp opposé tente de trouver la parade. Pour détecter les virus,
les antivirus doivent user de plusieurs techniques spécialement :
Liste blanche - est une technique de plus en plus utilisée pour lutter
contre les logiciels malveillants. Au lieu de rechercher les logiciels connus
comme malveillants, on empêche l'exécution de tout logiciel à l'exception de
ceux qui sont considérés comme fiables par l'administrateur système. En
adoptant cette méthode de blocage par défaut, on évite les problèmes
inhérents à la mise à jour du fichier de signatures virales. De plus, elle
permet d'empêcher l'exécution de logiciels indésirables. Étant donné que
les entreprises modernes possèdent de nombreuses applications
considérées comme fiables, l'efficacité de cette technique dépend de la
capacité de l'administrateur à établir et mettre à jour la liste blanche. Cette
tâche peut être facilitée par l'utilisation d'outils d'automatisation des
processus d'inventaire et de maintenance.
58
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
date et l‟heure de modification. Cependant, il suffira aux virus de mémoriser
ces valeurs afin de pouvoir les restaurer par la suite.
Les IDS réseau (NIDS) - Snort ; Bro ; Suricata ; Enterasys ; Check Point
; Tipping point ; etc.
les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes
plus
pertinentes.
III.2.1.1. LES NIDS (IDS réseau)
60
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
cette libpcap. Son mode de fonctionnement est de copier (sous Linux) tout
paquet arrivant au niveau de la couche liaison de données du système
d'exploitation. Une fois ce paquet copié, il lui est appliqué un filtre BPF
(Berkeley Packet Filter), correspondant à l'affinage de ce que l'IDS cherche à
récupérer comme information. Il se peut que certains paquets soient ignorés
car sous une forte charge, le système d'exploitation ne les copiera pas. Le
comportement de la libpcap est différent dans le monde BSD, puisqu'il lui
attache le fichier périphérique « /dev/bpf », permettant ainsi aux NIDS de ne
pas avoir besoin des droits super utilisateur pour capturer le trafic mais
simplement de pouvoir lire sur ce fichier sur lequel les filtres sont directement
compilés. Aussi, le trafic analysé n'est pas forcément égal à celui du trafic
entrant, étant donné que la libpcap agit à une couche en dessous du pare-
feu (qui agit au niveau réseau).
Les NIDS ont pour avantage d'être des systèmes temps réel et ont la
possibilité de découvrir des attaques ciblant plusieurs machines à la fois.
Leurs inconvénients sont le taux élevé de faux positifs qu'ils génèrent, le fait
que les signatures aient toujours du retard sur les attaques de type « 0day »
et qu'ils puissent être la cible d'une attaque.
Les Alertes - Les alertes sont généralement stockées dans les journaux du
système. Cependant il existe une norme qui permet d'en formaliser le
contenu, afin de permettre à différents éléments de sécurité d'interopérer. Ce
format s'appelle IDMEF (pour Intrusion Detection Message Exchange
61
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Format) décrit dans la RFC 4765. Le format IDMEF est popularisé par le
projet Prelude, qui offre une infrastructure permettant aux IDS de ne pas avoir
à s'occuper de l'envoi des alertes. Cela permet aux IDS de n'avoir qu'à décrire
les informations qu'ils connaissent et « Prelude » se charge de les stocker
pour permettre une visualisation humaine ultérieure.
62
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
La dissection - La dissection permet de comprendre un protocole
donné, de le décoder pour l'analyser. Il s'agit de la partie la plus sensible
des NIDS car c'est elle qui est le plus grand vecteur d'attaques.
III.2.1.2. LES HIDS (IDS machine)
Les IDS hybrides sont basés sur une architecture distribuée, où chaque
composant unifie son format d'envoi d'alerte (typiquement IDMEF : Intrusion
Detection Message Exchange Format) permettant à des composants divers de
communiquer et d'extraire des alertes plus pertinentes.
64
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Les avantages des IDS hybrides sont multiples :
65
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Ces caractéristiques peuvent être collectées et placées dans une base de
données qu‟interrogera l‟IDS. Ce type d‟IDS utilise les fichiers journaux (log).
Dès qu‟il détectera des séquences suspectes (relatives à une signature de
sa base de données), il déclenchera une alerte.
66
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Si l'on prend l'exemple d'une authentification échouée, cela génère une
alerte de faible intensité. Mais s'il y a une série d'authentifications échouées avec
des utilisateurs différents, on peut conclure à une attaque de force brute. La
corrélation permet de générer de nouvelles alertes à partir de celles existantes.
