Académique Documents
Professionnel Documents
Culture Documents
Je dédie ce mémoire à :
Mon très chère papa Abdoulaye Mountaga Sall et Ma très chère maman
Nafi Sall, qui n’ont ménagé aucun effort pour ma réussite. Mes frères,
mes sœurs, mes cousins, mes cousines, ma tante Kouro, Coumba
Nialdou, et toute la famille Sall.
Les FUB
Conformément aux règles du système dit LMD (Licence, Master, Doctorat) et à celles
de l’UFR SAT/Section CFPP, il est soutenu, à la fin des 1 er et 2ème cycles un mémoire ou un
rapport de stage en vue d’obtenir son diplôme.
Je vous présente un mémoire pratique et je ne suis en aucun cas responsable de vos actes et
faits dans le but de nuire.
Aujourd’hui, les réseaux informatiques sont de plus en plus développés dans le monde
entier. L’expansion des réseaux informatiques notamment l’internet ces dernières années ont
rendu les réseaux indispensables dans quasiment toutes les entreprises. Si ces innovations
ont apporté un avantage au sein des entreprises, elles sont accompagnées par de nouveaux
risques pour les technologies nouvelles, le piratage informatique. En effet, ces attaques sont
de plus en plus nombreuses, efficaces et simples à mettre en œuvre. Raison pour laquelle
toutes les entreprises font tout pour avoir une bonne sécurité. La sécurité a toujours été une
grande préoccupation pour l’homme, comment se protéger des attaques extérieures émanant
de la nature (vent, pluie…) ou même des hommes. Face à cette situation d’insécurité,
l’homme met en place des mécanismes lui permettant de faire face à ces attaques. Ce
problème de sécurité n’épargne pas le domaine informatique. Ainsi, une entreprise équipée
de portes blindées, disposant de gardes lourdement armés faisant de la ronde est-elle bien
sécurisée ? Oui c’est bien le cas pour des ignorants de l’informatique mais pour un expert en
la matière, c’est loin d’être le cas si elle n’a pas mis en place des politiques de sécurité pour
contrer les attaques visant directement le système informatique de l’entreprise.
Ce problème ne s’est pas limité sur l’homme en tant que tel mais aussi de ses biens c’est-à-
dire comment gérer sa fortune, sa vie privée à travers les nouvelles techniques de
l’information et de la communication (téléphone, ordinateur) et c’est ce problème qui prive
les DG, PDG et les administrateurs du sommeil. Et même si elle est mise en place, les
politiques de sécurité ne seront jamais efficaces pour se mettre à l’abri des menaces puis que
certains hackeurs utilisent les connexions légitimes pour faire leurs attaques en exploitant les
failles de certains protocoles comme le tcp/ip. Dans ce mémoire nous allons montrer la
facilité de mettre en place des attaques réseau avec différentes méthodes comme le sniffant,
le spoofing, le Man in the Middle etc. Nous rappelons que ce mémoire sera divisé en trois
parties. Nous allons commencer par un rappel du modèle TCP/IP avec les protocoles utilisés
au niveau des différentes couches. Dans la deuxième partie on va montrer quelques attaques
réseaux avec de la pratique. En ce qui concerne la pratique, on utilisera Kali linux
anciennement appelé Backtrack (nous allons parler de kali, l’introduire et expliquer son
fonctionnement en détails). Et en troisième partie, nous allons essayer de mettre en place des
systèmes de sécurité pour détecter et contrer les attaques ; c’est à ce niveau que nous
parlerons des IDS.
Introduction
TCP/IP désigne communément une architecture réseau, mais cette appellation désigne en
fait deux protocoles qui sont étroitement liés que sont TCP et IP. Le modèle tcp/ip est une
architecture réseau de quatre couches dans lesquelles les protocoles tcp et ip jouent un rôle
prépondérant, il est aussi une suite de protocoles qui sont tcp et ip.
Ainsi, force est de constater que le modèle tcp/ip s’est imposé comme modèle de référence
en lieu et place du modèle OSI. En effet, contrairement au modèle OSI, le modèle tcp/ip est
né d’une implémentation, la normalisation est venue ensuite. Le protocole tcp/ip est adopté
en 1974 par le réseau ARPANET qui est un réseau de télécommunication conçu par l’ARPA
(Advanced Research Projects Agency), l’agence de recherche du ministre américain de la
défense (le DOD : Departement of defence). Outre la possibilité de connecter des réseaux
hétérogènes, ce réseau devait résister à une éventuelle guerre nucléaire, contrairement au
réseau téléphonique habituellement utilisé pour les télécommunications mais considéré trop
vulnérable. Il a alors été convenu qu’ARPANET utilisait la commutation par paquet (mode
datagramme), une technologie émergente prometteuse. C’est dans cet objectif et ce choix
technique que les protocoles tcp et ip furent inventés. On parle souvent de tcp/ip mais le tcp
(Transmission Control Protocol) est le protocole qui permet de transporter des paquets avec
« accusé de réception » et contrôler des erreurs si un paquet est arrivé à sa destination
déformé ou corrompu ; il sera renvoyé automatiquement.
Comme nous allons voir le fonctionnement du modèle tcp/ip tout au long de ce chapitre, il
sera encore intéressant de revenir sur le modèle OSI qui est son modèle de référence.
10
Modèle OSI
Application 7
Présentation 6
Session 5
Transport 4
Réseau 3
Liaison de 2
Données
Physique 1
Après Plusieurs Saisons Tout Respire La Paix : Pour mieux capter les couches.
Application
Cette couche est celle que les programmes d’application perçoivent. Cette couche se
distingue des autres couches du modèle OSI en ce qu’elle ne fournit aucun service aux autres
couches du modèle OSI, mais seulement aux applications extérieures de celui-ci.
Présentation
11
Session
La fonction de cette couche est de permettre aux applications fonctionnant sur deux postes
de travail de coordonner leurs communications en une seule session. Elle est responsable de
la création de session de la gestion des paquets envoyés dans un sens et dans l’autre durant
celle-ci ainsi que sa clôture.
Transport
La couche transport segmente les données envoyées par le système de l’hôte émetteur et les
rassemble en flux de données sur le système de l’hôte récepteur.
Réseaux
Cette couche route les paquets à la bonne destination, elle est responsable de l’adressage et
de la livraison des paquets de messages.
Liaison de données
La couche liaison de données assure un transit fiable des données sur une liaison physique.
Couche physique
Cette partie du modèle OSI définit les caractéristiques physiques et électriques des
connections qui constituent le réseau. Elle peut être assimilé par une couche de niveau
matériel, elle convertie les bits en signaux ou l’inverse.
Ainsi, au fur et à mesure le modèle OSI était dans l’obligation de céder sa place de leader au
modèle TCP/IP qui s’est montré plus simple et efficace à manipuler.
12
Modèle TCP/IP
Ainsi, on donnera un bref rôle des différentes couches avant de venir aux protocoles.
Application
Elle regroupe les couches application, présentation et session du modèle OSI ; Cette couche
contient tous les protocoles de haut niveau. Le point important de cette couche est le choix
du protocole de transport à utiliser.
