Gefi Support Securite

25
Volume
SUPPORT DE COURS -DOCUMENTATION

Centre de formation GEFI
Sécurité
Poste Client
Windows
© GEFI – REPRODUCTION INTERDITE

Réf: SECTM009
SESSIONS DE FORMATION 2012/2013

2 TABLE DES MATIERES
TABLE DES MATIERES
TABLE DES MATIERES .................................................................................................................................... 2

PROTECTION DU POSTE CLIENT WINDOWS ........................................................................................... 5
POSTES SOUS WINDOWS EN EUROPE .................................................................................................................... 6
PRINCIPES DE LA SÉCURITÉ ......................................................................................................................... 7
QUELQUES CHIFFRES ........................................................................................................................................... 7
EXIGENCES FONDAMENTALES .............................................................................................................................. 9
La confidentialité des échanges ...................................................................................................................... 9
L'authentification des utilisateurs ................................................................................................................... 9
L’intégrité des données et des échanges ....................................................................................................... 10
La non-répudiation des transactions............................................................................................................. 10
Disponibilité des données ............................................................................................................................. 10
LES CONTROLES D'ACCES ................................................................................................................................... 11
L'accès physique ........................................................................................................................................... 11
L'accès logique .............................................................................................................................................. 12
Les bons mots de passe ................................................................................................................................. 12
Les onduleurs ................................................................................................................................................ 15
Le Bios .......................................................................................................................................................... 17
Défaillance matérielle ................................................................................................................................... 19
Défaillance logicielle .................................................................................................................................... 19
Principaux défauts de sécurité ...................................................................................................................... 24
Le vol d’identité ............................................................................................................................................ 24
Sources de fuites d'informations ................................................................................................................... 25
Protégez votre identité sur Internet ............................................................................................................... 25
TEST DE PENETRATION SYSTEME ....................................................................................................................... 26
EFFECTUEZ UNE MISE A JOUR DE VOS LOGICIELS ............................................................................................... 27
PLAN DE REPRISE D'ACTIVITE INFORMATIQUE (PRA) ....................................................................................... 27
Établissement d’une politique de sécurité ..................................................................................................... 27
LA CERTIFICATION ............................................................................................................................................. 29
Pourquoi et comment lancer un projet ISO 17799 / 27001 ? ........................................................................ 30
Le modèle PDCA ........................................................................................................................................... 30
EBIOS ........................................................................................................................................................... 30
PC AU BUREAU, CE QUE VOUS AVEZ LE DROIT DE FAIRE .................................................................................... 31
Que peut-il être reproché au salarié ? .......................................................................................................... 31
ÉLEMENTS DE DROITS (LOI GODFRAIN) ............................................................................................................. 32
Hadopi........................................................................................................................................................... 33
Porter plainte ................................................................................................................................................ 34
FAILLE DE SECURITE SUR INTERNET .................................................................................................................. 34
Contrôle d’identité dans les réseaux ............................................................................................................. 35
La connexion à l’Internet via un routeur sans-fils (Wifi) .............................................................................. 37
TECHNIQUES D’ATTAQUE / D’INTRUSION & SOLUTIONS ................................................................. 42
DESCRIPTION D’UNE ATTAQUE .......................................................................................................................... 42
QUELQUES DEFINITIONS D’ATTAQUES PRINCIPALES .......................................................................................... 48
L’homme du milieu........................................................................................................................................ 48
Spoofing ........................................................................................................................................................ 48
Les scams ...................................................................................................................................................... 55
Flooding ........................................................................................................................................................ 56
Smurf ............................................................................................................................................................. 56
Web bug ........................................................................................................................................................ 56
Hoax (rumeur)............................................................................................................................................... 56
CENTRE DE FORMATION G E F I - CRETEIL

TABLE DES MATIERES 3
Hacker et cracker .......................................................................................................................................... 57
Virus .............................................................................................................................................................. 60
Les vers ......................................................................................................................................................... 62
Antivirus ........................................................................................................................................................ 63
Rappel TCP ................................................................................................................................................... 68
Saturation de ressources ............................................................................................................................... 72
Le marché des vulnérabilités "0-Day" .......................................................................................................... 75
Mail Bombing ................................................................................................................................................ 76
Sniffer (écoute d’un réseau) .......................................................................................................................... 77
Contournement et évasion de filtrage réseau par tunneling ......................................................................... 84
Les ports et applications utilisant SSL et TLS ............................................................................................... 84
Les réseaux privés virtuels (VPN) ................................................................................................................. 85
Réseaux locaux virtuels (VLAN) ................................................................................................................... 85
Rats - Remote Administration Tools.............................................................................................................. 87
Les Rootkits Windows (de plus en plus sophistiqués) ................................................................................... 93
Alternative Data Streams (ADS) ................................................................................................................... 97
Social engineering......................................................................................................................................... 99
Spywares ..................................................................................................................................................... 100
Cookies ........................................................................................................................................................ 103
CCleaner ..................................................................................................................................................... 106
Les Keyloggers ............................................................................................................................................ 107
HijackThis ................................................................................................................................................... 108
Le danger des cracks................................................................................................................................... 110
Fichiers cachés et lockés ............................................................................................................................. 110
Sécuriser le browser Internet Explorer ....................................................................................................... 111
Risques associés aux clés USB .................................................................................................................... 113
Le phishing .................................................................................................................................................. 115
Defacement/défiguration ............................................................................................................................. 116
Le spam ....................................................................................................................................................... 117
UPNP: protocole dangereux ? .................................................................................................................... 121
LES PARE-FEUX (FIREWALLS) ................................................................................................................. 123
LE FILTRAGE SIMPLE DE PAQUETS .................................................................................................................... 127
NOTION DE PARE-FEU PERSONNEL ................................................................................................................... 129
Utilisation d'un pare-feu à trois interfaces ................................................................................................. 129
Utilisation d'un sous réseau filtré intermédiaire ......................................................................................... 130
Injection de codes (firewall by-pass) .......................................................................................................... 130
LES AMELIORATIONS POINT DE VUE SECURITE DANS XP SP2 .......................................................................... 131
Prévention de l'Exécution des Données ...................................................................................................... 132
Space Layout Randomization ...................................................................................................................... 133
Le centre de sécurité ................................................................................................................................... 133
Windows Firewall ....................................................................................................................................... 133
Configurer le filtrage TCP/IP : Windows NT 4.0/2000/2003/XP/Vista ...................................................... 138
PROXY OU MANDATAIRE (EN FRANÇAIS) ............................................................................................ 139
PRESENTATION ................................................................................................................................................ 139
Les dangers ................................................................................................................................................. 140
Le rôle d'enregistrement du serveur proxy.................................................................................................. 140
Les proxys transparents .............................................................................................................................. 141
Le rôle d'anonymiseur ................................................................................................................................. 142
Les reverse-proxy ........................................................................................................................................ 144
Proxy SOCK ................................................................................................................................................ 144
Port Forwarding ......................................................................................................................................... 145
DÉTECTION D’INTRUSION ......................................................................................................................... 146
SITE « POT DE MIEL » ....................................................................................................................................... 146
IDS .................................................................................................................................................................. 147
Points négatifs des IDS ............................................................................................................................... 147
De quoi est constitué un IDS ....................................................................................................................... 147
HIDS versus NIDS (Mode passif ou actif)................................................................................................... 148

4 TABLE DES MATIERES
INTRODUCTION A LA CRYPTOGRAPHIE .............................................................................................. 150
BUT DE LA CRYPTOGRAPHIE MODERNE ............................................................................................................ 150
PRINCIPES DE BASE DU CHIFFREMENT ............................................................................................................. 150
Bref historique............................................................................................................................................. 150
Définitions et problèmes ............................................................................................................................. 150
CRYPTOGRAPHIE SYMETRIQUE ........................................................................................................................ 151
CRYPTOGRAPHIE ASYMETRIQUE ...................................................................................................................... 153
SIGNATURE NUMERIQUE ET NON REPUDIATION ................................................................................................ 155
Hachage ...................................................................................................................................................... 155
MAC (Message Authentification Code)....................................................................................................... 157
Signature électronique ................................................................................................................................ 158
SERVICE DE CERTIFICATS (CERTIFICAT SERVER) ............................................................................................. 159
Certificats .................................................................................................................................................... 159
Présentation de l'infrastructure de clé publique ......................................................................................... 160
SITUATION DE LA CRYPTOGRAPHIE EN FRANCE ............................................................................................... 162
SERVEUR D’AUTHENTIFICATION (RADIUS) ...................................................................................................... 175

GESTION DU MOT DE PASSE 5
PROTECTION DU POSTE CLIENT WINDOWS
La Sécurité des Systèmes d’Information (SSI) est aujourd’hui un sujet important parce que le
système d’information (SI) est pour beaucoup d’entreprises un élément absolument vital.
La sécurité informatique d'une entreprise ou d'une administration requiert donc d'inculquer

une culture de la prévention à tous les niveaux
(utilisateurs, managers, dirigeants). La
complexité des enjeux (fonctionnels,
économiques, techniques) doit inciter à évaluer
tous les facteurs de risque, internes comme
externes, avant de mettre en œuvre les
solutions de protection adaptées.
Ce cours vous montrera comment répondre

aux impératifs de sécurité des communications
de l'entreprise et intégrer la sécurité dans
l'architecture d'un système d'information. Il
comprend une analyse des menaces et
moyens d'intrusion ainsi que des techniques
spécifiques de sécurité, solutions et produits. A
l'issue de ce cours, vous disposerez des
éléments techniques pour comprendre les
technologies qui protègent votre système d'information et sécurisent l’Intranet ainsi que son
ouverture aux réseaux extérieurs Internet, Extranet et VPN etc….
Les menaces contre le système d’information entrent

dans une des catégories suivantes : atteinte à la
disponibilité des systèmes et des données, destruction
de données, corruption ou falsification de données, vol
ou espionnage de données, usage illicite d’un système
ou d’un réseau, usage d’un système compromis pour
attaquer d’autres cibles.
Lesmenaces engendrent des risques et coûts humains
et financiers : perte de confidentialité de données
sensibles, indisponibilité des infrastructures et des
données, dommages pour le patrimoine intellectuel et
la notoriété. Les risques peuvent se réaliser si les
systèmes menacés présentent des vulnérabilités.
Il est possible de préciser la notion de risque en la
décrivant comme le produit d’un préjudice par une
probabilité d’occurrence :
☺Risque = Préjudice x Probabilité d’occurrence

.…….

6 PROTECTION DU POSTE CLIENT WINDOWS
Postes sous Windows en Europe

Windows règne en maître sur le monde des ordinateurs des internautes, en équipant
95,7% d'entre eux en Europe, laissant Linux et Mac OS X à des années lumières.
Windows, seul maître à bord ?

Selon une étude réalisée par la société d'audience web Xiti, à la demande de ZDnet.fr, Windows régnerait
sans partage sur les ordinateurs des internautes européens.
Cette étude a été réalisée sur la période du 1er au 29 novembre 2006. Xiti a ainsi analysé le système
d'exploitation utilisé par les visiteurs d'un panel de 86.402 sites web. Et le résultat est impressionnant,
Windows affichant sans vergogne 95,7% de parts de marché !
Les résultats
Pas de surprise, c'est Windows XP qui est, de loin, le système d'exploitation le plus utilisé par les
internautes, avec 95,71% de parts de marché, suivi de très loin par Mac OS avec 3,12% (2,7% en 2005) et
Linux avec 0,76% (0,6% en 2005).
Selon Xiti, ces statistiques européennes se retrouvent au niveau mondial.

Parts de visites des différents systèmes d'exploitation (1er au 29 novembre 2006) :
• Windows : 95,71% Du côté des postes clients, pas de surprise, Linux ne

convainc toujours pas. Les chiffres des ventes
• Mac : 3,12% n’atteindront que 285 millions de dollars en 2009 et à
• Linux : 0,76% peine 334 millions de dollars en 2012. Du côté Windows
• Autre OS : 0,36% 22409,3 millions de dollars en 2009 et 28345,5 millions
de dollars en 2012. En conclusion, qu’il s’agisse des
• PSP : 0,02%
serveurs ou bien des clients, mieux vaut encore parier sur
• Unix : 0,01% le bon vieux Windows ; a moins de disposer d’une solide
• Unix : 0,01% expertise de développement sur Unix.
Le hit-parade des vulnérabilités Windows ou Unix/Linux ?

Parmi ces documents, le fameux Top-20 récence depuis plusieurs années les vingt vulnérabilités les plus
critiques des systèmes Windows et Unix, les documente en profondeur et propose les meilleures solutions
du moment. Tous les détails se trouvent à l’adresse : www.sans.org/top20.
***Attention, le piratage est un fait

grave et ce support n'est en aucun
cas destiné à cette utilisation, il est
simplement là pour vous sensibiliser
à la sécurité de votre réseau.
Je le rappelle pour les « boulets » qui
veulent à tout pris hacker leurs
voisins:
Vous devez avoir une autorisation du
propriétaire pour pénétrer, et utiliser
son réseau.
****Sinon vous encourez de fortes peines de prison et amendes****.

PRINCIPE DE LA SECURITE 7
PRINCIPES DE LA SÉCURITÉ
Quelques Chiffres
Une sous-estimation des dommages
L’ampleur alarmante de la cybercriminalité (2011)
50% des adultes internautes ont été victimes de la cybercriminalité durant leur vie, 50 000
victimes/heure, 820 victimes/mn, 14 victimes/sec.
24% des internautes adultes déclarent « ne pas pouvoir vivre sans Internet ».
32% des utilisateurd des réseaux sociaux estiment qu’ils « perdraient contact avec leurs amis s’ils
devaient vivre san réseaux sociaux ».
Vols de portables aux États-Unis
Le ratio est de 1 portable volé pour 50 présents dans l'entreprise.
En Mai 2008, un audit révèle qu’au Département d’Etat américain près de 400 ordinateurs
portables d’employés ont disparu de la circulation ? Ces ordinateurs contenaient des données
secrètes concernant les relations diplomatiques américaines, ainsi que des infos sur le programme
d’assistance anti-terrorisme…..
Cyber crimes
IDC A mené une enquête sur 350 entreprises. 30.3 % de ces entreprises reconnaissent avoir subi
une attaque. 22.3% ne se prononcent pas. 54.5 % de ces entreprises n'affectent aucune ressource à
la sécurité. La sécurité représente des budgets de ces mêmes entreprises. 78.8 % pensent avoir pris
les mesures nécessaires à la continuité de leur exploitation par des back up, la redondance des
équipements, …
Délinquance informatique en France
En 2009, 450800 tentatives de fraude à la carte bancaire ont été enregistrées, pour un montant total
de 86 millions d’euros. Soit 2,82% des 17 millions de transactions prises en compte par
FIANET. Un taux qui connaît une augmentation non-négligeable sur les chiffres 2008.
La société estime le montant des fraudes à la carte bancaire à 705 millions d’euros pour
l’ensemble du e-commerce français, en précisant que cette estimation « sous estime la réalité ».Le
nombre de fraudeurs a augmenté de 42% depuis 2008 pour atteindre 53000. Enfin, les secteurs
touchés se diversifient. Derrière les traditionnels matériels informatiques et téléphonie, le domaine
de la mode et du textile est revenu dans le trio de tête en 2009, avec une augmentation de 92% du
montant des fraudes en 2009.
Origine des fraudes
Selon une étude du cabinet Ernst & Young réalisée en 1998, 84% des fraudes les plus graves
subies par les entreprises commises par leurs propres employés.
Les types de cybercrime les plus courants,

et les plus faciles à éviter :
42% virus/maliciels.
6% phishing.
10% piratage d’un cmpte de réseau
social.
44% des utilisateurs de téléphones mobiles
les utilisent pour accéder à Internet.
10% des cuberattaques à l’échelle
mondiale se passent sur un appareil
mobile.

8 PRINCIPE DE LA SECURITE
Les priorités des entreprises
Selon une étude du Cigref réalisé en 2000, les priorités des grandes entreprises françaises en
matière de sécurité sont :
• Sécurisation des messageries
• Tests intrusifs
• Sécurisation des réseaux IP
• Sécurisation des accès clients
• Intranet-Extranet sécurisé
• VPN
• Sécurisation de Windows 2000/2003 (Active Directory/Stratégies)
• DMZ
• Sécurisation des télécoms
Mots de passe
Dans l'affaire du piratage des mots de passe perpétrés au niveau du serveur MultiMania, le Journal
du Net s'est procuré la liste des 70000 codes. Il en ressort que le mot de passe le plus fréquent est
123456 (0,5% des membres).
Viennent ensuite les fameux "azerty", "nicolas", "sophie" ou "olivier", suivis en bonne position
"internet", "multimania" ou encore "password" ☺.
Les failles
Dans Décision Micro & Réseaux du 4 mars 2002 n°498, Joël Rivière, PDG de Lexsi, déclare qu'il
apparaît "200 Failles informatiques, en moyenne, par semaine".
Mode d’exploitation Impacts:
Les ports les plus attaqués

La principale voie d'attaque est bien entendu le port
Internet sur les serveurs (http : 80), suivi de loin par
le protocole d'administration des éléments actifs de
réseau (snmp). Les ports les plus sensibles et les
plus médiatiques auprès des particuliers amateurs
éclairés, ftp, Telnet, NetBIOS sont loin derrière.
Le marché de la biométrie
Selon International Biometric Group, en 1999, Les
technologies biométriques se répartissaient comme
suit :
• Rétine 2%
• Signature 3%
• Iris 9%
• Voix 11%
• Visage 15%
• Empreinte palmaire 26%
• Empreinte digitale 34%

EXIGENCES FONDAMENTALES EN SECURITE 9
Exigences fondamentales
☺ La prise en compte de la sécurité dans une entreprise doit faire l’objet d’une démarche rigoureuse,
progressive et surtout continue afin de vérifier en permanence l’état de l’art des protections mises en
place, en regard des évolutions de l’environnement et de l’apparition de nouvelles vulnérabilités.
☺ La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité
d’un système contre les menaces accidentelles ou intentionnelles.
Il convient d'identifier les exigences fondamentales en sécurité informatique.
La confidentialité des échanges
• ☺ Protection contre la «lecture» non autorisée par un tiers: garantir le secret de l’information
transmise ou archivée (chiffrement, voir ex : IPSec => DES (56 bits), 3DES, AES (256 bits))
• ☺Coffre-fort, pli cacheté
De plus, le chiffrement des données est relativement complexe à mettre en place : il nécessite des boîtiers
ou des logiciels de chiffrement à toutes les extrémités du réseau, des échanges de clés… Aussi est-il adapté
à certains cas particuliers :
• Protection de données ultraconfidentielles (par exemple la Défense)
• Protection des données transitant sur des réseaux non protégés : Internet, WIFI, GPRS…
L'authentification des utilisateurs
• ☺ Assurance de l’identité d’une personne, d’un objet

• ☺ Carte nationale d’identité, passeport
La détermination des droits et privilèges passe par un mécanisme d’identification et

d'authentification qui va permettre de s'assurer que l'utilisateur est bien celui qu'il
prétend être, et qu’il a bien le droit d'accéder au système.
Ce mécanisme peut-être simple (login et mot de passe) ou fort (dit à 2 facteurs :
compte, mot de passe et jeton), carte à puce.
• ☺ IPSEC offre l’authentification mutuelle => Kerberos; Certificats; Clé pré partagée
Protocoles authentification
De nombreux protocoles requièrent une authentification de l’identité de l’utilisateur ou de l’équipement
avant d’accorder des autorisations d’accès.
☺ TACACS (Terminal Access Controller Access Control System), combine l’authentification et le
processus d’autorisation. Développé à l’origine par BBN pour le MILNET, puis repris par Cisco, il a été
étendu une première fois avec XTACACS (eXtended TACACS), compatible avec TACACS, pour finir par
TACACS+. TACACS est un protocole de contrôle d’accès simple.
TACACS+ utilise le port TCP 49, contrairement à TACACS qui s’appuie sur UDP.
☺ RADIUS (Remote Authentication Dial-In User Service), le protocole RADIUS
permet de fournir des services (AAA) d'authentification, d'autorisation et de gestion de
comptes. Un client RADIUS envoie des informations d'identification d'utilisateur et des
informations sur les paramètres de connexion sous la forme d'un message RADIUS à un
serveur RADIUS. Le serveur RADIUS authentifie et autorise la demande du client RADIUS.
☺ Kerberos est un protocole gérant la confidentialité des données et l’authentification
mutuelle, du client et du serveur, fonctionne au moyen d’une clé secrète (ex Active
Directory).

10 EXIGENCES FONDAMENTALES EN SECURITE
L’intégrité des données et des échanges
• ☺ Garantie de non-modification par un tiers d’un contenu (message, document ou programme par
exemple, ex : voir IPSec)
• ☺ Document manuscrit : simple
• ☺ Certains protocoles, comme IPSEC => Fonction de Hachage : MD5 (128 bits) , SHA1 (160
bits) oubien PGP, assurent à la fois confidentialité, authentification et intégrité.
L’Intégrité : demande que l'information sur le système ne puisse être modifiée que par les personnes
autorisées.
La non-répudiation des transactions

Lorsque l’on met en place un service de commerce électronique ou une application transactionnelle
"webisée" sensible.
• ☺ Pour que l’émetteur ne puisse pas nier l’envoi
• ☺ Et le récepteur ne puisse pas nier la réception •
• ☺ Transactions financières – commerciales
Elle repose sur des mécanismes d'authentification et de signature, ainsi que sur des mécanismes
d'horodatage*. Elle introduit aussi la notion de tiers de confiance, qui va, comme un notaire dans la vie
réelle, assurer l'enregistrement de la transaction, en l'horodatant et en gardant ensuite les traces qui
serviront à prouver que la transaction a bien eu lieu, et que le contenu annoncé par l’une des parties est bien
valide.
Disponibilité des données

Cette facette de la sécurité informatique est souvent négligée car elle nécessite des investissements
conséquents, dont le bénéfice n'est pas immédiatement perceptible.
La disponibilité repose la plupart du temps sur la création d'une redondance entre équipements, sur la mise
en œuvre de fonctions de reprise dans les logiciels et sur des procédures de sauvegarde / restitution des
données fiables et régulièrement testées.
Les pannes ne sont pas les seules causes d’indisponibilité. Le déni de service est un type d’attaque Internet
qui menace la disponibilité d’un système, en visant à dégrader ses performances. L’attaque consiste, par
exemple, à envoyer un flot de requêtes massif que le système ne peut traiter, ou à exploiter une
vulnérabilité mettant hors-service l’équipement.
La Disponibilité : demande que l'information sur le système soit disponible aux personnes autorisées.
-☺ Disques en RAID (physique) :
-RAID 1 (Miroir), tolérance aux pannes, partition contenant l’OS
-RAID 5 (Agrégat par bandes avec parités) , tolérance aux pannes, accès en lecture très rapide,
partition applicative, ex base de données
-☺ Cluster de Machines (nœuds) => Tolérance aux pannes au niveau machines
-☺ Cloud Computing (informatique en nuage)
Le Cloud Computing est l’accès à la demande, via le réseau Internet (ou Intranet) à des ressources
informatiques virtualisées, mutualisées et partagées avec d’autres utilisateurs, simple d’utilisation, et
payé à l’usage via un abonnement
Informatique donc dématérialisée ou infonuagique (Intel, Hewlett Packard, Yahoo Google, Microsoft :
Office 2010, Red Hat, IBM), utilisation de la mémoire et des capacités de calcul des ordinateurs et des
serveurs réparties dans le monde entier et reliés par un réseau, tel Internet, les utilisateurs (entreprises) ne
sont plus propriétaires de leurs serveurs informatiques mais peuvent ainsi accéder de manière évolutive à de
nombreux service en ligne sans avoir à gérer l’infrastructure sous-jacente souvent complexe.

EXIGENCES FONDAMENTALES EN SECURITE 11
Les applications et les données ne se trouvent plus sur l’ordinateur local, mais dans un nuage (cloud).
Les utilisateurs sont connectés au nuage et toutes les applications s’exécutent au travers d’un navigateur
Internet. Le poste de travail n’est qu’un vecteur banalisé d’accès ne contenant aucune donnée ni
application. En poussant le concept, on arrive à ce que tout ce qui se trouve dans le nuage soit AAA
(Anywhere, Anybody, Anytime).
Les clouds publics sont ouverts à tous et offrent différents servies : SaaS, Paas et Iaas.
SAAS : Software as a Services
IAAS : Infrastructure as a Service
PAAS : Platforms as a Service
☺ Du point de vue de la sécurité informatique, une menace est une violation potentielle de la sécurité. Cette
menace peut-être accidentelle, intentionnelle (attaque), active ou passive.
Les contrôles d'accès

L'accès physique
Accès aux locaux
Ces règles couvrent notamment le contrôle des accès aux salles et aux bâtiments, la sécurité
incendie, la fiabilité et la disponibilité de l’énergie, le bon fonctionnement de la
climatisation, l'ingénierie pour l’installation et la maintenance des équipements, le contrôle
de la mise en œuvre de ces règles.
Les sites opérationnels sont implantés dans des bâtiments soumis à des règles strictes de
protection. Les bâtiments principaux sont contrôlés par un service de gardiennage, présent 24h/24, qui
assure le contrôle d'accès, la supervision de la gestion technique centralisée et la réaction sur alarme. Une
supervision centralisée des alarmes (intrusion, incendie, dégât des eaux, anomalie réseau…) est mise en
place, permettant ainsi une intervention rapide et adaptée 24h/24.
• Formaliser l'accueil par des procédures, tout le monde doit être badgé y compris les salariés de
l'entreprise, sensibiliser tous les salariés à la venue de personnes extérieures
• Généraliser l'emploi de la vidéosurveillance au niveau des lieux publics et des points d'accès sans
pour autant la généraliser à l'ensemble des pièces et couloirs de l'entreprise.
• Surveiller les déchets (attention la paranoïa n’est plus très loin ), conduits d'aération dont la
source part du toit, Centraliser l'accès aux locaux de l'entreprise et contrôler les portes de sécurité

12 CONTROLES D'ACCES PHYSIQUE/LOGIQUE
Accès aux ordinateurs et terminaux, listings et imprimantes
• Activez le mot de passe BIOS concernant au moins le SETUP de façon à interdire le boot par
disquette (voir CDROM, USB) et l'emploi d'utilitaires tels que NTFS for Dos (accès aux volumes
NTFS) et d'outils de crack de mots de passe tels que l0phtcrack pour Windows NT/2000/XP ou
John The Ripper pour Linux., ntpasswd ou Pwdump2
• Obligez à bouter uniquement par disque dur (voir séquence de démarrage dans le Setup, désactiver
les touches de fonctions lors du boot du PC).
• Désactivez logiciellement votre CD rom et votre lecteur de disquettes, USB).
• Les machines ne doivent être accessibles qu'à partir d'un local fermé à clé.
• Evitez le multiboot et désactivez des fonctions tels que le mode sans échec ou encore la possibilité
de démarrer en mode Single sous Linux.
• Il faut éviter d'excentrer les points d'accès à votre système d'information. Si le point d'accès est
éloigné, utilisez un VPN (Virtual Private Network).
• Pensez à faire l'inventaire des machines, des terminaux et des portables, notamment en consignant
les adresses Mac des différents matériels.
• Pour utiliser l'ordinateur, employez un badge, une carte à puce ou un système s'appuyant sur la
biométrie. Toutefois, il ne doit pas se substituer à mot de passe. Il doit s'y ajouter. Concernant les
portables, il existe des câbles de sécurité (verrou Kensington) et des systèmes de tatouage.
• Instaurer une procédure entre la DRH et le service informatique
• Pensez à détruire les documents produits par le système d'information. Les ordures déposées sur la
voie publique appartiennent au domaine public.
• Eviter autant que possible de vous connecter en tant qu’Administrateur sur votre système,
préférer un compte simple utilisateur (voir commande Exécuter en tant que).
L'accès logique
Validation d'accès sur le réseau par un annuaire (ex : Active Directory avec Kerberos) hébergé par un
serveur sécurisé
• Identifiez les utilisateurs par login et mot de passe en le rattachant à des groupes ou à des
organisations lui donnant des droits (mot de passe complexe sur le compte Administrateur
obligatoire par exemple).
• Limitez la plage d'accès aux horaires de travail du salarié.
• Obligez les utilisateurs à changer de mot de passe régulièrement.
• Limiter le nombre de tentatives de connexions erronées
• Coupez la connexion en cas d'inactivité prolongée.
• Consignez les événements de connexion.
• Détruisez ou désactivez les comptes d'intérimaires, de contractuels ou de personnels licenciés.
• Gérer les droits d'accès aux programmes et fichiers (permissions NTFS)
• Les pare-feux, les anti-virus, les VPN
Les bons mots de passe

A faire
• ☺ Au minimum 8 caractères (plus c’est mieux ex : 12). Composé de chiffres, de lettres
majuscules / minuscules, de symboles, de caractères de ponctuation / contrôle.
• ☺ Il ne doit pas être basé sur un mot du dictionnaire.
• ☺ Il ne doit pas reposer sur une information personnelle.
• ☺ Il doit être différent pour chaque application, fichier, système que vous utilisez.
• ☺ Il doit être arbitraire. Changez-les souvent, au minimum tous les semestres, selon leur utilité.
• ☺ N’activer pas l’option « Enregistrer le mot de passe », qui s’affiche dans une fenêtre de
dialogue lorsque vous accédez avec votre navigateur à une page sécurisée.

CONTROLES D'ACCES PHYSIQUE/LOGIQUE 13
Un bon moyen de se souvenir de ses identifiants est d’utiliser un moyen mnémotechnique par exemple « la
phrase magique ».
-gardez uniquement les initiales, en respectant les majuscules et minuscules ;
-remplacez les lettres « o » par des chiffres « 0 » ou le contraire ;
-remplacez les « et » par des « é » et les « deux » ou « de » par des « 2 » ;
-changez certains caractères particuliers du français par les signes correspondants sur le clavier :« 2 » pour
« é », « 7 » pour « è », « 9 » pour « ç », « 0 » pour « à » et « % » pour « ù » ;
-usez d’autres tours de passe-passe pour insérer des caractères tels que « % * $ »...
Ainsi, une phrase comme « Offenbach et Mozart usaient de dièses et de bémols » deviendrait :
« 02Mu2#é2b ».
Voir la Table de caractères : "charmap.exe"
Sous Windows
Pour tester la fiabilité des mots sous Windows, l'administrateur pourra utiliser le logiciel John the Ripper
sur Windows ou sur Unix ou le logiciel LophtCrack (LC5) de Lopht Heavy Industries ou encore
SAMInside, Cain & Abel, Lophtcrack qui, lui, n'est pas distribué gratuitement (enfin pas pour les
versions récentes).
Remarque : vous pouvez télécharger depuis Internet une image ISO de « Ultimate Boot CD », qui contient
plusieurs programmes intéressants tous gratuits, dont un qui permet de modifier (et pas de trouver) le mot
de passe sur les systèmes Microsoft Windows XP/2000/2003 (programme sous Linux), voir aussi des
« Windows Live CD », comme « ERD Commander 2005 », « Hiren’s BootCD »etc….
Il y a deux principaux types d'attaques pour le « craquage » de mots de passe.

1. ☺ L'attaque par dictionnaire.
Le programme utilise une liste de mots prédéfinis dans un fichier externe. Cette liste est appelée un
dictionnaire ; ces mots sont la plupart du temps ceux provenant d'un dictionnaire contenant les mots du
langage courant. Le programme les encrypte avec l'algorithme d'encryptage adéquat un par un et les
compare au mot de passe encrypté. Ce type d'attaque est très rapide. Un mot de passe mal choisi est vite
découvert.
2. ☺ L’attaque par force brute.
Si l'attaque par dictionnaire ne marche pas, le programme peut générer des mots de passe avec une suite
aléatoire de caractères, les encrypter et les comparer au mot de passe à découvrir. Il existe différents
logiciels de perçage de mots de passe en fonction du type d'encryptage (DES, MD5, spécial Microsoft ...).
3. ☺ L’attaque hybride
Utilisation d’un dictionnaire + symboles associés aux différents mots du dictionnaire : Adm1n1strateur
Méthodes d'attaques pour le « craquage » de mots de passe

1. ☺ Changer le mot de passe.
Utilisé en cas d’oubli du mot de passe (Maintenance)
Changement immédiat, nécessite de bouter sur l’USB ou un LiveCD
2. ☺ Trouver le mot de passe.
Utiliser surtout en cas de Hacking
Trouver le mot de passe n’est pas immédiat, dépend de la complexité du mot de passe
*****Afin d’accélérer le temps de calcul des hashs et ainsi trouver les mots de passe, utiliser le LiveCD
Ophcrack (linux-Slax) pour XP ou Vista (http://ophcrack.sourceforge.net) qui utilise des tables de hashs
pré-calculés (Rainbow Tables) *****.
***☺ La base de comptes d’annuaire (SAM : Security Account Manager) est stockée dans :
Windows\System32\Config, et plus précisément la branche
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users, ainsi que dans Windows\Repair
(n’existe pas sous Vista).Positionner les bonnes permissions NTFS sur les deux dossiers ci-dessus :
Administrateur = CT, System=CT, Tout le monde= Aucun Accès ou Lister (surtout pas Lire :
Copier/Coller)***

14 LES ONDULEURS
☺. Les mots de passe Windows stockés dans la SAM sont des Hash (condensés)
☺ Hash = Empreinte => non réversible
Vous pouvez également tenter de cracker le hash récupérer, en ligne sir le

Web : http://md5crack.com
Comment désactiver LM HASH ?

Utiliser un mot de passe de plus de 15 caractères
Implémenter la valeur NoLMHash dans le registre :
HKLM\System\CurrentControlSet\Control\Lsa ajouter la clé NoLMHash
Ou via les stratégies systèmes => Stratégies de sécurité locales -> Options de Sécurité
Disque de remise à zéro

Windows Vista (mais aussi Windows 7) dispose d’une option permettant de créer un « disque de remis à
zéro ». Il s’agit en fait de réinitialiser vos mots de passe de connexion dans le cas ou vous les oublieriez.
Cette sauvegarde ne pèse qu’une poignée de Ko, ira se loger dans une vieille clé USB par exemple.
1). Insérer votre clé USB obsolète dans un des ports libres du PC et attendez que le système la reconnaisse.
Cliquez alors sur Démarrer, aller dans la Panneau de configuration et cliquez sur Comptes d’utilisateurs.
Dans le panneau de gauche, tout en haut, cliquez sur Créer un disque de réinitialisation de mot de passe.
2). Sélectionnez alors la lettre correspondante à votre clé et entrez le mot de passe du compte actuel.
Cliquez sur Suivant puis sur Terminer. Retirez la clé USB et mettez-la dans un local sûr.
3). Le jour ou vous n’arrivez plus à vous connecter, réinsérez la clé USB créée ci-dessus, cliquez sur le lien
Réinitialisez le mot de passe (il apparaîtra dès le premier échec) et suivez l’assistant.
PassX est un logiciel permettant de générer des mots de passes sécurisés, idéale pour ceux qui n’aurait pas
d’imagination. www.troupware.com
Offrez-vous un coffre-fort gratuit pour vos mots de passe
Keepass : créer un fichier de mots de passe (.kdbx), c’est dans ce fichier que seront stockées (sous forme
cryptée) vos informations. Vous pouvez par ailleurs associer un fichier clé (conseillé) dont la présence sera
obligatoire pour ouvrir la base de données.
☺ TP à réaliser.1a
===============================================================================
Trouver un mot de passe sur une station Windows XP (fichier Windows\system32\config\Sam)
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration :
Nom : administrateur
Mot de passe : XXXXXX.
2. Cliquez sur Démarrer, puis sur Exécuter…, saisir : cmd et valider, puis saisir :
C:\> net use R: \\192.168.x.200\TEMP /user:marcel P@sswrd1 (ce dossier contient l’outil LC6, qui vous
permettra de trouver le mot de passe Windows)
3. Copier le fichier : lc6setup_v6.0.1.exe depuis le partage de la machine formateur (R:) vers votre dossier
C:\temp, puis double-cliquez dessus pour l’exécuter.
4. Dans la boite de dialogue « Welcome…. », Cliquez sur Next.
5. Dans la boite de dialogue « Licence Agreement », cliquez sur
I Agree.
6. Dans la boite de dialogue « Choose Destination Location »,
garder la proposition par défaut (C:\Program Files\L0phtCrack
6), puis cliquez sur Next.
7. Dans la boite de dialogue « Choose Start Menu Folder »,
garder la proposition par défaut (L0phtCrack 6), puis cliquez sur
Install.
7. Dans la boite de dialogue « WinPcap 4.0.2 Setup », cliquez
sur Next, puis Next, puis I Agree et sur Finish.
Cliquez ici pour
démarrer …

CONTROLES D'ACCES PHYSIQUE/LOGIQUE 15
8. Dans la boite de dialogue « Installation Complete », choisir Next, puis Finish.
9. Dans le menu Démarrer, Tous les programmes, L0phtCrack 6, lancer L0phtCrack 6.
10. Dans la boite de dialogue « Reminder » cliquez sur Enter Key pour activer le produit, puis sélectionnez le :
Hardware fingerprint : _______________, puis Cancel et OK, Fermer le programme L0phtCrack 6.
11. Copier le fichier Keymaker.exe depuis le partage de la machine du formateur vers le dossier d’install de
L0phtcrack 6 (C:\Program Files\L0phtCrack 6), double-cliquez sur le fichier Keymaker.exe, mettre à la place du
nom TEAM ROGUE => toto, à droite mettre le Hardware fingerprint trouver ci-dessus cliquez ensuite sur
Patched, puis (message Patching was successfull !) OK. Selectionnez la clé générée, puis copier.
12. Exécuter le programme « L0phtCrack 6 Wizard », dans la boite de dialogue « Reminder » cliquez sur
Enter Key pour activer le produit, dans nom mettre : toto, puis coller la clé genere ci-dessus, puis OK, le Pas à
Pas (Wizard) se lance, cliquez sur Next.
13. Cochez Retrieve from the local machine, cliquez ensuite sur Next.
14. Cochez Custom dans la page Choose Auditing Method, cliquez ensuite sur Custom Options…, décocher
Perform a dictionary attack on the passwords, décocher Perform hybrid dictionary attacks, décocher
Perform Precomputed hash attacks, laisser coché Perform a brute force attack on the passwords, choisir
alphabet + numbers dans Character Set, et French dans Language, puis OK et Next.
15. Dans la page « Pick Reporting Style » laisser tous éléments cochés par défaut, puis Next.
16. Dans la page « Begin Auditing », cliquez sur Finish.
17. Observer la partie Brute Force ainsi que l’estimation du temps nécessaire
Les onduleurs
Appelé également ASI "alimentation sans interruption" ou UPS "uninterruptible power supply", dans le
milieu informatique c'est un appareil qui se branche entre le réseau EDF et le PC. L’utilité de l'onduleur
variera suivant la qualité du réseau électrique. En fait, il sert à palier les désagréments que peut fournir
le réseau électrique. La puissance des onduleurs est exprimée en Volt. Ampère (V.A) puissance
apparente, mais la puissance des éléments qui ont besoin de cette puissance s'exprime en Watt (puissance
absorbée). Généralement on conseille d'appliquer un facteur 1,4 à 1,5 : pour un PC consommant au
total 300W réels prévoir un onduleur de 420VA ou plus est idéal. Ne pas placer l’onduleur juste à
côté de l’unité centrale (phénomène magnétique qui peut désorganiser le disque dur).
Voici la puissance nécessaire de l'onduleur qu'il vous faudra pour chaque

élément afin d'obtenir une autonomie de 10 minutes. Vu la différence de prix
entre un 300 et 500VA, choisissez ce dernier puisqu'il vous laissera plus de 10
minutes d'autonomie.
Les risques
• ☺ Variations de tension qui provoque les dysfonctionnements et la destruction de composants
sensibles
• ☺ Coupures de courants Edf (10 à 60 ms) liés à l'utilisation des réenclencheurs automatiques et au
délestage automatique fréquent en zone rurale
Solutions
Au niveau d'une entreprise disposant d'un parc étendu, mieux vaut privilégier les systèmes centralisés.
Centralisée. L'utilisation de systèmes tels que Metaframe ou TSE permet de limiter l'emploi des onduleurs.
Décentralisée Cette architecture la plus souvent choisie est couplée avec des onduleurs 3 KVa associés à
chacun des serveurs.
LES 3 GRANDES FAMILLES D'ONDULEURS

☺ OFF LINE ou STAND BY
Le fonctionnent en mode dit off line (hors circuit) : l'appareil n'entre en action que lorsqu'une coupure du
secteur est détectée. Cela occasionne une microcoupure d'alimentation mais l'effet capacitif général des
alimentations ATX permet de l'absorber. C'est l'appareil le moins cher mais qui ne couvre qu'1/8 des
défauts du réseau.
☺ IN LINE, ou LINE INTERACTIVE ou encore STAND BY INTERACTIVE

16 LES ONDULEURS
L'onduleur est hors circuit en fonctionnement normal, mais des circuits électroniques spéciaux amortissent
très largement la microcoupure lors de son entrée en service.
C'est de loin le meilleur type au niveau prix/services, car ce type d'onduleur pallie à tous les défauts sauf
aux variations de fréquences
☺ ON LINE
Ce type d'onduleur participe à la chaîne d'alimentation électrique en permanence. Il fonctionne en continu
et, lorsque le secteur est défaillant, les équipements protégés restent alimentés sans la moindre
microcoupure. Ce type pallie à tous les défauts, mais il est de loin le plus cher.
Voici quelques marques de fabricants :

Nitram, Merlin Gering (MGE), Belkin, APC, Alpha Power

LE BIOS 17
Le Bios
Le Bios est l'interface entre le système d'exploitation (software)
et les éléments matériels (hardware) de votre machine. Pour
modifier les informations qui seront fournies à votre système
d'exploitation, vous devez accéder au Setup. Ce programme est
accessible au boot de votre PC (avant que votre système ne soit
chargé) par différentes touches : Suppr (Del), F2, F11, etc.
☺ Mettre donc un mot de passe au boot de la machine
(Setup), ainsi qu’un mot de passe pour accéder au
programme Setup. Désactiver aussi dans le Setup la touche
permettant de modifier la séquence de boot du PC.
1). Activer la protection du secteur d'amorce de votre machine : Enabled au niveau du Virus Warning
dans Advanced BIOS Features. N'autorisez à bouter qu'avec disque dur (après avoir installé votre
système). Cela évite, en laissant une disquette d'être contaminé par un virus bout, vous pouvez aussi éviter
de vous faire modifier logiciellement les paramètres de votre Bios par un virus Bios.
2). Si possible activer l’option « Flash BIOS Protection » afin de protéger votre machine contre les virus
de bios qui ont la fonctionnalité de mettre à 0 votre bios => PC HS.
3). Les nouvelles machines vous offrent la possibilité d'être "réveillées" par un simple appel sur le modem
ou par le biais d'une activité réseau. Cette fonction est associée à la gestion de l'énergie de votre machine.
☺ Désactivez tout ce qui est relatif à PowerOn by…, désactiver donc dans le setup de votre machine la
fonctionnalité de réveil à distance de votre PC via une carte réseau PXE. Cela peut être utilisé afin de
peut être déployé à distance sur votre PC des programmes divers.
Cmos NVRAM
Le mot de passe est stocké dans une mémoire NVRAM (Non-Volatile Random Access Memory), de
technologie Cmos. Il s'agit généralement d'une mémoire de petite taille, 128 octets,
alimenté par une pile au lithium pour maintenir la mémoire. Le composant électronique
assurant cette fonction est aussi l'horloge temps réel, la RTC. Une rupture de
l'alimentation de la Cmos et son contenu est effacé ainsi que le mot de passe s'y
trouvant. Pour cette raison, le stockage du mot de passe dans la Cmos se fait
principalement sur les desktops où la sécurité n'est pas primordiale.
EEPROM
Pour les portables, les constructeurs ont recherchés assez un moyen plus fiable de stocker le mot de passe.
Ils l'ont trouvé avec les EEPROM (Electronically Erasable Programmable Read Only Memory). Il s'agit
d'une mémoire reprogrammable non volatile. L'information peut se maintenir une dizaine d'année hors
tension et supporter 100 000 écritures. En pratique, vous aurez à changer d'ordinateur bien avant. Pour
récupérer son contenu, ignorant le câblage réalisé par le constructeur, il faudrait dessouder l'EEPROM de la
carte mère, la placer dans un lecteur d'eeprom et connecter celui-ci à un autre ordinateur.

