ISI-KEF

Les principes de la sécurité failles

et attaques

Dr. Anwer KALGHOUM

Année Universitaire : 2023-2024

Plan

Introduction à la sécurité

Les principes de la sécurité, failles et attaques

Politique de sécurité

Méthodes et normes de sécurité

Services de sécurité

Mécanismes de sécurité

Gestion des risques

2
Définitions - Rappel

⮲ Vulnérabilité: Défaut ou faiblesse d’un système dans sa conception, sa

mise en œuvre ou son contrôle interne pouvant mener à une faille de
sécurité ou à la violation de sa politique de sécurité.
Définitions - Rappel

⮲ Menace: La possibilité qu’une vulnérabilité soit exploitée accidentellement

ou par un agent malicieux.
– Cause potentielle d’un incident
 Les attaques
☠Une Attaque est n’importe quelle action qui compromet la sécurité
des informations.
☠Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à
une attaque.
☠Une «attaque» est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel, erreur de configuration, etc.) à des fins non connues par
l'exploitant du système et généralement préjudiciables.

☠On distingue deux types d’attaques :

⮲ Attaques actives
⮲ Attaques passives
 Les attaques

☠Une Attaque est n’importe quelle action qui compromet la sécurité

des informations.
☠Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à
une attaque.
☠Une «attaque» est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel, erreur de configuration, etc.) à des fins non connues par
l'exploitant du système et généralement préjudiciables.

☠On distingue deux types d’attaques :

⮲ Attaques actives
⮲ Attaques passives
Les attaques
1. Raisons d’attaque :

Les motivations des attaques peuvent être de différentes sortes :

✔ obtenir un accès au système ;
✔ voler des informations, tels que des secrets industriels ou des propriétés

intellectuelles ;

✔ avoir des informations personnelles sur un utilisateur ;

✔ récupérer des données bancaires ;
✔ troubler le bon fonctionnement d'un service ;
✔ utiliser le système de l'utilisateur comme “rebond” pour une attaque ;
✔ utiliser les ressources du système de l'utilisateur, notamment lorsque le
réseau sur lequel il est situé possède une bande passante élevée.
 Les attaques
1. Raisons d’attaque :

On considère le monde comme séparés en trois entités :

☞Les utilisateurs légitimes d'un système, qui ont un droit et un besoin d'accès à
celui-ci

✔ pour le travail, les loisirs, l'éducation, etc. ;

☞Le ou les administrateurs d'un tel système, qui ont pour responsabilité la bonne
marche de celui-ci;
☞Les attaquants, « hackers», qui cherchent à s'introduire sur un système sur
lequel ils n'ont aucun droit, et à l'exploiter pour la curiosité, le profit, l'espionnage
ou pour leur propre amusement , et le plus souvent de manière contraire à la loi.
 Les attaques

2. Les attaquants :

- Le terme “hacker” est souvent utilisé pour désigner un pirate

informatique.
- A l'origine ce nom désignait les programmeurs expérimentés.
- C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les
personnes impliquées dans le piratage de jeux vidéos, en désamorçant
(désactivant) les protections de ces derniers, puis en en revendant des
copies.
- Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes
s'introduisant dans les systèmes informatiques.
 Les attaques

2. Les attaquants :
En réalité il existe de nombreux types d’attaquants catégorisés selon leur
expérience et selon leurs motivations :

☠ Les “white hat hackers”, hackers au sens noble du terme, dont

le but est d'aider à l'amélioration des systèmes et technologies

informatiques

☠Les “hacktivistes” (cybermilitant), Ce sont des individus ou des groupes

qui mènent des attaques pour promouvoir des causes politiques, sociales
ou idéologiques. Leur objectif principal est de faire passer un message.

☠Les “black hat hackers”, plus couramment appelés pirates, c'est-à-dire

des personnes s'introduisant dans les systèmes informatiques dans un but
nuisible.
 Les attaques
3. Types d’ attaques :
⮲Les systèmes informatiques mettent en œuvre différentes composantes,
allant de l'électricité pour alimenter les machines au logiciel exécuté via le système

d'exploitation et utilisant le réseau.

⮲ Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe
une vulnérabilité exploitable.