Transport
Il a le même rôle que celui de la couche transport du modèle OSI : permettre des entités
paires de soutenir une conversation.
Internet
13
Accès Réseau
Cette couche un peu étrange semble regrouper la couche liaison de donnée et accès réseau
du modèle OSI. En effet, elle n’a pas été assez spécifiée ; la seule contrainte de cette couche
c’est de permettre à des hôtes d’envoyer des paquets sur le réseau.
Les protocoles visibles au sein du modèle tcp/ip sont un peu importants et sont d’une
importance capitale pour le bon fonctionnement des connexions y compris l’internet. Puise
que notre sujet porte sur les attaques réseaux, il est primordiale de connaitre le
fonctionnement des réseaux c’est-à-dire les protocoles utilisé puis qu’il n’est guère possible
de parler de réseau sans les protocoles. Nous allons détailler le fonctionnement de quelques
protocoles du modèle tcp/ip de chaque couche ainsi que leur limite de sécurité.
Le FTP
Le protocole FTP est comme son nom l’indique un protocole de transfert de fichier (File
Transport Protocol). La mise en place du protocole FTP date de 1971, date à laquelle un
mécanisme de transfert de fichier entre les machine du MIT (Maassachussets Institute of
technologies) avait été mis au point. Le rôle du ftp est de définir la façon selon laquelle les
données doivent être transférer sur un réseau tcp/ip. Il a pour objectif de :
14
SMTP
Le but du protocole SMTP (Simple Mail Transfer Protocol) est de transférer du courrier
électronique selon un procédé efficace et fiable. L’émetteur SMTP établit une communication
bidirectionnelle vers un récepteur SMTP. Le canal de transmission SMTP standard est une
connexion TCP bidirectionnel sur le port de service 25. Ainsi, il a toujours été une source
quasi inépuisable de vulnérabilité, surtout pour ce qui concerne le serveur « sendmail ». Ce
programme serveur surtout complexe a donc été une cible privilège de nombreux attaquants
et même aujourd’hui puisse que c’est souvent un point d’accès économique pratique et
simple d’utilisation (Le protocole fonctionne en mode texte pur) au monde de l’internet.
Notons que le protocole SMTP n’implémente aucun mécanisme d’authentification.
DNS
Le Domain Name Service (DNS) est quasiment à la base de toutes les applications sur
internet, il a pour but d’assurer la conversion des noms de domaine (par exemple
www.Mountag-sall.com) en son adresse ip (par exemple 192.168.0.1) et vice-versa, à savoir
convertir une adresse ip en un nom de domaine. Mais le DNS est vulnérable. Avec son
importance, cette vulnérabilité fait peser sur tout l’internet. Le DNS est vulnérable aux
attaques par déni de service (que nous verrons dans les prochains chapitres) mais surtout
des attaques par corruption des données, pour insérer des réponses trompeuses. En effet, il
est facile d’introduire une réponse mensongère dans le processus de résolution DNS. Cette
vulnérabilité était connue depuis longtemps mais a pris une actualité particulière avec la
publication des informations sur « la faille kaminsky » qui était une nouvelle méthode pour
exploiter facilement et efficacement cette vulnérabilité.
Http
15
Le protocole TCP
Pour une transmission des données garantie, les applications utilisent TCP. Le protocole TCP
fournit un service de transport de flux d’octets orienté connexion et fiable. Les données
transmises dans tcp sont encapsulées dans des paquets ip. Ainsi, le terme connexion signifie
qu’une des deux extrémités doit établir une connexion avant tout échange. Il faut noter que
ce protocole est vulnérable face à certaines attaques. Par exemple, une connexion TCP peut
être interceptée et manipulée par un attaquant situé sur le chemin de cette connexion.
Le protocole UDP
Le protocole ARP
ARP (Address Resolution Protocol) est un protocole de résolution d’adresse situé entre la
couche liaison de données et la couche réseau. Il propose une solution aux problèmes liés
aux résolutions d’adresse où un protocole de niveau réseau a besoin d’envoyer un message à
une destination mais ne connait que l’adresse de niveau réseau. L’ARP lui permet alors
d’obtenir (l’adresse mac) de cette destination. Rappelons un peu le fonctionnement de
l’ARP :
16
Ainsi le protocole arp est conçu sans souci particulier de la sécurité. Il est vulnérable à des
attaques locales sur le segment reposant principalement sur l’envoie des messages arp
erronés à un ou plusieurs ordinateur. Au niveau des chapitres suivants nous allons voir les
attaques liés à arp comme l’ARP poisoning (pollution du cache arp) et un scénario détailler
sera mis sur place. La vulnérabilité d’un ordinateur à la pollution de cache arp dépend de la
mise en œuvre du protocole arp par son système d’exploitation.
Le protocole IP
L’internet Protocole est un protocole de la couche internet du modèle tcp. Si tcp est une
voiture pour transporter des paquets on peut dire qu’IP est le chauffeur. Il définit l’adressage
logique des machines ainsi que le routage entre les nœuds. Il est non fiable car il ne garantit
pas la remise des paquets à la destination finale. Puis qu’il n’y pas un circuit établit au
préalable et que les paquets sont acheminé indépendamment les uns des autres on peut dire
que le protocole IP est sans connexion.
D. Client-Serveur
Un réseau client-serveur peut être défini par un réseau qui utilise un ordinateur central pour
délivrer des informations et des ressources auprès des autres ordinateurs. L’ordinateur
centrale est appelé serveur et les autre ordinateur qui sont aux périphériques est appelés
clients.
17
Réponses
Serveur
Réponses
Requête
Client
Vous avez un client vous avez un serveur, le client va demander un service au serveur et le
serveur va répondre sur demande le service désiré. Au niveau du chapitre suivant nous
allons voire des attaques clientes les plus courantes qui sont :
Le sniffing
Le spoffing
Le poisoning
De nos jours les réseaux sans fils posent de nombreux problème de sécurité et leur
caractéristique ouvre à de nombreuses vulnérabilités. Le média se compose d’onde
radioélectrique : c’est donc par construction, un support sans protection vis-à-vis des signaux
externe, donc il est sensible au brouillage et au déni de service. Ainsi les caractéristiques de
propagation de l’onde sont complexe : l’onde peut être absorbé, diffracté, réfracté ou bien
18
Ainsi pour ce qui des enjeux, on peut dire que la sécurité des réseaux présente des enjeux
d’ordre stratégique puise que dans le monde d’aujourd’hui les personnes physique doivent
pouvoir se communiquer, l’information doit être accessible sur le réseau peu importe notre
situation géographique : bureau, voyage ou à la maison. Parmi ces enjeux on peut citer :
Ainsi pour les entreprises l’ouverture vers l’extérieur constitue les défis majeurs pour ces
derniers. La sécurité de leurs systèmes d’information est devenue un élément essentiel de
la protection des informations de l’entreprise. Et c’est à ce niveau que toute l’ingénierie
est interpellée. En effet des architectures de sécurités vont être mises en place afin de
protéger la confidentialité des informations sensible, de sécuriser l’intégrité des systèmes
d’information (SI) et d’assurer la disponibilité des informations au sein du réseau. Et
19
Conclusion
Dans ce chapitre nous avons fait un petit rappel du modèle OSI, qui avait vu le jour dans le
but d’assurer la connexion entre des réseaux conçus par technologies différentes. Mais ce
dernier a laissé sa place de leadeur à tcp/ip qui est plus simple et efficace. Ce qui nous
intéressait le plus est les différents protocoles qui agissent au niveau du modèle tcp/ip et
leurs limites de sécurité. Les protocoles du modèle tcp/ip sont vulnérables et c’est ce que les
personnes mal intentionné utilisent pour nuire. Dans le prochain chapitre nous allons voir
les méthodes que ces derniers emploient pour nuire les entreprises.