18 LE BIOS
Disque Dur
☺ Les BIOS des portables permettent de mettre un mot de passe pour protéger le disque dur.
Ou est-il stocké ? S'il était stocké dans la Cmos ou dans une EEPROM sur la carte mère, il suffirait de
mettre le disque dans un autre portable ou sur un PC avec un adaptateur pour accéder aux données. Pour
cette raison, le mot de passe est stocké sur le disque dur. Il est géré directement par celui-ci selon la norme
ANSI X3.298-1997, AT Attachment 3 Interface. Comme il y a deux niveaux de mot de passe High et
Maximum, le constructeur peut choisir le niveau High et ainsi en cas de perte du mot de passe de
l'utilisateur, le constructeur peut débloquer le disque dur avec le Master password. Une attaque par force
brute a peu de chance d'aboutir car le disque va se bloquer après un certain nombre de tentative. Il faudra le
mettre hors tension puis à nouveau sous tension pour tenter un nouveau mot de passe.
Cependant, certaines sociétés proposent de récupérer les données des disques durs protégés par mot de
passe. Equipée de salle blanche de classe 100, elles peuvent ouvrir les disques durs sans craindre les
poussières et lire directement les données cylindre par cylindre.
Reset password jumper/Effacer la Cmos

Lorsque le mot de passe est stocké dans la Cmos, on l'a vu, il suffit de modifier
le checksum ou les données de la Cmos pour que le mot de passe soit
supprimé. L'inconvénient est que tous les paramètres du BIOS sont aussi
effacés, c'est pourquoi certains constructeurs ont trouvés une solution plus
élégante. Ils ont disposés un jumper, un cavalier sur la carte mère, à activer
pour annuler la demande du mot de passe. L'utilisateur peut alors choisir un
nouveau mot de passe ou le supprimer.
Autre méthode :
CmosPwd
Un programme regroupe différentes techniques de décodage, il s'agit de CmosPwd,
http://www.cgsecurity.org/cmospwd.html. Sous Windows NT/2000/XP, il faut installer un driver en tant
qu'administrateur pour autoriser l'accès aux ports 0x70 et 0x71 contrôlant la Cmos puis utiliser la version
CmosPwd cmospwd_nt.
Certains logiciels nous proposent de voir le mot de passe BIOS du système. Mais il faut avoir au moins une
fois accès au système d'exploitation pour pouvoir les installer.
Voici 2 logiciels permettant de voir le mot de passe du BIOS :
• AMI BIOS RECOVER (pour les BIOS AMI)
• AWCRACK (voir et enlever votre pass BIOS)
Des bips mystérieux lors du boot du PC => consultez le site www.bioscentral.com et http://bit.ly/yq
Procedez à un formatage sécurisé

Pour supprimer définitivement les données d'un disque dur que vous cédez ou vendez, vous deve formater le
disque de manière sécurisée.
1). Téléchargez Darik's Boot and Nuke (DBAN) et décompressez l'archive téléchargée, double-cliquez sur le
fichier Iso contenu dans l'archive et gravez-le sur un CD.
2). Redémarrez ensuite et bootez sur le CD, votre PC démarre alors sur Darik's Boot and Nuke, appuyez sur
Entrée.
3). A l'aide des flêches, sélectionnez la méthode de formatage PRNG Steam, appuyez sur Espace, pressez la
touche r pour choisir le nombre d'écrasements successifs des anciennes données, saisissez 8 et appuyez sur
Entrée.
4). A l'aide des flêches, sélectionnez le disque dur à "vider" et appuyez sur Espace, pressez sur la touche F10
pour démarrer le formatage sécurisé du disque. Attention l'opération peut durer plusieurs heures.

DEFAILLANCE 19
MATERIELLE/LOGICIELLE/HUMAINE
Défaillance matérielle
Tout équipement physique est sujet à défaillance (usure, vieillissement, défaut…)
L'achat d'équipements de qualité et standard accompagnés d'une bonne garantie
avec support technique est essentiel pour minimiser les délais de remise en
fonction. Seule une forme de sauvegarde peut cependant protéger les
données.
Les principales mesures préventives visant à limiter l'impact des pannes
physiques sont :
1. La mise en place d’une salle informatique organisée

Cela passe par la mise en place d'une salle informatique, ainsi que de salles «connectique » offrant des
services tels que «no break » pas d'interruption du courant), onduleurs, climatisation, détection d'incendie,
et un contrôle des accès.
2. La conception d’une architecture redondante dite «à tolérance de panne»

Cette redondance peut être mise en place au niveau des couches suivantes :
• Câblage.
• Réseau (HSRP - Hot Standby Router Protocol).
• Télécommunication.
• Serveur (Clustering).
• Stockage (RAID)
3. Une politique d’archivage fonctionnel

Afin de limiter autant que possible le risque de perte de données, la mise en place et le respect de
procédures d'archivage des données, tant au niveau des serveurs que des ordinateurs personnels, sont
vivement conseillés.
4. Le choix de standards
Le choix de solutions propriétaires qui peut paraître alléchant au départ, peut devenir un vrai « cauchemar »
en cas d'obligation de remplacement de l'un ou l'autre élément. Le risque peut aller jusqu'à la nécessité de
revoir et remplacer complètement la chaîne de traitement en cas de rupture physique d'un élément.
Défaillance logicielle
Tout programme informatique contient des bugs.
La seule façon de se protéger efficacement contre ceux-ci est de faire des copies de l'information à
risque. Une mise à jour régulière des logiciels et la visite des sites consacrés à ce type de problèmes
peuvent contribuer à en diminuer la fréquence.
Accidents (pannes, incendies, inondations…)

Une sauvegarde est indispensable pour protéger efficacement les données contre ces problèmes. Cette
procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des échelles de temps différentes :
• Disques RAID pour maintenir la disponibilité des serveurs.
• Copie de sécurité via le réseau (quotidienne)
• Copie de sécurité dans un autre bâtiment (hebdomadaire)
Erreur humaine
Considérer les erreurs humaines comme des menaces peut sembler un peu indélicat et pourtant, comme le
montrent les statistiques publiées par différents organismes, elles demeurent une cause très courante de
sinistres informatiques. On considère comme «erreur humaine », tout comportement humain ne respectant
pas le bon usage et pouvant conduire de façon involontaire à des préjudices divers.
Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce problème.

LE
20 DEFAILLANCE
Les erreurs de type « négligence»
On regroupe sous ce titre toutes les actions menées par des personnes bien informées, mais
ne respectant pas les règles. On pourrait donc associer la négligence à un acte volontaire.
Toutefois, le but de la négligence n'est généralement pas frauduleux.
Exemples :
• Ne pas respecter les procédures prévues pour la sauvegarde des données,
• Arrêter la mise à jour de la solution antivirale au démarrage de la machine,
• Confier son mot de passe à un collègue,
• Utiliser l'architecture informatique de l'entreprise à usage privé,
• installer un logiciel « hors norme » sur une machine, notamment ordinateur ou serveur.
Les erreurs de type « incapacité»

En effet, de nombreuses erreurs peuvent être commises « de bonne foi », sans que l'utilisateur ait
conscience du non-respect du bon usage ou du règlement et sans qu'il mesure l'impact de son geste.
Exemples :
• Le « social engineering » (voir point relatif à ce sujet),
• La mauvaise utilisation de l'outil informatique,
• L’effacement de données.
• La fainéantise et l’absence de conscience professionnelle
• Le manque de formation ou de sensibilisation à la sécurité
Il est conseillé de consacrer beaucoup d'énergie à la limitation de l'impact des erreurs humaines et de ne pas
partir du principe que l'on va être en mesure d'éviter toutes les erreurs humaines. Les principales contre-
mesures sont les suivantes :
• La sensibilisation et la formation
• La mise en place et le contrôle de procédures
• La gestion et le suivi des erreurs
• L’administration centralisée (Domaine Windows 2003 => Stratégies systèmes)
Obésité du système de fichiers

Même si l’espace de stockage d’une machine dépasse aujourd’hui plusieurs dizaines de Go, les disques se
remplissent à une vitesse effrayante. Certains utilisateurs atteignent sans ambages des taux de
remplissage supérieurs à 80 %. Si c’est votre cas, vous flirtez dangereusement avec l’incident car un
disque trop plein gêne, voire compromet sérieusement le bon fonctionnement de l’ordinateur ; lorsque le
système se met à mal fonctionner et qu’il met trois heures à ouvrir un fichier, vous jurez, mais un peu tard,
qu’on ne vous y prendra plus.
De même, un chef d’entreprise vous appelle un jour, catastrophé : il n’arrive plus à accéder à sa messagerie,
outil ô combien stratégique de son activité bien remplie. La raison ? Fichier corrompu, selon le client de
messagerie. Et pour cause ! Sa boîte de réception Outlook atteint les 2,3 Go alors que Microsoft indique
clairement que ce fichier ne doit pas dépasser les 2 Go (ce qui est déjà énorme !). Les boîtes de réception
ont une fâcheuse tendance à grossir, et il est impératif d’archiver régulièrement vos messages ; soyez
raisonnable, il faut plusieurs années pour atteindre 2Go, alors archivez au moins une fois l’an !
Menace pesant sur l’information (interne ou externe)

☺ Accidentelles : perte due à la négligence
☺ Intentionnelles : compromission volontaire de données
☺ Ciblées : Vol d’un bien pour les données qu’il contient
(portable)
Les besoins métier :

• Les documents doivent être protégés quel que soit l’endroit
ou ils voyagent.
• Les données sur les partages doivent être chiffrées pour les protéger contre des accès non autorisés.
• Les biens des entreprises tels que les PC portables ou les serveurs en agence doivent être protégés
contre une compromission physique.

DEFAILLANCE 21
Solution (Vista/Seven/Server 2008) :
• RMS (Rights Management Services), protection de la donnée en déplacement quelque soit le
support :
a). IRM => gestion des droits numérique en entreprise, implémentation de la protection
des données dans Office), documents, emails, pages web, etc…fondée sur l’identité (Active
Directory) : confidentialité, cycle de vie des documents, conformité. Définir qui peut
ouvrir/modifier/imprimer/transférer et/ou entreprendre d’autres actions avec les données, durée
de vie du document.
b). DRM => pour les médias comme Windows Media DRM, Musique, films, TV, etc.
Fondée sur la machine, règles business : Achat, Location, Souscription.
• EFS (chiffre individuellement chaque fichier, transparent pour l’utilisateur, protège les fichiers de
données dans un contexte de partage, dans Vista supporte le support de la carte à puce, protection
de la donnée à l’intérieur d’un système de fichier au sein d’un volume NTFS : attaque bouter sur
LiveCD cracker compte admin et accéder au système).
• ☺ Bitlocker Drive Encryption : chiffrement du disque système [partition], contrer faiblesse
d’EFS [base de registre, des fichiers de configuration, de pagination et d’hibernation] + partition
de données avec script : auto pour Windows 7/2008, protection de la donnée avant que l’os soit
bouté, ex contrer les LiveCD).
Basé sur une technologie hardware, une puce ou module TPM (mais pas obligatoirement),
nécessite une partition en claire de 300 à 500 Mo, la clé racine va être protégée par un module
TPM (Trusted Platform Module), récupérer un secret à l’intérieur du silice et ne le fournir à
l’extérieur que sous certaines conditions. La destruction de la clé racine permet le redéploiement
du hardware existant en toute sécurité en rendant les anciennes données inaccessible : clé de
recouvrement ou Active Directory.
a). On peut utiliser TPM seul (amélioration de la protection, très peu d’impact sur
l’utilisateur).
b). Ajout d’un code PIN (permet d’adresser des attaques matérielles sérieuses ; l’utilisateur
doit se souvenir de quelque chose).
c). Clé USB seule (sans TPM : non fourni) (bonne protection mais le maillon faible devient la
clé).
d). Clé USB plus TPM.
☺ Avec Windows 7 BitLocker va un peu plus loin en ajoutant Bit-Locker-to-Go pour le cryptage de
données sur les clés USB et autres supports amovibles.
Remarque : Un logiciel Open Source : Trucrypt il s’agit d’un logiciel universel pour les systèmes
d’exploitation Windows 2000/XP/2003/VISTA, Linux et Mac OS, permettant de chiffrer des partitions
entières de disque, une fois le mot de passe protégeant nos partitions saisi, il est impossible de travailler
sur le disque en question. Nous pouvons nous servir d’un algorithme AES très sécurisé qui garantira toute
la sécurité nécessaire à nos données.
Protégez une clé USB

Grâce à la fonction Bitlocker to Go de Windows 7 (version intégrale et Entreprise), vous pouvez crypter une clé
USB (disque amovible) ou un disque dur, ils ne pourront être ouverts qu'avec un mot de passe.
1). Dans l'Explorateur, faites un clic droit sur votre clé USB et choisissez Activer Bitlocker, dans la fenêtre qui
s'ouvre, cochez Utiliser un mot de passe pour déverrouiller le lecteur, saisissez et confirmez votre mot de
passe puis cliquez sur Suivant.
2). Si vous perdez votre mot de passe, vos données protégées seront également persues, pour éviter cela, vous
pouvez imprimer une clé de récupération qu'il vous faudra mettre en lieu sûr et que vous pourrez utiliser en cas
d'oubli de votre mot de passe. Ciquez sur Imprimer la clé de récupération, validez par Ok, cliquez sur
Suivant, cliquez sur Démarrer le chiffrement puis cliquez sur Fermer.
Si vous insérez une clé USB chiffrée dans le lecteur, un message demandant le mot de passe de déverrouillage
apparaît. Saisissez le mot de passe pour décoder la clé. Vous pouvez demander à Windows de mémoriser le mot
de passe pour cette clé. Une fois votre mot de passe saisi, la clé est accessible de manière classique. Pour
verrouiller la clé ensuite, débranchez-la et rebranchez-la sur votre PC. Sous Windows XP, Windows Server 2003
ou 2008, ou Windows Vista, il est possible de lire votre clé, mais vous ne pourrez pas ajouter ou modifier des
fichiers.

LE
22 DEFAILLANCE
☺ TP à réaliser.1b
============================================================================
Chiffrement d'un volume d’une partition Windows avec TrueCrypt (Open Source), ici on ne choisira
pas la partition système car il faudrait graver un CD de restauration.
----------------------------------------------------------------------------------------------------------------------------------
Installation et création d'un volume chiffré avec TrueCrypt
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration (SAM locale) :
Mot de passe : XXXXXXX.
2. Créer une partition étendue de la taille restante de votre disque dur, puis créer une partition logique (E:)
de la taille de 3Go, puis formater-là en NTFS, et enfin donner lui le nom DATAS.
3. Connectez-vous au partage sur la machine formateur, cliquez sur Démarrer, puis sur Exécuter…,
saisir : \\192.168.x.200\temp, puis saisir comme login : Nom Marcel, Mot de passe P@sswrd1.
4. Télécharger le fichier TrueCrypt Setup 6.3a dans votre dossier C:\Temp, puis double-cliquez dessus
pour l’exécuter (finir l'install normalement=> options par défaut).
5. Ouvrez maintenant le deuxième dossier que vous venez de décompresser et qui concerne le patch, puis
copiez le fichier nommé "Language.fr.xml" par un clic droit sur celui-ci, puis copiez et collez le fichier
"Language.fr.xml" dans le dossier C:\Program Files\TrueCrypt.
6. A présent lancez "TrueCrypt" avec le raccourci créé sur votre bureau. Cliquez sur le menu "Settings"
puis "Language...", sélectionnez "Français" et cliquez sur "OK". (notre logiciel est enfin traduit en
Français).
7. Cliquez sur le bouton "Créer un volume", cochez Encrypt a non-system partition/drive, puis Suivant,
cochez Créer un volume TrueCrypt standard puis "Suivant", il va falloir choisir ici un emplacement
pour votre volume chiffré, cliquez sur "Périphérique..." pour choisir ici le disque E: et OK, puis Suivant.
8. Choisir comme Algorithme de chiffrement AES et comme Algorithme de hashage RIPEMD-160, cliquez
sur "Suivant".
9. La taille du volume ne peut ici être modifiée, puis cliquez sur "Suivant". Entrez un mot de passe pour
votre volume P_sswrd1, (n'oubliez pas de le confirmer) puis cliquez sur "Suivant".
Si vous voyez un message c'est que TrueCrypt vous recommande de choisir un mot de passe plus long, vous
pouvez ignorer cet avertissement en cliquant sur "Oui".
10. Ici déplacez votre souris sur la fenêtre TrueCrypt pour l'aider à générer un nombre aléatoire, ceci pour
une meilleure sécurité pendant 5 sec environ, changer le système de fichier de FAT en NTFS, enfin cliquez
sur "Formater". Votre volume est en train d'être formaté. Cliquez sur Oui, puis enfin cliquez sur "Quitter".
Voilà vous venez de créer un volume chiffré.
----------------------------------------------------------------------------------------------------------------------------------
Utilisation d'un volume chiffré de TrueCrypt
1. Choisissez (toujours dans TrueCrypt) une lettre de lecteur pour votre volume chiffré ici Q :, puis cliquez
sur Périphérique.., choisir le disque E:, puis OK cliquez sur "Monter". Entrez votre mot de passe (celui
que vous avez définit lors de la création) ici P_sswrd1, puis cliquez sur "OK".
2. Allez maintenant dans votre poste de travail, et voilà vous voyez votre volume chiffré Q : et il est
accessible et utilisable comme n'importe quel autre disque.
3. Créez un fichier à la racine de Q:\, appelez-le "essai.txt" par exemple et remplissez le avec du texte,
maintenant enregistrez le (menu Fichier/Enregistrer), puis fermer le fichier.
4. A présent nous allons fermer notre volume chiffré pour qu'il ne soit plus accessible. Toujours dans le
programme TrueCrypt selectionnez le lecteur Q: et cliquez sur Demonter.
5. Le disque n'est plus visible dans le poste de travail, répétez la manipulation de tout à l'heure à savoir le
montage du volume, et vous retrouverez votre fichier "essai.txt" si tout s'est bien passé. Vous pouvez donc y
stocker ce que vous voulez, ce qui est pratique pour les fichiers confidentiels.
----------------------------------------------------------------------------------------------------------------------------------
Sauvegarder le système (Windows 7)
1). Ouvrez le Panneau de configuration, cliquez sur Système et sécurité, puis sur Sauvegarder et
restaurer. Dans le volet de gauche, cliquez sur Créer une image système, sélectionnez le dossier (un
disque dur externe par exemple) ou CD/DVD sur lequel mettre la sauvegarde.
2). Cliquez sur Suivant puis sur Démarrer la sauvegarde, cliquez enfin sur Fermer.
Mettre les disques de sauvegarde en lieu sûr, pour restaurer votre image système, vous devrez passer par le
disque d'installation ou le disque de récupération de Windows 7?.
3). L'étape suivante vous permettra d'en créer un, cliquez sur Oui, insérez un CD ou un DVD vièrge dans
votre graveur et cliquez sur Créer un disque, puis cliquez sur Fermer et sur Ok.
Mettez ce disque en lieu sûr, norez qu'il ne contient pas votre sauvegarde, mais les outils pour la restaurer.

DEFAILLANCE 23
---------------------------------------------------------------------------------------------------------------------------------
Restaurez Windows (Windows 7)
1). Redémarrez le PC sur le disque de récupération ou d'installation (Windows Vista ou 7), lorsque cela vous
est demandé, appuyez sur une touche pour redémarrer sur le CD-Rom, la console de récupération est alors
ouverte.
2). Si vous utilisez un CD d'installation de Windows, cliquez sur Réparer Windows, cliquez sur Suivant,
sélectionnez l'option Restaurer votre ordinateur avec une immage système créée précédemment et
cliquez sur Suivant.
3). Cliquez sur Sélectionner une image système puis sur Suivant, insérez votre premier disque de
sauvegarde ou bien votre lecteur USB sur lequel elle se trouve et cliquez sur Actualiser.
4). Votre sauvegarde est détectée, cliquez sur Suivant, s'il reste des données personnelles sur votre
ordinateur, sur une autre partition ou autre lecteur, pour éviter de tout perdre, ne cochez surtout pas la case
Formater et repartitionner les disques, cliquez sur Suivant puis sur Terminer.
5). Confirmez la restauration du système à son état original (celui de la sauvegarde) et cliquez sur Oui, à la
fin de la restauration, votre ordinateur est automatiquement redémarré. L'image originale de Windows (Vista
ou 7) à été restaurée.
Verbatim USB Secure Data conçue pour les professionnels, cette clé de 8
Go est dotée de la technologie de cryptage de sécurité matériel AES 256
bits. Ainsi, la clé USB micro Secure Data protège l’utilisateur du vol ou de
la fuite des données grâce à ses nombreux éléments de sécurité : mot de
passe de connexion, algorithme de hachage du mot de passe et une
connexion par mot de passe anti-piratage (qui efface les données du
périphérique après 20 échecs de tentative d’accès). Les composants sont
logés dans un boitier robuste, hermétique, résistant à l’eau et à la poussière .
Voir également la clé Kingston DataTraveler Secure.
Contrôlez l’exécution des programmes : AppLocker

AppLocker est une fonction propre à certaines versions de Windows 7 destinée à contrôler finement les
programmes autorisés à s’exécuter. C’est un moyen efficace pour verrouiller le système.
Il n’est disponible que sur les versions Entreprise, Serveur 2008 R2 et intégrale.
AppLocker fait la différence entre programmes, scripts et installateurs, elles prennent en compte trois
caractéristiques, le chemin d’accès, la signature de l’éditeur et le condensé cryptographique de
l’exécutable pour autoriser ou refuser l’exécution à tel ou tel utilisateur ou groupe.
Panneau de configuration > Système et sécurité > Outils d’administration > Services > Cliquez bouton
droit sur la ligne Identité de l’application puis choisissez Propriétés. Dans la fenêtre, actionnez le
bouton Démarrer et positionnez le menu Type de démarrage à Automatique.
AppLocker se trouve dans le gestionnaire des stratégies de sécurité locale secpol.msc.
Evitez qu’un tiers ne vole des informations ou des documents de votre PC avec une clé USB.
Regedit => HKLM\SYSTEM\CurrentControlSet\Control.
Créez une nouvelle clé et nommez-la StorageDevicePolicies.
Puis créez une valeur DWORD 32 bits et nommez-la WriteProtect, et attribuez-lui la valeur 1.
Redémarrez votre ordinateur. La copie de fichiers sur les clés ou disques durs USB est désormais
interdite.
Interdire l’exécution des fichiers .reg qui permettent de modifier le registre.

=>HKCR\regfile\shell, double-cliquez sur la clé Par défaut et saisissez edit dans le champ Données
de la valeur et validez par OK. Désormais, un double-clic sur le fichier .reg l’ouvre dans le Bloc-
notes, pour l’inscrire dans le registre
=> bouton droit, puis Fusionner.

LE
24 PROTEGEZ VOTRE IDENTITE SUR INTERNET
Principaux défauts de sécurité

Les défauts de sécurité d’un système d’information les plus souvent constatés sont :
• Installation des logiciels et matériels par défaut.
• Mises à jour non effectuées.
• Mots de passe inexistants ou par défaut.
• Services inutiles conservés (NetBIOS…).
• Traces inexploitées (logs).
• Pas de séparation des flux opérationnels des flux d’administration des systèmes.
• Procédures de sécurité obsolètes.
• Éléments et outils de test laissés en place dans les configurations en production.
• Authentification faible (login – password).
• Télémaintenance sans contrôle fort.
• Compte Administrateur avec mot de passe faible, utilisation abusive de ce compte, session restée
ouverte.
Le vol d’identité
On peut considérer qu’il y a vol d’identité lorsqu’une personne malicieuse réussit, par un moyen
technique ou non, à se faire passer pour une autre personne.
Très concrètement, un vol d’identité peut se résumer au seul fait qu’un pirate qui connaît le mot de passe de
votre messagerie (Gmail, Hotmail…) envoie des emails à d’autres personnes en se faisant passer pour vous.
Ainsi, le pirate pourra écrire à votre femme, votre patron, vos amis, votre banque, etc et en tirer profit ou
tout simplement générer des nuisances importantes.
Par exemple, aux USA, le numéro de sécurité sociale est recherché par les pirates.
En France, une date de naissance, une adresse et un RIB permettent, dans plusieurs endroits, de se faire
passer pour quelqu’un d’autre avec un pouvoir de nuisance important.
Le vol d’identifiant bancaire est la seconde voie royale pour le voleur. En
effet, beaucoup d’entreprises exigent un RIB, pour vous identifier les clients
lors de créations d’abonnements à des services (ADSL, EDF, magazines,
etc.). Malheureusement, les banques ne contrôlent pas à 100% les demandes
de débits lorsqu’elles émanent d’institutions connues dignes de confiance.
Les différentes attaques pouvant mener au vol d’identité

Le social Engineering
Les Hotspots publics : vol de cookies, mots de pass, login, clé WEP/WPA,
etc….
Les fake Hotspots
Le vol de bases de données : milliers d’identités
Le mot de passe généralisé : même mot de passe partout
Les sessions ouvertes : MSN ou Mail à partir d’un poste inconnu
Le phishing
Les questions secrètes : pour retrouver un mot de passe
Les Web Messenger
Les antiques Man in the Middle
Les vulnérabilités des navigateurs : exploiter les vulnérabilités (Framework)
Les spywares/virus/chevaux de Troie/keylogger
Et... les mots de passe triviaux : faible
Tor
Comment s’en protéger ?

Maintenir vos systèmes et logiciels à jour : correctifs de sécurité
Microsoft: Windows Update
Linux: apt-get update, apt-get upgrade, yum update, etc….

VOL D'IDENTITE 25
Sources de fuites d'informations
Courriel, messageries instantanées.
CD/DVD, clés USB.
Réseaux sans fill.
Rachat des employés.
Vol de l'équipement.
Ecoute.
Espionnage économique.
Protégez votre identité sur Internet

Internet et les réseaux sociaux (Facebook, Twitter, Google+) ont révolutionné les rapports sociaux en
mettant en contact des millions de personnes. Pour bien utiliser ces nouvelles possibilités, il faut juste
veiller à se protéger sur Internet en prenant quelques précautions. Ils sont sûrs et sécurisés, à condition de
faire attention aux informations que vous dévoilez et prendre quelques précautions de base et d’éventuels
actes de malveillance.
Les infos publiées sur les profils sont des infos privées visibles uniquement par les personnes choisies
par le propriétaire du profil. Vous pouvez décider, par exemple que vos informations publiées sur votre
profil Facebook ne sont visibles que par vos amis Facebook.
Les infos publiées sur des pages Facebook, elles sont publiques et tout le monde peut les voir ; même
les personnes n’ayant pas de profil Facebook. En fait, les pages Facebook sont un peu l’équivalent d’un
site Web vitrine.
Les risques :
** ☺ Le vol de votre compte entier
** ☺ Le vol de certaines de vos données
** ☺ La diffamation
** ☺ La diffusion d’informations que vous auriez préféré gardées privées.
Protégez votre compte :

Choisir un mot de passe fort et en le changeant régulièrement
Question secrète : ne pas mettre de réponse évidente
Navigation sécurisée : activez cette option => https
Notifications lors des connexions : pour être prévenu lorsque votre compte Facebook est utilisé à
partir d’une machine non encore utilisée pour cela
Approbation de connexion : pour obliger la saisie d’un code de sécurité chaque fois qu’une
nouvelle machine essaye d’accéder à votre compte
Mots de passe d’application : pour utiliser un mot de passe spécifique pour les applications
Facebook
Appareils reconnus : pour voir quels sont les appareils reconnus par Facebook pour ce connecter
à votre compte
Sessions actives : pour surveiller les connexions à votre compte
Blindez votre Facebook !

Chaque jour, 0,06% des connexions qui sont effectuées sur le site, sont réalisées par des pirates => 600000
accès non autorisées par jour aux comptes des victimes, soit une connexion toutes les 140 millisecondes !
Facebook a mis en ligne une image résumant l’ensemble des fonctions de sécurité existantes au sein de son
service : http:/www.scribd.com:doc:70451272:Facebook-Security-Infographic
La société Reputation Defender a récemment mis au point une application FaceBook, permettant de
sécuriser sa page. L’application Privacy Defender règle automatiquement vos paramètres pour que rien ne
filtre.

LE
26 PROTEGEZ VOTRE IDENTITE SUR INTERNET
Test de pénétration système

☺ Un test de pénétration système, aussi appelé test d’intrusion ou encore régulièrement abrégé en
« Pentest », est une méthode d’évaluation de la sécurité d’un système ou d’un réseau informatique durant
un laps de temps déterminé.
La personne en charge de réaliser des tests se doit de signer un contrat avec l’entreprise accueillant le test.
Ce contrat inclut des clauses de non-divulgation au cas où une faille serait détectée. Le prestataire s’engage
également à prendre toutes les mesures nécessaires pour sécuriser les données des clients.
Il existe de nombreux prestataires de services aptes à réaliser ce genre de test d’intrusion. Initialement
appelés Hackers, ce nom fut petit à petit détourné par les internautes pour n’y voir que des pirates
informatiques alors qu’initialement il n’en est rien.
☺ Afin donc de bien faire la différence entre le bon et le mauvais coté, un nouveau terme est apparu, il
s’agit des Ethical Hackers.
L’analyse se réalise selon trois cas :
BlackBox : l’Ethical Hacker se met réellement dans la peau d’un attaquant potentiel et ne possède aucune
information sur le réseau ou sur les infrastructures de l’entreprise, seule une connexion à Internet lui est
fournie et, de là, il doit tenter de récupérer le maximum d’informations par n’importe quelle méthode
(Internet, Faille de sécurité sur les serveurs, Social Engineering, Phishing, Reverse Engineering, etc). Il
s’agit du type de pénétration système le plus demandé. Il existe deux types de BlackBox, un interne et un
externe. Les BlackBox externes consistent à attaquer le système de l’entreprise « en aveugle », sans avoir
aucune information sur le matériel informatique et leurs techniques de défense alors que les BlackBox
internes se font au sein des locaux de l’entreprise. En effet, le système d’information peut être sécurisé de
l’extérieur et, malgré tout, être vulnérable depuis l’intérieur.
GreyBox : L’Etical Hacker connaît un nombre limité d’informations. Il peut par exemple connaître
l’adresse IP de l’ensemble des serveurs, le plan d’adressage ou encore les protocoles réseau utilisés au sein
de l’entreprise. Ce genre de test est très intéressant car il permet de vérifier la sécurité des infrastructures
depuis de l’intérieur. Une étude estime que 80% des attaques réseau et des actes de piratage proviennent de
l’intérieur même de l’entreprise, il est donc nécessaire de ne pas oublier ce genre de test.
WhiteBox : l’Etical Hacker connaît l’ensemble des informations relatives à l’entreprise, du code source du
site Internet, au schéma de configurations des routeurs tout en passant par le code source de l’application
C++ leur servant de passerelle réseau. Ces tests sont les plus complets car ils allient les techniques des tests
BlackBox en ajoutant des informations complémentaires. Ces tests sont également, en règle générale, les
plus longs.

PLAN DE REPRISE D'ACTIVITE 27
Effectuez une mise à jour de vos logiciels
Un logiciel nommé Sécunia PSI (gratuit)a été développé par leur équipe
et permet de patcher automatiquement les systèmes Windows. Ainsi, vous
êtes prévenu à chaque nouvelle version dʼun logiciel implémenté que PSI
sʼoccupe de télécharger et dʼinstaller à votre place...
Ce logiciel peut sʼavérer très pratique pour une utilisation personnelle dʼun
ordinateur. Le logiciel est disponible à lʼadresse suivante :
http://secunia.com/blog/35/; vous pouvez aussi mettre à jour vos logiciels
avec R-Updater (gratuit) : http://www.r-tt.com/update_software.
En plus de Secunia PSI, deux outils se révèlent très utiles au quotidien pour
vérifier les paramètres de son ordinateur.
Microsoft Baseline Security Analyser (signale les failles présentes et les paramètres mal
définis au travers de rapports très pédagogiques et précis).
Health Check de F-Secure (définit un état de santé de votre ordinateur)
SlimDrivers ou DriverMax ou Ma-Config.com, outil gratuit qui analyse votre config et vous signale
les pilotes manquants ou périmés et vous guide vers le téléchargement manuel des dernières versions.
Plan de Reprise d'Activité informatique (PRA)

Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité le sont aussi. Il est
nécessaire de réaliser une analyse de risque en prenant soin d'identifier les problèmes potentiels avec les
solutions avec les coûts associés (ingénieur réseau). L'ensemble des solutions retenues doit être organisé
sous forme d'une politique de sécurité cohérente, fonction du niveau de tolérance au risque. On obtient ainsi
la liste de ce qui doit être protégé.
Établissement d’une politique de sécurité

Suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut préparer une
politique à l'égard de la sécurité. Voici quelques éléments pouvant aider à définir une politique
• Quelle est la valeur des équipements, des logiciels et surtout des informations ?
• Quel est le coût et le délai de remplacement ?
• Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau
(programmes d'analyse des paquets, logs…).
• Quel serait l’impact sur la clientèle d'une information publique concernant des intrusions sur les
ordinateurs de la société ?
• Quels furent les coûts des incidents informatiques passés ?
• Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes ?
• Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?
• Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-elles accessibles de
l’extérieur ?
• Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la
confidentialité des informations (ex: loi « informatique et liberté », archives comptables…) ?
Élaboration de l'étude.
Afin d’assurer la continuité des activités d’une entreprise en cas de sinistre, des solutions de secours
doivent être mises en œuvre.
Pour déterminer ces solutions, il est indispensable d’identifier les situations de crises potentielles, puis
d’étudier les exigences des utilisateurs.
Ainsi, les solutions proposées seront adaptées aux sinistres et aux spécificités de la filiale.

LE
28 PLAN DE REPRISE D'ACTIVITE
Cette étape a pour objectif de formaliser un cahier des charges, spécifique à la filiale, qui lui permettra de
choisir la solution de secours la plus adaptée à ses exigences et à son contexte.
Les objectifs du plan de reprise d’activité peuvent être cités de la sorte :

• ☺ Assurer la continuité et la reprise des activités
• ☺ Minimiser les conséquences d’un sinistre : limiter au maximum les pertes financières, la perte
de clientèle, la perte d’image de marque.
• ☺ Revenir à la normale aussi rapidement que possible.
---------------------------------------------------------------------------------------------------------------------------------
• Nommer un groupe de travail chargé de définir la stratégie
• Sensibiliser la direction aux enjeux de la sécurité et aux coûts liés aux risques en sensibilisant à
l'efficacité des politiques préventives
• Construire une politique de sécurité en évaluant le risque, les menaces, en s'appuyant sur un audit
de sécurité (matériels, systèmes, applications, réseaux), en réalisant des procédures qui seront
communiquées à l'ensemble du personnel.
• Mettre l'accent sur la politique préventive
• Mettre en œuvre des niveaux de sécurité adaptés au risque, estimation du
temps nécessaire pour chaque processus,hiérarchiser les priorités
• Faire des tests d’analyse des procédures, intégrer le contexte législatif
Stratégie de sauvegarde
Le plan de sauvegarde (ou la stratégie de sauvegarde) est un des points majeurs qui
peut conditionner la faisabilité du PRA. Différents points sont impératifs dans la
réalisation d’un plan de sauvegarde.
Afin de cadrer le périmètre du PRA, il sera important de mettre en place différents scénarios
« catastrophes », en tenant compte de l’environnement interne et externe de l’entreprise.
Tous les scénarios ne peuvent bien évidemment pas être prévus, c’est pourquoi les cas non envisagés
seront traités par analogie.
L’identification des scénarios peut passer par l’élaboration d’une fiche, comprenant les différents points de
notre « catastrophe ».

CERTIFICATION ISO 29
La certification
C’est un diplôme professionnel
• Titre décerné par un organisme privé
• A caractère commercial ou associatif
• Permet de d'obtenir une reconnaissance de tiers
• Permet de démontrer une compétence, un acquis, un savoir-faire
• Participe à l'établissement de la confiance et aux choix entre clients et fournisseurs (apportant une
fiabilité optimale aux clients, investisseurs, collaborateurs et partenaires)
• Etre certifié est un atout et deviendra un pré requis (peut devenir un impératif dans un appel
d’offre)
• Permet de développer la compétitive des entreprises sur le marché, qui connaît une forte demande
pour les services informatiques et l’infogérance (aide à placer les entreprises en position de force
pour saisir les opportunités sur le marché).
Répondre aux problématiques de confiance des entreprises passe par une démarche de certification.
Il garantit :
• ☺ L’étanchéité des flux entre deux réseaux et vis-à-vis d’Internet,
• ☺ La sécurité physique des équipements déployés,
• ☺ L’administration exclusive de ces équipements par des personnes autorisées.
Qui est concerné ?

- Tous les secteurs d'activités
- Les DSI de TPE, PME et de Grands Groupe
- Les SSII
- Les départements production, support et management d'organismes
Quels Avantages et Bénéfices ?

- Réduire les risques de sinistralité d'une organisation, peut engendrer des économies substantielles et
contribuer à améliorer la productivité de l’entreprise
- Mettre en œuvre un plan de continuité de services/d'activités,
- Présenter un gage de confiance à vos clients et à vos partenaires,
- Faciliter la compréhension et disposer d'un langage commun,
- Être conforme aux législations nationales et internationales,
- Responsabiliser les collaborateurs,
- Maîtriser les coûts liés à la sécurité de votre organisation,
- Bénéficier d'un argument concurrentiel.
La norme anglaise BS 7799 est à l’origine de cette norme ISO. Créée en 1995 par le British Standard
Institute (équivalent de l’AFNOR en France), cette norme instaure des standards de qualité et de
performance pour l’industrie. En 1999, elle connaît un succès international et est adoptée en tant que
ISO/IEC 17799 :V2000. Seuls des pratiques et des contrôles sont édictés par ce texte. Aucune référence à
une quelconque certification n’y est mentionnée.
En octobre 2005, le standard BS 7799-2 est adopté par l'ISO.

☺ Il introduit le nouveau standard international ISO/IEC 27001:2005.
Au Maroc, ISO 27001 connaît un essor depuis 2008 (administration publique), pour les entreprises cotées
en bourse aux Etats-Unis, cette norme est utilisée pour mettre en œuvre un cadre de conformité à la loi
Sarbanes-Oxley.

LE
30 CERTIFICATION ISO
Dans une optique d'amélioration, sous le regard d'experts externes et reconnus, cette démarche de
certification constitue donc, pour les clients, une garantie réelle sur la qualité et la sécurité des
services.
Pourquoi et comment lancer un projet ISO 17799 / 27001 ?

- Volontairement
- Par la contrainte
- D’un partenaire, des clients
- Par intérêt
- Vis-à-vis des clients, vis-à-vis des assurances
Le modèle PDCA
Une démarche PDCA (Plan, Do, Check, Act)
également appelée « roue de Deming »
précise les étapes de l’application des mesures
de sécurité (voir schéma ci-dessous).
Le processus de certification s'étale sur x ans

(presque toujours avec l'aide de consultants) et
doit ensuite être renouvelé en permanence.
Schématiquement, les étapes à franchir sont les
suivantes :
• préparation (définition du périmètre, analyse des risques, définition des protections à mettre en
place);
• mise en place et contrôle des mesures prises;
• audit du dispositif par un auditeur accrédité par l'organisme de certification.
La certification est délivrée pour une période de 3 ans, mais un nouvel audit doit être effectué tous les ans.
EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité : créée en 1995 et mise à
jour en 2004) est actuellement la méthode de gestion des risques de sécurité des systèmes
d’information (SSI) développée et maintenue par la DCSSI (Direction centrale de la sécurité des
systèmes d’information – France). Cette méthode a la particularité d’être disponible gratuitement, pour
tout organisme souhaitant mener une étude des risques SSI et mettre en place une politique adéquate de
sécurité de l’information.
Se décompose en cinq sections : Introduction, Démarche, Techniques, Outillage pour

l’appréciation des risques et Outillage pour le traitement des risques.
La méthode est actuellement utilisée par de nombreux organismes, aussi bien publics (Ministères,
OTAN, Caisse Nationale d’Assurance Maladie…) que privés (Michelin, Aéroports de Paris…).
EBIOS offre un certain nombre d’avantages en vue d’une démarche de certification ISO 27001.

REGLEMENTATION AU SEIN DE L'ENTRPRISE 31
PC au Bureau, ce que vous avez le droit de faire
Globalement, est considéré comme personnel tout ce qui n’entre pas dans la définition de son poste.
Surfer sur Internet pour lire les actualités, suivre des enchères en ligne, faire une partie de Tetris,
écouter ses propres fichiers MP3 est, a priori, interdit et susceptible d’être sanctionné par l’employeur.
Que peut-il être reproché au salarié ?

Son manque de productivité bien entendu, mais aussi la saturation de la bande passante de l’entreprise
ainsi que les risques qu’il fait courir à son ordinateur et à sa société en les rendant vulnérables aux virus
et autres logiciels espions.
Une pratique souvent tolérée

Mais, selon les entreprises, l’utilisation de l’ordinateur du bureau à des fins personnelles est plus ou
moins tolérée. La Cnil, considère comme admissible un usage personnel raisonnable, n’amoindrissant
pas les conditions d’accès professionnel au réseau et ne mettant pas en cause la productivité. Profiter de
l’ordinateur, de la connexion Internet et de la messagerie de son entreprise ne constitue donc pas une
faute professionnelle, sauf si cet usage se révèle abusif.
Quatre pratiques tolérées :

• Surfer sur Internet pour vérifier l’horaire de son train ou valider sa liste de courses sur un
cybermarché…à condition de na pas passer une heure pour tenter de changer ses billets ou
tergiverser sur une marque des yaourts .
• Répondre à ses proches par MSN ou messagerie instantanée : la pratique est admise, comme
un coup de fil familial, dans la mesure ou cela reste occasionnel et discret.
• Ecouter de la musique sur son ordinateur : à condition de ne pas déranger ses collègues et, s’il
s’agit de l’écoute d’une Web radio, de ne pas saturer la bande passante.
• Se détendre devant un jeu vidéo : remplacer sa pause-café par une réussite peut être toléré,
mais pas question de défendre son royaume dans l’univers persistant d’un jeu en ligne ou de se
défouler lors d’une partie de tennis en cinq sets avec un collègue de bureau !
Quatre pratiques interdites :

• Consulter des sites pornographiques et échanger des images « contraires aux bonnes mœurs »
par mail.
• Crypter ses données afin d’empêcher l’employeur d’y accéder.
• Télécharger et installer des logiciels pour son usage personnel : cela peut menacer la sécurité
de l’entreprise en introduisant dans les systèmes un virus ou un logiciel espion.
• Télécharger de la musique ou des films piratés.
☺ Une charte informatique, doit être soumise aux représentants du personnel, cela constitue une
garantie pour l’employeur : grâce à elle, il peut facilement prouver, texte à l’appui, qu’il encadre
l’utilisation par ses employés des ressources informatiques de l’entreprise et n’est donc pas responsable
de leur détournement éventuel (à des fins de piratage, par exemple). Ces règles écrites lui permettent
aussi de démontrer qu’un salarié a commis une faute. Plusieurs entreprises qui n’avaient pas pris
soin d’éditer un tel document ont ainsi perdu en appel après avoir licencié un employé accusé de
consulter des sites pornographiques. Annexées au règlement intérieur des sociétés, ces chartes
rendent obligatoires les respects de leurs règles et prévoient des sanctions en cas de manquement.
Lecture des courriels interdite !