Matériel

Utilisateur Système
Alimentation d’exploitation
électrique Application
Réseau
Données

Pirate
Les attaques

3. Types d’ attaques :

Il est possible de catégoriser les risques de la manière suivante :

⮲ Accès physique : il s'agit d'un cas où l'attaquant a accès aux locaux, éventuellement

même aux machines :

▪ Coupure de l'électricité
▪ Extinction manuelle de l'ordinateur
▪ Vandalisme
▪ Ouverture du boîtier de l'ordinateur et vol de disque dur
▪ Ecoute du trafic sur le réseau
Les attaques

3. Types d’ attaques :

⮲ Dénis de service (DoS) ou DDoS: il s'agit d'attaques visant à perturber le bon

fonctionnement d'un service. On distingue habituellement les types de déni de
service suivant :

▪ Exploitation de faiblesses des protocoles TCP/IP

▪ Exploitation de vulnérabilité des logiciels serveurs
https://www.youtube.com/watch?v=HzsKSLgWU-A
⮲ Interception de communications :
▪ Vol de session (session hacking)
▪ Usurpation d'identité
▪ Détournement ou altération de messages
 Les attaques

3. Types d’ attaques :

⮲ Intrusions :
▪ Balayage de ports
▪ Malware (virus, vers et chevaux de Troie)
▪ Intrusion par élévation de privilèges : Une fois qu'un attaquant a accès à un
système, il peut essayer d'augmenter ses privilèges pour obtenir un contrôle total
sur le système.
Les attaques

3. Types d’ attaques :

⮲ Ingénierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur
lui-même! En effet c'est souvent lui qui, par méconnaissance ou par duperie, va
ouvrir une faille dans le système, en donnant des informations (mot de passe par
exemple) au pirate informatique ou en exécutant une pièce jointe.
⮲ Trappes : Il s'agit d'une porte dérobée (backdoor) dissimulée (caché) dans un
logiciel, permettant un accès ultérieur à son concepteur.
 Les attaques

3. Types d’ attaques :

⮲ Attaques par rebond

▪ Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer.
▪ C'est la raison pour laquelle les pirates privilégient habituellement les attaques par
rebond (par opposition aux attaques directes), consistant à attaquer une machine par
l'intermédiaire d'une autre machine.

▪ L’objectif est de masquer les traces permettant de remonter à lui et dans le but

d'utiliser les ressources de la machine servant de rebond.

▪ Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de

plus en plus courant car lorsque le réseau sans fil est mal sécurisé,

un pirate situé à proximité peut l'utiliser pour lancer des attaques.

Les attaques

4. Techniques d’attaques

Attaques passives : Prendre connaissance du contenu sans altération

⮲ Confidentialité atteinte ☹
Exemple d’outils: wireshark,

Message
Les attaques

4. Techniques d’attaques

Attaques actives :
✔ Prendre connaissance du contenu
✔ Modifier le contenu ou la signature

⮲ Nuit à l’intégrité des données

☹

✂ 

Message
Les attaques

4.Techniques d’attaques

Attaque passive Attaque active

Modification, fabrication, interruption,
Interception, écoute
déni de service

Confidentialité Disponibilité Intégrité

Les attaques

4. Techniques d’attaques
Le Sniffing : écoute passive des communications d’un réseau

✔obtenir les informations d’authentification telles que

le login et le mot de passe d’un utilisateur
But :
✔ se connecter à la place du véritable utilisateur
Les attaques

4. Techniques d’attaques

Mail Bombing : envoyer une grande quantité de mails à un hôte

✔ empêcher la cible d’utiliser sa

But : messagerie
✔ Saturer les serveurs de mails
✔ Saturation de la bande passante
Spamming : envoie massifs de mails à caractère commercial

obtenir la liste des clients en piratant le serveur ou la base de données

But : ✔ Nuire à l’entreprise

Les attaques

4. Techniques d’attaques

Chevaux de Troie : le pirate, après avoir accédé au système, installe un logiciel qui

va lui transmettre par Internet les informations contenu dans le disque dur

✔ le pirate peut d’une part accéder et modifier des informations

But : ✔ le serveur peut être utiliser comme relais pour commettre des

attaques du type déni de service sur d’autres

machines.
Les attaques
4. Techniques d’attaques

- Les key loggers sont des logiciels qui, lorsqu'ils sont installés sur le poste de
l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par
l'utilisateur.
- Attaque par force brute: Les attaques par brute force consistent à trouver un
mot de passe ou une clé en testant successivement toutes les combinaisons
possibles.
- Attaque par dictionnaire: Les outils d'attaque par force brute peuvent
demander des heures, voire des jours, de calcul même avec des machines
équipées de processeurs puissants. Ainsi, une alternative consiste à effectuer
une « attaque par dictionnaire ». En effet, la plupart du temps les utilisateurs
choisissent des mots de passe ayant une signification réelle. Avec ce type
d'attaques, un tel mot de passe peut être craqué en quelques minutes.
- Attaque ransomware (rançongiciel) : il bloque l’accès aux équipements ou
aux données et ne rétablit l’accès qu’en échange d’une somme d’argent. Le
risque est de voir ses informations supprimées ou publiées si la rançon n’est
pas payée.
Les attaques
4. Techniques d’attaques