20
Introduction
Depuis l’avènement de l’internet les entreprisses sont soumises à des dangers venant des
personnes mal vaillantes. Suite à l’ouverture d’internet au monde, les entreprises sont dans
l’obligation de se connecter afin de profiter à cette vitrine mondiale. Malheureusement si
internet a fait des progrès positif comme la révolution de l’informatique et la circulation
mondiale de l’information, il a mis en place des personnes mal intentionné, de nouveau
moyen d’accéder illégalement à des informations classé top secret, qu’elle soit au niveau des
entreprises ou chez les utilisateurs et sans risque puise que tout ce passe sans la moindre
présence physique. En effet puise que les entreprises sont contraints de se connecter à
l’internet pour avoir cette mine d’or, il est encore possible pour une personne quelconque
d’accéder aux ressources de l’entreprise à moins que cette dernière met en place les
politiques de sécurité nécessaire. D’ailleurs d’autre technologie ont vu jour comme le réseau
sans fil « Wireless ». Avant cela semble une grande avancée pour les utilisateurs qui se
débrasent de la connexion filaire, mais si on se focalise au niveau de la sécurité on peut
considérer cela comme une régression, si elle n’est pas utilisé intelligemment, c’est à dire si
elle n’est pas accompagné par des politiques de sécurité car il devient possible d’accéder à un
réseau privé sans lui être connecté physiquement.
21
D. Les pirates ?
Il est impossible d’aborder le chapitre sur les attaques réseaux sans parler des différentes
formes d’attaque car beaucoup ne font pas la différence entre un hackeur et un crackeur.
Nous proposons les deux profils de pirate les plus souvent identifié :
Hacker : Un Hacker peut être comme un individu curieux, qui cherche à se faire plaisir.
Pirate par jeu ou par défi lui il ne nuit pas intentionnellement et possède souvent un code
d’honneur et de conduite. Il est plutôt jeune avec des connaissances non négligeable, il aussi
tenace et patient.
Cracker : il est plus dangereux que le hacker dans la mesure où il cherche à nuire et
montrer qu’il est le plus fort. Il a souvent mal dans sa peau et de son environnement, il peut
causer de nombreux dégât en cherchant à se venger d’une société ou d’une personne qui l’a
rejeté ou qu’il déteste. Il veut montrer sa suprématie et souvent fait partie des clubs ou il
pourra échanger avec ces semblables on les appels aussi les criminels de l’informatique. Les
pirates possèdent rarement de moyens souvent un ordinateur associé à un modem ou à un
minitel. Leur population s’accroit d’une manière exponentiel car les connaissances en
information ne sèche d’augmenter et les SI de plus en plus nombreux.
Ainsi sur ce chapitre nous allons smiller quelque attaque. Mais avant tout j’ai jugé nécessaire
d’introduire le logiciel avec lequel on travaillera : Kali linux.
Kali linux est une distribution GNU/LINUX sortie le 13 mars 2013, basé sur Debian.
L’objectif de Kali linux est de fournir une distribution regroupant l’ensemble des outils
nécessaires aux tests de sécurité d’un système d’information, notamment les tests
d’intrusion. Kali linux est disponible en DVD, il est aussi possible de l’installer sur disc dure
ou bien de le virtualiser grâce à des images virtuelles qu’on peut télécharger. Kali linux
propose plus de 300 programme d’analyse de sécurité préinstaller. Je vous signale que
l’installation de kali linux est trop complexe le mien n’avais pas marché avec virtuel box et
finalement j’ai utilisé VMware station et même cela on avait un problème d’authentification.
Je vous montre quelques captures pour le démarrage de kali.
22
24
Une attaques par déni de service en anglais Denial Of Service (DOS) vise à rendre
indisponible un ou plusieurs service. Cette attaque n’est pas destinée à voler des
informations comme des mots de passe ou des documents classés top secret mais seulement
à rendre par exemple un site indisponible c’est une attaque selon moi utilisée par les
méchants. Un déni de service peut permettre d’exploiter par exemple une vulnérabilité
logicielle ou matérielle. L’interruption de service peut également s’effectuer en empêchant
l’accès à un service, en saturant la bande passante du réseau : on parle alors d’attaque
volumique. Ainsi, une attaque peut solliciter, jusqu’à l’épuisement d’une ou plusieurs
ressources d’un service. Il peut par exemple constituer à l’ouverture d’un grand nombre de
nouvelles sessions tcp dans un intervalle de temps trop réduite. On parle de Déni de service
distribué en anglais (Distibuted Denial of Services). Ainsi toute entité dont le fonctionnement
et l’activité dépendent d’une infrastructure réseau connecté sur internet est sous la menace
d’une attaque DDOS. Et force est de constater que les motivations et objectifs des attaquant
sont divers et variés. Parmi elles, on peut citer :
25
Voilà un aperçu d’une attaque par réflexion ; l’attaquant fait une requête au serveur en
usurpant l’adresse ip de la victime 192.168.5.2. Par conséquent, les serveurs envoient les
réponses aux requêtes générées par l’attaquant vers la cible. On parle de dénis de service
lorsque le volume de trafic induit par ces réponses dépasse la bande passante du réseau dont
la victime dispose. Ainsi, c’est attaques utilisent souvent des méthodes reposant sur le
protocole de transport UDP donc elle exploite les faiblesses d’UDP.
26
D’autres types d’attaque applicative cherchent à épuiser les ressources de calcul d’un serveur
en initiant un grand nombre de sessions TLS, ou encore exploiter les faiblesses dans la
conception d’une application web.
On a encore d’autres types d’attaque DDOS comme les épuisements des tables d’état, les
attaques utilisant la fragmentation ip, etc.
27
Les attaques de déni de service sur des serveurs de nom de domaine (DNS) démolissent le
plus que les attaques sur le routage. Pour les mettre en œuvre, les pirates doivent convaincre
le serveur victime à enregistrer des adresses fictives. Ainsi, lorsqu’un serveur fait une
résolution de nom, les pirates peuvent alors router les données vers le site de leur choix ou
encore vers un trou noir. Plusieurs attaques DOS ont rendu inaccessibles des sites importants
pour une durée assez longue.