Le Code du Travail et surtout la jurisprudence apportent, eux aussi, des éléments d’information sur ce
qui est autorisé et interdit. En 2001, l’arrêt Nikon a ainsi établi l’interdiction, pour l’employeur, de lire
les courriels personnels de ses employés envoyés depuis leur messagerie professionnelle, même si cette
pratique est effectivement interdite par l’entreprise. Les disques durs ou documents des employés n’ont
en effet valeur de preuves que sous certaines conditions : l’employé doit être prévenu de l’action qui va
être engagée contre lui, et un expert (sous contrôle d’huissier) doit être présent lors de la saisie

LE
32 ELEMENTS DE DROITS
Éléments de droits (Loi Godfrain)

• ☺ loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique (dite “Loi Godfrain”)
• loi N° 92-685 DU 22 juillet 1992 - chapitre III : Des atteintes aux systèmes de traitement
automatisé de données
• loi n° 92-597 du 1ER juillet 1992 relative au code de la propriété intellectuelle
• directive du Conseil des Communautés Européennes du 14 mai 1991 relative à la protection des
programmes
• convention sur la cybercriminalité du 23 décembre 2001, entrée en vigueur le 1er juillet 2004
Loi n° 88-19 du 5 janvier 1988, modifiée par la loi 22/07/1992

Article Texte Peine Amende
323-1 Le fait d'accéder ou de se maintenir, frauduleusement, dans jusqu’à 1 an 30 000,00 €
tout ou partie d'un système de traitement automatisé de
données
Lorsqu'il en est résulté soit la suppression ou la modification jusqu’à 3 ans 45 000,00 €
de données contenues dans le système, soit une altération du
fonctionnement de ce système
323-2 Le fait d'entraver ou de fausser le fonctionnement d'un système jusqu’à 5 ans 75 000,00 €
de traitement automatisé de données
323-3 Le fait d'introduire frauduleusement des données dans un jusqu’à 5 ans 75 000,00 €
système de traitement automatisé ou de supprimer ou de
modifier frauduleusement les données qu'il contient
323-4 La participation à un groupement formé ou à une entente Peines prévues
établie en vue de la préparation, caractérisée par un ou pour l'infraction
plusieurs faits matériels, d'une ou de plusieurs des infractions elle-même ou
prévues par les articles 323-1 à 323-3-1 pour l'infraction la
plus sévèrement
réprimée.
Droits et obligations de l'internaute (en résumé) : obligations

• L'internaute doit respecter les articles du code pénal tirés de la loi
Godfrain, c'est-à-dire ne pas attaquer un système de traitement
automatique de l'information.
• L'internaute ne doit pas se rendre intentionnellement complice de
pirateries informatiques : article 46 de la loi sur la confiance dans
l'économie numérique qui insère l'article 323-3-1 du Code pénal
• L'internaute ne doit pas diffuser de contenu illicite
• L'internaute peut (et doit) signaler un contenu manifestement
illicite (pédophilie, racisme, haine, néonazisme) et être très prudent
pour le reste.
Droits et obligations de l'internaute (en résumé) : droits

• L'internaute a droit au respect total du secret de sa correspondance électronique
• L'internaute a le droit d'être informé de la nature publicitaire d'un contenu
• L'internaute a le droit de refuser de recevoir de la publicité électronique
• L'internaute a droit à la protection et à la conservation des données personnelles le concernant
• L'internaute a droit au respect de l'intégrité de son ordinateur et des données qui s'y trouvent
Dispositifs antipirates : premiers grands procès en 2003 (la loi

Godfrain):
• NOOS contre Philippe P. pour atteinte illicite à un système (Mail
Bombing) : 4 mois avec sursis et 20 000 € d’amende
• Smith & Nephew contre M. L. pour accès frauduleux et entrave au
fonctionnement d’un système: 10 mois avec sursis et 34 413 € d’amende

HADOPI 33
Hadopi
☺ Hadopi ne visera que le P2P, le 5 mars 2010, le Journal officiel a diffusé le décret HADOPI.
Ce décret n°2010-236 est relatif au traitement automatisé de données à caractère personnel autorisé par
l’article L.331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour
la protection des œuvres sur Internet ». Il permet de connaître ce que va pouvoir collecter la Haute
Autorité.
Dans les informations collectables :
La date et l’heure de l’infraction ; l’adresse IP de l’abonné ; le protocole P2P utilisé ; le pseudonyme du
copieur ; le nom du fichier copié et diffusé (donc présent sur le poste du copieur) et le nom du fournisseur
d’accès à Internet. Le FAI devra fournir l’adresse postale du copieur et son téléphone.
Explication : la première sanction de la Loi Création et Internet (ou loi Hadopi) prévoit d’envoyer un e-
mail aux Internautes repérés sur les réseaux peer-to-peer en train de télécharger illégalement des œuvres
protégées (si bien entendu, le mail ne retrouve pas dans les courriers spams !!).
Si par malgré tout, l’internaute récidive en téléchargeant illégalement des fichiers sur internet, c’est une
lettre d’avertissement en Recommandée qui lui sera adressée.
Lors de la troisième réprimande, une sanction automatique s’applique : l’abonnement à Internet sera
suspendu pour une durée allant d’un mois à 1 an.
Sanctions de la Loi Hadopi

En dehors de la suspension de votre abonnement à internet, certes vous ne risquerez plus une amende de
milliers d’Euros à verser à l’Etat, mais vous devrez tout de même continuer à payer votre abonnement
Internet. Toutefois, l’accès à télévision et au téléphone ne vous seront pas interdits. Cependant, les
fournisseurs d’accès à Internet ne savent toujours pas comment s’y prendre.
Le budget annoncé de combien HADOPI va-t-elle couter au contribuable est de 6,7 millions d’euros par an
pour envoyer des courriers électroniques et des lettres recommandées. Hors coût de surveillance des
réseaux, la recherche d’identité, frais de justice.
Outil du site Type Surveillé par TMG ?

eMule P2P Oui
eMule + filtre P2P Oui
Kazaa P2P Oui
Shareaza P2P Oui
eDonkey P2P Oui
gnutelle P2P Oui
BitTorent P2P Oui
Rapidshare Direct Download à priori pas pour l’instant
MegaUpload Direct Download à priori pas pour l’instant
MegaVideo Streaming à priori pas pour l’instant
NewsGroup Direct Download à priori pas pour l’instant
FTP privé Direct Download à priori pas pour l’instant
dl.free.fr Direct Download à priori pas pour l’instant
9giga.com Direct Download à priori pas pour l’instant
Freenet Réseau anonyme à priori pas pour l’instant
FileTorrent P2P à priori pas pour l’instant
YouTube Streaming à priori pas pour l’instant
DailyMotion Streaming à priori pas pour l’instant
Google Moteur de recherche a part…
Qu’écrire dans votre lettre de contestation : www.e-litige.com/actualites/recoushadopi.php
Solutions Anti- ADOPI : Streaming, téléchargements DIRECT (RapidShare), Moteurs de recherche,

débrideurs, Annuaires, proxys, newgroups, seedbox, VPNs, etc...
.

LE
34 PORTER PLAINTE
Porter plainte
La plainte déposée a pour but de décrire l’attaque, sa réussite ou son échec, les éventuels dommages qui
peuvent en résulter ainsi que toutes les autres conséquences (perte de temps pour vérification de l'intégrité
du site ou des données, pertes d'argent, perte de crédibilité auprès des internautes ou des clients de
l'entreprise, etc...). La police envoie ensuite au parquet votre dossier qui décidera ou non d’instruire le
dossier.
En France, il existe non seulement une législation, mais aussi une police chargée d'enquêter.
A Paris et en région parisienne : BEFTI (Brigade d'Enquêtes sur les Fraudes aux Technologies de
l'Information), 163 avenue d'Italie, 75013 Paris (01 40 79 67 50).
En province : le SRPJ (Service Régional de Police Judiciaire) où il y a des ESCI (Enquêteur Spécialisé
Criminalité Informatique), enfin, il existe une organisation centrale, l'OCLCTIC (Office Central de Lutte
contre la Criminalité liée aux Technologies de l'Information et de la Communication) - 101 rue des Trois
Fontanot, 92000 Nanterre (01 49 27 49 27)
En outre, il vaut mieux répondre à ce type de comportement en portant plainte plutôt qu'en
tentant de se venger soi-même. La France possède une législation assez rigoureuse en
matière de cyber-crime et il serait fort dommage de voir votre attaquant porter plainte si
vous lui causez des dégâts en représailles. Sachez que ce type de situation peut tout à fait
se produire et que vous ne pourrez arguer d’avoir été attaqué le premier. Tout comme dans
la vie réelle, nous ne pouvons nous faire justice nous même sur Internet.
Faille de sécurité sur Internet

En entreprise, c’est le réseau local qui est connecté à Internet. Il est donc indispensable de contrôler
les communications entre le réseau interne et l'extérieur. De plus une formation du personnel est
indispensable (règles de sécurité, déontologie, attention aux participations aux forums qui sont
archivées...). Les problèmes de sécurité qu’on peut rencontrer sur un réseau d'entreprise ou sur l'Internet
relèvent d'abord de la responsabilité des victimes avant d'être imputables aux hackers.
D’autre part, votre sécurité peut dépendre d’autres entreprises dont vous pensez, parfois à tort, qu’elles ont
assuré leur propre sécurité. « Le secteur privé ne cherche pas à savoir qui est responsable, tout ce qui
intéresse les entreprises, c’est que l’attaque cesse. ».
La sécurité à 100% n’existe pas, c’est en connaissant les risques que l’on peut réagir à temps.
La sécurité concerne avant tout des comportements humains: sensibiliser son personnel à la prudence et le
responsabiliser est la première des préventions. En cas d’intrusion : effectuez une déclaration auprès de
votre assurance, attention les délais sont courts. Pour les risques résultant d’une malveillance:
saisissez l’autorité compétente pour déposer une plainte.

CONTROLE D’IDENTITE DANS LES RESEAUX 35
Contrôle d’identité dans les réseaux
Physique : serrure, badge/clé, RFID
Link : 802.1x
Réseau : passerelles, x-auth, firewalls, ‘lock and key’
Session : SSL, TLS
Application : Windows Networking (SMB), Kerberos
Une bonne sécurité avec le 802.1x

Le protocole 802.1x, défini par l’IEEE, repose sur le protocole EAP. Ce dernier, défini par l’IETF, a pour
rôle d’identifier les utilisateurs selon des méthodes variées : mot de passe, carte à jeton, certificat, etc.
L’EAP définit une architecture comptant trois acteurs :
• ☺ le client (c’est-à-dire l’utilisateur),
• ☺ le contrôleur d’accès (c’est-à-dire chaque point d’accès, dans le contexte du WiFi)
• ☺ le serveur d’authentification (en général un serveur RADIUS).
Le client commence par se connecter au contrôleur d’accès. Celui-ci l’empêche d’aller sur le
réseau. Commence alors un dialogue d’authentification entre le client et le serveur
d’authentification, par l’intermédiaire du contrôleur d’accès. Si le serveur autorise le client à
passer, il lui envoie un paquet EAP de succès : au passage de ce paquet, le contrôleur d’accès laisse
désormais le client accéder au réseau.
Le protocole 802.1x définit

comment le protocole EAP peut
être utilisé sur un réseau local,
grâce au protocole EAPoL. Ce
dernier rajoute notamment
quelques nouveaux paquets
permettant l’échange de clés de
cryptage.
Pour mettre en place une
architecture 802.1x avec le WiFi,
il faut choisir et installer un
serveur d’authentification (en
général de type RADIUS), et
s’assurer que tous les AP gèrent
bien le 802.1x. Il faut également
choisir et installer un logiciel de connexion compatible 802.1x sur le poste de chaque utilisateur. Ce
logiciel peut être fourni avec l’adaptateur WiFi ou directement intégré dans le système d’exploitation :
× c’est le cas avec les versions récentes de Windows et de Mac OS. Il reste ensuite à choisir une ou
plusieurs méthodes d’authentification EAP, s’assurer que le serveur RADIUS les gère et que les
logiciels de connexion des clients soient bien compatibles avec au moins l’une de ces méthodes.

LE
36 CONTROLE D’IDENTITE DANS LES RESEAUX
Lors de l’authentification EAP, le contrôleur d’accès n’est qu’un simple intermédiaire entre
l’utilisateur et le serveur. Dès que l’utilisateur est bien authentifié par le serveur, le contrôleur
d’accès le laisse passer vers le réseau.
Pour illustrer l’architecture EAP, voici un exemple de configuration possible dans un contexte Wifi :
Ö • Le client possède un logiciel de connexion fourni avec son adaptateur Wifi. Ce logiciel
est compatible avec le 802.1x (donc avec l’EAP) et supporte deux méthodes
d’authentification : PEAP/MS-CHAP-v2 et EAP/TLS (nous les décrirons dans les
paragraphes suivants).
Ö • Le contrôleur d’accès est un AP compatible 802.1x : il n’a pas besoin de connaître
PEAP/MS-CHAP-v2, EAP/TLS ou toute autre méthode d’authentification particulière. Il
est toutefois capable de relayer des requêtes EAP vers le client (via la connexionWiFi) et
vers le serveur d’authentification (via le réseau de l’entreprise).
Ö • Le serveur d’authentification est un serveur RADIUS compatible avec EAP. Il gère les
méthodes d’authentification EAP/TLS et TTLS/PAP (voir paragraphes suivants). Le
serveur demandera au client de s’identifier selon une méthode. Si le client ne la gère pas,
le serveur en suggérera une autre et ainsi de suite jusqu’à ce que le client en accepte une.
Dans cet exemple, ils tomberont d’accord sur la méthode d’identification EAP/TLS.
Lorsque l’on décide de mettre en place une architecture qui repose sur l’EAP, il faut choisir les
méthodes d’authentification que le serveur acceptera, et s’assurer que chaque client soit bien
compatible avec au moins l’une de ces méthodes.
☺. L’EAP, sans l’aide d’autres mécanismes, ne protège que l’authentification, pas la session. Donc si
l’on ne fait rien de plus qu’EAP (c’est-à-dire du 802.1x seul) alors un pirate peut espionner ou
détourner les sessions existantes, en toute impunité.
☺. Mais alors, comment se protéger ?
=> L’authentification 802.1x peut être très sûre, mais elle ne sert à rien si la session qui suit n’est
pas elle-même sécurisée. La session peut être protégée par un tunnel entre le client et le
contrôleur d’accès.
Pour atteindre le meilleur niveau de sécurité, il est recommandé d’utiliser les tunnels : EAP/TLS,
PEAP, TTLS ou EAP/FAST.
Les principales méthodes d’authentification EAP sont EAP/MD5 (mot de passe), EAP/MS-CHAP-v2
(mot de passe), EAP/OTC (mot de passe), EAP/GTC (carte à jeton), EAP/SIM (carte SIM) et
EAP/TLS (certificat électronique). Par ailleurs, trois autres méthodes EAP ont pour but de protéger une
authentification EAP au sein d’un tunnel sécurisé : EAP/PEAP, EAP/TTLS et EAP/FAST.
La sécurité du 802.1x peut être compromise de trois façons différentes : en attaquant la méthode
EAP utilisée, en détournant une session après sa création ou encore en s’interposant entre le client et
le serveur d’authentification. Pour éviter toutes ces attaques, il faut :
Ö –☺. utiliser une méthode d’authentification basée sur un tunnel : EAP/TLS, TTLS
ou PEAP (voire EAP/FAST) ;
Ö –☺. s’assurer que les clients ne se connectent que si le certificat envoyé par le serveur
est valide (vérifié par le client) ;
Ö –☺. éventuellement, utiliser un certificat par poste client et le faire vérifier par le
serveur (c’est malheureusement plutôt lourd à gérer) ;
Ö –☺. utiliser une méthode interne assez forte, comme les cartes à jeton par exemple ;
Ö –☺. s’assurer qu’un cryptage puissant soit négocié pendant l’identification : le WPA
et le WPA2 sont les meilleures solutions pour le WiFi...
Radius est un protocole qui répond au modèle AAA. Ces initiales résument les trois fonctions du protocole:
☺ A = Authentication : authentifier l’identité du client ; A = Authorization : accorder des droits au
client ; A = Accounting : enregistrer les données de comptabilité de l’usage du réseau par le client.

CONNEXION SANS FIL WIFI 37
La connexion à l’Internet via un routeur sans-fils (Wifi)
Les technologies actuelles d’interconnexion d’équipements électroniques utilisent largement
les communications sans fil. Ordinateurs portables, téléphones, imprimantes, PDA, etc. se
connectent aujourd’hui à leurs réseaux respectifs au moyen des ondes hertziennes.
Différentes technologies dominent actuellement le marché, citons au passage les connexions
infrarouges, la technologie Bluetooth, les réseaux WIMAX et les connexions WiFi à un
réseau local d’entreprise.
☺ La norme WiFi (Wireless Fidelity) est le nom commercial donné à la norme IEEE (Institute of Electrical
and Electronics Engineers – l'organisme de certifications des normes réseaux)
WiFi est donc une technologie de réseaux sans fils déclinée autour de la norme 802.11 et principalement
destinée à connecter des ordinateurs et équipements informatiques au réseau local d’entreprise et se
substituer aux réseaux filaires de type Ethernet ou TokenRing.
Par abus de langage, un réseau WiFi est un réseau répondant à la norme 802.11. Plusieurs déclinaisons de
cette norme coexistent aujourd’hui. Nommées 802.11a, 802.11b, 802.11 c, d, e, f, g, h, n etc.
Les principales normes sont les suivantes :
-802.11a : fournit un débit théorique de 54 Mbits/s dans la bande de fréquence des 5 GHz.
-802.11b : la norme la plus répandue actuellement. Elle fournit un débit théorique de 11
Mbits/s dans la bande de fréquence des 2,4 GHz avec une portée théorique pouvant aller jusqu’à 300
mètres.
-La norme 802.11g remplace au fur et à mesure la norme 802.11b. Elle offre un haut débit
théorique de 54 Mbit/s sur la bande de fréquences des 2,4 GHz et est compatible avec la norme
802.11b. Optimalement, la portée intérieure est d’une trentaine de mètres.
-802.11n : mise en place depuis septembre 2008, la norme 802.11n est capable d’atteindre un
débit théorique de 600 Mbits/s dans une bande de fréquence de 2,4 GHz ou 5 GHz.
Le WiFi utilise la gamme de fréquence de 2.4 à 5 GHz, la même que celle

des fours à micro-ondes.
Voici quelques-uns des plus importants groupes de travail du comité 802 :

• 802.3 : LAN, standard dérivé d’Ethernet, initialement standardisé par les sociétés
DEC, Intel et Xerox ;
• 802.5 : LAN, standard dérivé du Token Ring d’IBM ;
☺ • 802.11 :WLAN, le WiFi ;
• 802.15 :WPAN, plusieurs standards dont un dérivé de Bluetooth ;
• 802.16 :WMAN, le standard 802.16, à la base du WiMAX.
Contrairement à une idée reçue, le WiMAX n’est pas une nouvelle version du WiFi : malgré
quelques similitudes, il s’agit d’un tout autre protocole, conçu pour les WMAN et non les
WLAN (de 2,5 à 3,5 GHz sur une distance de 50 Km).
Il existe deux modèles de déploiement :

☺ Le mode infrastructure : c’est un mode de fonctionnement qui permet de connecter les ordinateurs
équipés d’une carte réseau WiFi entre eux via un ou plusieurs points d’accès qui agissent comme des
concentrateurs. Il est essentiellement utilisé en entreprise. La mise en place d’un tel réseau oblige de poser
à intervalle régulier des points d’accès dans la zone qui doit être couverte par le réseau. Ces points d’accès
doivent être configurés sur un canal précis et posséder un nom de réseau unique (SSID = Service Set
Identifier) qui peut être diffusé, annoncé ou non sur le réseau.
☺ Le mode « Ad-Hoc » : c’est un mode de fonctionnement qui permet de connecter directement les
ordinateurs équipés d'une carte réseau WiFi, sans utiliser un matériel tiers tel qu'un point d'accès. Ce mode
est idéal pour interconnecter rapidement des machines entre elles sans matériel supplémentaire.

LE
38 CONNEXION SANS FIL WIFI
La 5eme génération de WiFi arrive ?
Les Périphériques 802.11ac fonctionneront exclusivement sur la bande des 5 GHz, chacun des canaux offre
une bande passante de 80 MHz, soit deux fois plus que pour le 802.11n. La bande passante maximale par
flux spatial du 802.11ac (antenne) monte à 433 Mbps => le nombre de flux spatiaux passera de 3 à 8
=> débit théorique à plusieurs Giga bps.
Voici les principaux avantages et inconvénients à déployer un réseau sans fil WiFi :
Avantages :
• ☺ Mobilité : les utilisateurs sont généralement satisfaits des libertés offertes par un réseau sans fil
et de fait sont plus enclins à utiliser le matériel informatique.
• ☺ Facilité et souplesse : un réseau sans fil peut être utilisé dans des endroits temporaires, couvrir
des zones difficiles d’accès aux câbles, et relier des bâtiments distants.
• ☺ Coût : si leur installation est parfois un peu plus coûteuse qu’un réseau filaire, les réseaux sans
fil ont des coûts de maintenance très réduits ; sur le moyen terme, l’investissement est facilement
rentabilisé.
• ☺ Évolutivité : les réseaux sans fil peuvent être dimensionnés au plus juste et suivre simplement
l’évolution des besoins.
Inconvénients :
• ☺ Qualité et continuité du signal : ces notions ne sont pas garanties du fait des problèmes pouvant
venir des interférences, du matériel et de l’environnement.
• ☺ Sécurité : la sécurité des réseaux sans fil n’est pas encore tout à fait fiable du fait que cette
technologie est novatrice.
Plusieurs protocoles de chiffrement

sont disponibles.
WEP
Le type de sécurité Partagée
correspond au protocole WEP
(Wired Equivalent Privacy). Ratifié
en 1999 avait pour but, comme son
nom l’indique, d’offrir un niveau de
confidentialité comparable à celui
offert par un réseau filaire. Les
données échangées sur un réseau
sans fil étant susceptibles d’être
écoutées et modifiées en chemin, il fallait offrir en contrepartie un service de confidentialité et d’intégrité
des données. Aujourd’hui il est considéré comme faiblement sécurisé.
WPA
WPA est l’acronyme de WiFi Protected Access et respecte la norme 802.11i. WPA est sorti avant la
validation de 802.11i en 2004 et naturellement été remplacé par WPA2 lors de la ratification de la norme
802.11i. On peut dire que WPA respecte la norme 802.11i et WPA2 implémente complètement la norme
802.11i.
Le chiffrement est renforcé par rapport à WEP. Il utilise une clé de chiffrement de 128 bits et un vecteur
d’initialisation de 48 bits. TKIP (Temporal Key Integrity Protocol) est utilisé dans WPA pour renouveler
et négocier dynamiquement une nouvelle clé de chiffrement de manière périodique. CCMP, un autre
protocole similaire mais plus robuste est disponible dans WPA2. WPA utilise toujours le chiffrement RC4.
WPA2 propose quant à lui le protocole de chiffrement AES 256 bits.
La WiFi Alliance a ainsi crée une nouvelle certification, baptisée WPA-2, pour les matériels supportant le
standard 802.11i

La norme IEEE 802.11i définit deux modes de fonctionnement :
☺ WPA Personal : le mode « WPA personnel »

permet de mettre en œuvre une infrastructure
sécurisée basée sur le WPA sans mettre en œuvre de
serveur d'authentification. Le WPA personnel
repose sur l'utilisation d'une clé partagée, appelées
PSK pour Pre-shared Key, renseignée dans le point
d'accès ainsi que dans les postes clients.
Contrairement au WEP, il n'est pas nécessaire de
saisir une clé de longueur prédéfinie. En effet, le
WPA permet de saisir une « passphrase » (phrase
secrète), traduite en PSK par un algorithme de
hachage.
-----------------------------------------------------------
☺ WPA Enterprise : le mode entreprise impose
l'utilisation d'une infrastructure d'authentification
802.1x basée sur l'utilisation d'un serveur
d'authentification, généralement un serveur
RADIUS (Remote Authentication Dial-in User
Service), et d'un contrôleur réseau (le point d'accès)
Le serveur d’authentification peut être un serveur RADIUS comme Microsoft IAS ou le service de
Windows 2008 appelé Network Policy Server (Serveur de Stratégies Réseau). Le standard 802.1X repose
sur la norme EAP (Extensible Authentication Protocol = Protocole d’extension d’authentification) qui est
une extension du protocole PPP (Point to Point Protocol, Protocole Point à Point).
Le but d’EAP est de transporter les informations d’authentification, et de nombreux protocoles
d’authentification sont disponibles. Parmi les principaux, notons :
• -EAPMD5 : déprécié, retiré depuis Windows XP SP1.
• -EAPTLS (Transport Layer Security : Sécurité de la couche de transport) : authentification
mutuelle par certificats serveurs et clients.
• -EAPTTLS (Tunneled TLS : Tunnel TLS) : authentification mutuelle, mais déploiement de
certificats serveurs uniquement.
• -PEAP/MSCHAPV2 (Protected EAP: EAP Protégé) :
authentification du serveur par certificat puis établissement d’un
canal sécurisé et authentification du client dans ce canal sécurisé
par mot de passe ou certificat numérique.
Le succès du sans fil entraine la vulgarisation des attaques contre ces

réseaux conduisant ainsi à parler d’une nouvelle génération de hackers
appelés Whacker pour Wireless-Hacker.

LE
40 CONNEXION SANS FIL WIFI
La suite Aircrack-ng n’est plus à présenter en raison de son engouement et sa facilité d’utilisation. Il est
facile de cracker des protections WEP en moins d’une minute et les protections WPA et WPA2
commencent à être mises à mal.
Le Wardriving
Le Wardriving consiste à rechercher des réseaux sans fil (wireless). Cette recherche se fait généralement en
voiture, d'où son nom, mais aussi en train, en autobus, à pied... La personne qui fait du Wardriving est un
Wardriver.
Pour cela, il faut une carte réseau wireless (Pcmcia par exemple), un ordinateur portable ou un
PDA, une antenne (généralement couplée à la carte réseau, mais il est aussi possible de monter
une antenne externe pour plus de réceptivité), et un logiciel de sniffer (renifleur) wireless.
Il existe de plus en plus de Wardrivers pour les raisons suivantes :

• Tout d'abord, c'est une attaque facile ! Il suffit d'une seule carte sans fil à 30 Euros
couplé à un portable pour être un Wardriver...
• Cette méthode est difficilement détectable.
• Il existe des logiciels d'ARP spoofing pour réseaux wireless.
• Il existe deux types de réseaux sans fil :
o Les réseaux en clair : Imaginez un peu le danger que cela représente vis à vis d'un
Wardriver ...
o Les réseaux chiffrés (WEP, WPA, WPA2) : Attention, le WEP n'est pas un algorithme de
chiffrement considéré comme sur.
• Cela peut rapporter gros à l'attaquant :
o Utilisation de ressources du réseau victime
o Espionnage industriel
Le Mapping
Une des conséquences du Wardriving est le Mapping. Le
Mapping consiste à établir des cartes géographiques qui
recensent les points d'accès de réseaux wireless (open hot
spots). Ces cartes sont faciles à établir car, dans la
majorité des cas, le Wardriver est équipé d'un GPS. On
trouve facilement et gratuitement ces cartes sur le net.
Le Warchalking est le fait de déposer un graffiti à

l'endroit où un réseau wireless a été détecté. Ce graffiti comporte les
informations suivantes :
• Etat du réseau : Réseau ouvert (open network), réseau fermé (closed network), réseau chiffré
(WEP).
• Nom du réseau : Le SSID
• La bande passante.
Cette pratique permet aux initiés de repérer les différents endroits où se trouvent les réseaux,
et de les exploiter à leurs fins.
Pratiques concernant la configuration du routeur sans-fils

a) ☺ Changer le mot de passe d’administration par défaut de votre routeur Wifi ou point d'accès et en
choisir un nouveau (qui respecte les bonnes pratiques des mots de passe décrites ci-dessus).
b) ☺ Changer le SSID (nom d’identification de ce routeur sans-fils-Service Set IDentifier) par défaut et en
choisir un plus significatif et facile à retenir.
c) ☺ Désactiver l’émission du SSID par le routeur, afin que seuls ceux qui le connaissent puissent s’y
connecter.
d). Désactiver les services disponibles non utilisés (SNMP, Telnet...) ;
e) ☺ Activer le chiffrement de la liaison sans-fils (idéalement choisir le chiffrement : WPA2 si possible)
f) ☺ Limiter l’accès à votre routeur sans-fils à l’aide du numéro de chaque ordinateur, filtrage par @MAC.
(Inscrire l’adresse MAC de chaque ordinateur autorisé dans le routeur).

g) ☺ Activer l’APisolation, afin de s’assurer que les ordinateurs utilisant la connexion sans-fils ne se voient
pas entre eux.
h) ☺ Ne pas autoriser l’administration du routeur via le lien sans-fils mais uniquement via la connexion
filaire (ethernet).
i) ☺ Si possible, ne pas utiliser DHCP. Utilisez une liste statique d'adresses IP. Ce serait trop simple au
hacker de recevoir une adresse IP automatiquement...
j) ☺ Régler la puissance d’émission du point d’accès au minimum nécessaire ;
k) ☺ Mettre à jour le firmware de son point d’accès dès que le constructeur propose une mise à jour.
l). Evitez les interférences et pensez à utiliser un canal « libre », les canaux 1, 3, 6 et 11 sont les plus
intéressants car suffisamment espacés, l’idéal est de scanner les réseaux alentour afin de connaître les
canaux les moins utilisés. Si votre box est compatible avec la norme « n », paramétrez votre box sur « n »
seulement.
Pratiques concernant l’utilisation d’une connexion sans-fils publique avec son portable
a) ATTENTION ! N'échangez aucune information confidentielle quand vous êtes branché à un réseau
sans-fils public, tel que celui d’une bibliothèque, d’un restaurant ou d’une école.
b) L’ordinateur portable devrait être configuré afin de ne pas se connecter automatiquement à un réseau
sans-fils public, sans la demande préalable de l’utilisateur. Cette connexion devrait toujours être provisoire
(quelques heures).
c) Avant d’écrire quelque information sensible, s’assurer que vous êtes bien connecté à un site web chiffré
(petit cadenas dans le bas de l’écran du fureteur) lorsque vous utilisez un réseau sans-fils public. Sans cette
précaution, un autre utilisateur du réseau pourrait écouter votre communication et intercepter, par exemple,
votre nom d’utilisateur et le mot de passe de votre boîte de courriel, ou le numéro de votre carte de crédit
que vous aurez utilisée pour effectuer un achat.
Pour effectuer le crackage, vous aurez besoin des programmes suivants et d’un brin de patience, quoique
l’opération ne prenne pas au max plus de 30mn si tout ce passe bien:
Aircrack ng : C’est la suite logiciel à connaître pour casser une clé WEP. Elle comporte plusieurs
programme :
• Airodump-ng qui ne capture les paquets, scan les réseaux et conserve les paquets qui
permettront de décrypter la clé;
• Airplay-ng : qui envoie les paquets dans le but de stimuler le réseau et capturer le plus de
paquets;
• Aircrack-ng qui crack la clé
Vous pouvez utiliser une suite Linux Live, plusieurs sont

spécialisées dans le cracking WEP (Whax, Troppix,…), mais celle
qui est la plus efficace à notre sens, c’est Backtrack 5.
Qui profite de mon Wifi ?

InSSIDer ou Wireless Network Watcher de NirSoft permet de savoir quels appareils Wifi sont
connectés à votre réseau. Il indique votre routeur, les éventuels ré amplificateurs, les ordinateurs, consoles,
Smartphones et autres périphériques connectés.

LE
42 TECHNIQUES D'ATTAQUE/D'INTRUSION
TECHNIQUES D’ATTAQUE / D’INTRUSION &

SOLUTIONS
Objectif d’une attaque : Désinformer, empêcher l'accès à une ressource, prendre le contrôle d'une
ressource, récupérer de l'information présente sur le système, utiliser le système compromis pour rebondir
Intrusion : prise de contrôle partiel ou total d’un système distant.
Description d’une attaque

• 1. ☺ Recherche d’informations : Reconnaissance (footprinting) :
réseau, serveurs, routeurs, ….
• 2. ☺ Recherche de vulnérabilités : Scanning : systèmes d’exploitation,
serveurs applicatifs, versions …
• 3. ☺ Tentative d’exploitation des vulnérabilités : Gaining Access : à
distance puis localement.
• 4. ☺ Installation de backdoor (trojan) : Maintaining Access
• 5. ☺ Suppression des traces (log) : Clearing Tracks
• 6. ☺ Attaque par déni de service (DoS) : Deny of Service
1). Recherche (techniques) d’informations « footprinting »

Phase préparatoire ou le Hacker tente d’obtenir un maximum d’informations sur la future cible.
Le « footprinting » est souvent la tâche la plus difficile afin de détecter la posture sécuritaire d’une entité.
☺ Il existe de types de phase de reconnaissance : Passive et Active.
a). Passive : acquisition des informations sans contact direct avec la cible
-. Recherche d’information publique : Dns avec dig, RIPE avec whois, groupes de discussions,
dejanews, Google,http://pipl.com, http://www.123people.com, etc.
b). Active : acquisition des informations avec contact direct avec la cible
- Par téléphone, contact direct, ect…
Remarque : ☺ l’énumération est définie comme l’extraction des noms utilisateurs, des noms machines,
des ressources réseau, des partages (NetBIOS), et des services. L’énumération est réalisée à partir d’un
environnement Intranet, nécessite des connexions actives au système et des requêtes dirigées.
Voici quelques exemples : NetView, Netstat, Enum, JXplorer, Getif SNMP MIB browser
Effacer des informations sur Internet :

1). Google a énormément d’autres services sur le Net : Blogger, Youtube, Picasa, Google Documents,
Orkut, etc. Il est donc possible de demander d’effacer du contenu grâce à ce formulaire :
http://tinyurl.com/3n53dfs.
2). Contacter le webmaster pour demander la suppression d’informations vous concernant sur Internet.
Expliquez pourquoi cette page pose problème (réputation, etc.). Vous trouverez une lettre type ici :
http://tinyurl.com/65agz97

TECHNIQUES D'ATTAQUE/D'INTRUSION 43
3). Porter plainte en ligne à la CNIL en remplissant ce formulaire : www.cnil.fr/vos-libertes/plainte-en-
ligne.
4). Videz le cache, ce dernier permet à Google de pouvoir afficher plus rapidement certaines pages, afin
d’éviter que Google ne mette 3 semaines avant de mettre à jour son cache, il est possible de lui demander
gentiment pourvu que vous ayez un compte Google => http://tinyurl.com/3s6h4gt
Lorsque nous achetons un nom de domaine, les informations sur l’acheteur ainsi que le ou les responsables
techniques (nom, prénom, adresse, code postal, numéro de téléphone), les serveurs DNS principaux
(dns1.xxxxx.com, dns2.xxxxx.com), ces informations permettent à l’attaquant de connaître la victime et ainsi
utiliser ces informations comme piste pour affiner et pousser encore plus loin les recherches. Il existe des
sites de consultation WHOIS :
• WHOIS sur Internet, aller sur le site :
http://whois.domaintools.com/, puis saisir le nom du domaine
visé (ci-dessous : www.gefi-sa.com) .
Voir un extrait du résultat ci-dessous :

(Asked whois.oleane.net:43 about gefi-sa.com)
domain: gefi-sa.com
descr: GEFI
descr: 85 AVENUE DU GENERAL DE GAULLE
descr: 94000
descr: CRETEIL
descr: FR
nserver: NS2.OLEANE.NET 191.88.0.24
nserver: NS3.OLEANE.NET 191.50.9.32
person: GE ARNAUD
phone: 33 142071483
fax-no: 33 142079820
Pour protéger vos informations, il y a deux solutions : soit entré de fausses informations (cela vous
décrédibilise auprès des clients), soit acheter un nom de domaine qui comprend l’option de type
Whoisguard (http://www.whoisguard.com), rendant vos informations privées.
2). Recherche de vulnérabilités : Scanning

Phase de pré-attaque lorsque le hacker scan le réseau cible afin de mettre en évidence les faiblesses
-. Découverte du réseau et du filtrage IP : traceroute, Ping, hping, firewalk, filterrules, netcat
(nc), finger.
-. Découverte de la version des OS/Ports/Vulnérabilités : nmap, queso, Xprobe2, amap, snifp,
netenum, fping, netstat, udp-scan, strobe.
-. Bannière des serveurs : netcat, scanline, Telnet, amap, etc….
-. Détecter les vulnérabilités sur les systèmes : Nessus.
Exemple de Scanning (bannière des différents softs : versions) : C:\> Telnet www.spiveytech.com 80
Un attaquant professionnel, passe 90% de son temps à récolter

(profiling) des informations sur un réseau, et 10% à lancer une
attaque.
Découvrir tous les ports ouverts (ex : 80 / Tcp) sur un réseau

=> Envoyer des paquets, analyser les paquets retour (ou
l’absence de retour).
Ex : 445/Tcp 135/Tcp 139/Tcp ouverts => partage de
ressources/imprimantes NetBIOS

LE
-. Découverte des versions logicielles : nmap, netcat.
-. Transfert de zones DNS : nslookup, DNS expert, rPing, IPCheck, etc…
-. Cartographie d’un réseau (Network Mappers) : CHEOPS (dessin ci-contre).
Voici un exemple de résultat avec VisualRoute sur le site VisualRoute.com (voir aussi commande
tracert), qui permet de connaître ou est situé le système cible :
Vous pouvez aussi utiliser l’outil NeoTrace

(équivalent graphique de la commande
Tracert).
• Ip2country est un utilitaire qui

permet de convertir les adresses IP en noms
de pays afin
de connaître
l’origine de
l’attaquant.
Un site Web baptisé http://www.utrace.de permet de pour fournir la localisation

d’une adresse Internet. L’utilisateur reçoit, en retour, une carte Google
(Maps/Satellite) qui indique précisément l’endroit où sont situés les serveurs Web
hébergeant le site, voir aussi le site américain http://www.ip-address.com.
• WhereIsIP vous aide à trouver la localisation géographique d’une adresse IP d’un

nom de domaine/contacts ICQ/source e-mail.
• CallerIP affiche lorsque quelqu’un est connecté à

votre ordinateur, et trace cette adresse IP. CallerIP
Professional peut fonctionner en tant que processus
serveur, aussi vous pourrez monitorer l’ordinateur et
ses connections :
1. Recevoir des alertes de risques élevés de
connexions et back doors
2. Identifier des spywares et connexions suspicieuses
sur votre système
3. Rapport d’activités illicites

• Google Earth permet de localiser géographiquement une personne à partir de son adresse (voir
Whois), et aussi visualiser les batiments avec Google Street (grandes villes).
• Read Notify (www.readnotify.com) est un service de traçage qui permet de

connaître la source d’un e-mail.
3). Tentative d’exploitation des vulnérabilités: Gaining Access

Réfère à la phase de pénétration, le hacker exploite une vulnérabilité sur le système
cible. Voir le logiciel Canvas. Les failles de sécurité dans les applications Web se
trouvent dans les points d’entrée laissés à l’utilisateur comme des formulaires par
exemple, voir : AppScan, Acunetix, ou des outils libres comme Wapiti et Nkito.
4). Installation de backdoor: Maintaining Access

Réfère à la phase ou le hacker tente de maintenir un accès sur le système cible via différents applicatifs,
dans cette catégorie on peut retrouver le « Rootkit, trojan, malware ». De même que
l’Uploading/altering/downloading de programmes et de données.
5). Suppression des traces: Clearing Tracks

Réfère à la phase ou le hacker désire cacher ses activités au sein du système cible, come « effacement
des logs, tunneling, steganography ».
Scan de ports et détection de connexions suspectes

1. Les problèmes juridiques
En tant qu'administrateur d'un réseau local, vous pouvez utiliser de tels produits dès lors que l'objectif n'est
pas d'écouter de façon individuelle sans en avoir informé préalablement les salariés.
2. Le scan de ports local : la commande netstat ou le programme TCPView
Netstat permet d'afficher les connexions TCP et UDP actives locales, c'est-à-dire les ports ouverts ou
connectés vers des machines extérieures.
===========================================================================
===============================================================================
1. Vérifiez l’état de vos connexions TCP et UDP, saisissez en invite de commande C:\> netstat -ano
La commande affiche toutes les secondes l'utilisation des ports par les process (dernière colonne).
Proto Adresse locale Adresse distante Etat PID
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1104
TCP 192.168.3.3:23 192.168.3.22:1183 ESTABLISHED 3820
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 628
===============================================================================
2. Récupérer le programme TCPView sur la machine du formateur, le décompresser dans votre dossier
C:\Temp, puis l'exécuter
Autres produits
Pour avoir une liste exhaustive de quelques produits, vous pouvez consulter la page :

LE
http://www.geocities.com/r4m5e5/port_scanner.htm.
La liste ci-dessous est loin d'être exhaustive. Le produit Nmap est gratuit. Conçu par un hacker.
Editeur Produit Coût
GFI Languard Network Security Scanner Payant
? LocalPortScanner Gratuit
Winternals TcpView Pro Payant
? Natural Port Scanner Gratuit
Angryziber Software Angry Ip Scanner Gratuit
Fyodor Nmap Gratuit
Famatech Advanced Port Scanner Gratuit
Carlos Medas Look@Lan Gratuit
Scan de ports en ligne

Un site qui vous permettra de tester votre firewall, efficacement, rapidement et exhaustivement ! A ne pas
manquer. : www.scan.sygate.com ou www.testmyfirewall.com
Un premier test gratuit, payant ensuite.
Le rapport est très détaillé et vous permet d'évaluer précisément votre niveau de risque et sa nature. Le
premier test est gratuit mais il faut payer si vous voulez le renouveler. Vous devez obtenir un score :
dslreports.com
Les ports ouverts

☺.Les ports sont codés sur 16 bits. Vous pouvez consulter la liste des ports les plus courants dans le fichier
%systemroot%\system32\drivers\etc\services.
Le fichier %systemroot%\system32\drivers\etc\protocol contient quant à lui les numéros de protocole

implantés par-dessus ip (numéro 0). Ces numéros de protocole sont Définis dans la RFC 791 consultables à
partir de l'Url http://www.iana.org/assignments/protocol-numbers.
Les numéros réservés (0 à 1023) sont gérés par l'IANA.

Les ports de 1024 à 49151 sont les ports enregistrés.
Les ports 49152 à 65535 sont les ports dynamiques ou privés.
Les ports Sensibles (quelques exemples)

Ftp TCP20/21 Active Directory Global Catalog TCP 3268
Ssh TCP 22 Active Directory Global Catalog TCP 3269
Telnet TCP 23 Kerberos kpasswd TCP/UDP 464
Smtp TCP 25 Internet Key Exchange (IPSEC) UDP 500
Kerberos TCP/UDP 88 Windows Terminal Server TCP 3389
RPC/DCE Endpoint Mapper UDP/TCP 135 HHTP RPC Endpoint Mapper TCP 593
Netbios Name Service UDP 137 Communication inter-serveurs UDP 1434
NetBios Datagram Service UDP 138 Horloge UDP 123
Session NetBios TCP 139 DHCP UDP 67/68
Pop3 TCP 110 Service SMB/CIFS TCP 445
Pop3 sécurisé TCP 995 Ldaps TCP 636
Imap TCP 143 Ldap TCP 389
Imap sécurisé TCP 993 News sécurisé TCP 563
News (Nntp) TCP 119
Over SSL
Si NetBios est désactivé, les connexions entre les stations Windows 2000 et le Serveur se fait via le port 445.
===============================================================================
Mettre en place un outil de scan de ports nmap-5.10BETA2-setup.exe (en ligne de commande).
2. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP, se connecter en tant que :
Nom : Marcel
Mot de passe : P@sswrd1.
3. Vérifer avant de commencer cet exercice que votre firewall est désactive (le temps de cet exercice)

4. Double cliquez sur le fichier nmap-5.10BETA2-setup.exe puis I Agree…, puis dans la page Choose
Components, cochez tous les éléments, sauf si déjà cochés, puis Next, dans la page Choose Install
Location, cliquez sur Browse choisir C:\Temp, puis OK, puis sur Install, (si une version antérieur de
Winpcap existe déjà sur votre PC, cliquez sur OUI pour la remplacer, puis Uninstall, puis Close, puis I
Agree, puis Next, dans la page WinPcap Otions, laisser les deux options cochées : Start WinPcap service
NPF now et Start the WinPcap service NPF at startup (recommended on Windows 7 and Vista), puis
Next, puis Next, puis Next, puis Finish.
5. Ouvrez une invite de commande, et positionnez-vous sur C:\Temp\nmap.
6. Saisir la commande suivante : C:\Temp\nmap>nmap -V (affiche la version de nmap).
7. Saisir la commande suivante : C:\Temp\nmap>nmap (aide sur la commande).
8. Saisir la commande suivante : C:\Temp\nmap> nmap --iflist 192.168.x.y (votre machine, affiche les
interfaces et la table de routage sur votre machine)
9. Saisir la commande suivante : C:\Temp\nmap> nmap –sP 192.168.x.0/24 (affiche toutes les machines
présentes sur votre réseau local).
10. Saisir la commande suivante : C:\Temp\nmap>nmap -sV -A 192.168.x.z (machine partenaire, affiche les
ports ouverts sur la machine du partenaire, ainsi que la version des applicatifs)
11. Saisir la commande suivante : C:\Temp\nmap>nmap -O 192.168.x.z (machine partenaire, affiche les ports
ouverts sur la machine du partenaire, ainsi que la version de l’OS)
12. Saisir la commande suivante : C:\Temp\nmap>nmap -O -v 192.168.14.x (vous fournit une indication sur la
difficulté qu’aura le pirate à procéder à une attaque par IP Spoofing, plus la valeur sur Difficulty est élévé =>
attaque difficile.
13. Saisir la commande suivante : C:\Temp\nmap> nmap -PN -T4 -p139,445 -n -v --script=smb-check-
vulns --script-args=unsafe=1 IP (permet de vérifier si le patch MS08-067 est installé, si smbv2 est présent et
vulnérable à la dernière faille de sécurité et si le PC est infeccté par le virus Conficker).
Remarque : Vous pouvez utiliser un Front-End

(GUI) pour nmap comme Nmap - Zenmap GUI. Si
le firewall de Windows XP SP2 est désactivé, vous
aurez beaucoup plus d’informations car le système est
moins bien protégé .