- Attaque par Virus: Un virus est un logiciel qui peut se répliquer et entrer
dans le système via des clés USB, des disques durs, des pièces jointes
d’e-mails et des fichiers téléchargés. Il tend à endommager le système par
divers moyens tels que:
- En utilisant l’espace disque.
- En effaçant complètement le lecteur de disque dur.
- Modifier des données personnelles, des fichiers texte.
- Et peut même mettre l’ordinateur à l’arrêt.

- Attaque par Vers (worm): Un ver est un virus qui se propage de manière
quasi autonome (sans intervention humaine directe) via le réseau.
 Approche commune des attaques

Etape 1: Reconnaissance
- Recherche d’informations sur le système cible

Etape 2: Enumération
- Ressources réseaux, utilisateurs et groupes, applications...

Etape 3: Balayage (scan)

- Scan des ports, des vulnérabilités, du réseau (topologie)

Etape 4: Exploit
- Exploiter les vulnérabilités des protocoles, des applications, de l'OS, du réseau, etc.

Etape 5: Maintenir l’accès.

Etape 6: Effacer les traces d’intrusion.

Les attaques

Les exploits

⮲ Un exploit est un programme informatique conçu pour

l’exploitation d'une vulnérabilité. Il est spécifique à une version d'une
application.

⮲ On distingue deux types d'exploits :

✔ Augmentation des privilèges : Les exploits les plus dangereux
permettent d’avoir les privilèges d'administrateur.

✔ Provocation d'une erreur système : Certains exploits ont pour objectif de

faire planter le système.
⮲ Quelques sites répertoriant les failles, leurs exploits et leurs correctifs :
▪ http://www.insecure.org

▪ https://www.appvizer.fr/services-informatiques/detection-de-vulnerabilites
 Exploit des vulnérabilités

Des protocoles
- Protocoles légers, non sécurisés, peu de contrôle

Des implémentations
- Exemple : mot de passe en clair sur le réseau

Des configurations :
- Exemple : firewall mal configuré

Des mécanismes d'authentification

- Exemple : mot de passe simple
 les contre-mesures de la sécurité
Contre-Mesure Description Exemple de Logiciel

Antivirus Logiciel qui scanne, détecte et supprime les logiciels Exemple : Avast, Norton,
malveillants, y compris les virus, les chevaux de Troie, et McAfee
les vers.

Firewall Un pare-feu est un logiciel et/ou un matériel permettant Exemple : Windows

de faire respecter la politique de sécurité du réseau (filtre Firewall, iptables
le trafic réseau entrant et sortant pour bloquer les
connexions non autorisées)

Chiffrement des Processus de conversion des données en un format Exemple : BitLocker,

Données illisible. VeraCrypt

Authentification à Méthode de sécurité qui nécessite une deuxième forme Exemple : Google
Deux Facteurs d'identification, généralement un code généré ou une Authenticator, Authy
(2FA) application mobile, en plus du mot de passe.

Mises à Jour Application des mises à jour de sécurité pour les Exemple : Windows
Régulières systèmes d'exploitation, les logiciels et les applications Update, macOS Software
pour corriger les vulnérabilités. Update

Sauvegardes Création de copies de sauvegarde régulières des Exemple : Veeam, Acronis

Régulières données critiques pour permettre une récupération en Backup
cas de perte ou d'attaque.

Détection Système qui surveille le réseau ou les systèmes à la Exemple : Snort, Suricata
d'Intrusion (IDS) recherche d'activités suspectes ou d'attaques en cours.
 les contre-mesures de la sécurité
Contre-Mesure Description Exemple de Logiciel

Protection de la Utilisation de filtres anti-spam et de systèmes de Exemple : Barracuda Spam

Messagerie protection contre les menaces pour sécuriser les Firewall, Proofpoint
e-mails.