Scénario
Pour faire cette attaque comme on a dit, il y’a diverses manières de le faire avec notre fenêtre
DOS ou des logicielles de ddos qui sont disponibles sur les sites de téléchargement. Pour ce
qui nous concerne, nous allons utiliser kali linux. Et pour ce qui est du DDOS on aurait
besoin de slowloris.pl pour envoyer les paquets, bien évidement l’installation de slowloris
est très complexe sur kali-linux, il nous a fallu faire un tour sur Google et taper slowloris.pl,
ouvrir le fichier, tout copier et de coller sur un fichier test qu’on avait créé sur notre bureau
et qu’on a renommé par slowloris.pl
28
29
Et ici on aura le test de bienvenu et la commande qu’il faut taper pour l’attaque
Une fois ici on choisit notre cible. A titre d’exemple j’ai choisi un site web par hasard qui est
www.hayo.sn pour simuler l’attaque et pour ne pas faire beaucoup de dégâts, j’ai choisi
l’heure où presque le site n’est pas trop visité à savoir vers 4h du matin. La commande à
utiliser est
Avant de lancer la commande, on visite le site pour montrer que le site existe et est accessible
car après l’attaque le site ne sera plus accessible. Cependant, cette inaccessibilité ne sera
remarquée que pendant la durée de l’attaque.
30
31
Ainsi y’a divers manières de faire des attaques ddos avec d’autres applications. Pour ce qui
concerne notre attaque à savoir slowloris, cette méthode n’est pas très fiable car on pourra
remonter jusqu’à nous avec notre adresse ip. Et pour cela il plus prudent de masquer notre
adresse ip avant de faire un DDOS.
Nmap
C’est un outil spécifique à l’intrusion. IL est un « scanneur de port » c’est-à-dire qu’il va
tester un ensemble de port sur la machine cible et détermine les quels des ports sont ouverts
ou fermés. Son exécution est très rapide et de plus il peut tester automatiquement tout un
intervalle d’adresse ip. Force est de constater que nmap a une deuxième fonctionnalité très
intéressante à savoir l’identification par empreinte. C’est-à-dire avec le peu d’informations
échangés avec la cible, l’attaquant pourra savoir quel système d’exploitation utilise notre
cible. Ainsi par défaut nmap ne test que les ports tcp ; et pour tester le port UDP il va falloir
ajouter l’option –sU.
32
Les whois
Les whois sont des services gratuites sur le net qui permettent d’avoir des informations sur
un domaine particulier, sur une adresse de messagerie grâce à ses bases de donnée comme :
33
Et la liste n’est pas exhaustive. Mais on peut trouver d’autres informations en sollicitant
l’aide de Google.
Se préparer à l’avance, en marquant sur une feuille les questions que tu dois poser ainsi que
ta fausse identité ;
Ne jamais raccrocher au nez votre interlocuteur même s’il ne veut pas te donner les
informations que tu veux ;
Toujours faire des recherches sur l’entreprise pour ne pas être coincé au téléphone ;
Ne pas durer au téléphone pour qu’il puisse te donner les informations voulues ;
Eviter les onomatopées par exemple : heu..., hein !..., je ne sais pas car vous ne paraissez pas
sur de vous ;
Faire des menaces pas au sens propre du terme seulement du genre comme la peur en faisant
savoir à la personne qu’elle va s’attirer les colères du patron et elle pourrait risquer son
poste ;
34
Comme le social engeneering, cette technique n’est pas spécifique au pirate mais peut
grandement aider.
Le ping
Le ping est un élément très important pour la recherche d’informations en ce qu’il permet de
vérifier la connectivité de deux machines. Elle permet de savoir si une adresse ip est
distribuée, la localisation de la personne à qui appartient l’IP et aussi de savoir le fournisseur
d’accès de la cible grâce à l’option de résolution d’adresse en nom d’hôte. On peut
« pinguer » des machines grâce à des outils comme nmap, Pinger de Rhino9 ProPack de
ipswitch etc …
Les interpréteurs de commande intègrent aussi une commande avec quelques options. En
voici peu d’exemples.
-t permet d’envoyer des requêtes ping sur l’hôte jusqu’à ce que la personne ne l’arrête avec
les touches CTRL + C
-i x : qui permet de déterminer le TTL des paquets ping et x doit être compris entre 1 et 255
Il faut noter que ce sont les options les plus importantes de la commande ping sous MS-DOS
Nous allons donner un exemple sous Windows. Et pour ouvrir MS-DOS on tape Windows +
R ensuite on écrit cmd ou bien sur le menu de démarrage on tape cmd on peut l’ouvrir en
tant que admin ou pas.
35
Tracert lui fonctionne de manière inverse par rapport à Traceroute car il utilise par défaut le
protocole ICMP mais peut également utiliser le protocole UDP.
36
37
Il existe diverses méthodes de « ports scanning » toutes utilisant les particularités des
protocoles réseaux pour déterminer la présence ou l’absence d’un service. Pour ce qui est de
notre cas, on va utiliser zenmap pour avoir des informations sur l’ensemble des ports qui
sont ouverts au niveau de notre cible. On pouvait également utiliser d’autres outils de
scanne de port comme nmap, netdiscover, dmitry, etc.
Exemple :
Pour lancer le scan, il nous suffira que de mettre l’adresse de la victime au niveau du champ
cible et cliquer sur scan. Ainsi, zenmap nous montrera l’ensemble des ports ouverts au
38
G. Vulnérabilité
Par définition une vulnérabilité réseau est une faiblesse ou un ensemble de faiblesses au sein
d’un actif ou un groupe d’actifs dont l’exploitation potentielle peut porter préjudice à
l’organisation : fuite d’information confidentielle, perte de confiance des clients, images
détériorées, baisse des revenus, etc.
En effet, nous allons détailler les types de vulnérabilité avec si possible de la pratique pour
mieux illustrer notre travail.
39
CVE : Common Vulnerabilities and Exposures. Il faut juste voir ça comme un identifiant
unique à une vulnérabilité comportant l’année où cette vulnérabilité a été détectée.
CVSS : Common Vulnerability Scoring System. CVSS est en quelque sorte un intervalle de 0
à 10 qui va noter la sévérité d’une vulnérabilité. Si une vulnérabilité atteint la valeur de 10, ça
veut dire que la personne qui est derrière peut prendre le contrôle total de votre ordinateur.
C’est à ce niveau qu’on parle de vulnérabilité critique.
Cela dit, parlons un peu de notre outil de travail qui est OpenVas. Avant toute chose
OpenVas est outil de scan de vulnérabilité gratuit sur internet et open source. Il est
40
Ensuite on clique sur openvas start ou ouvre le terminale et on tape la commande suivante :
41
Votre user sera automatiquement créer avec un mot de passe par défaut ainsi pour modifier
le mot de passe à son tour on tape la commande :
42
Création de Targuet c’est-à-dire création d’une cible ça peut être une adresse ip ou une liste
d’adresse ip c’est important parce que pour lancer un scan on aura besoin de la cible
Création d’alerte
Création de Targuets :
La création d’une cible plutôt facile les captures suivantes nous montre les étapes :
Après avoir cliqué sur Targuets on aura la capture (toutes ces captures ont pour but de
montrer le travail qu’on a fait)
43
Apres, il nous renvoi sur une autre navigation où on va modifier le nom de notre cible. Pour
notre cas c’est Mart2 et l’adresse ip p est celle de ma machine virtuelle 192.168.25.254
Maintenant on passe au scan configuration autrement dit les différentes catégories de scan.