LE
48 MAN IN THE MIDDLE/SPOOFING
Quelques définitions d’attaques principales

L’homme du milieu
☺ Lorsqu’un pirate, prenant le contrôle d’un équipement du réseau, se place au milieu d’une
communication, il peut écouter ou modifier celle-ci. On parle alors de « l’homme du milieu » (man in the
middle).
Les points sensibles permettant cette technique sont :
• DHCP : ce protocole n’est pas sécurisé et un pirate peut fournir à une victime des
paramètres réseau qu’il contrôle. Solution : IP fixe.
• ARP : si le pirate est dans le même sous réseau que la victime et le serveur (même si
commutateur), il peut envoyer régulièrement des paquets ARP signalant un changement
d’adresse MAC aux deux extrémités. Solution : ARP statique.
• ICMP : Un routeur peut émettre un ICMP-redirect pour signaler un raccourci, le pirate
peut alors demander de passer par lui. Solution : refuser ICMP-redirect ou seulement
vers des routeurs identifiés.
• RIP : Le pirate envoie une table de routage à un routeur indiquant un chemin à moindre
coût et passant par un routeur dont il a le contrôle. Solution : version de RIPv2 qui
intègre une identification des routeurs de confiance.
• DNS : par « ID spoofing » un pirate peut répondre le
premier à la requête de la victime et par « cache poisoning
» il corrompt le cache d’un serveur DNS. Solution : proxy
dans un réseau différent des clients, désactivation de la
récursivité, vidage du cache DNS régulier.
• Proxy HTTP : Par définition un proxy est en situation
d’homme du milieu. Solution : Une confiance dans son
administrateur est nécessaire de même qu’un contrôle du
proxy lors de son départ.
Spoofing
☺ Le spoofing est une technique de piratage qui a pour but d‘usurper les droits d'une personne ou de
fournir de fausses informations pour se camoufler ou passer les systèmes de sécurité.
Il existe plusieurs types de techniques de spoofing ayant des degrés de difficultés variables. Il y a par
exemple le SMS spoofing, le mail spoofing, l‘IP spoofing, le DNS spoofing, l‘UDP spoofing, l‘ARP
spoofing, le MAC spoofing (en rapport avec les adresses MAC)… et on peut inventer encore plein de
technique ! exemple : Nemesis (spoofing arp, DNS, ethernet, Icmp, IP, igmp, ospf, rip, Tcp, udp)
MAC spoofing
Il s’agit ici d’une usurpation d’adresse MAC (niveau 2 du modèle OSI), soit pour passer un système et
contourner certaines règles (ex : filtrage par adresse MAC : Wifi), soit pour faire croire que l’info vient d’une
machine spécifique ou peut être encore pour qu’un système ne soit plus accessible (ex : un service réseau : DNS,
DHCP etc…).
☺ TP à réaliser.2c
===============================================================================
Changer son adresse MAC par une adresse MAC fictive
****Partie à réaliser par les deux partenaires****
Nom : Marcel

MAN IN THE MIDDLE/SPOOFING 49
3. Copier le fichier macmakeup195d.zip vers C:\Temp, bouton droit sur le fichier, puis Extraire tout …., puis
Suivant, puis Parcourir…, C:\Temp, puis OK, puis Suivant, et Terminer.
4. Ouvrez une invite de commande, saisir
C:\> arp –d (supprime le cache arp), puis arp –a (affiche le cache arp), indiquer le résultat :
_______________________________________
C:\> ping 192 .168.x.y adresse IP du partenaire, cela fonctionne t’il : _________
C:\> arp –a quelle est l’adresse IP et MAC du partenaire : ___________________
C:\> getmac quelle est votre adresse MAC : ______________________
5. Double cliquer sur le fichier MacMakeUp.exe pour l’exécuter.
6. Cliquez sur Generate random, puis sur Completely random MAC, puis sur Change, (attendre que
l’interface soit mise Down puis Up), essayez de cette manipulation en décalé par rapport à votre partenaire.
***Attendre que le partenaire soit à ce niveau avant de continuer***
7. Saisir en invite de commande, C:\> getmac
Quelle est votre adresse MAC : ___________________________, a-t-elle changée : ________
8. Saisir la commande suivante C:\> ping 192 .168.x.y adresse IP du partenaire, cela fonctionne t’il :
_________
***A effectuer sur uniquement sur la machine ayant l’adresse IP la plus petite***
Changer son adresse MAC par la même que celle de votre partenaire => conflit d’adresse MAC
9. Avec le programme MacMakeUP.exe, mettre comme adresse MAC, celle de votre partenaire, puis cliquer sur
le bouton Change, (attendre que l’interface soit mise Down puis Up).
11. Saisir en invite de commande C:\> ping 192.168.x.y adresse IP du partenaire, cela fonctionne t’il :
_________
12. Demander à votre partenaire de pinguer votre adresse IP, cela fonctionne t’il : _________
***A effectuer par les deux pertenaires***

13. Avec le programme MacMakeUP.exe, cliquer sur le bouton Remove, (attendre que l’interface soit mise
Down puis Up), demandez à votre partenaire de faire de même.
14. Saisir en invite de commande C:\> ping 192.168.x.y adresse IP du partenaire, cela fonctionne’il :
_________
15. Fermer le programme MacMakeUp.exe.
===============================================================================
ARP spoofing
L’attaque est connue sous le nom de «ARP Poisoning» ou « ARP Redirect », et peut permettre au pirate de
rediriger le trafic d’une, ou de plusieurs, machines du réseau vers la sienne.
L’opération vise à modifier le cache ARP de, ou des, victimes, en envoyant des paquets ARP Reply
associant l’adresse IP de la passerelle (par exemple) à l’adresse MAC du pirate. Tout le trafic Victime
passerelle sera envoyé vers l’ordinateur du Pirate. Ce dernier n’aura plus qu’à router ce flux vers la
destination demandée, afin que la victime ne s’aperçoive de rien.
Cette technique est aussi utilisée dans le cadre d’écoute passive sur réseaux locaux commutés. Les
commutateurs (Switch) redirigent les trames Ethernet sur des ports différents selon l’adresse physique
(MAC). Il devient donc impossible à une station de sniffer (écouter) les trames qui ne lui sont pas adressées
directement (@unicast, @ de broadcast limité ou dirigé). L’ARP spoofing va donc permettre à un pirate
d’écouter le trafic entre des machines situées sur deux ports différents du Switch (attaque de type Man In
The Middle).

LE
Une autre méthode d’attaque a pour objectif de remplir la table CAM du Switch pour qu’il devienne un
hub. Pour cela il faut générer des paquets avec des adresses MAC sources différentes pour que le Switch
associe ces différentes adresses MAC à un port et lorsque la table est pleine et que le Switch reçoit des
messages destinés à une adresse MAC inconnue (de la table CAM), il ne saura où les envoyer et les enverra
sur tous les ports, ce qui a comme effet un hub, toutefois cette méthode ne fonctionne plus vraiment de
nos jours, car les Switch savent se protéger de se type d’attaque (pour une nouvelle info entrée dans la
table CAM, une ancienne en sera supprimée). De plus, les switchs récents (Cisco entre autres) savent se
protéger contre le « Arp Poisoning ».
Il est aussi possible de distinguer la MAC Spoofing (niveau 2), l’ARP Spoofing (niveau 3).
Plusieurs solutions peuvent être mises en œuvre afin de limiter ce scénario catastrophe :
- Contenu statique des caches ARP (intérêts et limites)
- Outils permettant de monitorer les paires @IP/@MAC (arpwatc : Unixh, winarpwatch : Windows, xarp,
DecaffeinatID, ARPFreeze).
- Détecteur d’intrusion implémentant un module de surveillance du protocole ARP (snort,…).
- Analyse régulière des logs pertinents (tâche classique d’un administrateur réseau ou sécurité)
- Une sensibilisation des administrateurs à la sécurité réseau ; …

Les VLAN peuvent être utiles en termes de sécurité, par exemple en limitant la promiscuité sur un réseau
local. Une application assez répandue et commode de ce procédé consiste, sur un campus ou au sein d’une
entreprise, à créer pour accueillir les ordinateurs portables des visiteurs extérieurs un VLAN où ils seront
confinés, ce qui évitera qu’ils puissent accéder aux serveurs internes, ou qu’ils répandent dans l’entreprise
les virus dont ils pourraient être infectés, tout en ayant la possibilité d’accéder à l’Internet ou à toute autre
ressource qui leur aura été autorisée.
Les VLAN, par définition, ne peuvent être déployés qu’au sein d’un même réseau local. Dans ce rôle ils
sont très commodes : une fois les commutateurs configurés, tout est automatique. Les commutateurs sont
plus faciles à configurer que les routeurs, ils sont aussi moins chers et plus rapides.
Ensemble d'attaque de la couche 2

• VLAN Hopping
• MAC Attacks
• DHCP Attacks
• ARP Attacks
• Spoofing Attacks
• General Attacks
Malheureusement si une couche est
attaquée, les communications sont
compromises sans que les autres
couches ne se rendent compte du
problème de sécurité.
Différentes commandes afin d’améliorer la sécurité (commutateur)

• ☺ Port security : prévenir les attaques CAM ainsi que l’épuisement du pool DHCP
• ☺ DHCP snooping : prévenir des attaques de « Rogue DHCP Server »
• ☺ Dynamic ARP Inspection : prévenir des attaques basées sur ARP (ARP Spoofing)
• ☺ IP Source Guard : prévenir des attaques IP/MAC Spoofing
IP spoofing
Usurpation d’adresse IP, on fait croire que la requête provient d’une machine autorisée (=> forger et
envoyer des paquets IP avec une fausse adresse source), ce qui peut être une simple attaque par déni de
service ou des attaques plus avancées par abus des relations de confiance. Il ne s’agit pas pour autant d’un
changement d’adresse IP, mais d’une « mascarade » de l’adresse IP au niveau des paquets émis. Une
bonne configuration du routeur d’entrée permet d’éviter qu’une machine extérieure puisse se faire passer
pour une machine interne.
Utilisé dans de nombreuses attaques,

comme les dénis de service (DoS).
Il est impossible de trouver la véritable
Source !!!!

LE
L’une des meilleures options est sans nul doute l’uRPF (Unicast Reverse Path Forwarding) que l’on peut
activer sur la plupart des routeurs. L’option uRPF permet d’effectuer une recherche de base spécifique au
trafic sur une interface en comparant l’adresse IP source du paquet avec sa table de routage. Le but est de
déterminer si cette adresse est bien arrivée sur l’interface en question.
Router (config)# interface Fa0/0
Router (config-if)# ip verify unicast source reachable-via rx allow-default
*****Une attaque de type source-routing est similaire à celle de l’usurpation d’adresse IP (spoofing),
d’ailleurs elles vont généralement de paire. Cela permet à un pirate de rediriger le trafic réseau d’un routeur
vers des routes prédéfinies. Utilisée seule, celle-ci pourrait permettre à une personne malveillante de
contourner des listes d’accès, ou certaines Appliances de sécurité au sein d’un réseau. En revanche si celle-
ci est utilisée conjointement avec l’usurpation d’identité elle permettrait d’autoriser du trafic malveillant en
se faisant passer pour une adresse de confiance vis-à-vis d’un hôte ou simplement en offrant plus
d’anonymat au niveau des transactions réseau. Le source-routing se décline en deux options : Strict Source
Record Route (SSRR) et le Loose Source Record Route (LSRR). La solution consiste à désactiver le
source-routing sur le routeur lui-même*****.
Router (config)# no ip source-routing
Certains tendent à assimiler l’utilisation d’un proxy (permettant de masque d’une certain façon l’adresse
IP) avec de l’IP Spoofing. Toutefois, même si l’adresse est apparemment masquée, un pirate peut
facilement être retrouvé grâce au fichier journal (logs) du proxy.
☺ TP à réaliser.3
===============================================================================
Envoi de datagramme IP ayant une adresse IP source modifiée graphiquement.
Nom : Marcel
3. Double-cliquez sur le fichier : wireshark-win32-1.4.3 (installation du sniffer Wireshark anciennement
Ethereal), cliquez sur Next, puis I Agree, puis Next, puis Next, puis Next, puis Next, puis Install , puis Next,
puis Next, puis I Agree (Winpcap 4.1.2), puis Install, puis Next, puis Finish.
4. Copier le fichier : pktbuilder10_build150.exe vers C:\Temp.
5. Double cliquez sur le fichier pktbuilder10_build150.exe, puis Next, cochez I accept the agreement, puis
Next, puis Next, puis Next, puis Next et Install, puis Next, cochez Launch Colasoft Packet Builder 1.0, puis
Finish.
6. Dans Colasoft Packet Builder, cliquez sur Add, dans Select Template choisir IP Packet, puis OK, dans
Ethernet II Header, mettre dans Destination Address l’@MAC du partenaire, dans Source Address, mettre
votre @MAC (voir commande C:\> getmac.exe), dans IP – Internet Protocol, dans Fragment mettre 0, dans
Time To Live mettre 100, dans Protocol mettre 1 (ICMP), dans Source IP mettre 192.168.14.88 (fausse @IP),
dans Destination IP mettre l’@IP de votre partenaire, dans L’entête ICMP – Internet Control Messages
Protocol, dans Type mettre 8 (Echo Request :Ping), dans le menu Adaptater choisir votre carte réseau.
7. Démarrer le snifer wireshark, dans le menu Démarrer, puis Tous les programmes, puis Wireshark, puis
bouton droit sur wireshark, puis envoyer vers, puis Bureau (créer un raccourci), sur le bureau cliquez sur
wireshark, menu capture, puis options, dans Interface choisir votre carte réseau : 3COM (voir la salle), puis
start.
Voici quelques exemples de filtre que vous pourez utiliser
8. Revenir sur le programme Colasoft Packet Builder, puis
avec Wireshark :
dans le menu Send cliquez sur Send Selected Paquet, dans
Filtrage par @IP :
Select choisir votre carte réseau, puis cliquez sur Start.
9. Basculer vers wireshark et cliquez sur Stop (dans menu ip.addr = = 10.0.0.4 or ip.dst = = 10.0.0.5
Filtrage de X adresses :
capture)
ip.addr = = 10.0.0.4 or ip.addr = = 10.0.0.5
10. Essayer de voir les trames concernant le Protocole ARP
Monitirer un port spécicfique :
la source c’est la machine du partenaire, la destination
tcp.port = = 443
c’est un Broadcast en essayant de savoir quelle est votre
adresse MAC par rapport à votre adresse IP : (IP fausse). ip.addr = = 192.168.1.100 machine
ip.addr = = 192.168.1.100 && tcp.port = = 443

11. Essayez de voir les trames concernant le Protocole ICMP : la source c’est votre machine, c'est-à-dire
192.168.x.88, à destination du partenaire, c'est-à-dire 192.168.x.y.
12. Que constateriez-vous globalement sur des effets appliqués à la machine de votre partenaire si le champ de
données était de 65535 octets ?, peut’ il ici savoir que cela provient de votre machine ? :
__________________________________________________________________________________________
__________________________________________________________________________________________
13. Fermer wireshark et Colasoft Packet Builder.
===============================================================================
DNS spoofing
L'objectif de cette attaque est de rediriger, à leur insu, des Internautes vers des sites pirates. Il existe deux
principales attaques de type DNS Spoofing :
• DNS ID Spoofing
• DNS Cache Poisoning.
☺ Remarque : Pensez aussi à vider le cache DNS client sur votre poste de travail : IPCONFIG
/FLUSHDNS, attention le cache DNS client sur votre poste sous Windows contient aussi le contenu du
fichier Hosts situé dans Windows\system32\drivers\etc, le contenu de celui-ci est chargé dynamiquement
dans le cache DNS client, pensez à vérifier si celui-ci est corrompu.
Voir également la commande IPCONFIG /DISPLAY (affiche le cache client DNS) et IPCONFIG
/REGISTERDNS (force votre PC à s'enregister auprès du serveur DNS).
En fait, un serveur DNS ne possède seulement que les enregistrements des machines pour lequel il fait
autorité, s’il désire connaître les machines en dehors de son autorité, il envoi une requête au serveur DNS
qui détient ces enregistrements, il stocke ensuite dans son cache local la réponse retournée par les autres
serveurs DNS.
Le DNS Cache Poisoning : Pharming

Un attaquant fonctionnant sur notre domaine (attacker.net) avec son propre Serveur DNS pirate
(ns.attacker.net).
Ici le pirate personnalise les enregistrements de son propre DNS, comme www.cnn.com=81.81.81.81
1) Le pirate envoi une requête à votre serveur DNS, demandant de résoudre www.attacker.net
2) Votre serveur DNS n’a pas autorité sur cette zone (il ne peut donc pas résoudre le nom de cette machine
en adresse IP), aussi il redirige cette requête vers le domaine faisant autorité sur cette zone, ici
ns.attacker.net.
3) Le serveur DNS du pirate (modifié pour l'occasion) enverra alors, en plus de la réponse, des
enregistrements additionnels (dans lesquels se trouvent les informations falsifiées à savoir un nom de
machine publique associé à une adresse IP du pirate, incluant les enregistrements concernant
www.cnn.com)
Note : ce processus est appelé transfert de zone.
4) Votre serveur DNS n’est pas "poisoned".

L’attaquant obtient son adresse IP demandée, ici l’objectif n’est pas d’obtenir l’adresse IP de ce serveur
Web (ns.attacker.net), mais de forcer un transfert de zone et de rendre votre serveur DNS “poisoned” tant

LE
que le cache n’est pas efface ou mis à jour. Les enregistrements additionnels sont alors mis dans le cache
du serveur DNS cible
5) Maintenant, si vous demandez à votre serveur DNS de résoudre www.cnn.com, il vous fournira comme
adresse IP : 172.50.50.50, une machine faisant une requête sur le serveur DNS cible demandant la
résolution d'un des noms corrompus aura pour réponse une adresse IP autre que l'adresse IP réelle associée
à cette machine
Le DNS ID Spoofing :
Concrètement, le but du pirate est de faire correspondre l'adresse IP d'une machine qu'il contrôle à un nom
réel et valide d'une machine publique.
Une requête DNS est alors envoyée à un serveur DNS, déclaré au niveau de A, demandant la résolution du
nom de B en son adresse IP. Pour identifier cette requête, un numéro d'identification (en fait un champ de
l'en-tête du protocole DNS) lui est assigné. Ainsi, le serveur DNS enverra la réponse à cette requête avec le
même numéro d'identification. L'attaque va donc consister à récupérer ce numéro d'identification (en
sniffant, quand l'attaque est effectuée sur le même réseau physique, ou en utilisant une faille des systèmes
d'exploitation ou des serveurs DNS qui rendent prédictibles ces numéros) pour pouvoir envoyer une
réponse falsifiée avant le serveur DNS (attaque Man In The Middle en utilisant l’Arp Spoofing sur la
machine Hôte voir commande WinDNSSpoof).
Le schéma ci-dessous illustre simplement le principe du DNS ID Spoofing.
Comment s'en protéger ?

• Mettre à jour les serveurs DNS (pour éviter la prédictibilité des numéros d'identification et les
failles permettant de prendre le contrôle du serveur)
• Configurer le serveur DNS pour qu'il ne résolve directement que les noms des machines du
domaine sur lequel il a autorité
• Limiter le cache et vérifier qu'il ne garde pas les enregistrements additionnels.
Il peut y avoir entre autres, une raison d'utiliser le fichier HOSTS :

☺ Bloquer les Spywares/Malware - En ajoutant une large liste de réseaux et de sites WEB connus de
spywares dans votre fichier HOSTS et en les faisant mapper sur localhost (127.0.0.1) qui pointe vers votre
machine, vous pouvez bloquer la consultation de ces sites (voir vaccination sur Spybot Search & Destroy).
Vous pouvez alors accélérer la consultation des sites WEB, puisque vous n'aurez plus les pop-up de pub, et
vous pourrez sécuriser le surf.
A l'inverse, sachez que beaucoup de malware ajoute dans le fichier HOSTS les entrées des sites d'antivirus
ou les adresses des sites permettant la mise à jour des définitions de virus afin que votre antivirus ne soit
plus à jour ou que vous ne puissiez pas scanner votre ordinateur depuis un antivirus en ligne.
Il peut être conseillé de passer le fichier HOSTS en lecture seule afin de bloquer la modification de ce
dernier par des malwares.

☺ NOTE: En ajoutant une liste importante d'entrée dans le fichier HOSTS, vous pouvez ralentir le
système. Vous pouvez alors désactiver le service "DNS Client" (Démarrer / Panneau de configuration /
Outils d'administrations / Services / clic droit arrêter) => plus de cache DNS Client.
Les scams
Le plus courant est le scam nigérian: un dignitaire d'un pays d'Afrique vous demande de servir
d'intermédiaire pour une transaction financière importante, en vous promettant un bon pourcentage de la
somme. Pour amorcer la transaction, il vous faut donner de l'argent. C'est bien entendu une arnaque !
Certains naïfs se sont fait voler des dizaines de milliers d'euros. Ne répondez pas.

LE
Flooding
☺ Raid massif de connexions non terminées afin de saturer un système ou un réseau.
Générer du trafic pour simuler une activité sur le réseau
Cette partie n’est pas du « flood » à proprement dit. Cet objectif était plutôt de réaliser un « bruit de fond
» de manière quasi continue. Cette opération peut être réalisée tout au long d’un projet couvrant ainsi
toutes les phases d’une attaque. Cela permet de pouvoir masquer les attaques ensuite réalisées, afin qu’il
n’y ait pas du trafic sur le réseau uniquement lors d’une attaque. On peut alors ainsi masquer les attaques
menées et en profiter pour noyer l’équipe analyse avec un flot de données important à analyser.
Exemple d’outil: SMAC, Macof (Linux), EtherFlood (Windows)
Smurf
Envoie d'une trame ICMP "echo request" sur une adresse de diffusion.
• Exemple: ping 193.49.200.255
• Méthode utilisée pour déterminer les machines actives sur une plage
IP donnée.
Parades au smurf
• Interdire la réponse aux trames ICMP sur les adresses de diffusion:
• Au niveau routeur (Cisco par défaut accepte ce type de trame)
• Au niveau machine (les machines Linux acceptent pour certaines aussi
ce type de trame, pas pour les versions Windows, la pile TCP/IP est
protégée en conséquence contre ce type d’attaque)
Web bug
Les « Web bugs », ces cookies intelligents sont présents sous forme d’une image invisible et indétectable
constituée d’un unique pixel présent, soit dans un E-mail au format HTML (appelé « Taupe »,
<img src="http://www.serveur.xx/image.gif ?email=utilisateur@adresse"> généralement une publicité
non sollicitée), qui vous est envoyé anodinement, soit sur certains sites Web (notamment ceux présentant
des publicités DoubleClick) voire dans des groupes de discussions. Si vous utilisez un client de messagerie
capable de visualiser les messages en HTML (comme Outlook) cette « image » provoque la connexion
automatique à un serveur distant qui est capable de converser avec tous les cookies de la même société
présents sur votre disque (et d’en créer de nouveau !) et peut récupérer en même temps votre adresse e-mail
et votre adresse IP !
Donc, si le courrier est ouvert pendant la connexion, la requête de téléchargement de l’image vient
confirmer la lecture du message et la validité de votre adresse.
Conseil : ne pas valider l’ouverture automatique du format HTML ou ne pas ouvrir ses courriers en ligne.
Un utilitaire de détection de « web bug » BUGNOSIS est disponible sur www.bugnosis.org.
Hoax (rumeur)
☺ Ces rumeurs (hoax) colportent souvent des problèmes

de sécurité soi-disant découverts par des services officiels
ou célèbres…
Elles peuvent causer un véritable préjudice à certaines

sociétés et de toute façon encombrent le réseau. Avant de
retransmettre un tel message, il est prudent de vérifier
son authenticité. Un hoax est donc une information fausse,
périmée ou invérifiable propagée spontanément par les
internautes (par mail). Les hoax peuvent concerner tout sujet susceptible de déclencher une émotion
positive ou négative chez le lecteur : alerte virus, disparition d'enfant, promesse de bonheur, pétition, etc.

HACKER/CRACKER 57
Ils existent avant tout sous forme écrite et incitent le plus souvent explicitement l'internaute à faire suivre la
(fausse) nouvelle à tous ses correspondants.
Si nécessaire, prévenez ensuite l'expéditeur du message ainsi que les éventuels co-destinataires, afin
de les informer de l'existence des hoax et de contribuer à enrayer la propagation du message.
Si le message suspect contient un ou plusieurs mots-clés évidents (par exemple "virus Biskai94" ou
"Rachel Arlington"), saisissez ces mots-clés, sélectionnez "Rechercher par mots-clés", puis lancez la
recherche en cliquant sur le bouton "Recherche Hoaxkiller.fr". Le moteur de recherche vous orientera
alors le cas échéant vers la fiche du canular correspondant. Si le message suspect ne comporte pas de mot-
clé évident, copiez-collez tout le texte dans le formulaire de recherche, sélectionnez "Rechercher par texte
intégral", puis lancez la recherche en pressant le bouton "Recherche Hoaxkiller.fr". Le moteur de
recherche vous orientera alors vers une liste de documents probables, classés par pertinence décroissante.
------------------------------------------------------------------------------------------------------
De : "direction"(direction@mon_entreprise.fr) Répondre à : direction@mon_entreprise.fr Date : Tue, 9 Jan 2001 13:14:45 +0100
À : "LISTE DIRECTEURS"
(mailto:directeur1@mon_entreprise.fr)(mailto:directeur2@mon_entreprise.fr)(mailto:directeur3@mon_entreprise.fr)
Objet : [directeurs] alerte virus potable
----- Original Message -----
From: Alain (compta@entreprise_a.com)
To: Bernard@entreprise_b.com ; Charles@entreprise_c.net ; Diane@entreprise_d.fr ; Eric@entreprise_e.com ;
Objet : Message d'alerte virus et de bonne année
Merci de transmettre ce message à tout votre carnet d'adresse Et bonne année malgré tout!
Cordialement Alain
Objet: ALERTE VIRUS PORTABLE & INTERNET
>
>Message d'Alcatel - il est important de le lire, car la source est sérieuse et le danger maximal.
>> Objet: Alerte Pirate
> > Diffusion message d'alerte à rediffuser a tous ceux que vous connaissez et qui ne figureraient pas dans les destinataires.
> >1. Il s'agit d'1 information provenant du Ministère de l'Interieur à l'attention de tous les détenteurs de téléphone portables :
UN CORRESPONDANT LAISSE 1 MESSAGE AFIN QU'ON LE RAPPELLE AU 01 41 46 51 14.
N'appelez surtout pas ce numéro ou vos factures augmenteront sans commune mesure……………☺☺☺☺☺☺☺
Hacker et cracker
Les actes de piratage informatique, au cœur des réseaux d’information et de la
communication, sont l’œuvre d’acteurs sociaux qu’il convient de connaître et de
comprendre, notamment afin d’appréhender correctement les différents aspects de ce
type de menaces. Il est commun de dénommer ces acteurs : « Cyber délinquants ».
Ces derniers se caractérisent par des capacités techniques et des motivations diverses,
tout en provenant d’horizons sociaux multiples.
La « famille » des hackers est bien structurée :
Les newbies
- en premier, il y a les newbies (débutants) :
ce sont généralement des adolescents fascinés
par les exploits de certains hackers et qui se
sont mis à apprendre tout ce qu'ils pouvaient
dans le domaine de l'informatique.
Les intermédiaires
- ensuite, il y a les intermédiaires, anciens
newbies qui ont acquis une somme de
connaissances en sécurité informatique,
programmation et sur les réseaux.

LE
58 HACKER : BLACK/WHITE HAT
LeWhite Hat hacker

- puis il y a les White Hat Hackers, des élites en hacking qui programment à longueur de
journée et ne font que rechercher des failles dans les systèmes, logiciels…
Ce terme de hacker est souvent utilisé à mauvais escient par la presse écrite pour couvrir
l’ensemble des pirates informatiques.
Cet amalgame contribue à propager une image fantasmé et alarmiste des menaces
informatiques. Situation fortement paradoxale, quand on sait que les hackers constituent,
certainement, la communauté la moins nuisible, au sein de l’univers encore très méconnu de
la cyber délinquance. En réalité, si tout hacker peut être « étiqueté » en tant que cyber délinquant, tous les
cybers délinquants ne sont pas des hackers.
Les hackers ou « chapeaux blancs » sont certainement les plus connus, mais aussi les plus incompris des
cyber délinquants. Ils se démarquent des crackers et des script-kiddies (lamers) par leur sens de l’éthique.
Contrairement à ces derniers, ils n’attaquent pas leurs cibles, mais se contentent d’enfreindre la sécurité de
leurs systèmes pour en souligner les failles. Il s’agit pour le hacker, à travers des moyens, illicites, il est
vrai, de relever un « challenge » technologique tout en agissant pour le bien des organisations attaquées,
puisqu’il permet l’amélioration de la sécurité du système d’information concerné. Peuvent devenir pour la
plupart des professionnels en sécurité informatique au sein d’une entreprise.
Hautement qualifiés et compétents, leurs actions sont motivées par une idéologie commune, à savoir, la
conviction que la propriété intellectuelle doit appartenir à tous ceux qui en ont la compréhension et que
toute tentative de légiférer en matière de cyberespace doit être combattue.
La communauté hacker partage une culture commune rassemblant des programmeurs expérimentés, des
spécialistes réseaux et des passionnés des technologies de l’information et de la communication, au sens
large du terme.
Ces 3 précédents membres de la famille des hackers travaillent pour une amélioration
de la structure.
Grey Hats (chapeaux gris)

Hackers exploitant leurs trouvailles à des fins de preuves et de démonstrations (pénétrations réelles dans
des systèmes, etc. ... sans nuisance). Motivés par le jugement porté sur eux par les autres hackers, ils
communiquent leurs prouesses afin de se faire valoir, mais ne dégradent en général rien, ne compromettent
rien, ne divulguent rien des données auxquelles ils auraient pu accéder. Ce sont des hackers qui peuvent
travailler offensivement ou défensivement, dépendant de la situation.
Maintenant, voyons d'autres membres de la famille des hackers qui travaillent dans le « côté obscure » du
hacking. Ils préfèrent profiter des failles et les exploitent pour le plaisir ou pour de l'argent :
Les lamers ou scripts-kiddies

Les lamers, des êtres d’une nullité inimaginable, ne faisant qu’utiliser des programmes tout faits (surtout
des logiciels servant à faire du nuke, du mail bombing…) et qui n’arrêtent pas de se vanter d’être les
meilleurs pirates du monde, d’avoir pénétré des systèmes surtout sur IRC et ICQ.
Les scripts-kiddies, forment donc le bas-de-gamme du piratage informatique. Si la communauté précédente
se focalise sur des cibles spécifiques, les script-kiddies eux, lancent leurs attaques de manière totalement
aléatoire en utilisant des listes de commandes groupées dans un script, d’où leur nom.
Ce type d’attaque ne demande pas un très haut niveau de connaissance informatique ; c’est pourquoi le
script-kiddy est souvent un adolescent voire parfois un enfant. Ce dernier utilise des logiciels « prêt à
l’emploi », ne maîtrisant ni leur fonctionnement, ni les conséquences de l’action illégale entreprise.
Son comportement est totalement irresponsable, pouvant atteindre n’importe quelle ressource informatique, y
compris les ressources informatiques de la compagnie où travaillent ses parents, par exemple.

HACKER : BLACK/WHITE HAT 59
Le Black Hat hacker
Ces gens (principalement des adolescents de sexe masculin) prennent leur pied en s’introduisant à distance
dans les systèmes informatiques et en piratant les systèmes téléphoniques et réseaux informatiques.
Le Black Hat ou « chapeau noir », souvent confondu avec le White Hat hacker, pénètre les systèmes
informatiques avec l’intention de nuire. Il peut arriver que le cracker attaque pour des raisons ludiques,
mais en général, il essaye de tirer un gain de ses méfaits, comme le fait de nuire à un concurrent, un
enrichissement personnel ou l’acquisition de données confidentielles. Hackers exploitant leurs trouvailles à
des fins hostiles, parasitaires, maffieuses, terroristes... Ce sont les Pirates.
Bien souvent, il s’agit de véritables criminels, fonctionnant dans des réseaux mafieux, pour leur
propre compte ou le compte d’autrui. Souvent très compétents techniquement, ils peuvent égaler
les compétences des hackers, cependant, ils en représentent véritablement le côté sombre, car ne
font pas profiter une victime de leur savoir pour le mettre au profit de l’amélioration de la sécurité
à mettre en place, bien au contraire, leur but est de maximiser cette connaissance à leur profit.
Phreaking
Ils peuvent construire des systèmes électroniques (appelés « Box »)
ayant des fonctions bien définies comme avoir la possibilité de
téléphoner à l’autre bout de la terre sans débourser d’argent (ils
piratent les PABX), de téléphoner sur le compte d’une entreprise…
Les créateurs de virus

Citons notamment les clubs Immortal Riot, Vdat, No Mercy,
CodeBreakers et 29A.
Les Hacktivistes
Ce sont des hackers utilisant leurs connaissances pour défendre ce en quoi ils pensent et se battre pour un
but (les droits de l’homme, la non-commercialisation de l’Internet…).
Conclusion
La véritable communauté hackers, très underground, ne comporterait que quelques centaines de
membres au niveau mondial, et n’est attirée que par les sites hautement sécurisés qui représentent
un véritable défi technologique. Si les crackers sont plus nombreux, plusieurs milliers, ces derniers
se concentrent généralement sur les grandes compagnies, n’ayant aucun intérêt à viser une cible de
moindre importance. En fait, la masse nuisible se comptent par centaines de milliers et attaquent de
manière complètement aléatoire, est surtout constituée par les script-kiddies.
Comme nous venons de le voir, il existe une grande variété de « hackers », ayant chacun leurs domaines de
prédilection ; mais avant de se spécialiser, il faut généralement :
• Savoir programmer sinon on ne peut être ni un hacker ni un informaticien. Il faut au moins connaître
deux langages dans cette liste : C++, Java, Perl, Pyton, Cobol, Assembleur, Lisp, Scheme, Delphi, et
Visual Basic en plus du C et de l’HTML (qui est plus un langage de mise en page).
• Connaître les technologies des réseaux (principes de base, services…), la pile TCP/IP et tout ce qui s’y
rapporte.
• Savoir utiliser Internet : faire des recherches intelligentes et précises.
• Connaître les principes de base et savoir utiliser les systèmes d’exploitation les plus courants :
Windows, Unix, Linux.
• Avoir des bases en électronique et en hardware pour savoir identifier le matériel quelconque.

LE
60 VIRUS
Virus
Avec l'expansion de l'Internet, la propagation des virus (et assimilés) est plus aisée et plus rapide.
• Le risque infectieux informatique est récent : environ 30 ans d’existence.
• La défense évolue moins vite que la menace (ordres de grandeurs différentes, propagation plus
rapide).
• Existence d’une volonté maligne : les pirates informatiques, depuis environ 2003 on est passé
d’une phase plutôt artisanale à une phase industriel (groupe de personnes organisées et
communiquant)
• Faillite du monde logiciel : vulnérabilités (faille 0Days), efficacité limitée de l’antivirus.
• Problème général d’ « hygiène informatique » (comportement utilisateur).
Les infections informatiques concernent tous les environnements capables d’exécution !

Une infection informatique = un programme
• Tous les systèmes d’exploitation

• Tous les environnements mobiles (téléphones, consoles de jeux, GPS, ordinateurs embarqués).
• Presque tous les formats de document
☺ Le dictionnaire propose une définition plus conventionnelle : "(mot latin, poison) Informatique :
instruction (ou suite d'instructions parasites), introduite dans un programme et susceptible d'entraîner
diverses perturbations dans le fonctionnement de l'ordinateur" en se dupliquant (son propre code) et en
infectant d’autres fichiers par exemple. Donc un virus à besoin d’une « mère porteuse : autre
programme » pour pouvoir exister.
Sur Internet, les virus peuvent contaminer une machine de plusieurs manières :
• Echanges de données (clé USB, CD-ROM, etc…)
• Téléchargement de logiciel puis exécution de celui-ci sans précautions,
• Ingénierie sociale (jeux, sex, humour, secret, etc…)
• Ouverture sans précautions de documents contenant des macros,
• Pièce jointe de courrier électronique (exécutable, script type VB ou JS ou JPG.VBS ou .BAT…),
• Ouverture d’un courrier au format HTML contenant du JavaScript exploitant une faille de sécurité
du logiciel de courrier (normalement JavaScript est sans danger).
• Exploitation d’un bug du logiciel de courrier (effectuer régulièrement les mises à jour).
Les virus peuvent être très virulents, mais ils coûtent aussi beaucoup de temps en mise en place d’antivirus
et dans la réparation des dégâts causés. On peut malheureusement trouver facilement des logiciels capables
de générer des virus et donc permettant à des « amateurs » (aussi appelés scripts-kiddies) d’étaler leur
incompétence.
☺ La meilleure parade est l’utilisation d’un antivirus à jour et d’effectuer les mises à jour des
logiciels (pour éviter l’exploitation des bugs).
Les motivations des développeurs de virus trouvent plusieurs sources, et notamment :

Vengeance : Un employé ayant été licencié par son entreprise peut vouloir se venger.
Malveillance, amusement ou compétition : L'écriture d'un virus peut aussi avoir comme but la pure
malveillance d'un utilisateur ou son amusement.
Curiosité : Cette motivation est sûrement la plus courante. Beaucoup de développeurs de virus avancent
que la curiosité, l'envie de découvrir et d'apprendre, est le principal moteur de leurs actes.
Le pouvoir et l'argent : Il n'est pas très difficile d'imaginer que certaines personnes puissent mettre au
point des virus qui pourraient dérégler les comportements des ordinateurs d'une banque dans le but de
récupérer de l'argent suite à des versements fictifs. Ou récupérer des informations secrètes d'une grande
société dans le but de les vendre à la concurrence.
Infections informatique :
Simples (une seule copie)

VIRUS 61
• Bombes logique, Cheveaux de Troie
Autoreproductrices (se cloner)
• Vers (sur un système plus large comme un réseau), Virus (sur une même machine)
Sality est un virus parasite polymorphique qui s’attaque aux fichiers exécutables de Windows, le corps
du virus est chiffré à l’aide de l’algorithme RC4.
Le gestionnaire de tâches est désactivé via le registre, l’éditeur de registre est lui-même désactivé, efface
également les clés du registre permettant de démarrer en Mode sans Echec le firewall. Les paramètres de
l’explorateur sont aussi modifiés afin de ne pas afficher les fichiérs cachés et les fichiers systèmes.
Un driver est installé permettant à Sality de filtrer les paquets et de bloquer l’accès aux sites des éditeurs
antivirus et certains sites de désinfection ou de scan tels que Virus Total. Il tente également de tuer un
certain nombre de produits de sécurité et pour terminer Sality utilise aussi la propagation par périphérique
amovibles et les partages réseaux : autorun.inf sur le média amovibles ainsi que sur les partages réseaux.
Copie modifie et infecte le fichier notepad.exe.
Les techniques anti-antivirales

☺ Furtivité : Capacité à leurrer toute surveillance du système en vue de faire croire à l’absence d’infection.
Créer un jeu de miroir ou de double fond et envoyer au système antiviral l’apparence d’un système propre,
bien sur le virus est dans le double fond et dans le miroir (simuler un système propre).
☺ Mutation du code : Capacité à auto modifier tout ou partie de son propre code (chiffrement, réécriture)
afin de leurrer les tentatives de détection.
☺ Blindage : Capacité plus ou moins grande du code à résister à l’analyse par désassemblage/debugging
(mécanisme à jour). Mettre en œuvre des techniques qui vont permettre à un code de s’apercevoir qu’il est
en train d’être débuggé => déclenché un autre code qui va perturber l’analyse.
Il existe différents types de virus, les distinctions entre eux étant plus ou moins ténues.
Virus du secteur d’amorçage

Ces virus s’attaquent au « Boot Sector » d’un disque, Michelangelo apparaît à la fin des années 80. En 91,
De la même veine : Tequila, Antiexe, Stoned => Changez l'ordre d'amorçage de vos PC
Virus d’applications
Les virus d'applications infectent les fichiers exécutables (notamment ceux portant les extensions .exe,
.com ou .sys).
Virus polymorphes
Ces virus modifient leur aspect à chaque nouvelle infection. A chaque fois qu’ils infectent un fichier, ils se
cryptent différemment. Il faut donc que l'antivirus analyse la technique d'encryptage de chaque virus pour
tenter de déceler, dans les fichiers contaminés, une caractéristique remarquable.
Virus flibustiers
Ils ont pour but de désactiver l’antivirus. Ils sont rares, mais diablement efficaces et dangereux, le système
devenant totalement vulnérable.
Virus de macros
Est un code contenu dans un fichier de données, non exécutable, activé par un interpréteur contenu de façon
native. Ces virus peuvent être au format texte (VBS, JS, RTF, PS, PDF, ...) ou binaire (DOC, XLS, PPT,
PPS, ...). Se met dans les modèles de document (normal.dot pour Word), modifient le comportement de
certaines fonctions (FileSaveAs, Tools Macros) ou raccourcis (Shift.) .Utilisent la fonction AutoExec.
Les plugins
Selon Matt Loney de ZDNet UK, le lecteur Flash Player offrirait la possibilité à des pirates de prendre le
contrôle à distance d'un ordinateur ou y injecter un virus.

LE
62 VERS
Les vers
☺ Contrairement aux virus qui doivent se loger dans des programmes (ou autres
informations exécutables) pour agir, un ver est un programme malveillant qui à une
existence autonome. "En général les concepteurs de vers s'efforcent de faire des programmes
de petite taille pour rendre l'infection discrète.
Les vers, également appelés virus de messagerie, (peut être vu comme un virus orienté réseau) se répandent
par le courrier électronique, en profitant des failles de certains logiciels de messagerie (notamment Outlook
Express, de Microsoft)
Trois classes principales de vers :

• Les vers simples : Utilisation d’une faille de sécurité (Slammer, Sasser,…)
• Les macros vers : Utilisation d’ingénierie sociale et d’une pièce jointe bureautique infectée
(Melissa)
• Les vers de courrier électronique : Utilisation d’ingénierie sociale et d’une pièce jointe
exécutable infectée (Bagle, NetSky), ex : Postcard.exe. IloveYou en 2000 (45 millions de
machines infectées, pour une lettre d'amour), BugBear en octobre 2002, Sobig en août 2003
Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est
apparu en octobre 2008. Ce ver exploite une faille du Windows Server Service utilisé par Windows 2000,
XP, Vista, 7, 2003 et 2008.
Microsoft a rendu public un patch (http://www.microsoft.com/technet/security/Bulletin/MS08-
067.mspx) pour enlever ce ver le 15 octobre 2008. Symantec propose un outil de suppression pour
Conficker (nommé Downadup chez l'éditeur de Norton Antivirus). Pour ESET NOD32 voir
http://download.eset.com/special/EConfickerRemover.exe.
F-Secure déclarait que Conficker avait infecté presque 9 000 000 ordinateurs.
Qui peut provoquer cette attaque ?

N'importe qui, volontairement ou involontairement. Volontairement si la personne a au moins un ver en
réserve, ou un logiciel permettant de générer des vers. Involontairement si la personne rapatrie d'internet
des archives non sûres ou non certifiées par l'entreprise (99% des cas).
Conséquences :
Les conséquences sont multiples :
• Déclenchement d'un son ? affichage d'un texte ou d'un message
• Perturbation de l'affichage, ralentissement et diminution des performances
• Augmentation de la place occupée sur disque ou en RAM.
• Destruction de données, formatage du disque
• Attaque du Bios : CIH/Tchernobyl sont susceptible d'altérer
les bios flashables et de vous amener à changer votre eprom,
au pire changer votre carte mère. Préférez toujours une carte
mère flashable par cavalier. Aujourd'hui, ces modèles sont
rares.
• Perte de contrôle et comportement erratique
• Les débordements de mémoire, etc…
La tendance actuelle pour les vers (depuis 2004) consiste à

diminuer la vitesse de propagation au profit de la furtivité.

ANTIVIRUS 63
Comment s'en protéger ?
• Utilisation d'un firewall pour filtrer ce qui vient de l'extranet et d’Internet.
• Utilisation d'au moins un antivirus, remis à jour très régulièrement et exécuté régulièrement.
• Mettre à jour Windows, utilisez USBFix pour vacciner vos disques amovibles.
Depuis les 3-4 dernières années, la Chine est devenue la source principale de malwares.
En 2009, le nombre de programmes malicieux dans la collection était de 33,9 millions, plus du double de
l’année 2008. Kaspersky a identifié environ 15 millions de nouvelles menaces en 2009.
Antivirus
On estime aujourd’hui qu’il y a entre 250 000 et 300 000 virus connus.
Cependant, des différences peuvent exister entre ces types de logiciels. Elles se situent
principalement dans le nombre de fonctionnalités, leur mise en place ainsi que les
méthodes utilisées pour la détection d'anomalies.
Comment cela fonctionne-t-il ?