Surveillance du Surveillance continue du trafic réseau et des Exemple : Nagios, Wireshark

Réseau journaux de sécurité pour détecter les activités
suspectes.

Segmentation du Division du réseau en segments isolés pour Exemple : VLAN, pare-feu à

Réseau limiter la propagation des attaques. segmentation de réseau

Gestion des Attribution de droits d'accès et de privilèges de Attribution de droits utilisateur en

Privilèges manière restreinte, en fonction des besoins, pour fonction des rôles et des
réduire les risques liés aux autorisations responsabilités.
excessives.

Sécurité Physique Protection des équipements informatiques et des Contrôles d'accès, caméras de
locaux pour éviter l'accès non autorisé, le vol ou sécurité, verrouillage des
la destruction physique des données. équipements.

Formation à la Sensibilisation régulière des employés aux Programmes de formation en ligne,

Sécurité meilleures pratiques de sécurité et aux menaces exercices de sensibilisation.
actuelles pour renforcer leur vigilance.
Attaque / Service Cible / Contre Mesures
Attaque Service Cible Contre-Mesures

Ingénierie Sociale Confidentialité formation du personnel, politiques

de sécurité strictes, vérification
d'identité.

Phishing, Mail Bombing, Confidentialité, Intégrité Filtrage des e-mails, éducation

Spamming des utilisateurs, authentification à
deux facteurs, liens sécurisés.

Malware (Logiciels Intégrité, Disponibilité Logiciels antivirus, pare-feu,

Malveillants), Virus, Vers, mises à jour régulières, isolation
Keyloggers des systèmes infectés.

Attaques par Force Brute Confidentialité, Intégrité Politiques de mots de passe

robustes, verrouillage des
comptes après plusieurs
tentatives infructueuses, détection
d'intrusion.
Attaque / Service Cible / Contre Mesures
Attaque Service Cible Contre-Mesures

Attaques par Déni de Service Disponibilité Filtres de trafic, pare-feu,

(DoS ) et Attaques de Déni de équilibrage de charge,
Service Distribué (DDoS) surveillance du réseau, services
de mitigation DDoS.

Injection SQL Intégrité Validation des entrées utilisateur,

utilisation de requêtes préparées,
principe du moindre privilège,
pare-feu applicatif web (WAF).

Ransomware Intégrité, Disponibilité Sauvegarde régulière des

données, protection par mot de
passe, utilisation d'outils
anti-ransomware.

Sniffing Confidentialité, Intégrité Utilisation de connexions

sécurisées (SSL/TLS), chiffrement
des données, isolation des
réseaux sensibles, surveillance du
trafic réseau.
 Les attaques
Une attaque réelle
Target, une grande chaine de supermarchés étasunienne – Décembre 2013

Vol de 40 millions de numéros de carte de crédit et des données personnelles de

70 millions de personnes.
Dommages estimés : plus de 150 millions de dollars (mais les estimations de
pertes fnancières sont toujours sujettes à caution).
 Les attaques

Une attaque réelle

Que s’est-il passé ?
 Les attaques

exemple d’une attaque réelle

1. Installation d’un malware qui vole des données de connexion depuis un PC d’un
sous-traitant gérant les installations d’air conditionné. Cela commence par une
défaillance humaine ;

2. Connexion chez Target avec les identifants. Accès à l’application web pour le sous-traitant
(facturation, gestion projet, gestion des contrats. Point notable : il s’agissait d’une
application simple, non critique);

3. Exploitation d’une vulnérabilité de l’interface web, qui permet d’uploader du code sur le
serveur (upload d’un web shell PHP) ;
 Les attaques

Une attaque réelle

4. Reconnaissance : recherche de cibles (serveurs contenant des numéros de carte bancaire,

bases de données) ;

5. Vol d’un jeton d’authentifcation dans la mémoire de l’application web ;

6. Création d’un nouveau compte admin en utilisant le jeton d’authentifcation volé;

7. Propagation vers les machines cibles avec les comptes admin de domaine. Utilisation
d’outils d’admin légitimes, non détectés ;
 Les attaques

Une attaque réelle

8. Vol de données personnelles, extraites de bases de données, via SQL (pas de CBs). Target
était conforme PCI-DSS (Payment Card Industry Data Security Standard) : pas de données
cartes dans leurs bases de données ; les attaquants ont changé de stratégie : ils ont ciblé les
PoS (Points of Sale) ;

9. Installation du malware Kaptoxa sur les caisses enregistreuses (PoS), vol de données 40
millions cartes de crédit.

10. Envoi des données volées via des partages vers une machine pouvant sortir en FTP ;

11. Exfltration via FTP.

 Les attaques

Une attaque réelle

Pendant que l’attaque était en cours, l’équipe qui monitorait la sécurité du système
d’information de Target depuis Bangalore, en Inde, a détecté quelque chose et alerté les
équipes opérationnelles à Minneapolis. Mais l’alerte est restée lettre morte, aucune action
n’a été entreprise.