Comme on a fait la création d’une cible, la méthode est la même. Il suffit tout simplement de
cliquer sur configuration et descendre jusqu’à scan config ensuite on clique, on sera rédirigé
encore on clique sur la petite étoile, le nom de la méthode et on laisse tout ce qui reste par
défaut et on valide en cliquant sur create Scan Config.
44
Le scan va prendre du temps pour nous afficher les vulnérabilités. Et on aura quelque chose
comme ça :
On voit bien les applications qui sont vulnérables et si on sélectionne une vulnérabilité,
greenbone nous propose des solutions pour pallier ce problème.
45
Dans la plus part des organisations l’essentiel de la sécurité porte sur les serveurs : la
configuration est renforcée, physiquement ils sont protégés dans des salles à accès restreint.
Tout ça concoure à ce qu’il conserve les informations les plus sensibles et la plus part des
traitements critiques se font à ce niveau. Mais est-il intéressant de sécuriser les serveurs et
minimiser la sécurité des utilisateurs qui y accèdent à travers leur poste de travail qui est
vulnérable aux attaques. Un attaquant peut ne pas avoir un accès direct aux serveurs de
l’entreprise mais décider de passer par les utilisateurs qui ont un accès légitime à ces
derniers.
Par exemple un attaquant qui ne peut pas se connecter directement à la victime car sa
connexion est bloquée par un pare-feu ou un antivirus. Maintenant ce dernier dépose au
niveau du serveur internet un contenu offensif contrôlé par l’attaquant. Ainsi si la victime
initie une connexion vers le serveur, la réponse du serveur va être autorisée par les règles du
filtrage (mécanisme stateful). Cette réponse contient le contenu offensif qui permettra à
l’attaquant de contrôler le poste de travail de l’utilisateur et d’accéder ainsi au réseau interne
en exploitant une faille sur l’application cliente. La capture suivante illustre l’exemple.
46
Il existe une autre méthode qui consiste à déposer un mail au niveau du serveur SMTP via la
passerelle SMTP de l’entreprise qui stocke dans la boite mail de l’utilisateur. Lorsque ce
dernier récupère le mail, une faille de l’application de messagerie est exploitée pour prendre
le contrôle du poste client. La liste n’est pas exhaustive, l’attaquant peut encore envoyer un
contenu offensif sous forme de lien et convaincre l’utilisateur de l’ouvrier en jouant sur sa
curiosité. Cette attaque est souvent utilisée pour récupérer tout ce que la victime tape au
clavier.
Ainsi, peut-on dire que la compromission d’un poste client donne à l’attaquant un accès au
réseau interne ?
Les serveurs proxy, les firewalls ne peuvent plus protéger le réseau interne de l’entreprise
lorsqu’un poste de client est compromis. Avec l’aide de plusieurs moyens il est facile de créer
un canal bidirectionnel entre le réseau interne de l’entreprise et internet. Le canal
bidirectionnel ainsi créé permettra à l’attaquant d’exécuter des commandes sur le poste de
client compromis ou encore créer un tunneling VPN vers le réseau interne de l’entreprise qui
se trouve ainsi exposé à l’attaquant, c’est comme un plat à table devant un affamé. La
probabilité d’une détection de ces canaux est faible car il existe des moyens qui permettent
47
Etc
Un navigateur est un logiciel constitué de modules différents qui réalise des fonctions bien
différentes et possédant leur propre vulnérabilité. Parmi les vecteurs d’attaque on peut y
citer :
Un interpréteur de code HTML qui peut faire une mauvaise interprétation des instructions
de description
48
H. Les Backdoors
Définition : Un Backdoor est une petite tache chargée de maintenir un port ouvert afin de
permettre dans un second temps d’attaquer une machine. Ainsi, l’attaquant va s’arranger
pour qu’il puisse s’exécuter à chaque démarrage de la machine infectée et il est diffusé par
les mêmes voies que les virus afin d’infecter un maximum de machines. L’attaque se fera en
deux phases :
D’abord, l’attaquant va faire un scan de port et d’adresse ip pour chercher une adresse ip
parmi un intervalle d’adresse ip dont un port est maintenu ouvert par son backdoor
Donc par conclusion on peut dire que le backdoor n’est pas une malveillance mais il la
précède.
Il existe plusieurs méthodes de propager des parasites à la victime mais on peut en citer :
Accès physique à l’ordinateur : Cette méthode est moins sûre puisqu’elle consiste à
accéder physiquement via un copain, une copine, un employé, un parent, un défectif
privé, le service de gardiennage et d’y installer un parasite. Ces méthodes consistent à
faire des keyloggers, les backdoor, les Remote Admin Tools, etc.
Un abus de faiblesse :
Un bon discours, une démonstration trompeuse, un excès de curiosité. C’est ainsi
qu’un bon nombre de parasites est installé alors que vous croyez l’installer vous-
même.
L’usage de Trojan ou de cheval de troie est sans doute la méthode la plus rependue. Le plus
intéressant c’est la victime même qui part à la rencontre des parasites via internet en
téléchargeant gratuite, freeware, shareware ou de l’infection et procédé à son rapatriement.
Un peu de pratique :
49
Et on aura ceux-ci
On choisit l’option 1
50
Voilà que notre powershelle est créé au niveau de notre bureau pour le voir on ouvre un
autre terminal et on se déplace vers ce répertoire avec la commande
On peut le voir au niveau de notre bureau et on doit encore modifier l’extension en .bat
51
Et pour avoir les informations concernant notre cible, on utilise la commande sysinfo
C’est ma machine
physique.
On peut même faire un ipconfig puisqu’on est sur le windows 8 donc ifconfig ne va pas
marcher
52
On voit que notre victime avait saisi : Mountaga étudiant de Cherif Diallo et Maissa Mbaye
C’est incroyable il nous signale même qu’on a appuyé sur contrôle ou activer la touche
majuscule et pour arrêter l’espionnage on tape :
On peut également voir son fond d’écran ou même activer son webcam bref tout ce qu’on
peut faire avec sa machine. Pour télécharger le fond d’écran on tape la commande
53
La catégorie authentification qui regroupe les attaques de sites web dont la cible est le
système de validation de l’identité d’un utilisateur, d’un service ou d’une application.
La catégorie autorisation qui ressemble des attaques de sites web dont la cible est le système
de vérification des droits d’un utilisateur, d’un service ou d’une application dans le but
d’effectuer une action dans l’application.
La catégorie attaque coté client couvre l’ensemble des attaques visant l’utilisateur pendant
qu’il utilise une application.
La catégorie logique caractérise les attaques qui utilisent les processus applicatif (système de
changement de mot de passe, système de création de compte, …) à des fins néfastes.