Afin de protéger une machine, les logiciels antivirus utilisent plusieurs techniques à savoir :
• ☺ Analyse en temps réel du contenu des opérations sur la machine tel que des
ouvertures/fermetures de fichiers, des lancements de logiciels et tout type de téléchargements
effectués sur la machine depuis Internet ou un autre réseau.
• ☺ Balayage des disques et autres périphériques de stockage et de la configuration système de la
machine à des intervalles définis préalablement.
• ☺ Analyse du contenu ainsi que des volumes de courriers électroniques entrants et sortants
afin de protéger contre des virus qui possèdent un processus opérationnel de propagation par
messagerie (appelés mass-mailers).
Détection des menaces

• ☺ Détection par reconnaissance de la signature d’un virus (méthode la plus répandue)
• ☺ Détection par vérification de l’intégrité des fichiers (cette technique n’identifie pas
nécessairement le virus, mais détecte une éventuelle compromission de votre poste.)
• ☺ Surveillance du comportement des processus de l’ordinateur (Il ne cherche pas à identifier
les virus, mais plutôt à tracer les activités suspectes qui pourraient traduire la présence éventuelle
d’un code malveillant.)
• ☺ Méthode heuristique (La méthode heuristique consiste à localiser tous les codes
potentiellement exécutables sur votre ordinateur. Elle analyse leur structure et leur logique de
programmation, dans le but d’identifier les symptômes pouvant trahir la présence d’un virus.)
En cas de détection d'anomalie ou de tentative d'infection informatique, dans la majorité des cas et selon la
configuration choisie par l'utilisateur, l'antivirus affichera une alerte à l'utilisateur permettant de :
• ☺ Bloquer la tentative d'infection informatique.
• ☺ Réparer le contenu infecté ou malicieux en effaçant toute trace du virus.
• ☺ Supprimer définitivement le contenu infecté.
• ☺ Mise sous quarantaine du contenu infecté ou malicieux.
Du fait de la convergence des techniques d'infection informatique, certains constructeurs de logiciels
intègrent également dans leur solution d'antivirus des fonctionnalités de firewall.
Pourquoi se protéger ?
L'utilisation d'un logiciel antivirus permet de contrer les menaces suivantes :
• ☺ Virus
• ☺ Chevaux de Troie
• ☺ Vers
• ☺ Certains Rootkit

LE
64 ANTIVIRUS
Si l'antivirus dispose également de fonctionnalités de firewall (veuillez également consulter le document
firewall). Vérifiez le fonctionnement correct de votre système via l'utilisation des fichiers de tests mis à
disposition par l'EICAR : www.eicar.org
Attitudes à adopter
• Tenir à jour les différents logiciels de protections (ex : firewall, antispam, antispyware, etc)
• Tenir à jour les différents logiciels (ex : Pack Office, etc)
• Tenir à jour les systèmes d’exploitation (ex : Windows XP Pro : Service Pack, Patch de sécurité)
• Tenir à jour les différents services s'exécutant sur chaque machine (ex : FTP, Telnet, http, etc)
• Désactiver tous les services qui ne servent pas (ex : partages NetBIOS, etc)
• Ne pas mettre une copie de sauvegarde saine sur un ordinateur non sain (ou non totalement
vérifié).
• Utiliser le moins possible le compte Administrateur, utiliser à la place un compte restreint.
Conduite à tenir en cas d'infection

• Isoler du réseau la ou les machines incriminées
• Sauvegarde des données qui ne l'auraient pas encore été (discutable, mais certaines fois, il vaut
mieux un fichier infecté que sa disparition complète).
• Passer l'antivirus en mode éradication. Redémarrer en mode « sans-échec » ou sur un live-CD
contenant un antivirus à jour. Utiliser les outils de désinfections. En cas de très grosse infection :
formater et réinstaller la machine si nécessaire. Essayer de trouver par où est apparu le virus et
corriger le problème si possible (règles firewall, etc...).
• Changer les mots de passe, etc.
Si l’antivirus est paralysé par un virus ou ver on peut avoir recours à un antivirus en ligne, tels ceux qui
sont disponibles sur les sites suivants (nécessite un navigateur pour fonctionner):
Si vous avez juste un fichier douteux à scanner, vous pouvez utiliser un des sites suivants: Ils testeront
votre fichier avec plusieurs antivirus à la fois.
VirusTotal => http://virustotal.com/ : 41 antivirus utilisés
Virscan => http://virscan.org/ : 37 antivirus utilisés
F-Secure Online Scanner ☺
Test de Malware en ligne: Sunbelt CWSandbox
Remarque : Un fichier vous semble louche? Ne prenez pas de risques. Avec JottiQ
assurez-vous qu'il est sain. Cet utilitaire, en anglais, va le soumettre à l'analyse de 19
antivirus comme Avast ou Kaspersky
Les outils spécialisés

Ce sont de simples fichiers exécutables qui vous permettront de supprimer un virus bien précis. L’avantage
est que cela peut vous permettre de réparer une situation compromise si votre antivirus n’était pas à jour.
http://www.symantec.com/business/security_response/removaltools.jsp http://www.grisoft.com/doc/52/ww/crp/0
http://www.pandasecurity.com/homeusers/downloads/repair-utilities/? http://www.sophos.com/support/disinfection
http://www.bitdefender.com/site/Download/browserFreeRemovalTool http://www.microsoft.com/security/malwareremove
http://www.f-secure.com/en_EMEA/security/security-center/easy-clean/index.html
http://eset.com/download/free-virus-remover.php http://www.avira.com/en/support/antivir_removal_tools.html
http://www.avg.com/virus-removal http://www.avast.com/eng/avast-virus-cleaner.html
http://support.kaspersky.com/virus/avptool?level=2 http://home.macafee.com/VirusInfo/VirusRemovalTools.aspx
Remarque: tous les produits “Internet Security” inclus un antivirus + Firewall + anti spam + anti
spyware .ex: ZoneAlarm Internet Security Suite v 7.1 Fr
Effacer les traces de votre antivirus

Avec AppRemover, vous allez pouvoir vous débarrasser des traces de vos anciens antivirus et
antispyware et laisser ainsi place nette pour faciliter l’installation de l’antivirus de votre choix.

ANTIVIRUS 65
Classement des différents antivirus du marché

LE
66 ANTIVIRUS
Les performances des suites payantes sont évidemment très au-dessus de ce qu’il est logique d’attendre de
la part d’un antivirus gratuit couplé au pare-feu de Windows 7. Mais il faut concéder aux gratuits des
performances honnêtes qui en font de très bonnes solutions d’appoint pour un usage basique notamment.

ANTIVIRUS 67
Le tableau ci-dessous reprend les résultats Avril 2010 pour les suites gratuites :
Windows Live Safety Center

Bénéficiez d'un programme d'analyse gratuite en ligne de la sécurité pour votre ordinateur de la société
Microsoft.
Windows Live Safety Center est un nouveau service d'analyse conçu pour protéger, nettoyer et optimiser
votre ordinateur. Ce service gratuit est accessible directement via Internet depuis le site
http://safety.live.com/. Vous pouvez utiliser le site Windows Live Safety Center autant de fois que vous le
souhaitez pour optimiser encore davantage votre ordinateur.
****Microsoft a annoncé une suite logicielle gratuite, présentée actuellement sous le nom Microsoft
Security Essentials nom de code Morro****Suite à des tests réalisés sur 500 000 malware, l'antivirus a pu
en identifier 98,4%. Coté adware et spyware, le résultat est un peu moins bon: sur 14 222 testés il en a
identifié 90.9%. Enfin, un test a été effectué sur 25 rootkits et là, le taux de réussite s'est élevé à 100%. En
revanche, il impose l'outil anti-piratage WGA pour être installé.
Les éditeurs ont remplacé la richesse des bases de données virales par la fréquence des mises à jour.
Certains éditeurs en proposent une centaine par semaine. Les pirates ont toujours une longueur
d’avance. Dans l’absolu, il suffit de modifier un seul octet d’une souche connue pour qu’elle ne soit
plus détectée (à la portée de n’importe quel étudiant en première année d’informatique). De plus,
certains malwares sont contruits sur des technologies qui rendent la suppression quasi impossible.
Corolaire :
****Affirmer pouvoir « détecter tous les virus, y compris ceux inconnus » est une affirmation fausse et
mensongère****
**** Si l’antivirus a longtemps été jugé comme le garant de la sécurité du poste de travail, ceci n’est
aujourd’hui plus suffisant : il doit être considéré comme un maillon de la chaîne de production, il
faut aussi le considérer comme un programme comme un autre, c'est-à-dire avec ses vulnérabilités et
pouvant être la cible d’attaque ****.

LE
68 RAPPEL TCP
Rappel TCP
Clients/Serveurs :
De nos jours, les réseaux fonctionnent grâce à la topologie client/serveur.
Le système client ouvre une session sur le système serveur, puis fait des requêtes spécifiques au(x)
service(s) que délivre de dernier.
Le système serveur est développé pour accepter la connexion d’un des clients et fournir un/des service(s)
spécifique(s).
Pour information, un service n’est fournit que par un serveur et peut-être de types différents : service http,
FTP, Telnet, etc …
Sockets :
Pour faire communiquer des systèmes à travers le réseau, des chercheurs ont créés ce que l’on appelle des
sockets.
Maintenant quoi que l’on fasse sur le réseau, on utilise sans le savoir (ou plutôt sans s’en préoccuper) des
sockets.
Pour information, les sockets sont principalement constitués d’une adresse IP et d’un port de
communication (ex : 192.168.14.200 :8080).
L’entête TCP contient six indicateurs (drapeaux) qui signalent comment interpréter les autres champs
Indicateur Signification
URG Tenir compte du champ urgent
ACK Tenir compte du champ numéro d’acquittement
PSH Ce segment doit être transmis immédiatement
RST Réinitialise la connexion
SYN Synchronise les numéros de séquence
FIN Termine la connexion
L’établissement d’une connexion TCP se réalise en trois étapes (three-way handshake)
1. ☺ le client initie une connexion TCP avec le serveur. Dans le paquet qu’il envoie, le bit SYN est activé
(set=> 1), le bit ACK n’est pas activé (not set=>0), indiquant au serveur que le champ du numéro de
séquence est valide et qu’il devrait être vérifié. Le client définit le numéro de séquence initial dans le
champ d’entête prévu à cet effet.
2. ☺ le serveur répond en envoyant au client un paquet avec le SYN activé (set=>1), le bit ACK est
activé (set=>1). Le numéro de séquence initial du serveur est égal à celui du client plus un (N_ACK +
1).
3. ☺ le client accuse réception du numéro de séquence initial du serveur en le lui renvoyant incrémenté de
un (N_ACK + 1), le bit SYN n’est pas activé (set=> 0), le bit ACK est activé (set=>1).
4. ☺ la connexion est établie et le transfert des données peut commencer.
• TCP utilise un numéro de séquence pour chaque octet transféré et requiert que la réception de
chacun d’eux soit acquittée par le destinataire. Cette exigence permet à TCP de garantir une

RAPPEL TCP 69
livraison fiable des données. Le récepteur utilise les numéros de séquence pour vérifier que les
données arrivent dans l’ordre et pour éliminer les octets en double.
• Les numéros de séquence sont gérés par un compteur 32 bits (de 0 à 4.294.967.295), pour chaque
octet émis ce compteur est incrémenté
Le service FTP obéit à un modèle client/serveur traditionnel. Ajoutons que la variante de FTP protégée par
les protocoles SSL ou TLS (SSL étant le prédécesseur de TLS) s’appelle FTPS (RFC 2228). FTP s’appuie
sur le protocole Telnet pour établir le dialogue du canal de contrôle. Toutes les communications effectuées
sur le canal de contrôle suivent les recommandations du protocole Telnet traditionnel, ainsi les commandes
FTP sont des chaînes de caractères Telnet en code NVT-ASCII terminée par le code de fin de ligne Telnet
(comprendre la séquence CR+LF, Carriage Return - retour chariot) suivi du caractère Line Feed, notée
CRLF.
Le protocole FTP supporte deux manières de fonctionner, à peine différentes, mais la différence est
d'importance, surtout lorsque l'on a à traverser un firewall par filtrage de paquets. Ce sont :
• ☺ Le mode Actif,
• ☺ Le mode Passif.
Voir configuration d’Internet Explorer (dans Options d’Internet

Explorer).
Pour l'instant, contentons-nous de dire que si l'on doit passer un

firewall, il vaut mieux utiliser le mode passif, car le mode actif risque de
se solder rapidement par un échec.
Le mode Actif (normal)
Etablissement d'une connexion TCP entre le client (192.168.14.1:2001) et le serveur (192.168.14:200 :21) :
canal de contrôle. Le port 21 est le port standard d'écoute des commandes FTP. Nous trouvons ici le
classique dialogue [SYN], [SYN, ACK], [ACK]. Etait-il nécessaire de le signaler ? FTP s'appuie bien
entendu sur un mode connecté (TCP).
La commande PORT configure le serveur FTP en mode actif.

La commande : PORT IP1,IP2,IP3,IP4,P1,P2
o ‘IP1,IP2,IP3,IP4’ représentent l’adresse IP du client.
o ‘[(P1 * 256) + P2]’ est le numéro de port du client pour le transfert des données.
Fonctionnement :
1. Le serveur écoute sur le port 21.
2. Le client amorce une connexion depuis un port N (2001 par exemple) vers le port 21 du serveur.
3. Le client écoute sur le port ‘[(P1 * 256) + P2]. Il l’indique par la commande PORT.
4. Le serveur initie une connexion depuis le port 20 vers le port de rendez-vous du client.
Le serveur FTP initie une nouvelle connexion FTP (trames 31,32 et 33). Mais vous avez bien vu, c'est le
serveur qui initie la connexion, autrement dit, il agit comme un client TCP, et c'est le client FTP qui va agir
comme un serveur TCP, c'est à dire qu'il va rester à l'écoute de son port 2003 = (7*256) +211 : canal de
données. Cette particularité est due au mode actif. Le client FTP est actif, parce qu'ici, ce sera lui le serveur
(au sens TCP).

LE
70 RAPPEL TCP
Le mode actif représente la méthode utilisée à l'origine par le protocole FTP pour transférer des données à
l'application cliente. Lorsqu'un transfert de données en mode actif est engendré par le client FTP, le serveur
établit une connexion depuis le port 20 sur le serveur, vers l'adresse IP et un port aléatoire, non-privilégié
(supérieur à 1024) spécifié par le client. Dans une telle situation, l'ordinateur client doit être autorisé à
accepter des connexions sur tout port supérieur à 1024. Avec le nombre croissant de réseaux non-sécurisés,
tels que l'Internet, l'utilisation de pare-feu pour protéger les ordinateurs clients est désormais très répandue.
Étant donné que ces pare-feu côté client refusent souvent les connexions entrantes originaires de
serveurs FTP en mode actif, il est recommandé d'utiliser le mode passif.
Nous avons, dans ce cas de FTP en mode actif, observé que, pour la création du canal de données, le client
FTP :
.Indique au serveur un numéro de port,
.Se met à l'écoute sur ce port (fonction "serveur TCP"),
.Le serveur FTP va quant à lui, utiliser le port 20 pour ce canal de données et agir en client TCP.
Ce détail est extrêmement important. Il explique la raison pour laquelle le FTP actif ne fonctionne pas
correctement sur des filtres de paquets qui interdisent tout paquet SYN depuis le Net vers la zone protégée.
Nous avons vu en effet qu'ici, le serveur FTP initie une nouvelle connexion TCP sur le client FTP (ne vous
mélangez pas les pédales entre FTP et TCP svp...).
De plus, si le routeur fait du NAT, comme c'est souvent le cas, ça ne va pas être simple de savoir à qui
s'adresse cette nouvelle connexion. N'oublions pas que nous regardons ici ce qu'il se passe derrière le NAT.
Le serveur FTP, qui est sur le Net, n'a aucune connaissance de l'IP réelle de son client. Pour lui, son
interlocuteur, c'est le routeur NAT lui-même, vu du côté Internet.
La prise en charge de clients FTP actif NATés nécessite l’implémentation d’un proxy.
Le mode passif

RAPPEL TCP 71
La commande PASV configure le serveur FTP en mode passif. Le serveur accepte (227 veut dire "Passage
en mode passif"), et indique un numéro de port, ici (7x256) +14=1806
Ce n'est plus le serveur FTP qui, depuis son port 20 initie une connexion vers le client FTP, mais le client
FTP qui ouvre une connexion TCP sur le port que lui a indiqué le serveur, à la suite de la commande
PASV.
Le reste ne présente pas de nouveautés particulières.
Dans le mode passif, le client FTP n'est jamais serveur TCP. Ca simplifie la vie pour le passage des filtres
de paquets, mais ça alourdit la charge des serveurs FTP. Donc alors que le mode passif résout les
problèmes d'interférence du pare-feu côté client avec des connexions aux données, il peut rendre plus
complexe l'administration du pare-feu côté serveur. En limitant dans le fichier de configuration du serveur
FTP, l'éventail des ports non-privilégiés disponibles pour des connexions passives, il est possible de
restreindre le nombre de ports ouverts sur un serveur, ce qui permet également de simplifier la création de
règles de pare-feu pour le serveur.
Les inconvénients du mode actif (mode par défaut)

Pour un serveur public, le mode actif n’est absolument pas sécurisable à travers un firewall, puisqu’une
plage de ports (en général beaucoup trop étendue) doit être autorisée, ou alors une architecture réseau
spécifique doit être pensée.
L’authentification de l’utilisateur sur un serveur FTP n’est absolument pas sécurisée, les logins et mots de
passe pouvant être très facilement interceptables sur le réseau. Il est nécessaire d’avoir un serveur (et des
clients !) supportant une extension de FTP (rfc2228) pour une authentification sécurisée, ou un serveur
implémentant le SSL.
Si l’on doit pour des raisons d’ouverture au monde Internet ou des raisons "business" fortes, utiliser le
protocole ftp, il faudra prévoir une architecture DMZ avec serveur proxy correctement durci.
On lui préférera en général un autre moyen : HTTPS ou SFTP par exemple. Dans le cas où les deux
extrémités sont parfaitement identifiées, un canal ssh ou vpn avec un protocole tel que SFTP ou rsync peut
aussi convenir.

LE
72 SATURATION DES RESSOURCES
Saturation de ressources
Déni de service (DoS)
☺ Le but d'une telle attaque n'est pas de dérober des informations sur une machine distante, mais de
paralyser un service ou un réseau complet (à tous les niveaux : IP, UDP, TCP, ICMP, routage,
saturation, …). Les attaques Dos sont généralement utilisées lorsque l'on ne peut pas pénétrer un
système et que l'on préfère le faire couler ou l‘invalider.
Nous pouvons considérer qu'il existe deux types de dénis de service : le deni de service applicatif et le
déni de service réseau.
Le déni de service applicatif exploite les vulnérabilités d'une application comme par exemple des
dépassements de tampon (buffer overflow), ou encore la saturation de ressources (Ping of the death, syn
flood). Les dénis de service applicatifs exploitent les faiblesses de la conception d'un protocole ou de son
implémentation.
Les attaques par déni de service réseau se distinguent en différentes techniques :

• l'attaque directe. La cible est attaqué directement, dans ce cas l'attaquant dispose d'une bande
passante supérieure ou égale à la cible.
• l'attaque par rebond. Pour une action de l'attaquant, la cible reçoit N attaques, provenant de
plusieurs autres machines intermédiaires, comme par exemple dans le cas du smurf.
• l'attaque par réflexion. L'attaquant ne contacte pas directement la
victime, mais génère des paquets spoofés avec comme adresse
source celle de la victime. Il envoie alors les paquets à des serveurs
légitimes qui répondront à la victime.
• l'attaque distribuée (DDoS). L'attaquant dirige plusieurs machines
qui servent de relais et agissent en même temps dans le but
d'amplifier l'attaque et de multiplier les origines de ces attaques.
Les codes pour faire des attaques de type refus de services peuvent être écrits
dans différents langages : du C au PERL en passant par le python.
Attaque popularisée le 14 février 2000 sur quelques sites .com renommés

(eBay, CNN, Amazon, Microsoft, …). Le coupable « Mafiaboy », 15 ans, est
arrêté au Canada le 15 avril et condamné à 8 mois de détention.
Déni de service distribué (DDoS)

☺ Il existe aussi l’Attaque en Deni de Service Distribue (DDoS),
ce sont actuellement les attaques les plus d´dévastatrices. Elles
reposent sur l'utilisation d'agents aussi appelés daemons qui sont
déployés sur le maximum de machines possible. Le pirate installe le
daemon sur des machines mal s´sécurisées connectées à Internet,
soit en les piratant, soit à l'aide d'un ver. Les agents exécuteront
alors simultanément les commandes ordonnées par le pirate pour
attaquer une cible prédéfinie.
L'agent (le daemon).

Les premiers types d'agents étaient des applications complètes
dédiées à l'attaque. Aujourd'hui ils prennent la forme de chevaux de
Troie et sont souvent combinés avec les fonctionnalités de virus et
de ver pour s'approprier rapidement un maximum de machines via le
réseau Internet : ordinateurs personnels, serveurs, routeurs,
assistants personnels, téléphones portables...

SATURATION DES RESSOURCES 73
Les moyens à la disposition du pirate pour répandre ses agents sont nombreux :
. les réseaux peer-to-peer tels que kazaa, Gnutella, audiogalaxy...
. les fichiers humoristiques aux formats Word, flash etc.
. les sites pirates
. les sites de téléchargement de jeux
. les sites à caractère pornographique
L'agent peut avoir été écrit de façon à être très léger pour s'introduire dans un système via une application
anodine (cheval de Troie), puis une fois installé récupérer les exploits nécessaires via le réseau en fonction
des informations récoltées sur la machine compromise
Les architectures
Les pirates exploitent des techniques de plus en plus élaborées. Par exemple Tribal Flood Network (TFN),
un système en architecture deux tiers
(client-serveur) permet à un client de
contrôler plusieurs daemons qui vont
attaquer la cible. Trin00 un autre
système, fonctionne lui, en architecture
trois tiers : le pirate dirige des serveurs
maîtres (masters) qui contrôlent les
daemons. Le troisième tiers augmente la
difficulté à tracer la source de l'attaque en
ajoutant une couche aux
communications.
De plus les moyens de communication

entre le pirate et les agents sont
nombreux et très difficiles à détecter :
messages ICMP (Internet Control
Message Protocol), segment TCP
(Transfert Control Protocol), datagramme UDP (User Datagram Protocol), IRC (Internet Relay Chat),
messagerie instantanée, nœud peer-to-peer...
BotNets :
Herding : Dimunitif de BotNets Herding, bot étant le diminutif de robot, et Herding venant de Herder
qui veut dire berger. Ces réseaux de PC détournés à l'insu de leurs propriétaires sont devenus la clé
de voûte du business des escrocs sur le web. Ils servent désormais à remplir toutes sortes de tâches
illégales et lucratives tout en en faisant porter la responsabilité à leurs propriétaires ignorants. Un BotNets
est un réseau constitué de bots (machines zombies sous contrôle à distance), ce réseau est contrôlé par un
botherd, bot Herder, Zombie Master, Bot Master ou Jean Kevin. Le contrôle du BotNets se fait par
l’intermédiaire d’un canal de contrôle et de communication également appelé « C&C ».
Les BotNets sont aujourd’hui créés uniquement à des fins malveillantes qui sont, entre autres, les suivantes:
• Attaque en dénis de service (DDOS ou Distributed Denial of Service)
• Envoie de SPAM
• Vol d'informations
• Le phishing
• Exploiter les ressources des machines infectées
---------------------------------------------------------------------------------------------------------------------------------
Pour information, il existerait aujourd'hui sur Internet entre 4000 et 5000 BotNets actifs.
En début d'année 2010, plusieurs BotNets ont été découverts.
Les mesures à prendre afin d'éviter de faire partie d'un réseau de BotNets sont les suivantes:
• Avoir un Anti-virus à jour.
• Avoir un Anti-malware à jour.
• Avoir un HIDS/HIPS à jour.
• Disposer d'un bon mot de passe.
• Gérer les droits utilisateurs.

LE
74 SATURATION DES RESSOURCES
• Avoir un Anti-Spam à jour au niveau de la boite mail.
• Mettre à jour le système d'exploitation et les applications type Adobe Reader, Java, etc.
• Installer un pare-feu.
• Ouvrir les emails et les fichiers avec prudence.
Ces mesures sont assez classiques mais trop souvent oubliées. Il est aujourd'hui très
important de s'y tenir pour maintenir le parc machine sécurisé.
TCP : SYN-Flooding (même avec firewall)

Envoi massif de paquets SYN avec des adresses sources aléatoires
En moins d’une minute le serveur est saturé, il ne répond plus aux vraies requêtes
Voici quelques autres exemples :

ACK-storm (contre Firewall-1)
UDP-flood (contre IOS)
Snork (contre Windows NT)
Nestea (contre Linux)
===============================================================================
L'intérêt de pktbuilder10_build150 est d'émettre un datagramme en Tcp Syn et d’identifier si une
application est active sur le PC distant recevant en retour un Ack. C'est intéressant dans le cas où un hôte
distant ne répond pas au Ping (Icmp) ou qu'un Firewall bloque les paquets Icmp.
1. Dans Panneau de configuration, Performances et maintenance, Outils d’administration, icône Services,
double-cliquez sur Telnet.
2. Dans Type de démarrage, choisir : Automatique, puis Appliquer, puis Démarrer, et OK, puis fermer
toutes les boites de dialogues (le service « tlntsrv.exe » est démarré) Le firewall de XP ne doit pas être activé.
3. Dans Colasoft Packet Builder, cliquez sur Add, dans Select Template choisir TCP Packet, puis OK, dans
Ethernet II Header, mettre dans Destination Address l’@MAC du partenaire, dans Source Address, mettre
votre @MAC (voir commande C:\> getmac.exe), dans IP – Internet Protocol, dans Source IP mettre vore @IP,
dans Destination IP mettre l’@IP de votre partenaire, dans l’entête TCP – Transport Control Protocol, dans
Source Port mettre 2048 (ou une valeur > à 1023), dans Destination Port mettre 23 (17 en décimal). Démarrer
le snifer Wireshark (ne pas oublier de choisir votre carte réseau : 3COM, dans le menu capture, puis options).
4. Dans Packet List de pktbuilder10, sélèctionnez votre trame, puis dans le menu Send cliquez sur Send
Selected Paquet, puis dans Select choisir votre carte réseau, et cliquez sur Start.
5. Sur votre machine (Wireshark) cliquez sur Stop, pour arrêter la capture de trames et afficher celles-ci, choisir
votre adaptateur réseau, puis Start.
6. Vérifier dans la capture de trames les éléments cités ci-dessus…..
7. Oberserver via wireshark ayant comme filtre « Telnet », les Flags de l’en-tête TCP : le bit ACK ainsi que le
bit SYN (trame allez er retour).
8. Fermer le programme wireshark.
9. Désactiver et arrêter le service Telnet (Dans Panneau de configuration, Performances et maintenance,
Outils d’administration, icône Services, double-cliquez sur Telnet.)
===============================================================================

VULNERABILITES 0-DAY 75
Le marché des vulnérabilités "0-Day"
Les vulnérabilités "0-Day" sont devenues de plus en plus prisées par les pirates ainsi que par les
entreprises, ou même les gouvernements.
☺ Ces vulnérabilités "0-Day" sont en fait des failles de sécurité qui ne sont pas encore connues des éditeurs
de logiciels, donc n’ayant pas encore de correctif disponible.
Ainsi, un véritable marché noir s'est développé autour de ces vulnérabilités.
Un marché "blanc" s'est aussi créé. Celui-ci est notamment dirigé par VeriSign, TippingPoint et Google
qui achètent les vulnérabilités "0-Day", puis avertissent les entreprises pour qu'elles puissent fournir un
correctif avant que les failles n'aient pu être exploitées. Les hackers, pour qui découvrir une vulnérabilité
"0-Day" prend souvent plusieurs mois, n'hésitent alors pas à revendre leurs trouvailles pour plusieurs
dizaines, voire centaines, de milliers d'euros.
Ainsi, d'après TippingPoint, certaines vulnérabilités peuvent atteindre jusqu'à 1 million de dollars.
Mozilla et Google offrent une modeste somme (maximum un peu plus de 1300$) pour une vulnérabilité
découverte sur leur navigateur Internet respectif.
Cette somme peut paraître bien dérisoire par rapport au 40 000$
qu'aurait coûté l'achat du "0-Day" utilisé lors de "l'Opération
Aurora". Charlie Miller, un chercheur en sécurité qui a vendu une
vulnérabilité découverte dans Linux à un gouvernement pour 50 000$,
affirme que livrer la vulnérabilité gratuitement à l'éditeur ou la
revendre est une décision très difficile à prendre. Néanmoins, il
reconnaît qu'il est difficile de refuser une telle somme d'argent.
Ce début d'année 2010 fut particulièrement fructueux en termes de

vulnérabilités critiques et d'exploits en tout genre. Tous les principaux
logiciels "end-user" ont été ciblés d'Internet Explorer en passant par
Adobe Reader ou encore Firefox...
Une faille de type Oday affectant Firefox serait actuellement exploitée

sur Internet. Celle-ci permettrait à un pirate de compromettre un
système via l’installation d’un malware sur le poste de l’internaute
(version concernée de FireFox 3.5 et 3.6).

LE
76 MAIL BOMBING
Mail Bombing
Le Mail Bombing consiste à envoyer un nombre faramineux d'emails (plusieurs milliers par exemple) à un
ou des destinataires. L'objectif étant de :
• ☺ saturer le serveur de mails (SMTP)

• ☺ saturer la bande passante du serveur et du ou des destinataires,
• ☺ rendre impossible aux destinataires de continuer à utiliser l'adresse électronique.
Il est nécessaire pour l'auteur de l'attaque de se procurer un logiciel permettant de réaliser le mail bombing.
Voici comment cela fonctionne

Exemple : X-Mas 2000
Les paramètres d’utilisation sont simples, il suffit de rentrer les champs suivants :
Adresse IP ou DNS du serveur SMTP et le port TCP du service
Nombre de mails à envoyer
Adresse mail source et destination
Copies et en-tête supplémentaires
Corps du mail
Remplir les champs de manière aléatoire
Tester la présence du serveur SMTP
Définir des en-têtes supplémentaires
L’application permet également d’inclure des pièces jointes au mail. Il suffit ensuite de cliquer sur « send »
et la magie s’opère…
De plus, X-Mas 2000 possède une liste de serveurs SMTP qui laissent passer le mail bombing.

MAIL BOMBING 77
L’application embarque également des fichiers intéressants à mettre en pièce jointe comme des virus,
troyen et exploits… Cependant ces fichiers sont des exploitations bien connues et systématiquement
repérées par le moindre des antivirus.
Evitez cette attaque
Avant de prendre le risque d'avoir une adresse électronique inutilisable mieux vaut prendre ses précautions
• Si vous avez une adresse personnelle à laquelle vous tenez, ne la communiquez qu'aux personnes
dignes de confiance,
• Créez vous un second compte de messagerie, pour tout ce qui est mailing list par exemple et
groupe des discussions, ainsi, vous ne craignez pas de perdre d'informations vitales. Si ce compte
est attaqué vous pourrez sans difficulté reprendre une autre adresse et vous réabonner.
• Utilisez Email remove pour éviter les mails bombers.
Vous pouvez au préalable vérifier le contenu du message en faisant un clic gauche avec la souris sur le
message. Cela vous donnera des éléments sur le corps du message et sur l'expéditeur.
Vous avez été attaqué :

Si vous avez été victime d'un mail bombing, il est parfois possible de remonter jusqu'à l'émetteur.
En effet, il existe des informations dans chaque message qui donnent des informations sur leur auteur.
Voici un exemple de propriétés de message :
Si vous retrouvez des informations comme l'adresse

email ou le serveur qui ont permis l'arrivée des
messages, il est important de se plaindre auprès du
fournisseur d'accès. En effet, dans la plupart des cas les
fournisseurs d'accès n'apprécient pas ce type de
procédés via leurs serveurs et prennent toutes les
mesures nécessaires pour empêcher les auteurs de
recommencer.
Quid de la loi ?
Le mail bombing n'est, à priori, pas illégal. Il n'existe pas de limite légale déterminant le nombre
maximum de messages à envoyer à un internaute. Cependant, les fournisseurs d'accès à Internet
n'apprécient pas ce type de procédés. Tout d’abord, la totalité des fournisseurs d’accès interdisent dans
leurs conditions générales la pratique du mail bombing. Les contrevenants peuvent donc voir leur
contrat résilié. L’atteinte à un système de traitement automatisé de données (STAD) est aussi
condamnée par la loi article 323-1 du Code pénal).Dernièrement un mail bomber a été condamné à 8
mois de prison avec sursis et 20000€ de dommages et intérêts par le TGI de Paris.
Sniffer (écoute d’un réseau)

Le terme sniffer est une marque déposée, enregistrée par Network Associates. Elle se réfère à « Sniffer
Network Analyser ». Est plus populaire que des termes tels que « Analyseur de protocole » et « Analyseur
de réseau ».

LE
78 ANALYSEUR DE TRAMES
Il peut capturer n’importe quelles informations et données à travers le réseau local et les afficher sur l’écran
pour analyse et lecture, à condition de ne pas être cryptées comme par exemples l’identité des utilisateurs,
les mots de passe, et le contenu des emails.
En effet, les sniffers sont utilisés par les administrateurs réseaux pour le bon fonctionnement des réseaux
(contrôle de congestion, contrôle d’erreurs, statistiques sur le trafic réseau, etc…).
Donc dans ce cas, les sniffers assistent les administrateurs réseaux dans l’analyse des pannes pour
découvrir les problèmes, tels que la coupure de connexion entre deux ordinateurs, et les goulots
d’étranglement du réseau. Ils aideront aussi à détecter les tentatives d’intrusion dans les réseaux.
Mais les sniffers sont également utilisés fréquemment par les hackers pour espionner illégalement les
données transitant dans les réseaux.
☺ Aujourd’hui, les sniffers comptent parmi les outils les plus utilisés par les hackers.
Ils permettent de visualiser notamment le type de service pour chaque connexion (FTP, HTTP, Telnet,
SMTP, etc..).Il est aussi possible de visualiser les différents champs des en-têtes (IP, ARP, ICMP, TCP,
UDP, DNS, FTP, HTTP, etc…).
☺ Les cartes réseaux qui permettent aux ordinateurs de se connecter aux réseaux, fonctionnent en deux
modes, à savoir le mode Normal et le mode Promiscuous. Par défaut les cartes réseau fonctionnent en
mode Normal, ce mode permet à une carte de filtrer les paquets reçus et d’accepter uniquement le trafic lui
étant destiné. Par contre le mode Promiscuous permet à la carte d’accepter tous les paquets circulant dans
le réseau local ou sans fil, même ceux qui ne lui sont pas destinés. C’est le programme sniffer qui fait
passer la carte réseau du mode Normal au mode Promiscuous.
Tous les sniffers sont disponibles sur le Web et en grand nombre (Wireshark ex Ethereal, Sniffer Pro,
CommView, Sniff’em, Tcpdump, Windump, Snort, Sniffit, BlackICE Pro, Linsniff, LANWatch,
BUTTSniffer, Win Sniffer, Ace Password Sniffer, EtherPeek, AirPeek,
CommView for Wifi).
Wireshark s’avère très utile dans les cas suivants :

1). ☺ Sécurité préventive :
Comment se comporte ce nouveau logiciel, que ce soit un nouveau plugin
Firefox ou un logiciel de sécurisation de sa ligne ADSL, que je m’apprête
à déployer sur mon poste de ?.
Comment s’intègre-t-il dans l’existant ?
Quelles sont les données envoyées ou reçues par ce biais?
2). ☺ Sécurité réactive ou défensive :
Analyse des traces effectuées durant une attaque.
3). ☺ Résolution d’incidents :
Sans que ceux-ci soient forcément liés à un problème de sécurité stricto sensu : Wireshark remplit alors la
fonction de debugger réseau.
Les fonctionnalités de capture de Wireshark s’appuient sur la bibliothèque open source libcap ou sous
Windows WinPcap pour les réseaux filaires et AirPcap pour les réseaux sans fil.
Dans un réseau partagé ou toutes les machines sont reliées à un concentrateur réseau (HUB), les trames
arrivant sur un hub sont envoyées sur toutes les lignes, pour être reçues par toutes les stations. Ici un
utilisateur malveillant situé sur le même réseau peut espionner un trafic qui ne lui est pas destiné.
Un sniffer classique capture seulement les paquets circulant dans le segment réseau de la machine
exécutant ce Sniffer (Hub). Il ne peut donc pas capturer les paquets qui ne passent pas par le réseau de la
machine exécutant le sniffer.
Cependant, il existe des sniffers qui peuvent être installés dans un segment réseau et être contrôlables à
partir d’un autre segment. Ces sniffers sont basés sur la technologie client/serveur, le programme serveur
est installé dans une machine du segment cible, le programme client est installé dans une machine située
dans un autre segment. C’est le programme client qui va activer et contrôler le programme serveur du

ANALYSEUR DE TRAMES 79
sniffer, le programme serveur peut capturer les paquets et les enregistrer dans un fichier qu’il envoie
ensuite au programme client.
Le hacker est alors capable d’espionner à distance le réseau de l’entreprise et voir toutes les activités des
utilisateurs du réseau. Les mots de passe, le contenu des emails, et les sites Web visités sont des exemples
d’informations que l’agresseur va collecter à distance. Sans aucun problème et à l’insu de tous.
Voir application : ex CommView Remote Agent.
C’est aussi un outil indispensable pour les professionnels du réseau.
Dans un réseau commuté, toutes les stations sont reliées à un commutateur (Switch) qui s’occupe
d’envoyer les trames qu’il reçoit aux bons destinataires, les autres machines n’y ont pas accès.
Donc dans un réseau commuté le sniffing semble impossible à réaliser puisque seul le destinataire reçoit les
trames qui lui sont envoyées, même avec les cartes réseau en mode Promiscuous.
L’attaque Man-in-the-Middle permet de rediriger le trafic réseau entre deux machines cibles vers la
machine de l’agresseur et le retransmettre de nouveau à la destination d’origine.
Dsniff est le premier programme qui a rendu possible le sniffing dans un réseau local commuté, il en existe
d’autres : Dsniff, Ettercap, Angst, Taranis, arp-sk, ARPoison, Parasite, Snarp.
Un agresseur peut configurer son sniffer afin de capturer des paquets selon des critères de filtrage définis
par l’utilisateur. Comme exemple, l’agresseur définit des filtres de sorte que le sniffer ne capture que les
paquets dont le port est égal à 25 (SMTP). En principe tout trafic utilisant le port 25 est un trafic
correspondant à des emails. Puisque les données dans les emails sont en général non cryptées, l’agresseur
peut alors facilement lire le contenu des emails transitant par le réseau.
☺ Ces services envoient leurs informations en clair HTTP (TCP 80), POP3 (TCP 110), FTP (TCP 21,
20), Telnet (TCP 23), SMTP (TCP 25), SNMP (UDP 161).
Utiliser les protocoles énumérés ci-dessus en particulier dans un réseau inconnu, est source de problèmes.
Un client est configuré pour travailler le plus souvent avec les protocoles POP3 et SMTP, il est
recommandé d’accéder à votre compte de messagerie via le Web si vous travailler dans un réseau étranger
(Web mailer), la plupart des serveurs de messagerie proposent actuellement une connexion chiffrée.
Voici un exemple de trame capturée avec Wireshark, ici on constate qu’avec Pop3 le login Nom +
Password sont en clair.
Comment configurer une adresse email avec Outlook 2003 (avec SSL)
================================================================================
1). Ouvrez le logiciel Outlook 2003
2). Dans le menu principal, cliquez sur « Outils », cliquez ensuite sur « Comptes de messagerie… »
3). Sélectionnez « Ajouter un nouveau compte de messagerie » puis cliquez sur « Suivant », dans la fenêtre
« Type de serveur », sélectionnez « POP3 », dans la fenêtre « Compte de messagerie », inscrivez votre adresse

LE
email l (par exemple mon-nom@ma-societe.fr) dans le champ « Votre Nom », inscrivez votre adresse email (par
exemple mon-nom@ma-societe.fr) dans le champ « Adresse de messagerie ».
4). Inscrivez votre adresse email (par exemple mon-nom@ma-societe.fr) dans le champ « Nom d’utilisateur »
5). Dans le champ « Mot de passe », inscrivez votre mot de passe unique Hubiquity
6). Dans le champ « Serveur de courrier entrant (POP3) », inscrivez « pop.hubiquity.fr »
7). Dans le champ « Serveur de courrier sortant (SMTP) », inscrivez « smtp.hubiquity.fr »
8). Cliquez ensuite sur le bouton « Paramètres supplémentaires… », inscrivez votre adresse email (par
exemple mon-nomp@ma-societe.fr) dans le champ « Compte de Messagerie » de l’onglet « Général »,
inscrivez votre adresse email (par exemple mon-nomp@ma-societe.fr) dans le champ « Répondre au courrier »
de l’onglet « Général », cliquez sur l’onglet « Serveur Sortant », cochez la case « Mon serveur sortant
requiert une authentification » et assurez vous que soit bien coché le choix « Utiliser les mêmes paramètres
que mon serveur entrant », cliquez sur l’onglet « Option Avancées »
9). Pour le champ « Serveur entrant POP », cliquez sur « Ce serveur nécessite une connexion sécurisée » et
vérifiez que la valeur du port est passée à 995
10). Modifiez la valeur du champ « Serveur sortant
SMTP » avec la valeur 465 et cliquez sur « Ce serveur
nécessite une connexion sécurisée », cliquez sur le bouton
« OK »
11). De retour dans la fenêtre « Compte de messagerie »,
cliquez sur Suivant pour terminer la configuration de votre
compte email.
==========================================
Remarque : le port pour IMAP4 est le 993 (SSL),
☺ POP3 (SSL) : Port 995, ☺ SMTP (SSL) : Port 465
Plus simplement encore, l’utilisateur malveillant peut se servir d’un sniffer dédié à la capture des logins et
mots de passe, tel que les sniffers de mots de passe WinSniffer (www.winsniffer.com) et Ace Password
Sniffer (www.effetech.com). Il est clair que ce type d’attaque touche à la vie privée des utilisateurs réseau.
Conclusion
Les sniffers sont donc une arme à double tranchant. Il s’agit en effet d’un outil de gestion de réseaux qui
permet de détecter des activités suspectes et de contrôler les accès, mais aussi, un outil qui permet
« d’écouter » les communications qui transitent sur le réseau et de s’approprier des infos très sensibles.
Parades :
- utilisez anti-sniff (qui repère les sniffers et les cartes réseau en mode promiscuité)
- cryptez les paquets circulant sur le réseau,
- vérifiez régulièrement les tables de routage,
- désactivez les protocoles non utilisés.
Détecter un sniffer
Théoriquement, les sniffers sont "invisibles". Ils peuvent être entièrement passifs, et peuvent seulement
servir à écouter. La seule manière pour détecter un sniffer dans ce cas, est de contrôler si l'interface réseau
n'est pas en Promiscuous mode.
Il existe différentes applications qui contrôlent si l'interface de réseau est en mode Promiscuous comme
CPM (check Promiscuous Mode), AntiSniff, PromiScan, proDETECT, PMD. Une autre méthode est
d'exécuter: ifconfig -a (machine Linux) ceci énumérera les interfaces réseaux, et affichera toutes les
informations à leur sujet. Le mot PROMISC signifie que la carte est en mode Promiscuous.
Exécuter la commande : ifconfig -a | grep PROMISC ceci vous affichera les cartes qui sont en mode
Promiscuous (ce type de commande peut être facilement incorporé à une entrée dans cron, cela peut
fonctionner d'heure en heure ou par jour pour vérifier la présence d'un sniffeur : attention cela ne
fonctionne pas sur toutes les versions linux !!!!!).
HTTP Sniffer : Effetech, décode le Protocol http et génère un rapport de trafic Web.
MSN Sniffer : enregistre les conversations automatiquement, les messages sans être détecté.

===============================================================================
Utilitaire pour vérifier si une carte réseau est en mode Promiscuité
2. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP
3. Copier le fichier : PMD_010.zip vers votre dossier C:\Temp et décompressez-le.
4. Double-cliquez sur le fichier pmd.exe pour l’exécuter.
5. Dans Adaptateur, sélectionner votre carte réseau (3COM), cliquez ensuite sur NIC Setup, dans :
Start IP : mettre 192.168.x.1
Stop IP : mettre 192.168.x.254
Hw addr : choisir FF FF FF FF FF FE
6. Demandez à votre partenaire de démarrer son sniffeur.
7. Cliquez sur le bouton Start plusieurs fois pour lancer l’analyse.
8. Dans la partie basse de pmd.exe, rechercher l’info Done, puis 1.8.0.6 replies as Promiscuous,
normalement l’adresse IP située juste au dessus est une machine qui utilise un sniffeur. Si l’information
1.8.0.6 replies as Promiscuous n’apparaît pas cela implique que le sniffeur n’est pas activé.
===============================================================================
===============================================================================
Sniffer et capture de trames (ex : mot de passe pour une session Telnet)
2. Dans Panneau de configuration, Performances et maintenance, Outils d’administration, icône Services,
double-cliquez sur Telnet.
3. Dans Type de démarrage, choisir : Automatique, puis Appliquer, puis Démarrer, et OK, puis fermer
toutes les boites de dialogues (le service « tlntsrv.exe » est démarré). Le firewall de XP ne doit pas être activé
pour l’instant.
4. Créer sur votre machine un compte utilisateur avec des droits d’administrateur (l’ajouter au groupe
Administrateurs) :
Nom : Marcel
Mot de passe : P@sswrd1
Remarque : demander à votre partenaire ci celui-ci à terminer la création du compte utilisateur Marcel? : ____,
si Oui, vous pouvez continuer le TP.
5. Démarrer wireshark (ne pas oublier de choisir votre carte réseau : 3COM, dans le menu capture, puis
options), afin de capturer les trames de connexion Telnet.
6. Faites un Telnet sur la machine de votre partenaire : C:\> Telnet 192.168.x.y, au message proposé, taper
« o ». Au login, tapez : Marcel, au mot de passe : P@sswrd1, l’invite de commande affichée est celle de votre
partenaire, tapez en invite de commande C:\> ipconfig /all, vous devez obtenir l’adresse IP de votre partenaire.
Tapez exit pour quitter l’invite Telnet sur le partenaire.
8. Sur votre machine cliquez sur Stop (au niveau wireshark), pour arrêter la capture de trames et afficher celles-
ci.
9. Essayer de visualiser le nom et le mot de passe de connexion pour la session Telnet initiée vers la machine de
votre partenaire, ici : Nom : administrateur, password : P@sswrd1, (chaque lettre apparaît dans une trame
différente, voir dessin ci-dessous.). Vous pourriez mettre un filtre sur wireshark de type « Telnet » afin de
n’afficher que ce type de trames.

