Sécurité des Réseaux

Chapitre 1:
Introduction à la sécurité des
réseaux

Classe : RSI3
ISET Nabeul
M.SKOURI & A.KHALDI
2017-2018
1
Plan
 Définitions
 Services de sécurité
 Menace, vulnérabilité & attaque
 Types d’attaques

2
1.Définitions
 Qu’est ce que la sécurité?
◦ La sécurité = la protection des actifs

 Un actif peut être un objet matériel

comme une page web, la base de
données d’un client, un switch… ou
bien un objet non palpable comme la
réputation d’une entreprise.

3
1. Définitions
 Que doit-on protéger au sein d’une
entreprise?

◦ Informations et données

◦ Services de communication et de traitement

des données

◦ Équipements

4
1. Définitions
Pourquoi doit-on se protéger ?
 Dégradation de la réputation de l’entreprise
 Risque de perte de clients, d’activité, de confiance, etc.
 Perte de temps pour la récupération
 La valeur de l’information perdue ou volée peut être
inestimable
◦ La maîtrise de l’information est souvent le secret de
réussite des entreprises
◦ La concurrence (espionnage industriel, …)
 Une obligation légale envers :
◦ Votre organisation
◦ Vos clients et fournisseurs
◦ Vos employés 5
2. Services de sécurité
Quels sont les services de sécurité?
 Authentification  « qui est-ce? »
◦ Processus visant à identifier de façon unique les
clients des applications et des services fournis.
Ces derniers peuvent être des utilisateurs finaux,
des services, des processus ou des ordinateurs
(ou autres équipements).
 Autorisation  « que peux-tu faire? »
◦ Processus visant à gérer les ressources et les
opérations qu’un utilisateur authentifié est
autorisé à accéder. Une ressource peut être un
fichier, une base de données, une table, la ligne
d’une table, …

6
2. Services de sécurité
Quels sont les services de sécurité?
 Intégrité :
◦ Garantie que les données sont protégées contre les
modifications (malicieuses) accidentelles ou
délibérées. Tout comme la confidentialité, l’intégrité
est un souci majeur particulièrement pour les
données en transit sur les réseaux  généralement
assurée par les techniques de hashage.

 Confidentialité :
◦ Processus visant à s’assurer que les données restent
privées et confidentielles de sorte à ne pas être
lisibles ou écoutées par des utilisateurs non autorisés.
Le cryptage (ou chiffrement) est le processus utilisé
pour assurer la confidentialité des données.
7
2. Services de sécurité
Quels sont les services de sécurité?
 Disponibilité :
◦ Garantie qu’un système reste disponible pour les
utilisateurs légitimes. En effet, le but des attaques de type
DoS (Deny of Service) est de submerger une application
ou la mettre hors service de sorte à ce qu’aucun
utilisateur légitime ne puisse y accéder.

 Non-répudiation :
◦ L’auditabilité et la journalisation (logging) sont la clé de la
non-répudiation = garantie qu’un utilisateur ne peut
nier avoir effectué une opération ou bien initié une
transaction
◦ Exemple, en e-commerce, il est nécessaire de mettre en
place des mécanismes de non répudiation pour qu’un
client ne puisse pas nier avoir commandé 100 articles.
8
3. Menace, vulnérabilité & attaque
 Menace
◦ Tout événement susceptible de causer un dommage sur un
actif (danger potentiel)
 Vulnérabilité
◦ Toute faiblesse (ou faille) pouvant être exploitée pour
rendre une menace possible.
◦ Exemple : faiblesse de conception, erreur de configuration,
utilisation de techniques de codage non sécurisées ou non
appropriées
 Attaque
◦ Action qui compromet la sécurité des actifs et ce en
exploitant une vulérabilité ou concrétisant une menace.
◦ Exemple : l’exécution de code malicieux ou bien la
submersion d’un réseau ou d’un serveur de messages afin
de causer un déni de service (DoS).

9
 3. Menace, vulnérabilité & attaque

 La surface d'exposition aux attaques

décrit les différents points via lesquels un hacker peut accéder à
un système et avoir main mise sur les données de (exemple :
système d'exploitation sans correctifs de sécurité).

 Exploitation
◦ Mécanisme utilisé pour exploiter une vulnérabilité dans le but
d'infecter une ressource

 Risque
◦ Probabilité pour qu'une menace spécifique exploite une
vulnérabilité précise associée à une ressource et que des
conséquences indésirables en résultent.

10
3. Menace, vulnérabilité & attaque
 Menace
◦ Proposez quelques types de menaces pour un
SI
 Vulnérabilité
◦ Proposez quelques types de vulnérabilités
pour un SI
 Attaque
◦ Proposez quelques types d’attaques prenant
pour cible un SI

11
4. Les menaces
4.1. Les types de menaces : accidentelles /
intentionnelles
1. Menaces accidentelles
◦ Sans préméditation
◦ Exemple : effacer accidentellement des données,
défaillances ou bogues, …
2. Menaces intentionnelles
◦ Avec préméditation
◦ Ces menaces peuvent aller de l’examen utilisant des
outils de contrôle facilement disponibles, aux attaques
sophistiquées utilisant une connaissance spéciale du
système.
◦ Une menace intentionnelle qui se concrétise peut être
considérée comme une “attaque”

12
4. Les menaces
4.2. Les types de menaces : passives / actives
1. Menaces passives
◦ Ne produisent aucune modification des informations
contenues dans le système ; le fonctionnement et l’état
du système ne changent pas
◦ L’utilisation de branchements clandestins passifs pour
observer des informations transmises via une ligne de
communication est une concrétisation d’une menace
passive.

