Académique Documents
Professionnel Documents
Culture Documents
En entreprise, c’est le réseau local qui est connecté à Internet. Il est donc
indispensable de contrôler les communications entre le réseau interne et
l'extérieur. De plus une formation du personnel est indispensable (règles de
sécurité, déontologie, attention aux participations aux forums qui sont
archivées ...). Les problèmes de sécurité qu’on peut rencontrer sur un réseau
d'entreprise ou sur l'Internet relèvent d'abord de la responsabilité des victimes
avant d'être imputables aux hackers. Les menaces qui ont sensiblement augmenté
au cours de ces dernières années, nous indique la dernière étude du Computer
Security Institute, un institut professionnel de San Francisco qui réalise chaque
année un sondage auprès des entreprises en collaboration avec le FBI. Dans cette
étude, plus de 40 % des sociétés interrogées ont déclaré que des intrus s’étaient
introduits dans leurs systèmes depuis l'Internet, 38 % des sociétés ont détecté des
attaques de type “déni de service”, et 94 % ont été infectées par un virus en 2014.
D’autres part, votre sécurité peut dépendre d’autres entreprises dont vous
pensez, parfois à tort, qu’elles ont assuré leur propre sécurité. Alors que le
gouvernement et les forces de l’ordre cherchent à interpeller les intrus, les
sociétés ne se préoccupent trop souvent que de relancer leurs réseaux après une
attaque : « Le secteur privé ne cherche pas à savoir qui est responsable, tout ce
qui intéresse les entreprises, c’est que l’attaque cesse ».
Déni de service (DoS) - Le but d'une telle attaque n'est pas de dérober des
informations sur une machine distante, mais de paralyser un service ou un
réseau complet. Les utilisateurs ne peuvent plus alors accéder aux
ressources. Les deux exemples principaux, sont le « ping flood » ou l’envoi
massif de courrier électronique pour saturer une boîte aux lettres
(mailbombing). La meilleure parade est le firewall ou la répartition des
serveurs sur un réseau sécurisé.
Cours de Sécurité Informatique & Crypto. / Dr. YENDE RAPHAEL Grevisse. PhD
II.2. PRINCIPALES ATTAQUES INFORMATIQUES
LOGICIEL
MALVEILLANT
Cours de Sécurité Informatique & Crypto. / Dr. YENDE RAPHAEL Grevisse. PhD
CHEVAL DE
Les programmes malveillants ont été développés pour de nombreux
systèmes d'exploitation et applications. Pourtant, certains d'entre eux n'ont jamais
été concernés. En effet, les auteurs de virus privilégient les systèmes
d'exploitation largement utilisés ; les systèmes comportant des vulnérabilités ; et
ceux pour lesquels une documentation détaillée est disponible (puisqu'elle inclut
des descriptions des services et des règles en vigueur pour écrire des
programmes compatibles). Le volume de logiciels malveillants destinés à
Windows et Linux est à peu près proportionnel à leurs parts de marché
respectives.
Cours de Sécurité Informatique & Crypto. / Dr. YENDE RAPHAEL Grevisse. PhD
Le virus classique - est un morceau de programme, souvent écrit en
assembleur, qui s'intègre dans un programme normal (le Cheval de Troie), le
plus souvent à la fin, mais cela peut varier. Chaque fois que l'utilisateur
exécute ce programme
« infecté », il active le virus qui en profite pour aller s'intégrer dans d'autres
programmes exécutables. De plus, lorsqu'il contient une charge utile, il peut,
après un certain temps (qui peut être très long) ou un événement particulier,
exécuter une action prédéterminée. Cette action peut aller d'un simple
message anodin à la détérioration de certaines fonctions du système
d'exploitation ou la détérioration de certains fichiers ou même la destruction
complète de toutes les données de l'ordinateur. On parle dans ce cas de «
bombe logique » et de « charge utile ».
Les virus furtifs - Un virus furtif est un virus qui, lorsqu'il est actif, dissimule
les modifications apportées aux fichiers ou aux secteurs de boot. En règle
générale, ce phénomène est rendu possible par le virus qui observe les appels
aux fonctions de lecture des fichiers et falsifie les résultats renvoyés par ces
fonctions. Cette méthode permet au virus de ne pas être détecté par les
utilitaires anti-virus qui recherchent des modifications éventuelles apportées
aux fichiers. Néanmoins, pour que cela soit possible, le virus doit être actif en
mémoire résidente, ce qui est détectable par les anti-virus.
Les virus « cavité » - Les virus cavités sont des virus qui écrasent une partie
du fichier hôte qui est constitué d'une constante (en général, des 0) sans
augmenter la taille du fichier et tout en préservant sa fonctionnalité.