LE
10Dans wireshark sélectionner une trame de type Telnet Data… (voir dessin ci-dessus), puis menu Analyse,
puis Follow TCP Stream. Observer le résultat de cet affichage ? : ____________________________________
11. Fermer le programme wireshark.
12. Désactiver et arrêter le service Telnet (Dans Panneau de configuration, Performances et maintenance,
Outils d’administration, icône Services, double-cliquez sur Telnet).
===============================================================================
☺ Utilisez à la place des outils comme « SSH (TCP Port 22) », le mot de passe ne circule plus en
clair sur le réseau…..
SSH est à la fois un protocole et un ensemble de programmes. SSH se base sur le protocole SOCKS v5
intégré dans la plupart des équipements réseau. SSH apporte donc une amélioration indéniable aux
protocoles non sécurisés tels que Telnet, Rlogin, FTP…Il existe un client SSH très connu sous Windows et
Unix Putty.
Pour filtrer des requêtes sur les informations accumulées dans les captures de Wireshark, il est nécessaire
d’avoir une connaissance de base de ses opérateurs et de sa syntaxe.

===============================================================================
Installation d’un Client et Serveur SSH
1. Ouvrez une session avec des droits d'administration :
2. Créer le compte utilisateur suivant :
-Nom d’utilisateur : marcel
-Mot de passe : P@sswrdxxxx
-Confirmer le mot de passe : P@sswrdxxxx
-Décochez l’utilisateur doit changer son mot de passe à la prochaine ouverture de session
-Cochez l’utilisateur ne peut pas changer le mot de passe
-Cochez le mot de passe n’expire jamais, puis cliquez sur Créer, puis Fermer.
3. Via l’Explorateur de Windows, créer un dossier C:\Temp\marcel. Mettre un fichier texte quelconque dans le
dossier C:\Temp\marcel.
5. Double-cliquez sur le fichier : SSHWinClient-3.1.0-build235
6. Dans la page Welcome to SSH Secure Shell setup wizard, cliquez sur Next, dans la page Licence
Agreement cliquez sur Yes, dans la page Choose Destination Location, laisser les propositions par défaut et
cliquez sur Next, dans la page Select Program Folder laisser la proposition par défaut et cliquez sur Next, dans
la page Select Components cliquez sur Next, puis dans la page InstallShield Wizard Complete cliquez sur
Finish.
8. Double-cliquez sur le fichier : SSHWinServer
9. Dans la page Welcome to the installation wizard for SSH Secure Shell for Window Servers cliquez sur
Next, dans la page Licence Agrent cliquez sur Yes, dans la page Choose Destination Location laisser la
proposition par défaut puis cliquez sur Next, dans la page Select Program Folder, cliquez sur Next, dans la
page Generating Server Host Keypair bouger la souris pour générer une clé, cliquez sur Next, dans la page
Installation Complete, décochez View the ReadMe file, puis cliquez sur Finish.
10. Bouton Démarrer, puis Tous les programmes, puis SSH Secure Shell Server, puis Start Server.
11. Vérifier dans le Gestionnaire de tâches de Windows que le processus (onglet Processus) ssh2master.exe
est lancé.
12. Bouton Démarrer, puis Tous les programmes, puis SSH Secure Shell Server, puis Configuration, dans
Encryption dans Ciphers choisir AnyCipher, dans MACs choisir AnyMac, dans Host Restrictions, dans
Allow login from hosts, mettre l’adresse IP de la machine du partenaire (le nom de la machine pourrait aussi
être utilisé), dans User Restrictions dans Allow login for users mettre le nom d’un utilisateur existant chez
vous, qui sera utilisé par votre partenaire lors de la connexion (ex : marcel), puis OK
Attendre que votre partenaire soit arrivé à la même étape avant de poursuivre le TP
13. Sur le bureau, cliquez sur l’icône SSH Secure Shell Client, puis cliquez sur le bouton profiles, puis Edit
profiles (profil par défaut), dans l’onglet Connection, mettre dans Host Name : l’adresse IP de la machine du
partenaire (serveur SSH), dans User name : un nom utilisateur existant chez le partenaire (ex : marcel),
laisser tous les autres propositions par défaut et cliquez sur l’onglet Authentification, mettre dans le champ
Authentication Methods, Password en première position, puis OK
14. Sur votre bureau, cliquez sur l’icône Wireshark pour l’exécuter.
15. Basculez vers SSH Secure Shell Client, cliquez sur le bouton Quick Connect, vérifier les infos de
connexion, puis cliquez sur Connect, cliquez sur Yes pour sauvegarder votre clé en local, saisir ensuite le mot de
passe de l’utilisateur Marcel : P@sswrdxxxx, puis sur OK. Arrêtez la capture de trames via Wireshark, et
analysez les trames pour la connexion SSH (N° de port 22).
Attendre que votre partenaire soit arrivé à la même étape avant de poursuivre le TP
16. Allez dans Configuration de SSH Secure Shell Server, cliquez sur SFTP Server, dans User SFTP
directory, mettre : C:/temp/%U, puis Ok (si le répertoire Temp n’existe pas, il faudra le créer avant)
17. Sur votre bureau, double-cliquez sur l’icône SSH Secure File Transfer Client, cliquez sur Quick Connect.
-Dans Host Name : @ IP du partenaire
-Dans User Name : marcel
-Dans Port Number : 22
-Dans Authentication Method : Password
18. cliquez sur Connect, essayez de copier un fichier dans le dossier Temp de la machine du partenaire……

LE
84 CONTOURNEMENT/EVASION
Contournement et évasion de filtrage réseau par tunneling

La plupart des grandes entreprises
utilisent un proxy web pour permettre
aux employés d’y accéder de façon
contrôlée. L’utilisation d’un proxy
permet à l’entreprise d’avoir un certain
contrôle sur les accès qui sont faits par
les utilisateurs en appliquant un filtrage
sur les requêtes web du client et en
bloquant l’accès aux sites non
désirables. Il est donc normal que cet
accès soit le premier abusé, et que les
outils efficaces pour ce faire soient
déjà disponibles.
Pour accéder au web il faut deux ports ouverts qui autorisent les connexions sortantes. Le port 80 est
associé au HTTP et le port 443 est associé au HTTPS.
Avec les « canaux cachés (tunneling) » si le trafic est autorisé, le protocole employé peut servir de support
à l’envoie d’informations, il devient difficile de le détecter.
Ce que permettent les canaux cachés :

• Naviguer sur des sites non autorisés, tchater via ICQ ou IRC
• Accéder à certains serveurs sur Internet et contrôler des postes distants
• Télécharger des fichiers avec des extensions filtrées
• Télécharger des fichiers comportant du code malveillant
Qui utilise cette technique :
• Les hackers, Les employer mécontents
• Les utilisateurs dans un réseau interne de l’entreprise
L’utilisation des canaux cachés pour le transfert de données au sein de votre réseau d’entreprise doit se
faire dans un cadre légal.
SSL/TLS
SSL (Netscape)) signifie Secure Sockets Layer et son équivalent actuel TLS signifie Transport Secured
Layer. Ils sont tous les deux des protocoles situés entre le niveau Transport et Application.
SSL et TLS se comportent en effet comme une couche intermédiaire supplémentaire, car ils sont
indépendants du protocole utilisé au niveau application. Cela signifie donc qu'il peut aussi bien être
employé pour sécuriser une transaction web, l'envoi ou la réception d'email, etc. SSL et TLS sont donc
transparents pour l'utilisateur et ne nécessitent pas l'emploi de protocoles de niveau Application spécifiques.
Les ports et applications utilisant SSL et TLS

Voici la liste des applications exploitant SSL et TLS avec leurs ports TCP associés :
Protocol :HTTPS
Port :TCP :443
Description : HTTP sur SSL et TLS
Protocole :SMTPS
Port :TCP :465
Description : SMTP sur SSL et TLS
Protocole :TELNETS
Port :TCP :992
Description : Telnet sur SSL et TLS
Protocole :IMAPS
Port :TCP :993
Description : IMAP4 sur SSL et TLS
Protocole :POP3S
Port :TCP :995
Description : POP3 sur SSL et TLS

CONTOURNEMENT/EVASION 85
Les réseaux privés virtuels (VPN)
On peut imaginer, et de plus en plus c’est ce qui sera réalisé, le chiffrement systématique de toutes les
communications en réseau.
Si l’on procède ainsi, chiffrer message par message serait très inefficace : on choisira plutôt de chiffrer le
flux de l’ensemble du trafic sur un ou plusieurs itinéraires donnés, cela constituera un réseau privé virtuel,
ou VPN, comme Virtual Private Network. Il s’agira par exemple d’établir un canal chiffré entre deux
noeuds quelconques de l’Internet, ces noeuds pouvant eux-mêmes être des routeurs d’entrée de réseaux. On
aura ainsi établi une sorte de tunnel qui, à travers l’Internet, reliera deux parties éloignées l’une de l’autre
du réseau d’une même entreprise pour donner l’illusion de leur contiguïté. Mais le chiffrement permet aussi
d’établir un VPN personnel pour un utilisateur, par exemple entre son ordinateur portable et le réseau local
de l’entreprise.
Il y a en revanche une assez grande variété de solutions pour introduire le VPN dans l’architecture du
réseau :
• ☺ Couche 2 : Mentionnons ici pour mémoire les réseaux locaux virtuels (VLAN), L2TP (Layer
Two Tunneling Protocol), comme son nom l’indique, encapsule une liaison de couche 2 (liaison de
données) sur un lien réseau (couche 3) ce qui permet à un PC distant d’avoir accès au réseau de
son entreprise comme s’il était connecté au réseau local, et ainsi d’avoir accès aux serveurs de
fichiers, aux imprimantes, etc.. Voir également PPTP.
• ☺ Couche 3 : introduire le VPN au niveau de la couche réseau (no 3 du modèle ISO), c’est la
solution retenue par la pile de protocoles désignés collectivement par l’acronyme IPSec.
MPLS (Multi-Protocol Label Switching, RFC 2547) est un protocole de niveau 3 (réseau) qui
permet d’établir un tunnel privé au sein d’un réseau public ; il est surtout utilisé par les
fournisseurs d’accès à l’Internet pour proposer à leurs clients un moyen de créer un réseau privé
entre plusieurs sites d’une même entreprise.
• ☺ Couche 4 : La disponibilité de bibliothèques SSL/TLS (pour Secure Socket Layer/Transport
Layer Security) à la mise en oeuvre facile a encouragé le développement de VPN de couche 4
(transport), comme OpenVPN ou les tunnels SSL.
• ☺ Couche 7 : Le logiciel SSH (Secure Shell), qui comme son nom l’indique est un client de
connexion à distance chiffrée, donc de couche 7, permet de créer un tunnel réseau.
Réseaux locaux virtuels (VLAN)

Les réseaux locaux virtuels (Virtual LAN, VLAN) sont apparus en 1995, avec les commutateurs 802.3.
Il s’agit donc d’un dispositif de couche 2 (liaison de données), en pratique Ethernet. L’idée est la
suivante : il peut être tentant, notamment pour des raisons de sécurité, de regrouper les stations d’un
groupe de personnes qui travaillent dans la même équipe sur un réseau local qui leur sera réservé,
séparé des réseaux des autres équipes. Mais si les membres des différentes équipes sont dispersés dans
différents bâtiments et mélangés avec les autres groupes, adapter le câblage physique à l’organisation
peut se révéler coûteux et malcommode, d’autant plus que la répartition géographique des membres de
chaque équipe peut changer. On a donc recherché des moyens de créer, sur une infrastructure parfois
complexe, des réseaux locaux virtuels, qui isoleraient logiquement les communications propres à un
groupe de stations, lequel partagerait tout ou partie d’un même support physique avec d’autres
groupes. En somme il s’agit de faire au niveau de la couche 2 (liaison de données) ce que les VPN font
au niveau de la couche 3 (réseau) normalisés en 1998 par la norme 802.1Q.
Les VLAN peuvent être utiles en termes de sécurité, par exemple en limitant la promiscuité sur un
réseau local. Une application assez répandue et commode de ce procédé consiste, sur un campus ou au
sein d’une entreprise, à créer pour accueillir les ordinateurs portables des visiteurs extérieurs un VLAN
où ils seront confinés, ce qui évitera qu’ils puissent accéder aux serveurs internes, ou qu’ils répandent
dans l’entreprise les virus dont ils pourraient être infectés, tout en ayant la possibilité d’accéder à
l’Internet ou à toute autre ressource qui leur aura été autorisée..
Nous pensons qu’il est très intéressant, sur un campus, de créer un VLAN pour accueillir les
ordinateurs portables des visiteurs auxquels on ne veut pas accorder de droits, mais qui doivent quand
même travailler et accéder à l’Internet, ne serait-ce que pour communiquer avec leurs bases. Pour tout

LE
86 CONTOURNEMENT/EVASION
autre usage, il faut bien se demander si le VLAN ne serait pas une solution paresseuse à un problème
pour lequel le routage serait plus satisfaisant.
Récupérer un certificat pour chiffrer vos messages

Il ne s'agit plus seulement ici de crypter ses courriers, mais de les doter d'une signature électronique qui
garantit à votre destinataire que vous êtes bien l'auteur. Pour cela, vous devez posséder un certificat.
TBS Internet vous en fournit un gratuitement.
1). Rendez-vous à l'adresse
https://www.tbs-internet.com/php/HTML/commande.php?p=2&id=106
Un avertissement apparaît, cliquez sur Oui, complètez ensuite le formulaire et cliquez sur Traiter la
demande puis sur Confirmer.
2). Ouvrez votre messagerie et cliquez sur le lien reçu dans le mail de confirmation, un second courrier vous
informe que le certificat est prêt, cliquez sur le lien qu'il contient, puis sur le bouton Voir le certificat.
3). Activez ensuite le lien à côté de Certificat au format X509, cliquez sur Ouvrir, dans l'assistant qui
s'ouvre, cliquez deux fois sur Suivant puis sur Terminer. Le certificat est installé, cliquez sur OK.
4). Dans votre logiciel de messagerie, installez le certificat, Pour Outlook par exemple, déroulez le menu
Outils, Centre de gestion de la confidentialité, Sécurité de messagerie électronique et cliquez sur le
bouton Paramètres. Votre certificat est automatiquement détecté et sélectionné, cliquez deux fois sur OK.
Signez vos mails

Une fois le certificat installé, vous pouvez signer et crypter vos messages.
1). Dans la fenêtre de rédaction d'un message, cliquez sur le bouton Signer pour apposer votre signature et
garantir l'intégrité du message. Pour crypter un message, vous avez besoin de la clé publique de votre
destinataire. Vous pouvez la récupérer à l'aide d'un message signé numériquement qu'il vous à envoyé (il
doit aussi posséder un certificat). Ouvrez le message en question, faites un clic droit sur son adresse mail et
choisissez Ajouter aux Contacts Outlook, cliquez sur Enregistrer et Fermer.
2). Vous pouvez désormais crypter vos messages vers ce destinataire en cliquant sur le bouton Crypter du
ruban Office, votre correspondant recevra alors un message qu'il sera seul à pouvoir lire.

REMOTE ADMINISTRATION TOOLS 87
Rats - Remote Administration Tools
☺ Un RAT est un programme permettant la prise de contrôle totale, à distance, d'un ordinateur depuis un
autre ordinateur.
Description :
Une personne distante se retrouve dans une situation totalement identique à ce qu'elle serait si elle était
devant la machine contrôlée. Son clavier devient le clavier de la machine distante, son écran devient l'écran
de la machine distante, sa souris devient la souris de la machine distante etc. ... sans aucune limitation.
Légitime ou illégitime :
Un RAT peut être
1. légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre
société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la
télémaintenance et de télé diagnostique qu'une entreprise délègue à son fournisseur de produits et
services informatiques. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt
à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être
activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention.
2. illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un Trojan qui a probablement servi à
l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la
malveillance introduite, une faille de sécurité quelque part qui a permis son installation
Commercial ou pirate :
Un RAT peut être
1. un produit commercial, comme le célèbre PC-AnyWhere, VNC, etc…
2. un produit de pirates. Certains sont excellents et sont devenus des produits commerciaux.
Cheval de Troie (trojan)

☺ L’image retenue de la mythologie est parlante; Les termes Trojan, Cheval de Troie, Backdoor ou
encore porte dérobée désignent un logiciel ayant pour vocation de donner un accès logique à un ordinateur
sans l'autorisation de son propriétaire.
Le pirate, après avoir accédé à votre système ou en utilisant votre crédulité, installe un logiciel qui va, à
votre insu, lui transmettre par Internet les informations de vos disques durs. Un tel logiciel, peut aussi être
utilisé pour générer de nouvelles attaques sur d’autres serveurs en passant par le votre. Certains d’entre eux
sont des « Keylogger » c'est-à-dire qu’ils enregistrent les frappes faites au clavier. Ces logiciels malicieux
ont été médiatisés à la fin des années 90 avec la célèbre Backdoor BackOrifice diffusée par le groupe de
hackers nommé "Cult Of the Dead Cow".
La première mesure de protection face aux attaques, et de sécuriser au maximum l’accès à votre machine et
de mettre en service un antivirus régulièrement mis à jour. Un nettoyeur de troyens peut aussi s’avérer utile.
Attention : sous Windows, un partage de fichiers actifs et trop permissif offre les mêmes possibilités
sans que le visiteur n’ait besoin d’installer un logiciel !
Les chevaux de Troie utilisent une ruse pour agir de façon invisible, le plus souvent en se greffant sur un
programme anodin, afin d’ouvrir une porte dérobée (processus clandestin installé sur un système par un
pirate, un ver ou un cheval de Troie pour y ouvrir un accès non autorisé).
En 2001, le gouvernement américain a d'ailleurs révélé avoir développé une

Backdoor à des fins d'enquête pour le FBI (celui-ci, continu de développer le
concept de Federal Trojan : Trojans Fédéreaux ou de "BundesTrojaner").
Cette dernière, nommée "Magic Lantern", devait être utilisée pour s'introduire
dans les ordinateurs à des fins de renseignement (les Anglo-saxons appellent
cela du remote forensics). Le terme "policeware" est également utilisé en
référence aux "malwares". Symantec (Norton), avait annoncé qu'il pourrait
prendre des dispositions pour ne pas détecter ce logiciel espion. Le dernier

LE
88 REMOTE ADMINISTRATION TOOLS
point est très important. Aujourd'hui, les écoutes et les perquisitions sont réalisées chez le FAI du suspect.
Mais avec l'explosion des Hotspots WiFi et des accès nomades, il devient forcément très difficile pour la
police d'intervenir chez le FAI d'un suspect. De plus, avec le peu de logs exploitables disponibles chez
certains FAI et lorsque le temps est compté, il devient plus pratique de s'introduire directement dans
l'ordinateur du suspect pour y récupérer directement les preuves et les renseignements nécessaires à
l'enquête. Combien de personnes déclarent leurs impôts par Internet (téléchargement obligatoire)?
Lorsque vous téléchargez l'applet Java signée du Ministère des Finances, le serveur des impôts pourrait -
techniquement insérer silencieusement un Trojan dans votre ordinateur. En positionnant un serveur proxy
transparent entre le suspect et un serveur web de téléchargement, il est facile d'ajouter - à la volée – le
Trojan Fédéral à tous les programmes téléchargés par les suspects. La plupart des logiciels se mettent à jour
tout seuls par Internet (ex: Windows Update, iTunes, Office, etc.). Cette méthode nécessite la coopération
du FAI du suspect.
☺ « Un cheval de Troie est un programme simple, composé de deux

parties, le module Serveur et le module Client. Le module serveur,
installé dans l'ordinateur de la victime, donne discrètement à
l'attaquant accès à tout ou partie de ses ressources, qui en dispose via
le réseau (en général), grâce à un module Client (il est le « client »
des « - services » délivrés inconsciemment par la victime) ».
Il peut y avoir aussi une partie Editeur, qui permet de configurer les
options de la partie Serveur.
Mode d'action
Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à des
exécutables. Ils modifient le système d'exploitation cible (sous Windows, la base des registres) pour
pouvoir démarrer en même temps que la machine. De plus, ils sont actifs en permanence (car un cheval de
Troie est un véritable serveur, il reste à l'écoute des connections provenant de l'attaquant pour recevoir des
instructions) mais ils restent furtifs et sont rarement détectables par l'utilisateur. Ainsi, un listing des tâches
courantes ne fournira pas d'indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera
tout ce qu'il y a de plus banal ("Patch.exe", ".exe", "winamp34.exe", "winrar.exe", "setup.exe", "rundlls").
Les exemples les plus connus de chevaux de Troie de type porte dérobée sont : «Subseven», (port 27374,
UDP), «BackOrifice» (port 31337, UDP), et «Netbus» (port 12345, TCP), etc….
Contre-mesures
Du fait qu'ils ne se répliquent pas (contrairement aux virus), ils ne possèdent pas de signature de réplication
et ne sont donc pas détectables par les anti-virus, en tout cas à ce niveau là. De plus, les chevaux de Troie
n'altèrent en général pas les données vitales de la cible (MBR...) qui sont protégées.
Il est assez facile de les détecter avec les anti-virus actuels qui connaissent très précisément leur empreinte
ou leur code (signature). Le problème est un peu plus compliqué lorsqu'il s'agit de programmes dont les
sources sont disponibles librement sur internet. Il devient alors aisé de modifier le code et de le recompiler
afin d'obtenir un cheval de Troie dont l'empreinte sera unique et donc inconnue des anti-virus.
Si l'on ne peut pas détecter leur présence, on peut essayer de détecter leur activité : un cheval de
Troie est obligé d'ouvrir des voies d'accès (N°de ports), pour pouvoir communiquer avec l'extérieur.
Ainsi, plusieurs ports de la machine risquent de le trahir (par exemple 12345, 31337, etc...) surtout
s'ils sont habituellement inutilisés.
=> Rappelons que la commande netstat permet d'obtenir de telles informations sous Linux et Windows.
Cas concrets
Voici les fonctionnalités d'un des chevaux de Troie les plus répandus :
• Accès Telnet :
• Accès HTTP, supporte le téléchargement, l'envoi de fichiers :
Permet de créer un serveur web basique.
• Information sur le système distant
• Récupère tous les mots de passe :

• Télécharger/Envoyer/Supprimer/Créer des fichiers :
Permet d'accéder au système de fichiers dans sa totalité.
• Ouverture/Fermeture des fenêtres actives :
Permet d'interagir avec le système cible.
• Accès a la base de registre
• Augmenter/Diminuer le volume sonore, ajouter des plugins Interface de configuration de
• Démarrage d'application, jouer des fichiers .wav, afficher des images SubSeven
• Ouvrir des documents, imprimer
• Fonction keylogger :
• Capture d'écran :
• Capture d'image si le PC est équipé d'une
webcam :
• Capture du son si le PC est équipé d'un
microphone
• Eteindre/Redémarrer l'ordinateur
• Déconnecter l'ordinateur du réseau
• Dialogue avec l'utilisateur
• Ouverture/Fermeture du CD-ROM
• Inversion des boutons de la souris
• Envoyer l'utilisateur a une URL choisie
• Blocage du clavier
Cette interface permet de modifier le cheval de Troie

(éditeur) avant de l'envoyer à la cible : quel port doit-il écouter, quelle méthode de démarrage utiliser... La
partie cliente d'un cheval de Troie est l'application utilisée par l'attaquant pour se connecter au serveur,
c'est-à-dire au programme installé sur la cible.
C'est à partir de cette interface de configuration que l'on peut modifier si l'on veut le nom du cheval de
Troie. Une fois lancé, il s'installe parfois dans \Windows ou \Windows\System32\.
Les autres entrées/fichiers à regarder sont les fichiers :

☺ Win.ini (voir MsConfig ou SYSEDIT) : Fichier système de Windows qui peut utiliser la commande
load=Troyen.exe et run=Troyen.exe pour exécuter le cheval de Troie.
☺ Groupe Démarrage : Le dossier Démarrage se trouve dans C:\Windows\Menu Démarrer\Programmes\Démarrage et
comme son nom l'indique tout ce qui s'y trouve est exécuté automatiquement.
☺ Autoexec.bat : Il s'agit d'un fichier DOS de démarrage. Pour permettre l'exécution automatique d'un fichier, il suffit de
rajouter une ligne de commande comme celle-ci -> c:\Troyen.exe
Voir aussi dans le register la clé Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders
☺ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software \Microsoft\Windows\CurrenVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
Driver Startup:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\VMM32Files
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\VxD
ActiveX Startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName
Explorer Startup:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Registry Shell Open methods

LE
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
Rendre un trojan indetecté

a). ☺ Binders (Rappeurs)
Programmes liants plusieurs programmes en un seul (INRA avec les archives SFX : auto-extractibles,
Iexpress intégré à Windows). En ce qui concerne l'insécurité informatique un binder sert à dissimuler dans
un programme anodin et convoité un ou plusieurs parasites afin de leur faire pénétrer un système.
b). ☺ Les Packers

Les "Packers" sont des "utilitaires" dont le métier consiste à compresser un programme exécutable (.exe,
.dll, .ocx etc. ...) et à le crypter simultanément. Pour que les exécutables puissent être lancés, le packer leur
ajoute une fonction, un loader, qui va décompresser et déchiffrer l’exécutable en mémoire avant de lui
rendre la main. Les détections par signatures se faisant sur l’exécutable « en dur », c'est-à-dire sur le fichier
et non en mémoire lorsque le programme est lancé, le code du malware est chiffré et la détection par
signature échoue. L'avantage du packer est qu'il modifie la signature du trojan, mais ce n'est pas sûr à
100%. Cela vient que certaines parties comportant des overlays ne peuvent pas être compressées. Cela peut
rendre un programme non détecté à l’antivirus……Quoiqu’il en soit, certains Packers ne protègent pas
efficacement les malwares contre une détection, même par signature, le Packer n’étant pour certain
polymorphique il est facile d’extraire une signature du module développé par le pirate et donc de détecter
tous les malwares qui l’utiliseront…….
c). ☺ Injection
Le processus trojan est chargé (injecter) avec un des processus de Windows généralement iexplore.exe
Conclusion
Les chevaux de Troie représentent aujourd'hui un phénomène inquiétant car
grandissant. Ils ont changé les règles du jeu, ouvert de nouvelles voies dans
lesquelles se retrouvent de plus en plus d'apprentis hackers. Car contrairement
aux virus, ils sont faciles à utiliser, accessibles à tous (sans pré-requis en
programmation) et très efficaces. En témoigne leur utilisation croissante à des
fins professionnelles : prise en main à distance (help desk, etc...), administration
centralisée, gestion de parcs informatiques. Bien sûr, la majorité des produits
utilisés dans ce secteur restent des produits commerciaux. Loin d'en promouvoir
l'utilisation, rappelons enfin l'énorme menace que les chevaux de Troie
représentent : ces outils sont conçus pour espionner et infiltrer les systèmes. Ils sont furtifs et très difficiles
à détecter, surtout tant que l'attaquant ne cherche pas à se manifester.
Logiciels anti-trojan
Trojan Remover v 6.6.4 Trojan Defence Suite (TDS)
LockDown2000 Trojans First Aid Kit
Pest Patrol Anti-Trojan 5.5
Tauscan The Cleaner
PC Door Guard Trojan Hunter

===============================================================================
Installation et utilisation du trojan Sub7_2.1.rar
Nom : Marcel
3. Copier le fichier Sub7_2.1.rar vers votre dossier C:\Temp, puis bouton droit sur le fichier : Sub7_2.1.rar,
puis Extraire ici, le dossier Sub7 est créé.
Remarque :
LA PARTIE SERVEUR (fichier server.exe) : C'est elle qui est envoyée à la victime dans le programme qu'elle
télécharge. Cette partie serveur est un fichier exécutable de type.exe. Attention de ne pas double-cliquer sur ce
fichier, vous installeriez le programme sur votre propre machine.
LA PARTIE CLIENT (fichier SubSeven.exe) : C'est la partie du trojan que le hacker va garder sur son propre
ordinateur. C'est cette partie qui va se connecter à la partie serveur du trojan.
LA PARIE EDITSERVEUR (fichier editserver.exe) : C'est elle qui permet de créer son serveur personnalisé.
4. Dans le dossier C:\Temp\Sub7, exécuter le fichier « editServeur.exe »,
Remarque : Si vous avez un anti virus, celui ci va vous dire qu'il y a un trojan sur votre PC lorsque vous
ouvrirez l'application. Je vous propose donc de le désactiver le temps que vous fabriquer votre serveur sinon il
va vous embêter toutes les deux minutes
5. Lorsque vous ouvrez l'editServeur.exe, cliquez sur browse, puis dans C:\Temp\Sub7 choisir server.exe,
puis Ouvrir.
6. Cliquez ensuite sur read current settings (les valeurs par défaut du service server sont chargées).
7. Vous pouvez voir sur la partie Installation à droite, choisir : Port : 27374 (garder le port par défaut du service
serveur, même si en réalité vous pourriez très bien le changer)
8. Cocher l’option server password : mettre comme mot de passe : tt (ou celui que vous voulez), dans reenter :
mettre comme mot de passe : tt (ou celui que vous voulez, voir ci-dessus)
9. Dans server name : cocher specify a filename : mettre testserver.com (ici il faudrait choisir un nom qui
n’attire pas trop l’attention, un nom à la Windows).
10. Cocher l’option : melt server after installation (déplace l’exécutable dans le répertoire Windows)
Remarque :
L’option enable fake error after installation (avec le bouton configure), permet de simuler un message d’erreur
à l’exécution du trojan pour faire croire qui cet exécutable est défaillant (exemple erreur CRC).
L’option bind server with EXE file: ? (avec le bouton browse), permet de cacher le Trojan au sein d’un autre
exécutable.
11. Cocher l’option protect the server so it con’t be edited/changed ?, dans password : tt (ou celui que vous
voulez), dans reenter : mettre comme mot de passe : tt (ou celui que vous voulez, voir ci-dessus)
(Attention !!! ce mot de passe est très important car si la victime se méfie et qu'elle tombe sur le serveur que
vous lui avait envoyé, lorsqu'elle l'exécutera, elle pourra voir votre adresse électronique, votre numéro
ICQ.....en bref tout ce que vous aurez rentré dans la partie EDITSERVEUR
12. Dans le menu Startup method[s], laisser les valeurs par défaut :
registry RunServices est coché
WIN.INI n’est pas est coché
Registry-Run n’est pas coché
Key name : laisser la valeur par défaut WinLoader
Remarque : la partie notification options (E-MAIL) est la partie dans laquelle vous devez entrer votre adresse
électronique trois fois ou des adresses électroniques différentes (à vous de voir). Laisser les valeurs par défaut.
Avec l’option enable e-mail notify ? : permet d’envoyer un mail au pirate lorsque vous êtes connectez sur
Internet.
13. Cliquez sur "save a new copy of the server with the new settings", enregistrer sous
C:\Temp\Sub7\Pirate.exe.

LE
14. Dans C:\Temp\Sub7, double-cliquez sur le fichier Pirate.exe pour l’installer sur votre machine, vérifier que
celui-ci disparaît ?
15. Lancer le gestionnaire de tâches, dans le menu Affichage, choisir Sélectionner les colonnes, puis cocher
l’option PID (Identificateur de Processus), puis OK, dans l’Onglet processus, identifier le processus
testserver.com ainsi que son PID, PID : ____________________.
16. Fermer le gestionnaire de tâches.
17. Vérifier que dans le dossier C:\Windows, le fichier testserver.com est présent.
18. En invite de commande saisissez la commande suivante : netstat –ano, cela affiche les processus TCP et
UDP ainsi que les N° de PID. Identifier et écrire la ligne qui correspond au troyen SubSeven :
______________________________________________________________________________________
19. En invite de commande saisissez la commande suivante : netstat –ano | find /i « 27374 », cela affiche le
processus de SubSeven.
_____________________________________________________________________________________.
20. Dans regedit, vérifier que dans la clé
HKLM\SOFTWARE\Micrsoft\Windows\CurrentVersion\RunServices, il y a WinLoader=testserver.com,
fermer regedit
===============================================================================
Demander à votre partenaire de se connecter chez vous via le client SubSeven.
1. Dans le dossier C:\Temp,exécuter le fichier SubSeven.exe (qui est le client SubSeven).
2. Dans la partie ip/uin : saisir l’adresse IP du partenaire : 192.168.x.y
3. Dans port : laisser le port par défaut : 27374
4. Cliquez sur connect
5. Dans la boite de dialogue Password : mettre tt (ou celui que votre partenaire a choisit), puis cliquez sur OK.
6. Dans la partie idle : vous devez avoir quelque chose comme : connected 14 :26 – mai 3, mercredi, ver :
Legends 2.1.
7. Sur les deux machines, en invite de commande saisissez la commande suivante : netstat –ano | find /i
« 27374 », cela affiche le processus TCP ainsi que le N° de PID. Identifier la ligne qui correspond au troyen
SubSeven : ________________________________________________________________________________.
8. Cliquez sur le menu advanced, puis find files, dans look for [you can use wildcards] mettre *.*, dans look
in folder mettre : C:\Windows, cliquez ensuite sur find file[s], puis cliquez sur close.
9. Cliquez sur reg edit, puis sur open registry editor, puis sur close.
10. Dans le menu miscellanous, cliquez sur process manager, puis sur refresh, vérifier que testserver.com
existe, puis fermer la boite de dialogue.
11. Cliquez sur keys/messages, puis sur msg manager, puis cocher l’option OK, puis sur l’icône warning, dans
message title mettre : Avertissement, dans message text mettre : je te vois !!!!!!, puis cliquez sur send
message. Vérifier que le partenaire à bien reçu ce message. Toujours dans keys/messages, puis dans keyboard,
cliquez sur get offline keys (une boîte s’ouvre), cliquez ensuite sur open keylogger, puis sur start logging,
demander à votre partenaire de saisir des commandes en invite de commandes, normalement vous devriez les
visualiser dans cette boîte « key logger ».
12. Cliquez sur matrix, puis sur activate the matrix, tout en bas à gauche mettre comme texte : voici le lapin
blanc, puis cliquez sur send, puis cliquez sur close matrix.
13. Dans extra fun, choisir extra, dans CD ROM cliquez sur open, demander à votre partenaire si son CD
ROM s’est ouvert, puis cliquez sur close.
12. Fermer SubSeven.
RAPPELS IMPORTANTS :
*Mettez à l’abri de votre famille votre serveur que vous aurez fait car il ne
faudrait pas que votre petite sœur ou votre petit frère l'exécute sinon vous seriez
contaminable par d’autres pirates.
*Je vous rappelle que l'utilisation de Trojans est à vos risques et périls. Le
téléchargement de Trojans est légal mais ce que vous en ferais avec est illégal.
===============================================================================

ROOTKITS 93
===============================================================================
Détection et désinfection du trojan sub7legends
Installation d’avira_antivir_personal_fr (ver 9.0.0.67)
Nom : Marcel
3. Copier le fichier avira_antivir_personal_fr vers C:\Temp de votre machine, double-cliquez sur le fichier
avira_antivir_personal_fr, cliquez sur Accept (install en cours), puis Suivant, Suivant, cochez J’accepte les
conditions de l’accord de licence, puis Suivant, cochez Je confirme que j’utilise Avira Antivir Personnel
…., puis Suivant, cochez Intégral, puis Suivant, décochez les deux options : Oui, je souhaite m’inscrire au
bulletin d’actualité Avira…, ainsi que Oui, je souhaite m’inscrire en tant qu’utilisateur Avira Antivir
Personnal – Free Antivirus, puis Suivant, décochez Afficher Readme.txt, puis cliquez sur Terminer. Cliquez
sur Suivant, laissez coché Activer l’heuristique et Niveau de détection moyen, puis Suivant, puis Suivant,
cochez Démarrage normal, puis Suivant, décochez Effectuer un bref contrôle du système après
l’installation, puis Suivant, puis Terminer. Cliquez sur Non pour ne pas redémarrer votre ordinateur.
4. Dans le menu Outils, choisir Configuration, cochez Mode expert, dans Guard cochez Contrôler les
archives, puis Ok.
5. Dans Protection locale, dèvelopper Sélection manuelle, cochez le lecteur C :, bouton droit sur ce lecteur C :,
puis Start Scan (icône en forme de loupe). Lorsque Antivir trouve quelques choses, choisir l’option Supprimer
et cochez Appliquer la sélection à toutes les détections, puis Ok. Fermer AntiVir.
Remarque : Pour se défendre d'un trojan ce n’est pas bien difficile, il faut avoir un pare-feu (attention un pare
feu bloque les ports mais il doit être bien paramétré et surtout faites gaffe quels ports seront utilisés ==> vous
pouvez le savoir en allant dans votre panneau de config) ou alors vous pouvez télécharger un pare-feu gratuit
La deuxième solution est de se procurer un anti-trojan.
D'une manière générale il est préférable de combiner l'anti-trojan ET le pare-feu.
Les Rootkits Windows (de plus en plus sophistiqués)

Les pirates informatiques mettent au point et utilisent des techniques de plus en plus sophistiquées
pour secrètement contrôler les machines qu’ils pénètrent, et ce n’est que le commencement.
Mot emprunté au monde Unix / Linux dans lequel il désigne un parasite permettant de s'octroyer des droits
"root", c'est-à-dire les niveaux de droits les plus élevés de l'administrateur de la machine afin de prendre le
contrôle de cette dernière tout en restant furtif (invisible).
☺ Un rootkit est donc un programme furtif qui se rend invisible. Il modifie en temps réel les
informations de Windows ou Linux. Il peut se cacher lui-même, cacher d’autre processus, masquer des
connexions réseaux, masquer des clés de la base de registre, corrompre les espaces disques.La finalité
d’un rootkit est d’obtenir un accès à l’ordinateur (backdoor) en toute transparence vis à vis de
l’utilisateur et de masquer l’existence d’autres outils. Il est important de noter que l’installation d’un
rootkit nécessite les droits administrateurs afin de modifier le cœur du système
Comment fonctionnent-t-ils ?
On distingue deux types de rootkits, qui opèrent à deux niveaux distincts : niveau utilisateur (application)
et noyau.
Les rootkits en mode utilisateur se basent sur des techniques de hooking (crochets) ou l’interception des
appels API au niveau utilisateur ou applicatif (HE4Hook, Vanquish, HackerDefender).
Les rootkits en mode noyau modifient le comportement du système d’exploitation ou certaines structures
de données par des techniques de hooking ou de modification des données du noyau (FU Rootkit, FUto
Rootkit).

LE
94 ROOTKITS
Ces techniques permettent de rediriger les adresses vers l’espace mémoire des rootkits afin de modifier la
réponse qui sera renvoyé au programme appelant.
Un rootkit est donc communément composé :

☺ d’un driver : xxx.sys (mode kernel)
☺ d’un fichier de configuration : xxx.ini
☺ d’une dll : xxx.dll (mode user)
☺ d’un programme : xxx.exe
Les éditeurs de solutions Antivirus informent qu’une fois installés ils ne peuvent pas être détectés par les
moyens conventionnels.
Composants systèmes attaqués par les Rootkits

☺ Cacher un répertoire, un fichier...
☺ Cacher un objet (processus, thread...)
☺ Neutralisez les politiques de sécurité régissant les contrôles d'exécution sur des objets
☺ Cacher des N° de ports TCP/UDP
☺ Cacher des clés de registre
Liste non exhaustive de rootkits Programmes de détection de rootkit

Quelques Rootkits Windows
RootKit "Hacker Defender" RootkitRevealer de Sysinternals
RootKit "HE4Hook" F-Secure BlackLight de F-Secure
RootKit "NTRootKit" Microsoft
RootKit "FU" Microsoft Strider GhostBuster de Microsoft
RootKit WinlogonHijack UnHackMe de Greatis
RootKit "Apx" FLISTER de Joanna Rutkowska
RootKit "yyt_hac" PatchFinder de Joanna Rutkowska
===============================================================================
Utilisation du RootKit « Hacker Defender : hxdef100»
----------------------------------------------------------------------------------------------------------------------------------------
Vérifier que le trojan de « SubSeven » est visible
2. Désactiver pour le moment AntiVir Guard (zone de notification, bouton droit sur icône Avira, puis cliquez
sur Activer AntiVir Guard : parapluie fermé). Créer un répertoire C:\Temp\Hack

ROOTKITS 95
Nom : Marcel
4. Créer un dossier Hack sur votre disque, par la commande : C:\> md C:\Temp\Hack
5. Copier à partir du dossier Hack, du partage de la machine du formateur \\SecNet\temp tous les fichiers vers
C:\Temp\Hack de votre machine.
6. Double cliquez sur le fichier C:\Temp\Hack\HackMe.exe (SubSeven) pour vous auto infecter.
7. Lancer le Gestionnaire de tâches, et vérifer que le processus trojan.com tourne sur votre machine (c’est ici
le processus du trojan : non caché).
8. Ouvrez une invite de commande, et tapez : C:\> netstat -an, identifiez et notez la ligne correspondante au
trojan en écoute : (non caché) :_________________________________________________________________
9. Via toujours le Gestionnaire de tâches, tuez le processus correspondant au trojan.
10. Via toujours l’invite de commande, tapez : C:\> netstat -an, et observez que le trojan n’est plus en écoute.
----------------------------------------------------------------------------------------------------------------------------------------
Vous allez maintenant lancer le rookit, et vérifier que le trojan n’est plus visible
11. Dans le dossier C:\Temp\Hack, éditez avec le bloc note le fichier hxdef100.ini (le fichier de configuration
de hxdef100, laisser un espace entre chaque section du fichier de config hxdef100.ini), puis mettre :
la section [Hidden Table] déclare tous les fichiers et dossiers qui seront cachés :
[Hidden Table]
Hack*
Hxdef*
la section [Hidden Processes] indique ici tous les processus qui seront cachés (n’apparaît plus dans les logs ni
dans le gestionnaire des tâches)
[Hidden Processes]
hxdef*
trojan.com
la section [Root Processes] permet d’administrer le rookit par un shell backdoor
[Root Processes]
hxdef*
trojan.com
la section [Hidden Services] permet de cacher les services dans l’icône services
[Hidden Services]
HackerDefender*
WinLoader*
trojan.com
la section [Hidden RegKeys] indique les clés qui seront cachées dan la base de registre
[Hidden RegKeys]
HackerDefender100
LEGACY_HACKERDEFENDER100
HackerDefenderDrv100
LEGACY_HACKERDEFENDERDRV100
La section [Hidden Regvalues] sert à cacher les valeurs des clés dans le registre
[Hidden Regvalues]
WinLoader
La section [Startup Run] indique les processus qui seront démarrés au démarrage de Windows
[Startup Run]
C:\Temp\hack\HackMe.exe
la section [Free Space] permet de brouiller l’espace disque pris
[Free Space]
C :536870912
la section [Hidden Ports] permet de cacher des N° de ports TCP et UDP
[Hidden Ports]
TCPI : 27374
TCPO : 27374

LE
96 ROOTKITS
UDP :
la section [Settings] permet d’accéder au système par shell via bcdli100.exe
[Settings]
Password=hxdef-rulez
BackdoorShell=hxdefß$.exe
FileMappingName=_.-=[Hacker Defender]=-._
ServiceName=HackerDefender100
ServiceDisplayName=HXD Service 100
ServiceDescription=powerful NT rootkit
DriverName=HackerDefenderDrv100
DriverFileName=hxdefdrv.sys
12. Enregistrer le fichier et fermer le bloc-notes.