I. L’injection SQL
Les injections SQL font parties des failles web les plus redoutables, puisqu’elles s’exploitent
coté serveur. Elles embrassent les sites web qui interagissent de manière non sécurisée avec
une base de données qui permettra ainsi à un attaquant de détourner les requêtes comme il
le souhaite. Cette faille qui est l’injection SQL consistant à contourner une authentification
de session n’est possible que sur les serveurs ne filtrant pas les caractères spéciaux comme les
guillemets, les apostrophes, les slashs « / » les antis slash « \ » et les caractères ASCII. Ainsi
pour qu’une requête réussisse il faut qu’elle soit déclarée vraie par le serveur et c’est là son
point faible car si on utilise des égalités toujours considérer comme vraie à la place du
contenue des variables que peut bien faire le serveur qui ne filtre pas les caractères spéciaux
à part accepté cette requête qui est vraie.
54
L’attaque par injection xpath suit le même principe que le sql injection. XPath est un langage
de requête pour générer les données stockées au format XML, comme le cas de sql pour les
bases de données relationnelles.
L’attaque par injection LDAP vise à récupérer des informations sensibles qui sont
enregistrées au niveau de l’annuaire de l’entreprise. Ainsi, il est possible de récupérer une
liste des adresses de courrier électronique d’une entreprise pour en faire d’autres attaques
juste en modifiant le comportement du filtrage dans la requête LDAP qui sera générée.
Cependant, des études ont montré que les attaques XSS sont aussi des attaques par injection
car le principe reste à soumettre un code frauduleux à l’application. On a deux types
d’attaque par injection qu’on va essayer d’expliquer.
55
L’attaque XSS stockée (stored xss) : cette attaque se base sur le fait que l’attaquant réussisse
à enregistrer un code frauduleux dans la base de données qui sera exécutée par la cible
lorsqu’elle tentera d’afficher les données malveillantes. On peut dire que cette attaque est
plus dangereuse que la première car le code malveillant fait partie intégrante des données de
l’application web et peut bien sûr atteindre plusieurs victimes.
56
On avait défini une vulnérabilité comme une faille de sécurité, donc on peut définir une
vulnérabilité réseau comme une faille liée au protocole réseau. Les attaques coté client sont
bien différentes des attaques de serveur. En effet, pour ce qui est des attaques coté serveur
nous utilisions des vulnérabilités liés aux services accessibles afin de prendre le contrôle,
mais dans le cas de client, il n’y a pas des services accessibles ou bien peu. Les attaques sont
alors orientées vers le social engeneering, le phishing, le sniffing, le poisoning et le spoofing
qui sont des techniques dites passives puisqu’elles requièrent une action de la part de la
cible et ce sont des attaques fonctionnant localement. Ainsi, pour attaquer une machine
cliente, il va falloir faire étape par étape
Identifier le contexte
Attaquer la cible
Un peu en haut nous avions parlé des vulnérabilités des protocoles liés aux couches réseaux.
Donc dans cette partie nous allons seulement parler des attaques réseaux autrement dit les
attaques clientes. Nous allons commencer par le sniffing
Le sniffing réseau
La technique sniffing, permet d’intercepter les communications qui ne nous sont pas été
destinées sur un réseau. Cette technique très simple à mettre en œuvre est largement utilisée
par les pirates pour voler des informations très confidentielles comme les numéros de carte
bancaire, des mots de passes, contenu de mail, des discutions instantanées, etc …
57
En troisième étape nous allons activer la redirection du trafic en provenance du port de notre
victime donc du port web, le port 80 vers le port de notre proxy qui sera en écoute et qui va
se charger d’intercepter le trafic de la victime dont les informations confidentielles que nous
allons placer sur le port 8080. Tout ça avec la commande
Maintenant on va réaliser un scan arp du réseau afin de découvrir les adresses ip qui y sont
présentes et celles qui vont nous intéresser c’est l’adresse de notre victime, ainsi que sa
passerelle afin de nous placer entre ces deux et d’intercepter les paquets qui y transitent.
Ceux-ci étant fait on utilise l’outil arpspoof afin d’usurper l’identité de notre victime en
empoisonnant les paquets arp sur le réseau et ainsi recevoir les paquets destiné à la victime.
Avec la commande arpspoof –i « notre interface » -t « ip_victime » « ip_passerelle » donc
nous ce qu’on va faire c’est d’attribuer notre adresse ip à l’adresse mac de la victime afin que
tout le trafic nous soit rediriger.
En fin nous allons placer en écoute notre proxy, notre proxy qui va intercepter les
communications et qui va les sauvegarder sur notre disque dur afin d’avoir les afin d’avoir
les identifiants, tout l’histoire de la navigation de l’utilisateur soit sauvegarder dans un
fichier tout ça grâce à la suite ssltrip via la commande sslstrip –l 8080 –f (un paramètre très
important qui permet de falsifier une communication chiffré en faisant apparaitre un petit
58
On clique sur Snif ensuite on sélectionne unified sniffing ou on utilise les touches control + U
59
Si on clique sur valider une autre fenêtre s’affiche, on cliquera sur host après sur scan for
host pour qu’on puisse voir toutes les adresses de notre réseau auquel on est connecté. Une
fois le scan terminé on clique sur host list.
60
Voilà on voit bien que l’identifiant a été récupéré par l’attaquant. Enfin on arrête le sniffing.
61
La première utilisation de l’ip spoofing est la falsification de la source d’une attaque. A titre
d’exemple, lors d’une attaque de type déni de service l’adresse ip source sera falsifiée afin
d’éviter une localisation, donc cette falsification nous permettra d’être anonyme. Et la
seconde utilisation de l’ip spoofing permet d’intercepter une communication entre deux
machines de confiance. Voici un bref résumé du fonctionnement de cette technique : une
machine se fait passer pour une autre en envoyant des paquets dont l’adresse ip est autorisée
par le serveur ou la station visée. La source ip envoyée dupe donc la cible qui autorise l’accès
en pensant avoir affaire à une machine de confiance. Dans cette partie nous allons voir une
méthode d’IP spoofing : le DNS spoofing.
Le DNS spoofing
L’objectif de cette attaque est de faire rediriger les internautes vers des sites pirates à leur
insu. Cette attaque utilise les faiblesses du protocole DNS et/ou de son implémentation au
travers des serveurs de nom de domaine. En rappels le protocole dns met en œuvre les
mécanismes permettant de faire la correspondance entre un nom de machine et une adresse
ip. Concrètement l’objectif du pirate est de faire correspondre l’adresse ip d’une machine
qu’il contrôle à un nom réel et valide d’une machine publique. Il existe deux types
d’attaques par dns spoofing : le DNS ID Spoofing, et le DNS cache poisoning.
Le DNS ID Spoofing
Le principe est simple à comprendre si une machine A veut communiquer avec une machine
B, Bien sûr elle a obligatoirement besoin de savoir l’adresse ip de la machine B. Mais
imaginez si la machine A ne connait que l’adresse Mac de la machine B. Dans ce cas A va
utiliser le protocole DNS pour avoir l’adresse ip de B à partir de son nom. Une requête DNS
est alors envoyée à un serveur dns demandant la résolution de nom de B par son adresse IP.
Pour identifier la raquette un numéro d’identification lui est assigné. Et c’est ce numéro que
l’attaquant va récupérer en sniffant afin de répondre plus vite que le serveur. Ainsi la
machine A va l’utiliser sans le savoir l’adresse ip du pirate non celle de B initialement prévu.