Cette conclusion introduit un premier principe, essentiel :

La sécurité n’est jamais un produit, la sécurité est un processus.

La complexité et l’inventivité des attaquants mènent au constat suivant :

À mesure que la complexité des usages croit, celle des malveillances aussi.
 Les attaques

Une attaque réelle

Qu’est-ce qui aurait permis d'identifier et peut-être de réduire ces risques ? Des

tests de sécurité :

- Des audits sur site, chez le (les) prestataire(s) ;

- Des tests d’ingénierie sociale ;

- Des pen tests ;

- Des scans ;

- Des audits de code ;

- Des exercices et tests des processus de détection ;

- Des exercices d’entrainement à la gestion des situations de crise…

Choix du mot de passe

Les mots de passe

⮲Mots de passe à éviter :

☞ votre identifiant
☞ votre nom
☞ votre prénom ou celui d'un proche (conjoint, enfant, etc.) ;
☞ un mot du dictionnaire ;
☞ un mot à l'envers (les outils de cassage de mots de passe prennent en
compte cette possibilité) ;

☞ un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance

(password2016).
Choix du mot de passe
Les mots de passe
⮲Politique en matière de mot de passe: Toute entreprise souhaitant garantir un
niveau de sécurité optimal se doit de mettre en place une réelle politique de
sécurité en matière de mots de passe.

⮲Il s'agit d'imposer aux employés le choix d'un mot de passe conforme à certaines
exigences, par exemple :

✔ Une longueur de mot de passe minimale

✔ La présence de caractères particuliers
✔ Un changement de casse (minuscule et majuscules)
⮲Il est possible de renforcer cette politique de sécurité en imposant une durée
d'expiration des mots de passe, afin d'obliger les utilisateurs à modifier
régulièrement leur mot de passe.
Choix du mot de passe
Les mots de passe
⮲Lors de la connexion à un système informatique, celui-ci demande la plupart du
temps un identifiant (login ou username) et un mot de passe (password) pour y
accéder.

⮲Si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique,
l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le
système tout entier.

⮲Un mot de passe de 4 chiffres correspond à 10 000 possibilités (10 4). Si ce chiffre
paraît élevé, un ordinateur doté d'une configuration modeste est capable de le
casser en quelques minutes. On lui préfèrera un mot de passe de 4 lettres, pour
lequel il existe 456972 possibilités (26 4). Dans le même ordre d'idée, un mot de
passe mêlant chiffres et lettres, voire également des majuscules et des caractères
spéciaux sera encore plus difficile à casser.
Exercice 1
Considérons le système informatique suivant, qui comprend des
composants tels que des serveurs, des postes de travail, un réseau, des
données, des applications, des utilisateurs, etc. L'objectif est d'identifier ces
composants et de proposer des mesures de sécurité pour chacun d'entre
eux.
 Exercice 1
1. Identifiez les Composants : Énumérez tous les composants qui font
partie du système informatique. Cela peut inclure, mais sans s'y limiter,
les éléments suivants : serveurs, postes de travail, routeurs, bases de
données, données sensibles, applications, utilisateurs, etc.

2. Proposez des Mesures de Sécurité : Pour chaque composant identifié,

proposez au moins trois Menaces Potentielles et au moins trois mesure
de sécurité visant à protéger ce composant contre les attaques.
Assurez-vous d'indiquer le service cible (confidentialité, intégrité,
disponibilité, etc.) pour chaque proposition.
Description Menaces Potentielles Mesures de Sécurité Service Cible

Le serveur est le cœur du Accès non autorisé, - Utilisation de - Confidentialité,

système informatique, où attaques de déni de pare-feu Intégrité,
les données et les service, vulnérabilités - Mise à jour régulière Disponibilité
applications essentielles logicielles. du système - Intégrité,
sont stockées et gérées. d'exploitation et des Disponibilité
logiciels serveur - Confidentialité
- Chiffrement des
données stockées
Exercice 1