13. Lancer l’Explorateur de Windows et, double-cliquez sur le fichier : C:\Temp\hack\ HackMe.exe (pour
lancer le trojan) puis sur C:\Temp\hack\hxdef100.exe (pour lancer le rootkit)
14. Toujours via l’Explorateur de Windows, vérifier que le dossier C:\Temp\Hack n’est plus visible.
15. Vérifier que maintenant dans le gestionnaire de tâches (CTRL+SHIFT+ECHAP : onglet Processus) le
processus trojan.com n’est plus visible, (normalement si utilisé, dans les Services dans Outils d’administration,
aucun services supplémentaire n’est plus visible non plus).
16. Ouvrez une invite de commande et saisir : C:\> netstat –an, puis vérifier que le port TCP 27374 n’est pas
visible.
Remarque : en cas de modification du fichier de config de hxdef100.ini, saisir en invite de commande :
C:\Temp\hack\> hxdef100.exe -:refresh
===============================================================================
Visualisation d’un RootKit (son processus caché) avec Seem
Nom : Marcel
4. Copiez sur le fichier : Seem_v4.1b.fr.zip en local vers C:\Temp, décompressez-le dans ce même dossier.
5. Double-cliquez sur le fichier « Seem.exe » pour l’exécuter.
6. Dans la partie gauche cliquez sur Processus, puis dans la partie droite, identifiez le processus hxdef100.exe.
7. Faire bouton droit sur le processus hxdef100.exe, puis cliquez sur Terminer, puis Oui.
8. Vérifier que le processus HackMe.exe est de nouveau présent dans le Gestionnaire de tâches, Onglet
Processus.
9. Ouvrez une invite de commande, puis saisir : C/> netstat -an, vérifiez que le port TCP 27374 correspondant
au programme trojan (SubSeven) est de nouveau visible et en écoute.
----------------------------------------------------------------------------------------------------------------------------------------
Détection et désinfection du trojan sub7legends avec Avira_antivir_personal_fr (ver 9.0.0.67)
1. Activer de nouveau AntiVir Guard (zone de notification, bouton droit sur icône Avira, puis cliquez sur
Activer AntiVir Guard : parapluie ouvert). Double-cliquez sur l’icône Avira AntiVir Control Center sur votre
bureau. Dans Protection locale, dèvelopper Sélection manuelle, cochez le lecteur C :, bouton droit sur ce
lecteur C :, puis Start Scan (icône en forme de loupe). Lorsque Antivir trouve quelques choses, choisir l’option
Supprimer et cochez Appliquer la sélection à toutes les détections, puis Ok. Fermer AntiVir.
===============================================================================

ALTERNATIVE DATA STREAMS 97
Alternative Data Streams (ADS)
Le système de fichiers NTFS, utilisé par Windows Server 2003, Windows XP, Windows 2000 et
Windows NT, a une fonctionnalité qui est peu documentée et inconnue de beaucoup de développeurs,
administrateurs et utilisateurs.
☺ Cette fonctionnalité se nomme Alternate Data Streams (Flux de Données Additionnels) et permet à des
données comme du texte, des graphiques ou du code exécutable d'être stockées dans des fichiers cachés.
Ces derniers sont liés à un fichier visible normal. Donc, dans une partition de type NTFS (exclusivement),
tout fichier peut contenir, en plus des données qui le constituent réellement, plusieurs "flux" d'informations
ou "métadonnées".
Remarque : Une des raisons principales du support des ADS par Windows (à ne pas confondre avec
Active Directory Service) est de permettre le support du système de fichiers Macintosh Hierarchical File
System (HFS) et ainsi de permettre à un système de type Windows NT d'être serveur de fichiers pour des
clients Macintosh.
En effet, toute copie basique d'un fichier contenant des flux additionnels vers un support non NTFS
(partition FAT, gravure de CD, ...) va entraîner la perte totale de ces flux et de leurs contenus respectifs.
Seul le flux standard sera conservé.
Une autre raison de cette méconnaissance est due au fait qu'il existe très peu d'outils capables de traiter les
informations de ces métadonnées.
Convention de nom pour les flux:

Le nom complet d'un flux est <nom du fichier>:<nom du flux>:<type de flux>
Par exemple: gefi.dat:stream1:$DATA .
Par défaut le flux de données (data Stream) est anonyme. Si un utilisateur crée un flux se nommant "foo",
son nom complet sera exemple:foo:$DATA . Les caractères ":" et la chaîne "$DATA" sont omis lors de la
manipulation d'un nom de flux.
Représentation des flux:

StreamGefi.doc --------------> [ Stream anonyme ]---> Visible de tous les systèmes de fichiers
StreamGefi.doc:Stream1 --------> [ Stream1 ]---> Visible seulement des volumes NTFS
StreamGefi.doc:Stream2 --------> [ Stream2 ]---> Visible seulement des volumes NTFS
StreamGefi.doc:StreamN --------> [ StreamN ]---> Visible seulement des volumes NTFS
Le risque au niveau de la sécurité des ADS:

☺ Le principal risque au niveau de la sécurité est que les ADS sont complètement cachées. Ceci offre une
possibilité pour des chevaux de Troie, virus ou autres spywares d'en tirer un avantage certain.
La seule occasion où l'on peut prendre connaissance de l'existence de flux

additionnels est lors d'une copie du fichier depuis l'explorateur vers une autre
partition de type non NTFS :(dans l'exemple ci-dessous, on a voulu effectuer un
"drag-and-drop" vers la partition C:, de type FAT)
Prise en charge des ADS

Support ou moyen de transport ADS
NTFS Support des ADS
FAT16 ou FAT 32 Pas d’ADS
CDFS Pas d’ADS
Fichier compressé .rar Capable de conserver les ADS
Fichier compressé .zip Perte des ADS
Email (en pièce jointe) Perte des ADS
Copie par le réseau vers un support Conservation des ADS
NTFS
Copier par le réseau vers un support FAT Perte des ADS
Téléchargement par FTP ou http Perte des ADS

LE
98 ALTERNATIVE DATA STREAMS
Conclusion
Aussi, il ne faut pas oublier que les ADS peuvent être des fichiers exécutables et toutes les précautions
doivent être prises pour protéger les systèmes. Toutefois aujourd’hui les flux alternatifs sont bien connus
des éditeurs d’antivirus, mais cela n’a pas toujours été les cas.
===============================================================================
Création de flux
Exemple pour créer un Alternate Data Stream en cachant une vidéo :
1. C:\> echo video > c:\video.txt
2. Copiez le fichier neo.avi du partage « Temp » de la machine du formateur vers votre disque C:\Temp>
3. C:\> type "c:\temp\neo.avi" > "c:\video.txt:matrix.avi"
4. C:\Program Files\Windows Media Player> wmplayer.exe "c:\video.txt:matrix.avi"
5. Récuperer sur le partage Temp de la machine formateur, le fichier « cat.exe », et copier-le vers votre machine à la
racine de votre disque C :
6. C:\> cat "c:\video.txt:matrix.avi" > c:\neo.avi (vérifier que le fichier C:\neo.avi existe : ______)
-------------------------------------------------------------------------------------------------------------------------------------------------------
ADS Spy est un tout petit programme permettant de voir et supprimer des fichiers cachés de Windows lorsque
celui-ci utilise le mode de gestion de fichiers NTFS.
7. Copier le fichier « ADSSpy.exe », depuis le partage « Temp » de la machine du formateur, dans votre dossier local
« C:\Temp », puis exécuter-le.
8. Cocher : Scan only this folder, sélectionnez le disque C:, puis OK.
9. Cliquez sur Scan the system for alternate data streams.
10. Sélectionnez les différent flux crées dans les TP ci-dessus, puis sélectionnez Remove selected streams, cliquez sur Oui
pour valider l’effacement.
11. Fermer ADSSpy.
-------------------------------------------------------------------------------------------------------------------------------------------------------

SOCIAL ENGINEERING 99
Social engineering
"Illusion is everything" - Bernz
C'est une technique qui a pour but d'extirper des informations à des personnes. Contrairement aux autres
attaques, elle ne nécessite pas de logiciel, le facteur humain est le point central des techniques d’attaque
rencontrées en social engineering. Des relations de confiance ne reposant sur rien de concret sont mises en
place de manière calculée mais le plus souvent par simple discussion
☺ Par téléphone (***méthode la plus utilisée***)

Le hacker vous contactera par téléphone. C'est la technique la plus facile. Son but est
d'avoir le renseignement le plus rapidement possible. Un bon hacker aura préparé son
personnage et son discours. Il sera sûr de lui. Il sera très persuasif dans le timbre de sa voix.
Comment parer cette méthode ?
Si vous recevez un coup de fil d'une personne que vous ne connaissez pas : Ne donnez aucun
renseignement. Restez dans le vague, et débarrassez vous de lui : soit vous mettez un terme à cet appel, soit
demandez une confirmation par écrit (par fax) de la demande. Par fax, on obtient le numéro appelant, et il
est donc facile de l'identifier. Et ainsi, on garde une trace écrite, cela pouvant être d'une grande
importance pour déposer une plainte.
☺ Par lettre
Le hacker vous fera une lettre très professionnelle. Au besoin, il n'hésitera pas à voir un imprimeur pour
avoir du papier à lettre comportant un logo, un filagramme, téléphone, fax, email... Il utilisera très
certainement une boîte postale pour l'adresse de sa société fictive.
L'idéal serait de filtrer tout le courrier entrant de l'entreprise. Pour chaque source inconnue de
l'entreprise, il faudrait faire une vérification de l'existence réelle de celle-ci.
☺ Par Internet
Le social engineering par Internet est semblable à celui par téléphone. Le hacker se fera facilement passer
pour un opérateur système, un responsable informatique ou un ingénieur système. Le terme « scammers »
regroupe les individus tentant d’escroquer d’autres personnes par l’envoi de mails sollicitant de l’aide pour
placer des quantités d’argent très importantes, hors d’atteinte des autorités.
Comme pour le téléphone, ne donnez pas de renseignements à quelqu'un que vous ne connaissez pas. Mais
par Internet, c'est plus facile de donner de la crédibilité, tant il y a de noms de domaines et d'adresses
emails farfelus. Il n'est donc pas facile de faire la part des choses.
☺ Par contact direct

C'est le social engineering le plus dur de la part du hacker. Il sera équipé pour que vous n'y voyiez
que du feu : costard, cravate, très classe, très propre, attaché-case, agenda rempli, documents
divers, carte de visite, badge... Si le hacker prend de tels risques, c'est qu'il est déterminé à obtenir
les renseignements souhaités. Il sera donc très persuasif.
Cela est très difficile, car vous avez été directement confronté au charisme du hacker. S'il a réussi, vous
êtes persuadé de son honnêteté. N'hésitez pas à demander un maximum de renseignements "concrets" (nom
de votre interlocuteur, nom et adresse de la société, etc), pour, par la suite, vérifier auprès des organismes
compétents l'existence réelle de votre interlocuteur. N'hésitez pas à téléphoner à la société pour savoir si la
personne existe, et si elle est au courant qu'elle vous a vu ces dernières heures...
Conclusion
Il est important, de la part d'une entreprise, de former le personnel à ce problème. Un bon hacker s'attaquera
à la personne la plus faible de l'entreprise, à savoir le personnel non technique (secrétaires, comptables...) et
les personnes récemment recrutées. La paranoïa reste l'arme ultime de ce genre d'attaque.

LE
SPYWARES/ADWARES/MALWARES 100
Spywares
Les programmes potentiellement indésirables
(en anglais – PUPs : Potentially Unwanted
Programs ou Spywares) également appelé
Espiogiciel, sont distribués par des sociétés
commerciales ou des individus qui n’ont pas
obligatoirement la volonté de nuire.
Sans pour autant en minimiser l’importance,

les entreprises s’inquiètent moins que par le
passé des nuisances apportées par les
programmes potentiellement indésirables. La
protection antivirale qui inclut souvent celle
des PUPs et la surveillance globale de la
navigation Internet protègent les entreprises.
Les seuls éléments qu’elles craignent sont les
adwares (qui sont communément cités sous la
dénomination de spyware).
Les particuliers sont, par contre, généralement inconscients du danger. Selon une étude IDC, les trois-
quarts des machines connectées à Internet contiennent un tel programme.
☺ Les spywares sont des programmes espions, qui ont pour objectif primaire, d’espionner le
comportement de l’internaute et de transmettre ensuite, à son insu (et sans avoir obtenu au préalable
une autorisation de l'utilisateur), les informations collectées aux créateurs et éditeurs de logiciels afin
d’alimenter une gigantesque base de données.
Le Spyware ne fonctionne pas seul, il est souvent associé aux logiciels affichant des publicités (appelé
adwares) ou aux logiciels enregistrant vos informations personnelles ou sensibles (keylogger).
Aujourd’hui, le terme se confond de plus en plus avec celui d’ « adware » (logiciel d’affichage de
publicités, ex : Popcorn.net) et de « malware » (logiciel hostile indéfini, joliment traduit en français par
« pourriciel ») car la majorité des malwares actuels sont des spywares.
Les Hijack modifient la configuration de l'ordinateur (DNS, page de démarrage etc..). Le but de ces
infections est d'augmenter le trafic de ces pages afin de pouvoir augmenter le tarif des publicités et donc de
se faire de l'argent, ex : MyWebSearch.
D’autres sortes de logiciels indésirables effectuent des modifications parfois gênantes sur votre ordinateur
et à l’origine de son ralentissement ou de pannes répétées comme des :
• Pop-up, publicités incessantes
• Désactivation de l’antivirus et pare-feu
• Changement de la page Web
• Ajout de liens dans les Favoris
• De nouvelles barres d’outils
• Impossibilité de lancer un programme
• Navigateur bloqué
• Le démarrage et l’arrêt de l’ordinateur très long.
Attention aussi à l’AutoRun.inf, Il s'agit là d'une fonctionnalité Windows associée au double-clique

lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit)
pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin
de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur
Windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une
application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette
fonctionnalité qui a été détournée ainsi par les auteurs des infections.
Comme vous le constatez, ainsi au double-clique sur la lettre du volume à ouvrir, Windows va chercher la
présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système.

COOKIES 101
Il existe trois techniques principales pour installer efficacement et à grande échelle des spywares :
1). Les « bundles » (logiciels liés)
Le principe : un ou plusieurs spywares sont installés en même temps
qu’un logiciel parfaitement légitime, disponible gratuitement sut
Internet. Le contrat de licence est explicite, mais l’utilisateur n’a
guère le choix que de l’accepter pour pouvoir installer le logiciel. Ce
mode de commercialisation est plus rentable pour l’auteur du logiciel
que le principe du shareware….
Les exemples les plus connus sont le codec DivX et le logiciel
Kazaa, tous deux livrés avec le spyware Claria (ex Gator). De
nombreuses « barres », présentées comme des aides à la navigation, sont également porteuses de
spywares. L’un des moyens pour installer du spyware…est de l’intégrer dans un logiciel anti-spyware
(payant de préférence !).
2). La navigation sur Internet

Un spyware peut également se voir installé à l’occasion
de la visite d’un site Internet. Le plus souvent des sites
« douteux » (sites de cracks ou sites de « charmes »)
qui se paient le luxe d’intégrer du spyware. D’autre part,
il existe un vrai business autour de la génération
(automatique !) de sites « douteux » et leur enregistrement dans les premières réponses de Google ;
dans le seul but de générer du trafic publicitaire et d’installer des spywares.
Lors de la visite, le spyware s’installe par deux méthodes :

A). Soit l’utilisateur l’installe volontairement, en cliquant « oui » sur une boîte de dialogue
« voulez-vous installer le logiciel X signé par la société Y ?». L’installation du logiciel est
souvent présentée comme indispensable pour accéder aux services du site, alors que ce n’est
pas le cas.
B). Soit l’utilisateur « l’attrape » à son insu, par le biais d’une faille non corrigée (exploit)
dans son navigateur ou autre logiciel (Winamp, machine virtuelle JVM Microsoft). Les failles
exploitées dans la nature affectent presque exclusivement le navigateur Internet Explorer, dans
la part du marché dépasse allègrement les 90%, malgré le succès (relatif) du navigateur
Firefox.
3). La messagerie
L’envoi de messages non sollicités (spam) est également un moyen d’installer des spywares, soit
en incitant l’utilisateur à visiter un site « infecté », soit en exploitant directement une faille du
client de messagerie. Outlook est une cible de choix car le moteur du rendu HTML Microsoft
(MSHTML.DLL) est commun entre Internet Explorer, Outlook et l’explorateur de fichiers.
Se protéger des spywares n'est pas chose facile. En effet, un anti-virus ne les détecte pas puisqu'il ne
détaille pas l'ensemble du code des programmes mais reconnaît des signatures identifiées au préalable.
Il existe sur le net de nombreux sites référençant des spywares.

Cependant aucun ne peut prétendre avoir une liste exhaustive des spywares existants. De même, certains
outils permettent la détection de logiciels identifiés comme ayant des spywares, mais les utiliser ne garantit
pas une sécurisation à 100% du PC. C'est pourquoi des anti-spywares ont été conçus sur le modèle de
l’antivirus, afin de détecter les spywares sur la base de signatures. Un spyware n’est pas un virus.
L’étude faite en 2005 (résultats toujours d’actualité en 2007) par l’éditeur de logiciel Symantec sur
l’étendue des diverses infections qui touchent nos ordinateurs, montre que :
• 64% des ordinateurs seraient infectés par au moins un spyware
• 33% des ordinateurs auraient un dialer installé (programme appelant un numéro spécial surtaxé)
• 31% des ordinateurs seraient infectés par un trojan
• 14% des ordinateurs seraient infectés par un virus
• Le spyware représente 30% des appels au support chez Microsoft ;

LE
SPYWARES/ADWARES/MALWARES 102
Enfin la société Gator/Claria revendique 34 millions d’ « abonnés» au réseau GAIN (c’est-à-dire de
machines sous leur contrôle !!!!!!).
En conclusion, il est impossible à l'heure actuelle de surfer en étant certain que nos informations ne sont
pas transmises. Il n'existe aucun moyen de s'assurer qu'un ordinateur connecté à internet ne soit pas à même
d'envoyer à notre insu des éléments non désirés. C'est pourquoi il est parfois préférable d'utiliser un PC
public, (cybercafé, université etc ...) si l'on veut surfer en paix sans donner d'informations. Une autre
solution peut être de naviguer à partir d’un LiveCD Windows ou Linux……
Liste d’Anti Spyware

WinSoS Anti-Spyware FREE v 3.98 Fr Gratuit Malwarebytes' Anti-Malware Payant
SpyCatcher Express v 3.5 Gratuit HijackThis v 2.02 Gratuit (Hijack)
SpywareBlasterv3.5.1 Gratuit SmitFraudFix v 2.249 Fr Gratuit (Hijack)
Adware Spyware Scanner Deleter v 0.2 Gratuit
Ad-Aware 2007 v 7.0.2.3 Gratuit
SpyBot - Search & Destroy v 1.5.1 Fr Gratuit
PepiMK Software Spybot - Search & Destroy Gratuit
Hitman Pro v 2.6 Gratuit
Windows Defender v1.1 Fr Gratuit (intégré à Windows Vista)
SpyBlocker Spyblocker Software Payant
Spyware Doctor v 5.0 Fr Payant
007 Spy Software v 3.8.7 Payant
SpyCopCorporate Spycop Payant
AVG Anti-Spyware v 7.5 Fr Payant
Lavasoft Ad-Aware Pro Payant
Pest Patrol Payant
CheckFlow Flow Protector Plus
BPS Spyware and Adware Remover v 9.4.0.0 Fr Payant
BulletProofSoft Spyware Remover Payant
ZeroSpyware Standard v 3.4 Fr Payant
a-squared Anti-Malware v 3.0 Fr Payant
RegFreeze Anti-Spyware v 5.6 Fr Payant
CA Anti-Spyware 2007 Fr Payant
Ashampoo AntiSpyWare v 2.01 Fr Payant
☺ Remarque : les « fake antivirus » ou phénomène également

baptisé « rogue AV » comme : Antivirus2008, Total Secure,
SpamNuker, Antivirus Pro 2009…, en confirmant une boite de
dialogue affichée, les malwares sont alors proposés en
téléchargement. Si l’utilisateur accepte, ce dernier est alors
contaminé.
Ces « Scarewares ou rogues », sont de faux antispywares
(WinAntispyware 2008 et Antivirus XP 2008), une fois installé, un faux
antivirus simule des boîtes de dialogue, change le papier peint du bureau
ou encore affiche un écran bleu au démarrage.Le but des pirates est cette
fois-ci purement pécuniaire. Ces derniers espèrent forcer les victimes à
acheter une solution antivirale en vous faisant croire que votre système est
mal protégé. Ils se répandent à travers des infections virales ou via des
pop-up de pubs ou d'alerte lorsque vous surfez. Les rogues peuvent aussi
s'installer à votre insu. : lors de téléchargement et exécution de cracks via
des sites ou sur des réseaux P2P, via des failles de sécurités, ou lorsque
vous surfez sur des sites douteux. Supprimer les rogues (Antivermins) avec
entre autres SmitFraudfix (http://siri.urz.free/Fix/SmitfraudFix.php), RogRemouver.
Pour la liste des rogues : http://rlwpx.free.fr/WPFF/rogues.htm et Http://spywarewarrior/rogue_anti-

spyware.htm ou vous est expliqué ce que fait le rogue et la manière de la supprimer.

COOKIES 103
===============================================================================
☺ info.
Présentation de l'antimalware Windows :
L'outil de suppression des logiciels malveillants de Microsoft aide à supprimer les logiciels malveillants
(virus, vers, spywares et chevaux de Troie) les plus connus, notamment Blaster, Sasser et Mydoom. Une
fois la détection et la suppression terminées, l'outil affiche la liste des logiciels malveillants qui ont été
détectés et supprimés.
L'outil est MRT.exe. Il se situe à l'emplacement suivant : C:\WINDOWS\system32\MRT.exe
===============================================================================
Pour le lancer, cliquer sur Démarrer, puis Exécuter et saisir la commande suivante :
%systemroot%/system32/MRT.exe (ou simplement mrt)
☺ info.
===============================================================================
Windows Defender c’est l’AntiSpyware de Microsoft : il est en téléchargement gratuit sur le
site de Microsoft, il est intégré dans Windows Vista (prgamme résident)
Remarque : pour que ce logiciel fonctionne, il faut que Windows XP SP2 soit activé.
===============================================================================
Cookies
☺ Les « cookies » ne sont ni plus ni moins qu’un espace de stockage de données persistantes, du type
site:champ=valeur. En effet la norme HTLM d’origine ne prévoit pas de fonction de stockage côté client,
ce qui s’est avéré limitant pour la personnalisation des sites (ex : je veux consulter la météo de mon
département sans avoir à ressaisir le code postal à chaque visite). Un « cookie » est une chaîne de
caractère (fichier texte) qu’un serveur Web dépose sur votre disque dur, via votre navigateur (IE, Firefox),
afin normalement d’accélérer ou d’autoriser votre prochaine visite. La création du cookie peut aussi être à
l’initiative du navigateur Web.
Proposés par Netscape en 1997, les cookies avaient provoqué de vives réactions des défendeurs des
libertés individuelles (privacy) qui avaient identifié les risques de vol d’informations sensibles (en cas de
vol de cookies) et/ou pistages des internautes.
Un cookie est un ensemble d'infos stockées sur le disque de l'utilisateur pour faciliter la navigation. Il ne
peut contenir que ce que l'utilisateur a bien voulu donner. Les autres renseignements tels que l'adresse IP,
le système d'exploitation ou le type de navigateur utilisé sont connus indépendamment des cookies !
Par exemple, sur MaSociété.com, nous utilisions un cookie pour le forum. Si vous envoyez un message
dans le forum, en remplissant votre pseudo (champs "Nom"), et éventuellement les autres champs ("email",
"URL", etc...), ces informations seront stockées dans un cookie. Ainsi, quand vous reviendrez voir le
contenu du forum, le site MaSociété.com vous "reconnaîtra" et remplira pour vous les divers champs que
vous aviez remplis auparavant.
Voici le contenu d’un « cookie »:
le nom le texte la date de fin le nom de l’ordinateur ou indique si le "cookie" est
= du du
« cookie » « cookie »
du « cookie » domaine accessible uniquement par un
qui a déposé le « cookie » serveur sécuritaire
Selon le navigateur tous les cookies sont déposés dans un seul fichier, c'est le cas de Netscape ou un fichier
par cookie, c'est le cas d’Internet Explorer de Microsoft. Par la suite, à chaque requête de page HTML que
vous faites, votre navigateur vérifie si un cookie existe (selon les paramètres de création du cookie) pour :
• le domaine où réside la page demandée;

• le serveur où réside la page demandée;
• la page demandée.

LE
COOKIES 104
Mais jamais un cookie ne pourra récupérer à votre insu, par exemple, votre adresse Émail (à moins que
vous ne la communiquiez explicitement dans un formulaire).
Un cookie est une information de type "texte" qui est stockée, à l'aide d'un JavaScript, sur la machine du
client, sous des formes diverses suivant le navigateur utilisé :
dans plusieurs fichiers (un par serveur) (sauf V3.0 sous NT3.51)
Ex. : E:\Documents and Settings\BELLAMY\Cookies\Bellamy@springfield[1].txt
• Internet Version IE Version Windows Répertoire
Explorer
2000/XP/Vista %userprofile%\Cookies\<username>@<sitename>.txt
5.x /6.x
Toutes les informations qu'ils contiennent auront été volontairement données par vous-même.
Si par hasard un site WWW vous demande des renseignements plus ou moins confidentiels tels que votre
compte bancaire, la liste des logiciels que vous utilisez, etc.., c'est le site lui-même (et surtout son
responsable) qui est à mettre en cause, et non pas les cookies qu'il pourrait éventuellement créer.
Comment les serveurs accèdent aux cookies ? :

Lorsque vous visitez un site qui a placé un cookie sur votre système, votre navigateur va vérifier s‘il a un
cookie appartenant au site qu‘il visite en comparant le nom du site et la liste de cookie qu‘il a.
Si la réponse est affirmative, il compare l‘url de la requête HTTP du site demandant le cookie et le champ
Path du cookie ; s‘il y a coïncidence entre ces 2 arguments, et que la date d‘expiration n‘est pas atteinte
alors le cookie est envoyé au serveur. Si plusieurs cookies ont passé tous les tests de validités précédents,
ils seront tous envoyés au site grâce à l‘en-tête Cookie.
Si la date de validité du cookie est atteinte, alors le cookie est supprimé directement.
Création d'un cookie à l'initiative du serveur : Google.fr

Connexion vers www.google.fr, la première fois (sans cookie)
GET / HTTP/1.0
Accept: */*
Accept-Language: fr
Accept-Encoding: gzip, deflate
User-Agent: Securiteinfo OS v1.01 (http://www.info.com)
Host: www.google.fr
Connection: keep-alive
Réponse de Google.fr
HTTP/1.1 200 OK
Content-Length: 1546
Server: GWS/2.0
Date: Wed, 05 Jun 2002 18:10:41 GMT
Content-Encoding: gzip
Content-Type: text/html
Cache-control: private
Set-Cookie: PREF=ID=4179fbc62eb90f6c:LD=fr:TM=1023300641:LM=1023300641:S=EVRhsiQ8sCc;
domain=.google.fr; path=/; expires=Sun, 17-Jan-2038 19:14:07 GMT
Le serveur reçoit une requête HTTP vierge de tout cookie, il en crée un et le transmet avec la réponse grâce
à la fonction Set-Cookie. Le client recoit la réponse, crée le cookie dans un fichier texte, sur votre disque
dur. A la prochaine connexion, il transmettra à Google.fr les informations contenues dans le cookie.
Comme vous le voyez, le cookie étant un fichier texte, il est placé dans l'entête HTTP, champs "Cookie".
Et comme vous l'avez remarqué, le cookie est EN CLAIR !

COOKIES 105
Vol de cookies
Le but du hacker, est donc généralement de voler le cookie de sa victime pour en exploiter le contenu.
Comme nous l'avons vu, en théorie, un cookie associé à un site web ne peut pas être envoyé à un autre site
web. Malheureusement, un certain nombre de failles permettent de voler des cookies.
1). Vol par accès physique à la machine
2). Vol par sniffing / man in the middle
3). Vulnérabilité du navigateur
Cette usine à gaz qu'est le navigateur, de plus en plus compliqué à chaque nouvelle version, comporte un
nombre de failles impressionnant. Parmi toutes ces failles, il y en a certaines qui concernent tout
particulièrement les cookies.
• Internet Explorer
Internet Explorer peut lire vos cookies par injection de script. L'attaquant monte un server pirate et,
au détour d'une URL malformée, lit et stocke vos cookies.
• Cross Site Scripting (XSS)
Une vulnérabilité de type Cross Site Scripting sur le site web Mail.com permet à l'attaquant de
voler le cookie Mail.com de sa victime.
Exploitation des cookies volés

Un exploit très classique et très facile est le replay attack. En général, le simple fait de reprendre tel quel
le cookie de sa victime et de le mettre dans ses propres cookies permet à l'attaquant de se faire passer pour
elle.
1. Envoi de nombreux e-mail du Pirate aux clients L'attaquant forge un e-mail

trompeur et l'envoie massivement à toutes les adresses e-mail des clients.
2. Certains utilisateurs ouvrent l'e-mail et cliquent sur le lien Certains utilisateurs
déjà connectés sur l'application ouvrent le message et visitent le site. Leurs
navigateurs répercutent la requête XSS vers le serveur Client.
3. Le serveur renvoie la page contenant le javascript malicieux.
4. Les navigateurs renvoient les cookies de session au pirate.
5. Le pirate récupère les cookies et ouvrent les sessions.
-Le serveur doit être vulnérable au Cross Site Scripting ;
- Le pirate connaît l'e-mail d'un utilisateur connecté au site affecté par la vulnérabilité
;
- L'utilisateur accepte d'ouvrir un e-mail ou de visiter un lien URL reçu par e-mail.
Les cookies ne sont pas des virus, car ce sont simplement des fichiers
textes ouverts avec le bloc note donc il est impossible de pouvoir faire exécuter des scripts sur le poste du
client. Comme un cookie ne peut être ni un script ni un virus ni un programme, alors il ne peut pas lancer
de recherche sur le système du client dans le but d‘y rechercher des informations. Comme le stockage des
cookies est limité, il est impossible de porter une attaque de type DoS sur le système du client (en tout cas
pour le moment, on ne sait jamais ce que l‘avenir nous réserve).
Comme les espions qui vous traquent détestent que vous les repériez et les éradiquiez, ils ont trouvé des
techniques pour se rendre encore plus discrets. Et surtout permanents !
Vous aurez beau effacer vos cookies, certains réapparaîtront tout seuls, comme par magie.
Le responsable? Le lecteur Flash d’Adobe : permet de rendre les sites interactifs en intégrant des vidéos et
des jeux => stocker des données permanentes sur l’ordinateur dans des fichiers dits Local Storage Object
(LSO) ou cookies Flash. C’est bien utile pour sauvegarder par exemple la partie en cours d’un jeu afin de
le reprendre plus tard.
Depuis la version 10.3 de Flash, Adobe permet au navigateur d’effacer lui-même les Flash cookies.
Les cookies Flash ne seront effacés automatiquement avec les cookies classiques qu’avec Firefox 4 et
Internet Explorer 8 et 9 Chrome version 12.
Pour Firefox, l’extension BetterPrivacy, spécialisée dans la suppression des LSO.
Pour Chrome, l’extension Click&Clean

LE
COOKIES 106
----------------------------------------------------------
IEasy Cleaner v 1.5 (Nettoyeur de disque)
Free Internet Eraser
A.S.C. v 5 Fr
Ccleaner
EasyCleaner
nCleaner
Disk Cleaner
----------------------------------------------------------
RegSeeker (Nettoyeur de registre)
RegCleaner
RegClean
----------------------------------------------------------
Disk Defrag (défragmenteur de disque)
Diskeeper
Perfect Disk
O&O Defrag
CCleaner
CCleaner est un programme gratuit qui permet le nettoyage de Windows : fichiers temporaires, cache
Internet, nettoyage du registre etc. Il peut être intéressant d'utiliser CCleaner pour désinstaller les
programmes installés sur votre machine, ou de nettoyer certains malwares s'installant dans les dossiers :
C:\DOCUME~1\%USERNAME%\LOCALS~1\Temp\
C:\DOCUME~1\%USERNAME%\LOCALS~1\Application Data\

KEYLOGGERS MATERIELS/LOGICIELS 107
Les Keyloggers
☺ Le keylogger (renifleur de clavier ou de mot de passe) est une solution matérielle ou logicielle qui
permet d’enregistrer l’ensemble des données saisies par l’utilisateur et ainsi de récupérer tous les
identifiants, mots de passes et N° de carte bleu.
De nombreuses raisons peuvent expliquer l’utilisation d’un keylogger. Les fabricants de ce type de
logiciels/matériels les emploient de manière l égale :
• Pour faire une copie d’éléments de preuve dans le cadre d’une enquête
• Pour faire une copie de documents sensibles en cas de crash système ou matériel
• Pour surveiller l’accès aux contenus pornographiques et protéger les enfants
• Pour surveiller les possibles abus d’employés pendant leurs temps de travail
• Pour servir de support aux détectives privés et experts en sécurité
☺ Mais malheureusement, les keyloggers sont détournés de leur fonction première à des fins frauduleuses.
Différents modèles de keyloggers existent sur le marché, toutefois ils peuvent être divisés en deux grandes
catégories : les keyloggers logiciels et les matériels.
1). Keyloggers logiciels

Plus sophistiqués, disposants de plusieurs fonctions (captures d’écran, enregistreur la vois, les flux vidéo
sur les webcams), ceux utilisés par les pirates intègrent généralement des rootkits et d’autres programme
malveillants. Les keyloggers logiciels se lancent au démarrage du système d’exploitation ou après
l’authentification à l’écran d’accueil Windows, il est donc impossible d’enregistrer des mots de passe du
BIOS, informations de connexion au démarrage de Windows ou des partitions cryptées de type TrueCrypt.
2). Keyloggers matériels

Les keyloggers matériels sont moins utilisées que les keyloggers logiciels, mais
leur portée est beaucoup plus dévastatrice. Ce type de keylogger s’adapte
parfaitement aux claviers avec ports PS/2 ou USB sur l’ordinateur, il en existe
même qui sont intégrés directement aux claviers ou aux commutateurs KVM
(clavier, carte vidéo, souris) tandis que d’autres sont reliés directement à la carte
mère, généralement PCI.
Il est donc possible ici de récupérer des mots de passe cryptés sur
les systèmes cible ou à partir du BIOS, son utilisation est discrète
et ne provoque pas d’affichage de messages d’avertissement à
l’écran de l’utilisateur. Tous les claviers ne sont pas supportés et le
fichier de log peut être corrompu ou incomplet.
Avec des keyloggers matériels sans fil ou Bluetooth, l’attaquant

se voit disposer de plusieurs points d’accès à la machine même si
un seul point d’accès physique est suffisant. En Bluetooth, la
distance maximale est de 300 mètres bien qu’il soit possible
d’aller plus loin avec des antennes pour atteindre des distances de
1km ou plus.
Contre-mesures :
Les Keyloggers matériels ne sont pas identifiés par les anti-virus. Il
n'est donc pas évident de les remarquer. Par contre, les Keyloggers
logiciels qui s'exécutent au démarrage de la machine, tout
ralentissement du système au lancement doit sembler suspect.
Cependant, avec les nouvelles générations d'ordinateurs il est de moins
en moins simple de noter ces ralentissements machines.
En général les fichiers de récupération, cryptés ou non sont stockés
avec des noms très peu parlant dans c:/windows/temp.

LE
108 BROWSER HELPER OBJECTS
Les entreprises doivent régulièrement procéder à
des audits en interne, les employés doivent suivre
des formations pour prévenir les attaques et savoir
y répondre, utiliser les claviers virtuels pour la
saisie de données sensibles et mots de passe. Un
clavier virtuel existe par défaut sous Windows XP
(Démarrer/Tous les programmes/Accessoires/Accessibilité/Clavier visuel).
HijackThis
☺ BHO est l'acronyme de Browser Helper Object, BHO est une bibliothèque (DLL) qui
s'installe sur le navigateur Internet Explorer sous forme de plugin afin d'élargir les
fonctionnalités du navigateur WEB. La majorité des barres d'outils (Google Toolbar,
Yahoo! Toolbar etc..) installent aussi des BHO, qui sont plus visibles pour l'utilisateur
puisqu'elles modifient l'aspect visuel du navigateur.
Voici quelques exemples de l'utilisation des BHO par les malwares :

• Dans le cas de spyware, ajout de barres d'outils de recherche qui enregistre les habitudes de recherche
pour les transmettre à un serveur tiers.
• Dans le cas d'adware, modification de la page de démarrage, modification de la page de recherche,
modification lors des recherches sur le moteur de recherche, ouverture de pop-up de publicité etc..
• Pour les keyloggers, enregistrement des frappes clavier sur le navigateur WEB pour récupérer les mots
de passe, identifiants de connexion ou informations bancaires.
• etc…
Par exemple, la majorité des infections de faux codecs installent des BHO afin d'effectuer des redirections
vers des sites provoquant des alertes.
Souvent sous forme de lignes suivantes sur HiJackThis :
• O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX
Access\iesplg.dll
• O2 - BHO: SXG Advisor - {B21F613B-A670-4788-AB37-F08331D7C63D} - C:\WINDOWS\dpvtpornmw.dll
• O2 - BHO: SXG Advisor - {9C22FF6B-11B2-43B0-9F1A-8B0C209C1FAB} - C:\WINDOWS\dpvtportwf.dll
Remarque : Depuis la sortie du Service Pack 2 pour Windows XP,

IE s’est vu doté d’un gestionnaire de BHOs, celui-ci permet de
lister, ajouter ou supprimer ces objets, ouvrez IE, puis Outils, puis
Options Internet, puis onglet Programmes, puis cliquez sur Gérer
les Modules Complémentaires=>
(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper
Objects).
Beaucoup d'utilitaires permettent de visualiser et identifier les BHO installés sur votre ordinateur. Le plus
utilisé et le plus connu est HijackThis.
Comprendre les logs d’HijackThis
HijackThis est un outil capable de traquer les hijackers présents sur votre PC. Ces modifications non
sollicitées ont différents effets comme par exemple le détournement de la page d'accueil d'Internet
Explorer, l'insertion d'un composant dans la barre du navigateur ou encore le détournement
d'adresse IP via le fichier Hosts. Le programme liste les différents endroits où sont susceptibles de se
cacher des hijackers et vous permet ainsi de supprimer les entrées suspectes. Malheureusement,
l’interprétation de ces listes (ou logs) n’est pas chose aisée et bien souvent l’utilisateur ne sait si tel ou tel
élément doit être supprimé.
HijackThis v2.0.2 Written by Merijn - http://www.merijn.org/files/hijackthis.zip
Voici la clef du registre où sont

stockées les BHO, vous y trouverez
un dossier avec le CLSID de chaque

KBROWSER HELPER OBJECTS 109
BHO installé, soit donc :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects\<CLSID> de notre BHO.
***A l’adresse suivante : http://www.hijackthis.de/fr, coller la log à l’endroit spécifié : « veuillez copier
votre log ci-dessous », puis cliquez sur « Evaluer »***
Voici un extrait de résultat :
☺ Avant d’utiliser HijackThis, il est fortement conseillé d’effectuer les manipulations suivantes :
1.- supprimez tous vos fichiers Internet temporaires et Cookies et dossier Temp (voir Ccleaner)
2.- scannez vos disques avec un antivirus installé (mis à jour) sur votre PC
3.- scannez vos disques avec un antivirus en ligne (http://www.secuser.com/outils/antivirus.htm)
4.- scannez votre machine avec Spybot - Search & Destroy (mis à jour)
5.- utilisez CWShredder, BHO Daemon v2.0.0.23 (browser hijacker remover)
6.- utilisez la dernière version de HijackThis (analyser les logs obtenus)
Vous pouvez donc utiliser pleinement HijackThis. Cliquez sur le bouton Scan : la vérification des clés
commence. Une fois les lignes néfastes cochées, cliquez sur le bouton fix checked, => supprimer les lignes.
Chaque ligne d'un log d'HijackThis démarre avec un nom de section.

R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
F0, F1 - Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargés automatiquement -Base de Registre et dossier Démarrage
O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
O6 - Accès aux options IE restreints par l'Administrateur
O7 - Accès à Regedit restreints par l'Administrateur
O8 - Eléments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des DefaultPrefix d'IE (préfixes par défaut)
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
O15 - Sites indésirables de la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
O23 - Services NT
================================================================================
Suppression du service Rootkit HxDef100
1). Arrêter et désactiver le service HxDService100 (bouton droit puis Gérer sur Poste de travail)
2). Supprimer le service HackerDefender100 avec HijackThis (menu MiscTools)
================================================================================

LE
110 SECURISER LE BROWSER
Le danger des cracks

Les cracks sont un vecteur de malwares et d'infections très important. En téléchargeant et en exécutant un
crack, vous pouvez exposer votre ordinateur à une infection, surtout qu'en règle générale, les antivirus ne
détectent aucune infection, car les cracks sont packagés. Parfois une simple visite d'un site de crack peut
suffire à infecter votre ordinateur, en effet un grand nombre de sites de cracks contiennent des exploits, les
personnes n'ayant pas leurs systèmes et logiciels à jour
sont vulnérables.
L'infection VideoAccessCodec se propage par des cracks
: ftopic4869.php
Le P2P est autre vecteur de cracks pourris, certaines
infections tirent parti de ce réseau pour se propager...Pour
cela, c'est tout simple, vous téléchargez un crack pourri
qui infecte votre ordinateur.
Ce dernier se copie sous divers noms de cracks dans un dossier partagés sur P2P. Les autres internautes
téléchargent à leurs tours ces cracks pourris et ainsi de suite.
Ex avec Security Toolbar : viewtopic.php?p=45109#p45109
C'est aussi le cas de l'infection Bagle : ftopic4442.php.
!!!!!!! Il est rappelé que cracker un logiciel est un délit !!!!!!!
Fichiers cachés et lockés

Beaucoup de malwares, comme par exemple Look2Me utilisent des fichiers de types .DLL
Ces DLL sont chargées avec un des processus de Windows généralement explorer.exe et iexplore.exe
mais n'apparaissent pas dans le gestionnaire de tâches. Enfin,
étant donné qu'elles dépendent d'un processus, on ne peut les
supprimer manuellement sans arrêter le processus, surtout si
c’est un processus système.
Visualiser les DLL chargés par explorer.exe et iexplorer.

Process Explorer : Ce programme liste les processus et les
sous-processus en mémoire. C'est un gestionnaire de tâches
améliorée. Il permet en cliquant sur le processus de visualiser
les DLL chargées, d'arrêter le processus etc.
Supprimer une DLL dépendant d'un processus (injection)

a). KillBox est un programme qui permet de supprimer des fichiers
au redémarrage de Windows. Il peut s'avérer utile dans le sens où il
va supprimer la DLL avant que le processus ne soit démarré et donc
que la DLL soit en mémoire.
b). Unlocker permet de déterminer le processus qui verrouille un

fichier. Unlocker permet de déverrouiller ce fichier afin de le
supprimer normalement.
c). L’outil Anti-Rootkit Unhooker [RHU], identifie les fichiers ou

les clés de la base de registre qui auraient été cachés par un rootkit.
d). L’outil Autoruns de Microsoft énumère l’ensemble des

programmes ou bibliothèques exécutés automatiquement au
démarrage du système Windows. Cet outil distingue les programmes
lancés automatiquement par tous les utilisateurs et ceux lancés automatiquement par l’utilisateur.

SECURISER LE BROWSER 111
Sécuriser le browser Internet Explorer
Solution 1 :
***ZoneAlarm ForceFied (Check Point) offre une sécurisation accrue de votre navigateur, point
d’entrée désormais privilégié des attaques. Cela consiste à virtualiser le navigateur, toutes les
modifications initiées depuis le navigateur (exploitation de vulnérabilités, téléchargement Web
automatique, spywares, virus, etc) sont effectués sur le système de fichier virtuel, qui disparait à l’arrêt
du surf.***
Solution 2 :
Quand vous surfez depuis un ordinateur utilisé par plusieurs personnes, ces derniers peuvent
usurper votre identité, pirater vos comptes, épier votre courier en utilisant les traces laissées dans le
logiciel. Heureusement, les navigateurs incluent tous une fonction de navigation privée.
La navigation privée est un autre ajout majeur présent dans Internet Explorer 8. Aussi appelée « pr0n
mode », elle offre une navigation sans aucune conservation de données sur le disque dur (exemple naviguer
sur un poste qui n’est pas le sien par défaut : rien dans l’historique ni dans les cookies, de mots de passe
enregistrés).
Pour passer en mode privée il suffit d’appuyer sur Ctrl + Shift + P ou d’aller dans le menu Safety puis
InPrivate Browsing, une nouvelle session du navigateur s’ouvre, et dès lors « In Private » fait son
apparition à côté de la barre d’adresse pour vous indiquer clairement que vous allez surfer sans laisser de
traces sur votre machine. Après la fermeture de la session du navigateur, aucune donnée relative à
cette navigation n’est conservée sur le disque dur. Vous comprendrez à coup sûr l’intérêt d’un tel mode
et son surnom.
Il est plus facile (IE9) d'effacer l'ensemble de vos cookies, pour cela, dans le menu principal, sélectionnez
Options Internet, dans l'onglet Général de la nouvelle fenêtre, cliquez sur le bouton Supprimer de la
section Historique de navigation, ne laissez cochée que la case Cookies dans la fenêtre suivante, puis
cliquez sur Supprimer.
Vous pouvez également bloquer l’enregistrement obligatoire des données pour certains sites. Il faut pour
cela aller dans les options « InPrivate Blocking ».
Vous pouvez également lancer directement le mode privé avec le raccourci suivant : iexplore.exe –private
Do Not Track est une nouvelle technologie intégrée (à Firefox et IE9), elle offre la possibilité de signifier
aux sites Web votre refus que vos habitudes de surf soient enregistrées et utilisées pour délivrer de la
publicité ciblée. Cette solution ne fonctionne en effet qu'avec les règles et les sites publicitaires qui le
veulent bien.
Cliquez sur Outils, dans le menu Sécurité sélectionnez Protection contre le tracking, dans la fenêtre qui
s'ouvre, sélectionnez Protection contre le tracking dans la colonne de gauche et cliquez sur Votre liste
personnalisée dans celle de droite et sur le bouton Activer en bas à droite. En sus de la technologie Do Not
Track, IE9 propose de filtrer automatiquement des listes préétablies de sites, les empêchant de collecter et
de partager vos données de navigation. Pour récupérer et activer une telle liste, cliquez sur Protection
contre le tracking dans la colonne de gauche, puis sur Obteneir une liste de protection contre le
tracking en ligne juste en dessous, une nouvelle page s'ouvrira, affichant pour l'instant, cinq listes de
protection contre le suivi, il suffit de cliquez sur le bouton Ajouter à côté de chacune d'entre elles pour
l'activer.