Le schéma ci-dessous illustre simplement le principe DNS ID Spoofing
62
L’attaquant envoie une requête vers le DNS cible demandant la résolution du nom d’une
machine de domaine
Le DNS cible transfert cette requête à mounta@ndouloum.com puisque c’est lui qui a
autorité à ndouloum.com
Le dns du pirate (modifié par l’occasion) enverra en plus de la réponse des informations
supplémentaires (dans lequel se trouve des informations falsifiées à savoir un nom de
machine publique associé à une adresse ip du pirate)
63
Une machine faisant une requête sur le serveur dns cible demandant la résolution d’un des
noms corrompus aura pour réponse une adresse ip autre que l’adresse ip associée.
Le but de l’attaque est que le pc de l’attaquant puisse récupérer les informations transitant
entre le client A et le serveur. Mais ceux-ci est plus difficile dans un réseau switché comparé
à un hub où toutes les informations sont envoyées à tous les ordinateurs connectés sur celui-
ci. Mais le switch lui envoie seulement à la bonne personne. Bien sûr devant tout problème, il
y a une solution, la solution est la méthode agressive : l’arp poisoning qui consiste à
empoisonner tout le réseau arp des requêtes arp afin de se faire passer pour une machine et
de récupérer les informations.
64
et pour vérifier qu’on a bien changé la valeur qui est par défaut 0. On utilise la commande
cat /proc/sys/net/ipv4/ip_forward
Ensuite nous allons faire un scan du réseau pour voir les machines qui sont connectées avec
la commande nmap –sP @du réseau pour notre cas, ça sera le 192.168.25.0 et le masque
255.255.255.0
Plusieurs machines sont détectées, mais celle qui nous intéresse est me 192.168.25.133 qui est
celle de notre victime. On va ensuite modifier le firewall afin que les paquets nous soient
transmis avec la commande iptables –t nat –A PREROUTING –p TCP –destination-port 80
–jREDIRECT –to-port 8080
65
Pour récupérer les identifiants on aura à faire un tri avec la touche ctrl + f et on tape pass ou
mail pour faciliter la recherche.
66
Nous voyons que la victime a visité www.hayo.sn avec son navigateur qui est le Mozilla
version 5.0. Pour récupérer les images des sites web que notre victime a visité on peut utiliser
un outil intégré dans kali-linux : Driftnet.
Driftnet est un programme qui écoute le trafic, et affiche les images dans une fenêtre X. On
démarre Driftnet via la commande driftnet –i eth0
67
68
Introduction
Face aux innombrables dégâts que les pirates causent aux réseaux informatiques, les
administrateurs et utilisateurs ne peuvent pas rester les bras croisés et regarder leurs
systèmes détruits. C’est la raison pour laquelle que la sécurité des systèmes d’information
est devenue la discipline de première importance car le système d’information est pour toute
entreprise un élément absolument vital.
La disponibilité : Le système garanti l’accès aux services et ressources installés avec le temps
de réponse attendu
L’intégrité : les données doivent être celles que l’on attend et ne doivent pas être modifiées
de manière imprévue. En somme les données attendues doivent être exactes et au complet.
La confidentialité : seules les personnes autorisées ont accès aux informations qui leur sont
destinées. Tout accès non autorisé doit être empêché.
La traçabilité : Autrement dit preuve garantie que les accès ou tentatives d’accès aux
éléments sont tracées et que les traces sont conservées et exploitées.
La non répudiation et l’imputation : Aucun utilisateur ne doit nier les actions qu’il a réalisé
dans le cadre de ces actions autorisées et aucun ne doit pouvoir s’attribuer les actions d’un
autre utilisateur.
69
B. Le filtrage de paquet
Par définition le filtrage est un ensemble de composants appliquant une politique de
contrôle d’accès entre deux réseaux. Le filtrage se fait grâce à un pare-feu appelé en anglais
firewall. Cependant l’une des premières choses à considérer lors de la configuration d’un
pare-feu est son emplacement. Et le meilleur emplacement est sans doute la passerelle entre
le réseau local et l’internet. C’est un endroit qui doit être bien sécurisé.
Pare-feu ?
Un pare-feu est un système permettant de protéger un ordinateur ou un groupe d’ordinateur
contre les intrusions provenant du réseau extérieur notamment l’internet. Le pare-feu est
aussi un système permettant de filtrer les paquets de données échangés avec le réseau, il
s’agit alors de passerelle filtrante qui comporte au moins deux interfaces réseaux suivants :
Le système firewall est un système logiciel, qui repose parfois sur un matériel réseau et joue
un rôle d’intermédiaire entre le réseau local et ou plusieurs réseaux externes. Ainsi il est
possible de mettre en place un système pare-feu sur n’importe quelle machine avec
n’importe quel système si : la machine est puissante pour traiter le trafic, le système est
sécurisé, et aucun autre système que le système de filtrage de paquet ne fonctionne sur le
serveur. Voici une représentation d’un firewall au sein d’un réseau.
70
- D’autoriser la connexion
- De bloquer la connexion
- De rejeter la demande de connexion sans avertir l’émetteur.
L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendante de
la politique de sécurité mise en place par l’entreprise. On distingue couramment deux types
de sécurité permettant soit de laisser passer seulement des trafics qui sont explicitement
autorisés. Cette méthode est la plus sûre et la plus utilisée. Soit d’empêcher les échanges qui
ont été explicitement interdits.
71
Fonctionnement d’Iptables ?
Iptables est un outil de ligne de commande qui, depuis les arguments qu’il reçoit crée ses
règles. Ainsi iptables possède 3 tables pour classer nos règles selon les besoins, contenant
elles-mêmes plusieurs chaines. Les tables sont NAT, FILTER, MANGLE.
FILTER : C’est la table par défaut classée en 3 chaines : INPUT (entrant) OUTPUT
(sortant), et FORWARD (redirection).
NAT : C’est la table utilisée pour rediriger le trafic vers une autre machine. Elle
possède trois chaines : PREROUTING (routage entrant), POSTROUTING (routage
sortant), et OUTPUT (sortant).
MANGLE : C’est la table qui contient toutes les autres règles
Configuration d’Iptables
Ici ce qu’on va faire est de bloquer tous les ports du serveur au départ, en faire la liste des
ports qu’on autorise et les débloquer petit à petit selon nos besoins. De ce fait, on sera sûr
qu’il n’y aura pas de problèmes ; principe de liste de blanche : on bloque tout et on autorise
seulement ceux qu’on connait.
La commande pour lister toutes les règles qu’on a créées est Iptables -L
Là on voit qu’on a 3 liges qui apparaissent mais on n’a aucune règle. On remarque
également que la politique c’est d’accepter tout, donc tous les trafics entrants et sortants sont
acceptés. Et ça ce n’est pas bien car n’importe qui peut entrer avec la porte qu’il veut et sortir
comme il veut ; ça multiplie la possibilité d’attaque. Maintenant, interdisons tout le trafic
72
Si on fait ls on voit clairement qu’on a notre fichier, mais il faut lui donner des droits
d’exécution.
.
Pour lui donner des droits d’exécution il suffit de faire un chmod +x firewall. En exécutant
le fichier avec ./firewall on aura la capture suivante
73
.