C'est une étape préalable à une contre-mesure efficace. Il y a diverses façons
de faire de la corrélation. Cependant on peut définir deux catégories :
68
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Distribution), un pare-feu est aussi appelé packet filter. Traduction littérale : mur
de feu) est un logiciel et/ou un matériel permettant de faire respecter la politique
de sécurité du réseau, celle-ci définissant quels sont les types de
communications autorisés sur ce réseau informatique. Le pare-feu a pour objectif
principal de surveiller et contrôler les applications et les flux de données
(paquets), en empêchant les connexions non-autorisées sur un réseau
informatique ou autres.
Niveau des adresses IP : on peut lui faire accepter les flux de données
provenant d‟une plage d‟adresses, ou même d‟une adresse uniquement.
Niveau des protocoles : pour empêcher tout transfert FTP, tout accès Telnet,
ou encore pour éviter le surf sur Internet (HTTP).
Niveau des ports : pour supprimer le FTP, on peut refuser les connexions
sur le port 21.
69
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Structure simple d’un pare-feu
Selon le contexte, le terme peut revêtir différentes significations :
L‟architecture classique ;
L‟architecture concentrée ;
71
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
III.3.1. PRINCIPES DE FONCTIONNEMENT DES PARE-FEUX
Le pare-feu est jusqu'à ces dernières années est considéré comme une
des pierres angulaires de la sécurité d'un réseau informatique (il perd en
importance au fur et à mesure que les communications basculent vers le HTTP
sur TLS, court-circuitant tout filtrage). Il permet d'appliquer une politique d'accès
aux ressources réseau (serveurs). Il a pour principale tâche de contrôler le trafic
entre différentes zones de confiance, en filtrant les flux de données qui y
transitent. Généralement, les zones de confiance incluent Internet (une zone dont
la confiance est nulle) et au moins un réseau interne (une zone dont la confiance
est plus importante). Le but est de fournir une connectivité contrôlée et maîtrisée
entre des zones de différents niveaux de confiance, grâce à l'application de la
politique de sécurité et d'un modèle de connexion basé sur le principe du moindre
privilège. On peut alors distinguer 3 types de principes de fonctionnement des
pare-feux :
72
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
73
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
CHAPITRE IV. LA CRYPTOGRAPHIE ET LE SYSTEME DE
COMMUNICATION
IV.1. GENERALITES
a. Pourquoi la cryptographie ?
74
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Le chiffrement se fait généralement à l'aide d'une clef de chiffrement, le déchiffrement
nécessite quant à lui une clef de déchiffrement. On distingue généralement deux types
de clefs :
• Les clés symétriques : il s'agit de clés utilisées pour le chiffrement ainsi que
pour le déchiffrement. On parle alors de chiffrement symétrique ou de
chiffrement à clé secrète.
• Les clés asymétriques : il s'agit de clés utilisées dans le cas du chiffrement
asymétrique (aussi appelé chiffrement à clé publique). Dans ce cas, une clé
différente est utilisée pour le chiffrement et pour le déchiffrement
On appelle décryptement (le terme de décryptage peut éventuellement être utilisé
également) le fait d'essayer de déchiffrer illégitimement le message (que la clé de
déchiffrement soit connue ou non de l'attaquant).
Lorsque la clef de déchiffrement n'est pas connue de l'attaquant on parle alors de
cryptanalyse ou cryptoanalyse (on entend souvent aussi le terme plus familier de
cassage).
La cryptologie est la science qui étudie les aspects scientifiques de ces techniques,
c'est-à-dire qu'elle englobe la cryptographie et la cryptanalyse.
La théorie de l’information a été créée par C. E. Shannon dans les années 1940. Il
s’agit d’une théorie mathématique qui décrit les aspects les plus fondamentaux des
systèmes de communication. Elle consiste en l’élaboration et l’étude de modèles pour
la source et le canal qui utilisent différents outils comme les probabilités et les
automates finis.
Dans ce cours, nous étudieront certains de ces modèles qui, bien que
considérablement plus simples que les sources et les canaux physiques, permettent
de donner une bonne approximation de leur comportement.
Pour simplifier, on étudiera séparément les modèles de sources et les modèles de
canaux ainsi que leurs codages respectifs.
– Le but du codeur de source est de représenter la sortie de la source en une
séquence binaire, et cela de façon la plus économique possible.
– Le but du codeur de canal et de son décodeur est de reproduire le plus fidèlement
possible cette séquence binaire malgré le passage à travers le canal bruité.
codeur de codeur de
source source canal
canal bruit
76
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information
Cette séparation entre codage de source et codage de canal n’implique en pratique
aucune limitation sur les performances du système complet.
77
Elam KYUNGU LUKOMBA
Concepteur des systèmes d’information