Séquence de camouflage - Malgré leur petite taille, les virus peut être vite
repérés (pour certains). Les développeurs de virus ont donc élaboré plusieurs
techniques pour cacher le virus. Il existe plusieurs techniques. Nous les
aborderons en parlant des virus polymorphes et furtifs par la suite.
II.2.2.5. MODE DE CONTAMINATION D’UN VIRUS
En majorité, des vers écrits sous forme de scripts peuvent être intégrés
dans un courriel ou sur une page HTML (chevaux de Troie). Ces vers sont activés
par les actions de l'utilisateur qui croit accéder à des informations lui étant
destinées. Un ver peut aussi être programmé en C, C++, Delphi, assembleur, ou
dans un autre langage de programmation. La plupart du temps, les vers utilisent
des failles de logiciels pour se propager.
Voici les quelques exemples des vers sur Internet les plus célèbres :
Félicitations vous venez d'être tirer au sort pour un séjour aux Etats-Unis.
Vous avez reçu un bonus sur votre carte Visa.
Le ver informatique le plus populaire est le ver crée par Samy Kankar qui
lui a donné son nom : le ver SAMY. Il a infecté plus d'un million
d'utilisateur MySpace en seulement 20 heures. Voici ce qu'affichait le ver
à l'écran des utilisateurs infectés : “mais par-dessus tout, Samy est mon
héros”. Chaque personne visitant un profil infecté se faisait infecter à son
tour.
Comme les vers n'ont pas besoin d'un programme ou d'un fichier
"support" pour se répandre, ils peuvent ouvrir un tunnel dans votre
système et permettre à une autre personne de contrôler votre ordinateur à
distance. Des exemples de vers récents incluent le ver Sasser et le ver
Blaster.
[Tapez ici]
Le vecteur - c’est la partie principale du ver, qui s’occupe de la recherche
de failles et est responsable de transmettre la seconde partie du ver.
L’archive - c’est la partie « morte » du ver, qui sera envoyée sur le système
distant et l’infectera.
Avant d’infecter un système, le ver doit procéder dans l’ordre à une série
d’étapes. Ce n’est qu’à la suite de celles-ci qu’il pourra attaquer la machine cible.
La succession d’étapes est la suivante (et ne concerne que la partie « vecteur »
jusqu’à la phase d’invasion) :
Initialisation - ce sont les premières instructions du ver. Il peut s’agir de
la création de fichiers temporaires, ou la compilation d’une partie de
[Tapez ici]
l’archive. A cet instant, le ver est toujours sur la machine mère.
Recherche de l’hôte - Cette étape procède à un scan d’IP. Ce scan peut
être aléatoire ou incrémental (on passe en revue des séries d’adresses IP).
Pour chacune d’entre elles, on teste si le système répond ou non ("up" ou
"down").
Attaque - c’est ici que le ver exploite les vulnérabilités mises au jour
dans la phase précédente. Le vecteur obtient alors un accès sur la machine
cible.
[Tapez ici]
rapport de l'US Air Force sur l'analyse de la vulnérabilité des systèmes
informatiques, puis présentée en 1981 par David Jordan et enfin vraiment
popularisée par Ken Thompson dans la conférence Turing qu'il donna à la
réception du prix Turing en 1983, prix qu'il avait reçu pour avoir créé UNIX.
Symptôme
II.2.4.2. MANIFESTIONS D'UNE INFECTION
PAR UN CHEVAL DE TROIE
Plantages répétés ;
[Tapez ici]
Un rootkit (Aussi appelé « outil de dissimulation d'activité », « maliciel furtif »,
« trousse administrateur pirate », parfois simplement « kit »), est un ensemble de
techniques mises en œuvre par un ou plusieurs logiciels, dont le but est d'obtenir
et de pérenniser un accès (généralement non autorisé) à un ordinateur de la
manière la plus furtive possible, à la différence d'autres logiciels malveillants. Le
terme peut désigner la technique de dissimulation ou plus généralement un
ensemble particulier d'objets informatiques mettant en œuvre cette technique.
Même s'il n'est pas un virus à proprement parler, un rootkit peut utiliser
des techniques virales pour se transmettre, notamment via un cheval de
Troie. Un virus peut avoir pour objet de répandre des rootkits sur les
machines infectées. A contrario, un virus peut aussi utiliser les
techniques utilisées par des rootkits pour parfaire sa dissimulation.
Enfin, l’attaque par force brute permet d'accéder au système, en
profitant de la faiblesse des mots de passe mis en œuvre par certains
utilisateurs. À ces fins, il suffit de tester les mots de passe les plus
courants.
[Tapez ici]