2. Menaces actives
◦ Causent l’altération des informations contenues dans un
système, ou des modifications de l’état ou du
fonctionnement du système. Une modification
malveillante des tables de routage d’un système par un
utilisateur non autorisé est un exemple de menace
active.
13
4. Les menaces
4.3. Les types de pirates
1. White Hat Hacker (Ethical Hacker)
◦ Personne qui utilise ses compétences et ses
qualifications pour aider à sécuriser les systèmes et
combattre la cybercriminalité.
 son slogan “apprendre l’attaque pour mieux se défendre”
2. Black Hat Hacker
◦ Il agit à des fins qui lui sont propres, et qui sont illégales
(voler des données, s’introduire illégalement dans les
systèmes ou encore pirater des comptes).
3. Grey Hat Hacker
◦ Mélange de White Hat et de Black Hat . Ce hacker agit des fois pour la
bonne cause, comme un White Hat le fait mais peut commettre de
temps à autre des délits.
 Il s’introduit par exemple illégalement dans un système afin de
prévenir ensuite les responsables des failles qu’il aura trouvées.
Son action est louable, mais tout de même illégale. 14
4. Les menaces
4.3. Les types de pirates
4. Les hacktivistes (= hacker + activiste)
agissent pour une cause souvent politique. Ils
attaquent généralement des entreprises et non
pas des utilisateurs particuliers.
5. Les script-kiddies
sont tous les débutants qui agissent
uniquement en se servant de logiciels prêts à
être utilisés.
 La seule chose qu’ils font c’est l’exécution du
logiciel et l’attente d’un résultat. 15
5. Les vulnérabilités
 Vulnérabilité = faiblesse dans un
système ou dans un logiciel.
◦ Ces faiblesses sont exploitées par
des attaquants pour obtenir un
accès à une ressource (machine,
réseau, etc.) ou à une information.

16
 5. Les vulnérabilités
 Les vulnérabilités peuvent se trouver au niveau des services, des
applications et des utilisateurs.
 les services : par exemple l’email, le Web ou toute autre
application qui communique avec une autre application.
◦ En 2001, des attaques contre les serveurs web IIS ont permis la diffusion
du ver « Code Red » .
◦ Les vulnérabilités des services sont très dangereuses car elles ne
nécessitent pas une intervention humaine.
 les applications : les vulnérabilités des applications nécessitent
souvent une intervention humaine.
◦ Par exemple, un utilisateur qui active un virus par un clic de souris. Un
simple clic et on se retrouve victime d'un virus, worm ou spyware.
 les actions des utilisateurs : les utilisateurs peuvent engendrer
des vulnérabilités sur des systèmes ou des logiciels par de mauvaises
configurations ou config. incorrectes.
◦ Un utilisateur peut reconfigurer un système ou un logiciel et ouvrir ainsi
des portes à des attaquants. Dans ce cas, même le système de sécurisation
le plus performant, s'il est mal configuré, offre une brèche de sécurité.

17
6. Les attaques
 Une attaque peut être réalisée grâce à des
moyens techniques ou par ingénierie
sociale.
 Une attaque peut être interne (par des
utilisateurs légitimes) ou bien externe (par
des attaquants externes).
 Il existe des catégories principales
d’attaques :
◦ attaque d’accès
◦ attaque de modification
◦ attaque par déni de service
◦ attaque par répudiation

18
6. Les attaques
Types d’attaques
 Les attaques d’accès :
Une attaque d’accès est une tentative d’accès à
l’information par une personne non autorisée.
Ce type d’attaque concerne la confidentialité de
l’information.
 Les attaques de modification :
Une attaque de type « modification » consiste,
pour un attaquant, à tenter de modifier des
informations.
Ce type d’attaque est dirigé contre l’intégrité de
l’information.

19
6. Les attaques
Types d’attaques
 Les attaques par répudiation :
La répudiation est une attaque contre la
responsabilité. Autrement dit, la répudiation
consiste à tenter de donner de fausses
informations ou de nier qu’un événement ou
une transaction se soit réellement passé.

◦ Un exemple de ce type d’attaque est l’IP

SPOOFING qui consiste à se faire passer pour
une autre machine en falsifiant son adresse IP

20
6. Les attaques
Types d’attaques
 Les attaques par saturation (déni de service)
Les attaques par saturation sont des attaques informatiques qui
consistent à envoyer des milliers de messages depuis des dizaines
d'ordinateurs, dans le but de submerger les serveurs d'une
société, de paralyser pendant plusieurs heures son site Web et
d'en bloquer ainsi l'accès aux internautes.
Cette technique de piratage assez simple à réaliser est jugée
comme de la pure malveillance. Elle ne fait que bloquer l'accès
aux sites, sans en altérer le contenu. Il existe différentes attaques
par saturation :
 Le flooding
 Le TCP-SYN flooding
 Le smurf
 Le débordement de tampon

21