Maintenant nous allons autoriser les autres services comme le dns, le telnet, le http. Les
commandes sont :
Maintenant essayons de nous connecter en ssh sur notre serveur pour voir ce qui va se
passer. Nous allons utiliser putty pour les connections à distance.
74
75
On peut également se protéger contre les scans de ports avec la commande suivante :
Iptables –A FORWARD –p tcp --tcp-flags SYN, ACK, FIN, RST RST –m limit --limit
1/second –j ACCEPT
Nous
avons un message d’erreur. J’ai récupéré quelques lignes sur internet et pour être honnête je
ne sais pas à quoi ça correspond.
76
D. Fail2ban
Fail2ban est une protection supplémentaire pour un serveur contre les pirates. Il permet de
contrer les attaques comme bruteforce et/ou par dictionnaire qui consiste à associer des mots
pour trouver des mots de passe. Fail2ban est un script surveillant les accès réseaux grâce aux
logs des serveurs. Lorsqu’il détecte des erreurs des mauvaises authentifications répétitives, il
prend en ce moment des contremesures en bannissant automatiquement l’adresse ip grâce à
iptables.
Installation
L’installation de fail2ban se fait comme l’installation des autres services sous Ubuntu
77
E. RKHUNTER
Nous avions vu au niveau des attaques réseau ce qu’on appelle le backdoor (porte dérobée)
qui consiste à entrer dans un réseau sans une autorisation et d’installer des Trojan, Rkhunter
est une des solutions pour contrer cette attaque. Rkhunter ou anti-routkit est un programme
78
Principe de fonctionnement ?
Son fonctionnement est le suivant :
Il réalise des comparaisons sur les empreintes SHA-256, SHA-512, SHA1 et MD5 de fichier
considérer comme critiques pour le système d’exploitation sur lequel il est exécuté. Ces
comparaisons sont ainsi réalisées avec des tableaux de hachage qui sont accessible à partir
d’une base de données en ligne.
Installation
Apt-get install rkhunter
79
On clique sur open image, on sélectionne notre image et on écrie notre message puis on
clique sur hide text
Ensuite on
enregistre le message en cliquant sur save image. Maintenant on envoi la photo, et imaginons
que quelqu’un intercepte la photo il aura que ceux-ci
80
G. IDS SNORT
Un IDS est un système de détection d’intrusion, c’est un élément essentiel dans une
architecture de sécurité informatique pour surveiller et connaitre les attaques réseaux. Un
IDS n’est rien d’autre qu’un sniffeur réseau couplé avec un moteur qui analyse le trafic selon
les règles et ces dernières définissent un évènement à signaler. C’est au niveau des couches
suivantes que l’analyse peut se faire : réseau (IP, ICMP), transport (TCP, UDP), à la couche
81
- Les N-IDS (Network Based Intrusion Detection System) : qui surveille l’état de la
sécurité au niveau réseau.
- Les H-IDS (Host Based Intrusion Detection System) : qui surveille l’état de sécurité au
niveau des hôtes. Les HIDS sont particulièrement efficaces pour s’il y’a une
contamination d’hôte la maladie ne va rependre sur tout le réseau. Les NIDS permettent
de surveiller l’ensemble d’un réseau contrairement à un HIDS qui se limite à un Hôte.
Cependant on parle d’IDS hybride quand on associe les NIDS et HIDS pour avoir des
alertes pertinentes. Ainsi nous avons une liste d’IDS connus qui sont :
- SNORT
- BRO
- ENTERASYS
- CHEICK POINT
- TIPPING POINT
- ETC
SNORT
Snort est un système de détection d’intrusion basé sur l’analyse du trafic en temps réel. Pour
ce faire il fait des analyses de protocole et peut être utilisé pour détecter une grande variété
d’attaques et de sondes. Quand Snort détecte une intrusion il peut soit avertir
l’administrateur système par un message sms/mail/vocal soit interdire tout trafic provenant
de l’attaquant soit interdire tout trafic d’une classe d’adresse. Pour maintenir Snort efficace il
est nécessaire de le mettre à jour régulièrement.
Configuration de Snort
On peut installer snort sous windows en téléchargeant le logiciel libre snort et le fichier
compressé rule directement sur Google. Une fois le fichier téléchargé on l’ouvre et on suit
l’installation.
82
Maintenant nous allons nous placer dans etc et ouvrir le fichier snort.conf pour ajouter notre
adresse réseau. Avant tout on copie le contenu du fichier rule qu’on a téléchargé et le coller
au niveau du fichier Rule qui est au niveau du disc local c au niveau du capture 3 de la figure
en dessus.
83
On ajoute cette
ligne
84
La configuration est terminée maintenant on passe au test on ouvre cmd en tant que admin
et on se déplace vers le chemin c:\snort\bin
La commande snort tapé précédemment nous permet de faire des captures de trames dans le
réseau
85
La capture précédente montre que la configuration des alertes est bien configurée.
Créons maintenant des règles snort qui permettent de surveiller notre réseau 192.168.1.X/24
contre les connexions employant la commande ping (protocole ICMP) par conséquent les
attaques DDOS et celle employant le web (protocole http) de port 80. Nous allons utiliser la
topologie suivante :
86
Conclusion générale
De nos jours il existe des quantités innombrables de faiblesses pouvant être exploitées par
une personne mal intentionnée dans le but d’accéder sans autorisation à des informations
privées ou bien même d’empêcher le fonctionnement d’un réseau informatique. Cependant
toutes ces possibilités d’attaque ne sont pas toujours basées sur le principe de l’intrusion
d’un équipement réseau mais seulement sur les faiblesses du protocole TCP/IP et des
87
En fin comme on a dit depuis le début que la sécurité à 100% garantie n’existe pas.
Faudra bien mettre tout ce qui est à notre disposition concernant la sécurité et c’est pourquoi
nous avons installé et configuré snort qui est un système de détection d’intrusion. Snort est
un logiciel gratuit téléchargeable sur Google. Ainsi snort a des limites puisque il n’est
efficace que quand il y a intrusion au sein de notre système. On devrait penser à utiliser
quelque chose qui nous alertera s’il y a une tentative d’intrusion d’où l’importance d’un IPS
(Système de prévention d’intrusion).
88
Les ouvrages
Hack auteur NZEKA GILBERT alias KHAALEL
Hacking, sécurité et test d’intrusion avec Métasploit auteurs : David Kennedy, jim
O’gorman, Devon kears, Mati Aharoni
Webographie
www.wikipedia.com
https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
https://fr.wikipedia.org/wiki/Spoofing
https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
https://fr.wikipedia.org/wiki/Iptables
https://fr.wikipedia.org/wiki/Snort
www.youtube.com
https://www.youtube.com/watch?v=I3r_3Q2s3rs
https://www.youtube.com/watch?v=ymxaJvp76LE
https://www.youtube.com/watch?v=_slOMoe_YaE
https://www.youtube.com/watch?v=_snieZtj8fQ
https://www.youtube.com/watch?v=O4TZV8p6kIA
https://www.youtube.com/watch?v=V1debsgNnTo
89
IP : Internet Protocol
90