LE
112 SECURISER LE BROWSER
Solution 3 :
Sandboxie permet de protéger votre ordinateur d'éventuels malwares, virus, chevaux de Troie, … en
installant une ''sandbox'' (bac à sable *) qui va se glisser entre vos applications et votre disque dur. Cela
permet d'isoler le fonctionnement des applications du système d'exploitation en créant ainsi un
environnement sécurisé.
Ainsi les modifications effectuées sous la protection de Sandboxie ne sont pas effectives dans les fichiers
authentiques. Les parasites et les bogues qui y sont enfermés n'affectent pas le système d'exploitation.
Toutes les traces laissées par vos activités online (favoris, cookies, historique, cache Internet...) seront
également sous le contrôle de Sandboxie. De plus, Sandboxie interdit depuis la zone qu'il contrôle toute
injection dans le noyau de
Windows (driver, DLL…).
Il suffira de vider le
contenu du bac à sable
avant de terminer une
cession d'utilisation de
l'ordinateur pour que toutes
les traces inutiles ou
dangereuses isolés dans le
bac à sable soient définitivement effacées du disque … Virus, chevaux de Troie, logiciel espion, et autres
logiciels malveillants, ainsi que l’historique et le contenu du cache de navigation.
Solution 4 :
Utiliser un logiciel de virtualisation comme VMWARE, Virtual PC, VirtualBox, afin pouvoir surfer sur
Internet à partir d'un OS virtualisé dans un système hôte sans risquer d'altérer celui-ci par des attaques ia
votre navigateur.

RISQUES ASSOCIES AUX CLES USB 113
Risques associés aux clés USB
Les périphériques USB (pour Universal Serial Bus) occupent actuellement une place prépondérante dans
l'univers de l'appareillage informatique. Ils peuvent être de tout type, comme par exemple un support de
données amovible (clé USB, lecteur de musique au format MP3, etc).
Aujourd’hui, de nouveaux modes de propagation apparaissent. Ce fût le cas pour les clés USB vérolées
laissées délibérément dans le parking d’une banque. Vous l’avez compris ce “cadeau
empoisonné” contenait un virus, chargé de récupérer les données personnelles (mots de
passe) et de les envoyer à un serveur tiers.
De par leur facilité d'installation, ces périphériques s'échangent très facilement d'une machine à une
autre. Cependant, cette opération présente des risques. Le simple fait d'ouvrir le poste de travail et
de double-cliquer sur la clé USB/disque dur externe (ré) infectera le système d'exploitation ! La clé
infectera à son tour un PC sain. Et ainsi de suite ...
Symptômes
• Le double-clique pour ouvrir vos supports amovibles infectés ne fonctionne plus.
• Si vous rendez visible les fichiers et dossiers cachés, vous vous rendrez compte que la clé
contiendra plusieurs fichiers et processus inconnus et donc infectés ; ne surtout pas double-cliquer
dessus pour les ouvrir car ils rendront active l'infection, si ce n'est déjà fait !
Après avoir connecté une clé USB, il faut aller dans le Gestionnaire de Périphériques et chercher le
Périphérique de stockage de Masse USB correspondant. Dans l’onglet détails de ses Propriétés, on
trouve le Numéro d’identification de l’instance de périphérique, ici :
USB\VID_0781&PID_5406\00001675C674A608 pour une clé Scandisks Cruzer et le Numéro
d’identification compatible, ici : USB\Class_08&SubClass06&Prot_50. Dans ce cas précis, le
VID_0781 correspond à Scandisks et le PID_5406 au produit Cruzer Micro tandis que Class_08
correspond à la classe générique « stockage de masse ».
☺ Du côté Windows, le pilote est décrit dans le fichier Windows\Inf\usbstor.inf ou la correspondance est
faite grâce à la ligne : USB\Class_08&SubClass06&Prot_50.
1). Vol d'informations de la clé

Une clé, ou tout autre support de stockage USB, est, une fois branchée sur une machine, à la merci de celle-
ci. Un processus fonctionnant silencieusement sur la machine, peut très bien attendre que la clé soit
branchée (information signalée par le système d'exploitation) pour enclencher une procédure de
lecture et de copie du contenu de la clé. Un tel processus, comme la plupart des codes malveillants
actuels, ne sera pas facilement décelable sur la machine hôte (dissimulation au niveau de la liste des tâches,
des appels système, etc.). Certains outils plus pernicieux permettent même de faire une image
complète de la clé. Outre le vol de documents présents dans celle-ci, ce procédé peut également
faciliter la récupération de tout ou partie de documents effacés sur la clé.
Le programme « USB Dumper » a été conçu et est composé d’à peine 200 lignes de code écrites en C,
initie la copie de tous les fichiers de manière transparente dans le répertoire ou a été lancé le programme.
Pouvant être considéré comme un cheval de Troie, l’antivirus le détecte (pour Symantec il s’agit de
infostealer.Gasval) et l’élimine. Cependant cette protection est illusoire car une simple recompilation avec
MSVC (Visual C++ v8 par exemple) permet de la contourner.
2). Exécution d'applications hébergées par la clé

Une autre approche, ou action malveillante, se nomme podslurping et s'effectue depuis le périphérique.
Elle consiste à brancher sur un système un support de stockage, ou aussi un lecteur MP3
(podslurping fait référence au produit iPod d'Apple), afin d'en dérober furtivement de l'information.
L'ingénierie sociale, ou la force de persuasion, peut être associée à cette approche, une phrase parmi les
dialogues possibles pourrait être :
"Excusez-moi, pourrais-je connecter quelques minutes mon lecteur de musique MP3 sur votre port USB
?... Les batteries sont déchargées, et je ne rentre que demain chez moi. Merci beaucoup !".

LE
114 RISQUES ASSOCIES AUX CLES USB
b). Vol d'informations
Compte tenu des applications disponibles, les clés USB sont susceptibles de contenir des informations
personnelles ou confidentielles :
• La configuration du client de messagerie ; les contacts stockés par le client de messagerie ;
• Les pages en cache du navigateur Internet ; les sites favoris installés sur le navigateur ;
• Des mots de passe gérés par une application dédiée (application fréquemment offerte par défaut
avec la clé).
4). Les lanceurs malveillants

Noter que les clés U3 sont généralement fournies avec un lanceur, qui donne accès aux applications, une
fois la clé insérée. Cependant, certains lanceurs malveillants sont également disponibles (comme USB
SwithBlade).
Ils permettent d'exécuter directement des actions à l'insertion de la clé, et sont fournis avec des outils
permettant :
• Password hashes,
• LSA secrets,
• IP informations,
• Dump SAM,
• Capture de clavier,
• Favoris d’Internet Explorer,
• rootkit, etc… tout cela étant difficilement décelables a posteriori.
============================================================================
Les recommandations
A). Comptes utilisateurs et droits
Pour limiter les actions que celle-ci peut effectuer sur le système, il est donc important de n'autoriser la
connexion de clés que sur des sessions avec des droits limités, et de ne réserver les droits de
l'administrateur qu'occasionnellement, pour la maintenance du système.
B). Désactivation de la fonctionnalité « Autorun »
☺ Pour la désactiver sous Windows, il suffit de modifier la clé suivante dans la base de registres :
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom
Pour la désactivation de l'autorun : Autorun = 0 (par défaut déjà désactive sous Windows 7).
Via Gpedit.msc : Configuration de l’ordinateur/Modèles d’administratifs/Système et activez l’option
Désactiver la fonction Auto démarrage.
C). Verrouillage des postes

Afin d'éviter des incidents liés à l'insertion de clés USB sur son système, il est également important de
verrouiller son poste de travail : sous Windows, cela peut se régler de manière automatique, après un
manque d'activité de quelques minutes sur le système ou de manière ponctuelle (appuyer simultanément sur
les touches Windows+L).
L'insertion d'un périphérique USB sous Windows ne provoque pas son installation quand l'écran est
verrouillé. La partition peut être cependant montée (automount) sous Linux malgré le verrouillage.
D). Clés USB de confiance : une clé par usage

☺ Une solution serait de conserver une clé blanchie, régulièrement formatée, et de réserver l'usage de
l'USB à cette seule dernière (ajout de nouveaux matériels/périphériques interdits). Pour limiter les
échanges de données, voici une démarche permettant d’autoriser la connexion de clés USB déjà connues
tout en interdisant la connexion de nouvelles clés. Il suffit d’éditer le fichier Windows\Inf\usbstor.inf et de
commenter les lignes de la section Generic en début de ligne avec le caractère « ; ».
Toute nouvelle clé n’est plus détectée automatiquement et il faut faire des démarches avancées en mode
administrateur pour la configurer. Pour tester cette manipulation, on peut faire oublier une clé au système
de la manière suivante : une fois connectée, il faut aller dans le Gestionnaire de Périphériques,
sélectionner le périphérique de stockage de masse associé et le désinstaller (via l’onglet Pilote de ses
Propriétés). Il est possible d’adapter cette démarche afin d’autoriser qu’un seul type de clé USB (par
exemple celles fournies par l’entreprise).

LE PHISHING 115
Le phishing
La dernière arnaque à la mode chez les pirates informatiques est le phishing.
Ce nom compliqué cache en réalité une technique simple à comprendre et surtout facile à éviter.
☺ Un utilisateur reçoit un e-mail déguisé de sa banque ou de son magasin en ligne favori contenant un lien
vers son compte, il est demandé une confirmation de mot de passe ou une bonne affaire est proposée.
Une fois le lien cliqué, l'url dans la barre d'adresse est maquillée et le vrai site cloné sur un serveur
différent. Confiant, l'internaute piégé rentre ses identifiants et/ou ses numéros de cartes, etc…
Il existe plusieurs stratégies principales pour lesquelles un phisher à succès peut opter afin de tirer de
l’argent avec les logins bancaires volés en-ligne :
-Vendre les informations sur les logins volés (en général, les comptes dont le solde s’élève à plus de
100K$ sont négociés entre 100$ et 500$ e-gold).
-Encaisser de l’argent par le réseau de Drops (il s’agit de trouver un drop à qui faire confiance, ce qui
est loin d’être une tâche facile : le drop est censé ne pas vous trahir s’il est démasqué, il est également
possible de demander un paiement en e-gold).
Les informations volées sur les cartes de crédit sont utilisées pour acheter des e-gold (est une devise en or
digitale, exploitée par la Gold&Silver Reserve Inc sous e-gold Ltd. C’est un système qui autorise des
transferts instantanés de propriété d’or entre les usagers, habituellement les gros comptes sont détenus par
des gens appelés Gold Bugs, autrement dit, des gens qui ne font pas confiance aux devises traditionnelles et
préfère investir dans de l’or, l’utilisation facile de e-gold en fait un moyen de paiement universel :
anonymat, irréversibilité, indépendance) répartis de préférence entre plusieurs comptes afin de réduire la
visibilité de chaque transaction, e-gold est utilisé pour les cartes de débit (typiquement Cirrus ou Maestro)
établies par des entreprises extraterritoriales qui exigent uniquement une adresse valide pour y envoyer la
carte. Cette adresse peut être celle d’une boîte postale ou d’un drop. L’argent liquide est alors retiré aux
guichets automatiques avec les cartes de débit jusqu’à l’épuisement du solde limite journalier de la carte.
La première précaution à prendre est de ne jamais cliquer sur les liens contenus
dans un e-mail et menant a un formulaire de paiement ou de connexion. Recopiez
plutôt l'adresse dans votre navigateur.
Exemples de mail "phishing" US : Paypal
Le graphique ci-dessous, donne le nombre de faux sites d'escroquerie en ligne

découvert tous les mois ! La fourchette est entre 2 000 et 7 000, impressionnant.
Cela nous permet de savoir que le temps moyen d'existence d'un site d'escroquerie
est de 6 jours. 80 % des faux sites copient des sites financiers (banques, ...). La
France fait partie de la petite dizaine de pays qui héberge ce type de délinquance
dite astucieuse.

LE
116 LE PHISING
Le Crédit Lyonnais a été victime d'une tentative de ce type d'escroquerie début 2006.
Comment se protéger du
phishing?
1. Ne fournissez jamais de données

personnelles par l'intermédiaire d'un
e-mail, d'un message instantané ou
d'une boîte de dialogue.
2. Pensez-y à deux fois avant de
cliquer sur un lien présent dans un
message ou une fenêtre pop-up.
3. Assurez-vous que les
responsables du site Web sur lequel
vous vous trouvez sécurisent les
informations personnelles et sont hors de tout soupçon.
4. Vérifiez régulièrement vos relevés bancaires.
5. Prenez davantage de mesures de sécurité pour votre ordinateur.
Les auteurs de phishing espèrent que vous n'avez pas installé les derniers correctifs de sécurité. Toute faille
sera exploitée ! Microsoft suggère que, pour optimiser la protection de votre ordinateur, vous utilisiez un
pare-feu et un anti-virus (que vous ne devrez pas oublier de mettre périodiquement à jour !) et que vous
installiez régulièrement la dernière version de Windows.
Internet Explorer 7.0 intègre une

option anti-phishing (Filtre anti-
hameçonnage), on peut l’activer par
défaut (question de sécurité), cela est
également vrai pour pour Firefox
2.x/3.x
Microsoft continue sur sa lancée et nous

propose une nouvelle fonction
sécuritaire. IE8 intègre un filtre anti-
hameçonnage (phishing) activé par
défaut baptisé « SmartScreen Filter ».
SmartScreen Filter est notamment

utilisé pour la mise en forme de la barre d’adresse vu précédemment.
Microsoft vérifie par ailleurs que l'URL analysée ne figure pas dans une vaste banque de données de sites
réputés dangereux auquel cas il alerte l'utilisateur et lui demande s'il est bien sûr de vouloir continuer. Vous
pouvez à tout moment contrôler un site internet pour vérifier son authenticité.
Defacement/défiguration
Les sociétés devenant de plus en plus dépendantes des réseaux de
l'information, la simple
modification de ceux-ci peut
provoquer des dommages
non négligeables de type
économiques, sociaux,
logistiques, émotionnels ou
encore environnementaux.
De plus, le public et les
journalistes sont fascinés par
tous les types d'attaques
informatiques, ce qui conduit à une large couverture dans
les médias. De fait, une défiguration conduite souvent à une
baisse flagrante de l'image de marque de la victime.

LE SPAM 117
Exemples :
En avril 2001, après la collision au dessus de la Chine entre un avion espion américain et un chasseur
chinois, et l'incarcération de l'équipage américain en Chine, des groupes de hackers des deux camps se sont
mené une guerre violente.
Plus de 1200 sites Web américains ont été défigurés et probablement autant de sites en Chine. Si l'on
considère que la défiguration de sites Web constitue le tout premier degré de cyber-attentat, on peut étudier
les conflits Inde/Pakistan et Israël/Palestine. On observe un flagrant parallèle entre le nombre de
défigurations et les événements politiques et militaires dans les régions citées.
Comment se protéger ?
Pour vous protéger contre une défiguration voire de certaines attaques sémantiques, il existe plusieurs
mesures préventives principales qui sont :
• Utilisez un contrôleur d'intégrité ou de dispositifs anti-intrusion.
• Ces dispositifs contrôlent la non-modification du contenu des pages, incluant la page d'accueil,
d'un site Web.
• Installez des patches sur le serveur Web. Ils permettent de réduire le nombre de vulnérabilités et
donc de réduire la probabilité d'intrusion sur le serveur.
• Confiez à des personnes de confiance, externes ou internes à l'organisation, la vérification et le
contrôle régulier du site Web à protéger, par exemple consultation de l'intégrité du contenu une
fois par jour.
Grâce à ces trois mesures préventives, il est possible pour vous de réduire la probabilité de défiguration
d'un site Web.
Le spam
☺ Ce genre de publicité étant le plus souvent véhiculé par

e-mail, le terme de spam ou de (courrier rebut : junk)
pourriel ou polluriel a fini par désigner également les e-
mails non sollicités en masse. Techniquement, il serait plus
juste de parler d’UBE (Unsolicited Bulk E-mail) ou d’UCE
(Unsolicited Commercial E-mail). Il a même atteint à
présent les téléphones portables par le biais des SMS.
Ces courriers ne coûtent

pratiquement rien pour
l’expéditeur lequel ne génère
qu’un seul message à l’adresse
d’une multitude de
destinataires. Par contre, ils
peuvent coûter très cher aux
destinataires, en termes de coût
de connexion et de volume de
transferts de données. On peut
parler d’un véritable gaspillage
de bande passante et d’espace
de stockage pour les
administrateurs de réseaux et de
serveurs de messagerie mais
aussi les destinataires des
spams (particuliers ou entreprises) dans le temps passé et perdu à télécharger, trier et éliminer les spams
reçus avec le risque d'éliminer par erreur un courrier qui n'est pas un spam.
Comment l’e-mail fonctionne-t-il ?
Un courrier électronique est un flux de données d’un émetteur à un récepteur transitant par des serveurs
ou relais e-mails intermédiaires.

118 LE SPAM
Les spams sont souvent envoyés avec une adresse de l'émetteur incorrecte. Généralement
les serveurs de relay (e-mail serveurs) n'acceptent pas comme émetteur des adresses qui ne
correspondent pas à leur domaine (par. exemple les P&T n'acceptent que des adresses
(@pt.lu). Certains serveurs mail ne font cependant pas ce contrôle (appelés open-relay
servers). Ces serveurs sont par conséquent souvent utilisés pour envoyer du spam.
Qui pratique le spamming ?

Un peu tout le monde, du simple particulier aux publicitaires et services marketing des entreprises, qui sont
les premiers émetteurs de spams pour promouvoir leurs produits et services, ou pour inciter les internautes
à visiter leur site web. Il y a quand même lieu de faire une distinction entre les spams ayant un but
informatif ou publicitaire et ceux dont l’unique but est de nuire au système de messagerie électronique.
Méthodes de récupération d’adresse e-mail
Les spammeurs disposent de plusieurs moyens pour récupérer votre adresse électronique sur Internet (dans
les forums, sur les sites Internet, dans les groupes de discussion, etc.), grâce à des logiciels (appelés «
robots : Izi Capture, AnnuCapt, Captimails, ListEmail Pro 5.01 ») parcourant les différentes pages et stockant au
passage dans une base de données toutes les adresses e-mail y figurant.
Pour l'anecdote, Bill Gates reçoit 4 millions d'e-mail par jour dont la majorité sont des spams mais
seulement 10 parviennent effectivement dans sa « inbox », tous les autres étant filtrés par des solutions
anti-spams. (Source : BBC News – 18 nov. 2004)
1). Votre adresse e-mail a été vendue
En revendant sa liste d’abonnés à un tiers, qui lui-même l’a revendue à un autre, etc., votre
fournisseur d’accès Internet a permis la diffusion de votre adresse en de nombreux exemplaires sur
Internet. Attention, l’opération est légale si vous avez accepté que votre adresse soit diffusée.
2). Vous l’avez publiée sur Internet
3). Vous avez communiqué votre adresse à un site web
4). Votre adresse a été générée au hasard
Prenez d'un côté les listes des noms et prénoms les plus courants, de l'autre celle de fournisseurs
d'accès connus, en utilisant toutes les combinaisons possibles (prenom.nom, nom. prénom,
nprenom, etc.), vous pouvez générer des centaines de milliers d'adresses e-mail, qui ont de fortes
chances d'exister !
Comment se protéger ?
Surtout ne pas répondre à un message spam. Les spammeurs utilisent généralement de fausses
adresses d'envoi. Il est donc totalement inutile de répondre. De plus, si l’adresse de l’émetteur
est correcte, vous ne feriez que renseigner cet émetteur sur la validité de votre adresse mail et
recevoir plus de spams encore. La meilleure solution reste la prévention.
N’utilisez jamais publiquement l'adresse e-mail confiée par votre fournisseur d'accès ou votre entreprise,
réservez-la à un cercle restreint d'amis ou des collègues en lesquels vous avez toute confiance.
Vérifiez que votre adresse e-mail ne sera pas diffusée sans votre accord explicite. Certains fournisseurs
d'accès ou prestataires peuvent automatiquement vous inscrire dans un annuaire web. Remplacer son
adresse électronique par une image (non détectable par les logiciels de capture d'adresses). Décomposer
son adresse électronique, par exemple didier point dupond arobase free point fr.
Evitez au maximum la publication de votre adresse e-mail sur des forums ou des sites Internet.
☺ Créez une ou plusieurs « adresses poubelles » servant uniquement à vous inscrire ou vous identifier sur
les sites jugés non dignes de confiance (voir sur www.jetable.org ou http://spamgourmet.com/ : créer un
mail temporaire que vous aurez le droit d’utiliser pendant une heure, une semaine ou un mois, à votre
convenance, tous les mails de cette fausse adresse seront routés vers votre véritable mail, jusqu’à ce
qu’elle expire.).
---------------------------------------------------------------------------------------------------------------------------------
Hotmail et Yahoo! Mail permettent de créer des adresses secondaires à partir de son compte mails.
1). Connectez-vous sur votre compte de messagerie Yahoo! Mail, cliquez sur le menu Options et choisissez
Autres Adresses mail jetables puis cliquez sur Ajouter une adresse dans le volet droit.
2). Entrez un nom de votre choix dans la boite de dialogue Créer la racine et cliquez sur Suivant,
choisissez ensuite un mot-clé en rapport avec l'utilisation de votre adresse jetable. Vous avez la possibilité

LE SPAM 119
de définir un dossier de destination pour les mails envoyés à cette adresse, lui associer un code couleur et
un filtre, vous pouvez aussi choisir un nom d'expéditeur pour cette adresse, cliquez sur Enregistrer pour
valider. Votre adresse est créée. Pour écrire un mail avec cette adresse, cliquez sur le bouton Ecrire et
sélectionnez-la dans le champ De.
On estime à près de 90% le pourcentage des emails publicitaires et frauduleux sur l’ensemble des
emails envoyés à travers le monde, autant dire que la guerre est perdue...
Les dispositifs anti-spam côté client, situés au niveau du client de messagerie. Il s'agit généralement de
systèmes possédant des filtres permettant d'identifier les spams, sur la base de règles prédéfinies ou d'un
apprentissage. (Junk E-mail dans Outlook 2003)
Les dispositifs anti-spam côté serveur, permettant un
filtrage du courrier avant remise aux destinataires. Ce type
de dispositif est de loin le meilleur, car il permet de stopper
le courrier non sollicité en amont et d’éviter l'engorgement
des réseaux et des boîtes aux lettres des internautes.
Quel est le principe des listes noires ?

Il existe quatre types de listes : noires ou blanches,
d’adresses IP ou de domaine.
Les plus connues sont les listes noires d’adresses IP.
Les listes d’adresses IP sont nommées : LHSBL (Left-
Hand Side based listing) ou IPSBL (IP based listing).
Les listes noires d’adresses IP sont couramment appelées
RBL (Realtime Blackhole List) ou DNSBL (DNS Black List), les listes noires d’adresses IP sont des listes
de serveurs connus pour aider, accueillir, produire ou retransmettre des spams ou fournir un service (relais
ouvert) pouvant être utilisé comme support pour l’expédition de spam. La plupart de ces listes sont
publiques, accessibles en consultation par tout le monde, certaines sont cependant privées. La RBL privée
la plus utilisée est : mail-abuse.com (Trend Micro). Les principales RBL parmi les 88 blacklists publiques
à travers le monde (nombre en évolution permanente) sont : bl.spamcop.net, combined.njabl.org,
dnsbl.sorbs.net, list.dsbl.org, sblxbl.spamhaus.org, bl.csma.biz, combined-
HIB.dnsiplists.completewhois.com, bulk.rhs.mailpolice.com.
On peut trouver sur Internet des listes identifiant les producteurs ainsi que les « relayeurs » de spams. Ces
derniers sont des serveurs de messagerie sur Internet qui permettent l'envoi de spams. Ceux-ci sont
identifiés sur base de leur adresse IP et de leur domaine. Ces listes sont ensuite utilisées pour configurer les
serveurs de messagerie de façon à interroger cette source d’informations et prendre une décision quant aux
messages provenant d’émetteurs listés dans ces listes noires. La consultation s’effectue dans la majorité des
cas via une requête de type DNS (service Internet assurant la conversion des noms de domaines en
adresses IP et vice versa).
Si la réponse indique une source répertoriée comme émettrice de spams, le serveur n’a plus qu’à filtrer le
mail. Rien ne s’oppose à ce qu’une autre technique de filtrage et d’analyse ne soit appliquée par la suite aux
messages acceptés, par exemple sur leur contenu ou sur leur enveloppe.
Types de listes noires

On peut faire une première distinction entre les listes noires « locales » (par exemple au niveau d’une
société ou même d’un internaute), dénommées Local Deny Lists, et les listes noires « publiques »
interrogées à distance. L'utilisation des listes noires locales nécessite maintenance et expertise de la part de
l’utilisateur. Malheureusement, les outils de messagerie standards ne facilitent en rien leur administration.
☺ Les listes publiques sont connues sous le nom de DNSBL (DNS Blackhole List), ou tout simplement
listes noires. Certaines sont gratuites, tandis que d’autres sont proposées sous forme de service payant.
Avantages/inconvénients
Le filtrage sur émetteur évite que le spam arrive sur les serveurs si le filtrage a lieu au niveau des
fournisseurs d'accès à Internet.
Il en découle des économies de bande passante, de stockage et de CPU. De plus, si on interroge une base
locale, le recours à cette technique consomme peu de ressources et est donc rapide.

120 LE SPAM
C’est pour ces différentes raisons que le filtrage sur liste a été, et est encore, très utilisé par les fournisseurs
d’accès Internet (ISP ou prestataires de messagerie). Très souvent, ces derniers détruisent simplement les
messages provenant de listes noires.
Les listes blanches sont exploitées par des sociétés commerciales qui accréditent la qualité d’un serveur de
mail. Elles contiennent des sites, des domaines ou des adresses IP sûres et certifiées.
Parmi ces listes les plus connues sont : Habeas, Bonded Sender, SuretyMail (ISIPP). Vous pouvez aussi
créer sur votre client de messagerie une liste blanche avec tous vos contacts (famille, amis, professionnel)
Il existe quelques listes, ni noires, ni blanches. Une liste spécifique répertorie tous les serveurs de Yahoo :
ybl.megacity.org (attention cette liste n’est pas crédible). D’autres listes, plus utiles, permettent de
connaître le pays d’origine de l’IP consultée : tr.countries.nerd.dk, <PAYS>.blackholes.us.
Les listes de domaines (RHSBL) sont utilisées et présentes sur l’Internet
depuis moins longtemps. Elles peuvent être utilisées dans deux cas : soit pour
contrôler le domaine expéditeur, soit pour vérifier les URL contenues dans un
email. Dans ce dernier cas, souvent le plus intéressant, une extraction des
URL présentes dans le corps des courriers électroniques est effectuée pour
vérifier chacune d’elles dans les RHBL.
Sur un total d’environ 25 RHSBL existant actuellement, les principales et des
plus utilisées sont : rhsbl.sorbs.net, sbl.spamhaus.org, fulldom.rfc-
ignorant.org, multi.surbl.org, multi.uribl.com.
Tester l'efficacité d'un filtre antispam

•http://www.spamarchive.org/
Unique, le site spamarchive.org recense plus de 200

000 e-mails commerciaux non sollicités. La base
peut être téléchargée pour tester l'efficacité d'un filtre
antispam. Le site propose également un bookmark de
qualité pour trouver des RDB, des outils, ou se tenir
informé de l'actualité de la lutte antispam.
Logiciels Anti Spam :

SpamPal Gratuit
SpamBayes Gratuit
AntiPub 2003 Fr Gratuit
AntiSpam v 0.5.32 Fr Gratuit
Pop-up Stopper FREE Edition v 3.1.14 Gratuit
Vade Retro Antispam pour Outlook et Outlook Express v 2.37 Fr Gratuit
Spamihilator v 0.9.9.32 Gratuit
SPAMfighter Standard v 5.8.0 Fr Gratuit
StopPub v 2.07 Fr Gratuit
No-Popup v 1.0 Gratuit
Absolute Popup Killer v 1.0 Fr Gratuit
CA Anti-Spam 2007 Fr Payant
Anti Spam v 2007 Fr Payant
BitDefender Antispam v 8 Fr Payant
Mail Washer Payant
Power AntiSpam Payant
Les produits complet comme par exemple : Norton internet Security intègre en plus d’un pare-feu, plus
antivirus, également un anti spam.

UPNP 121
UPNP: protocole dangereux ?
Le protocole UPnP (Plug and Play) a été créé en 1999.
Le but de ce protocole est de permettre aux utilisateurs de connecter un équipement (Pare-
feux, routeurs, imprimantes, périphériques multimédia, sans-fil ou autres équipements
électroniques…) sans avoir fait Polytechnique…
Microsoft définit le protocol de la sorte: “The overall networking experience through automatic discovery
and device interoperability”. UPnP simplifie donc lʼinterconnexion (partage, communication) entre les
équipements d’un réseau local et supprime une étape qui a énervé plus d’un utilisateur : la configuration…
Plusieurs catégories ont été définies et permettent de classifier les services offerts par UPnP en fonction
du type de l’équipement. Chacun de ces profils possède des standards (au format XML) qui doivent être
respectés lors de l‘implémentation du protocole UPnP sur un équipement donné.
Ce protocole est basé sur des normes définies par l’UPnP Forum. Il s’appuie sur les standards Internet
connus : IP, TCP/UDP, HTTP, SOAP (XML). Aucun driver n’est nécessaire à l’implémentation d’un
équipement UPnP.
La phase de découverte
Une fois la connectivité IP établie, l’équipement UPnP (de type Device/Serveur) doit alors alerter les
autres éléments du réseau de ses services.
☺ Des requêtes SSDP NOTIFY sont alors émises en Multicast vers le port UDP/1900 de tous les
équipements du réseau local. Chaque élément UPnP est ainsi en mesure de savoir quels équipements
proposent quels services.
Chaque requête contient un entête LOCATION qui indiquera l’emplacement du fichier XML contenant le
catalogue des services proposés.
De leur côté, les équipements client (ou Control Point) peuvent également rechercher les équipements
(devices) UPnP présents sur le réseau en envoyant, à intervalles réguliers, une requête SSDP M-SEARCH
vers adresse Multicast 239.255.255.250 sur le port UDP/1900, c’est à dire vers tous les équipements.
Chaque équipement (device) “Control Point” répondra via une requête 200 OK et lʼadresse (entête
LOCATION) du fichier de configuration XML à consulter.
Nombreux logiciels utilisés du quotidien utilisent sans même que vous le sachiez le protocole UPnP afin
d’ouvrir automatiquement (et discrètement) certains ports sur votre routeur ADSL.
MSN est l’exemple le plus connu. L’utilisation des services voix et téléphonie nécessite l’ouverture et le
Mapping des ports sur le routeur ou le pare-feu. Chose que MSN sait faire tout seul avec UPnP.
Windows peut également implémenter un client UPnP en ajoutant cette spécificité dans “Ajouter un
composant de Windows”, puis “Services de mise en réseau”. Dès lors, le système Windows peut
découvrir automatiquement les périphériques UPnP et alerte l’utilisateur par un pop-up dès qu’un tel
équipement est découvert sur le réseau. Ce dernier est alors ajouté dans “favoris réseau”.
Qu’en est-il de la sécurité?

Une question vient tout de suite à l’esprit : pourquoi aucune notion de sécurité n’a été abordée dans la
présentation du fonctionnement d’UPnP? Et bien la réponse est simple, parce qu’il nʼy a pas de sécurité
au sein de ce protocole…étonnant non?
En effet, comment un équipement peut-il être reconfiguré à distance sans le moindre mot de passe saisi
par lʼutilisateur ? La réponse est simple…en utilisant un protocole nʼimplémentant aucune
authentification… Les auteurs de l’UPnP ont conçu un protocole, certes pratique, mais totalement non
sécurisé.

122 UPNP
Le risque majeur concerne les particuliers. En effet, la majorité des routeurs ADSL du marché activent ce
protocole par défaut. Un utilisateur lambda est donc exposé à une attaque UPnP via la simple visite dʼune
page web. Un routeur personnel peut donc être reconfiguré afin d’exposer les machines internes depuis
l’extérieur (NAT de port).
L’exemple le plus frappant serait de natter deux ports externes vers les ports 139 et 445 d’une machine
interne afin d’accéder aux dossiers partagés par la victime.
UPnP est donc un protocole dangereux. L’absence de mécanisme d’authentification donne aux pirates des
possibilités étendues qui dépendent notamment des implémentations propres à chaque fabricant.
Les routeurs ADSL sont au centre du problème, car la fonction de port mapping est indispensable pour les
applications d’aujourd’hui…d’autant plus que la plupart des internautes utilisent encore des navigateurs
vulnérables aux attaques CSRF.
---------------------------------------------------------------------------------------------------------------------------------
Sous Windows XP, le système Universal Plug & Play est supporté par deux services (processus),
-"Service de découvertes SSDP" (SSDPDS) et
- "Hôte de périphérique universel Plug-and-Play" (UPNPDH).
Les personnes pensent qu’en désactivant le service nommé " Hôte de périphérique universel Plug-and-
Play " cela désactive le système UPnP. Mais cela n’est pas le cas, l’action correcte est d’arrêter et
désactiver le service nommé "SSDP Discovery Service".
Avec le service SSDPDS fonctionnant sous Windows XP nous avons
-le port TCP 5000 ouvert => accepte les connexions distantes et
-le port UDP 1900 en écoute pour les datagrammes en entrée.

FIREWALLS 123
LES PARE-FEUX (FIREWALLS)
Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau
informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La
méthodologie généralement employée par les pirates informatiques consiste à scruter le réseau (en
envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée,
puis à chercher une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet pour
plusieurs raisons :
• La machine cible (à la maison) est susceptible d'être connectée sans pour autant être surveillée (je
suis au travail);
• La machine cible est généralement connectée avec une plus large bande passante (ADSL-Fibre
Optique);
• La machine cible ne change pas (ou peu) d'adresse IP (ADSL-Zone dégroupée : Free.fr).
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une
connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de
protection.
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewalls en anglais), est un dispositif physique
(matériel) ou logique (logiciel) servant de système de protection pour les ordinateurs domestiques. Il peut
également servir d'interface entre un ou plusieurs réseaux d’entreprise afin de contrôler et éventuellement
bloquer la circulation des données en analysant les informations contenues dans les flux de données
(cloisonnement réseau). Une structure destinée à empêcher un feu de la traverser.
Elle limite l’accès à l’Internet ou aux autres parties des réseaux
• limiter l’entrée et la sortie à des points contrôlés
• empêcher les attaques de l’extérieur
Les limites des firewalls

Les Firewalls, ne peuvent pas protéger contre les
menaces de l’intérieur
Les Firewalls ne protègent en effet que des
communications passant à travers eux.
Ne vous protègent pas des menaces les plus
récentes
Ne peuvent pas protéger contre les virus
Le Firewall lui-même doit être protégé contre les
attaques (on utilise un système sûr ainsi qu’un
système d’exploitation très fiable et spécialement
sécurisé : linux !!!!!!)
Un firewall sert dans de nombreux cas également à éviter la fuite non contrôlée d’informations vers
l’extérieur (votre machine est déjà infectée).

124 FIREWALLS
Il existe principalement 2 catégories de firewalls :
Les firewalls personnels protégeant uniquement les stations de travail ou ordinateurs personnels. Ils sont
installés directement sur l’ordinateur de l’utilisateur.
Les firewalls d’entreprise installés sur des machines dédiées. Ce type de firewall est souvent placé entre
Internet et un réseau d’entreprise afin de protéger ce dernier des différentes menaces d’Internet.
Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système
pourvu que :
• La machine soit suffisamment puissante pour traiter le trafic ;
• Le système soit sécurisé ;
• Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme
d'« Appliance ».
Il est également utilisé pour la création de zones démilitarisées (DMZ) pour l’hébergement de serveurs
publics. Dans certains cas, il sert même à séparer différentes parties du réseau d’entreprise en périmètres de
sécurité différents (cloisonnement réseau).
Firewall- généralités
a). Screened host FW with single-homed bastion
Cette configuration comporte deux systèmes :

• Un filtrage de paquets
• Une machine écran (Bastion Host)
De façon générale, ce système présente une sécurité accrue pour deux raisons principales :
• Cette configuration met en œuvre les deux filtrages : le filtrage de paquets et le filtrage d’applications.
Ceci permet une très bonne souplesse dans la définition des polices de sécurité.
• Une attaque devra pénétrer deux systèmes consécutifs s’il désire compromettre le réseau interne.
Dans le cas où le filtrage de paquets n’est plus assuré (compromised), l’entier du réseau interne est perdu !
Par contre les accès directs au monde extérieur sont plus compliqués si l’on se contente de ne laisser passer
que le trafic du bastion.
En cas de présence d’un serveur Web dans le réseau interne, on ouvrira le filtre de paquets pour cette
machine sur le port correspondant (dans ce cas le port 80 ou 443).
Cette méthode peut être sans autres appliquée si le service ne requière pas un haut degré de sécurité (strong
authenticassions)

FIREWALLS 125
b). Screened host FW with dual-homed bastion
Cette configuration comporte également deux systèmes :

• Un filtrage de paquets
• Une machine écran (Bastion Host) équipée de deux ports physiques distincts
Afin de ne pas compromettre le réseau interne en cas de « perte » du filtrage de paquets, un Bastion à deux
ports physiques distincts permettra d’isoler ce dernier du serveur Web. Ainsi :
– Le routeur de filtrage de paquets n’est plus critique.
– Le trafic entre le réseau extérieur et une machine du réseau interne doit traverser le Bastion et ainsi être
contrôlé.
Le serveur Web peut être installé entre le Bastion et le filtre de paquets pour des raisons de vitesse de
service sans pour autant compromettre le reste du réseau interne (Intranet).
c). Architectures Firewall Screened subnet

Cette configuration comporte trois systèmes :
• Deux filtrages de paquets ( Outside and Inside Routers )
• Une machine écran ( Bastion Host )
L’installation d’une zone « tampon » entre le réseau extérieur (en principe Internet) et le réseau interne (en
principe Intranet) semble être la solution idéale. Cette zone est aussi appelée « Zone démilitarisée » DMZ
(DeMilitarited Zones).
La DMZ permet l’installation de machines jugées à risques (serveur Web, Server POP, Bastion) dont la
chute ne mettra pas en cause le réseau interne.
Implique un haut degré de sécurité en raison des deux filtrages de paquets mis en œuvre du coté interne et
du coté externe.

126 FIREWALLS
• Avantages:
– Trois niveaux de défense pour entraver les attaquants
– Configuration du filtre externe ( outside router ) ne permet que l’accès à la DMZ. De cette façon le
réseau interne (Intranet) est invisible depuis l’extérieur (Internet).
– Configuration du filtre interne ( Inside router ) ne permet que l’accès à la DMZ. De cette façon les
machines internes ne peuvent en aucun cas ouvrir de connexions directes vers le réseau extérieur.
Voici la définition de quelques termes utilisés :
Firewall/ Pare-feu Le Firewall est un ordinateur, un boîtier ou même un logiciel qui sert à protéger et isoler les réseaux
les uns des autres, notamment pour protéger des pirates pénétrant par les connexions Internet. Il assure
généralement les fonctions suivantes :
• examen détaillé de chaque paquet reçu,
• filtrage de contenu d'applications,
• authentification/autorisation d'applications,
• cryptage/décryptage, traduction d'adresses de réseau ou NAT (Network Address
Translation), qui rend les utilisateurs non visibles de l’extérieur en leur attribuant une
adresse IP différente pour l'extérieur.
En clair, c'est un logiciel, séparé ou intégré à un OS, sur une machine qui comporte au moins 2 cartes
réseau
DMZ La DMZ (DeMilitarized Zone) désigne une zone partiellement sécurisée, située entre l’accès à
Internet et le réseau interne de l’entreprise et dans laquelle on peut placer les serveurs Web
accessibles depuis l’extérieur. Un firewall isole cette zone du réseau interne qui bénéficie ainsi d’une
sécurité supérieure aux systèmes les plus exposés.
Bastion (Proxy) Machine en interne (DMZ), proposant des services informatiques publics ou contrôlés, peu jouer le
rôle de pare feu. Machine ou routeur filtrant qui n’autorise que le trafic de et vers ce bastion (proxy).
Les bastions sont installés de façon très sécurisée afin d'éviter des restaurations de système trop
souvent. Du trafic peut passer directement à travers le routeur filtrant (performances).
Routeur Élément actif qui permet de communiquer avec un tiers via ADSL, RNIS, LS, RTC… depuis un
réseau interne isolé. La communication sur le réseau câblé se fait par transmission de paquets. Chacun
d'eux possède une identité de destination et d'origine et le routeur choisit le chemin au coup par coup
jusqu'au prochain saut. Ce choix peut s'agrémenter d'un tri effectué selon des règles préfixées.
NAT Traduction d'adresses IP privée en adresse IP publique. C'est le calcul réalisé par un élément actif
pour faire sortir des paquets venants d'une IP interne, les faire sortir avec sa propre adresse IP (en
transformant l'en-tête du datagramme), et refaire la transformation inverse dès le retour du paquet afin
de le délivrer au demandeur.
Serveur Machine de référence qui gère des droits de connexions avec d'autres éléments actifs. Elle possède
d'Authentification une clef privée secrète qui est identique aux éléments qui lui font référence d'authentification.
Tacacs / Tacacs+ / Méthodes d'AAA très sécurisées avec des clés publiques / privées.
Radius/Diameter
(open source)
AAA Autorisation Authentification Account. Les services AAA dépendent d’un serveur ou cluster pour
stocker les mots de passe des utilisateurs (gestion centralisée des identifiants). Ce type d’utilisation
des services AAA peut être complété avec 802.1x pour les réseaux filaires, permettant de bloquer le
port si la demande est refusée ou même si l’adresse MAC connectée n’est pas la bonne.
Syslog Programme très proche de l'OS qui enregistre, sous forme basique, toutes les informations de
débuggage et des actions qui se déroulent sur le système. (login, extinction, boot, lancement de
processus.....)
Un système pare-feu contient un ensemble de règles prédéfinies permettant :

• D'autoriser la connexion (allow)
• De bloquer la connexion (deny)
• De rejeter la demande de connexion sans avertir l'émetteur (drop).

FIREWALLS 127
Remarque :
☺ Quel est la différence entre un port "closed" (fermé) et un port "stealth" (furtif) ou "blocked"
(bloqué) ?
Lorsqu'un port est "fermé", cela signifie que votre firewall répond à la tentative de connexion par un
message indiquant que la connexion n'est pas possible. Lorsqu'il est "furtif", votre firewall ne renvoie
rien. Le pare-feu peut donc être configuré en « mode silencieux », il laisse alors sans réponse toutes les
tentatives de sondage avec le protocole ICMP (Internet Control Message Protocol), ce qui a pour
conséquences d’empêcher la retransmission de messages révélant la présence de l’ordinateur et,
notamment es ports ouverts. Le Ping est d’abord traité par le premier routeur de connexion qu’il
rencontre, celui du FAI. Et plutôt que de retourner le message « destination unreachable »
(destination inaccessible) à l’émetteur du Ping comme il le ferait si l’ordinateur était éteint ou
déconnecté, il ne retourne aucune réponse. De là, le pirate peut en déduit que vous êtes connecté et va
persévérer dans son attaque, par exemple avec des scans Furtifs.
L'ensemble de ces règles (au niveau du routeur) permet de mettre en œuvre une méthode de filtrage
dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de
politiques de sécurité permettant :
• soit d'autoriser uniquement les communications ayant été explicitement autorisées :

"Tout ce qui n'est pas explicitement autorisé est interdit".
• soit d'empêcher les échanges qui ont été explicitement interdits.
Le filtrage simple de paquets

===============================================================================
Le tableau ci-dessous montre un exemple de configuration des règles d’un firewall :
Que fait l’access-list ci-dessus :

Règle N°1 :____________________________________________________________________________
Règle N°2 :____________________________________________________________________________
Règle N°3 :____________________________________________________________________________
Règle N°4 :____________________________________________________________________________
===============================================================================
La construction des règles de pare-feu ACL

Les syntaxe de ACL Rules sont les suivantes :
access-list number deny host 10.1.10.1 ! cisco IOS (Standard)
access-list number deny IP host 10.1.10.1 ! cisco IOS (Extended)
block in on le0 from 10.1.0.1 to any #Ip filter (ipfilter)
add deny MAC 00:10:4b:30:C4:4a any in #ipfirewall (ppfw)
iptable -A INPUT --mac source 00:10:4b:30:C4:4a -j DROP #Netfilter (iptables)
block in quick on $Ext_if from 10.1.0.1 ANY #paquet filter (pf)
add portopening TCP 3 wireshark DISABLE #Windows Firewall (netsh)

128 FIREWALLS
Filtrage sans état (stateless) :
☺ Cette première technique est appelée ‘filtrage de paquets sans état’ (ou filtre de paquets statique). Ce
mécanisme de filtrage examine les entêtes IP et TCP ou UDP et décide d’autoriser ou d’interdire le paquet
en fonction : des adresses IP sources et/ou destination, du protocole encapsulé dans IP, des numéros de
port, etc. Les datagrammes sont analysés indépendamment les uns des autres.
Avantage:
– Concept simple
– Complètement transparent pour l’utilisateur interne ou externe (pour autant que ses paquets soient
transmis et non éliminés !)
– Rapide bien que la présence d’un Firewall ralentira en tout les cas le trafic.
Inconvénients:
– Grosses difficultés à paramétrer la configuration de façon cohérente. Cette difficulté rendra le Firewall
inefficace en cas de mauvaise configuration
– Pas de mécanisme d’authentification. Les seuls paramètres contrôlés se trouvent dans les en-têtes des
paquets.
But : autoriser / interdire le passage d’un paquet selon :

Le port source / destination
Le protocole (UDP, TCP, ICMP)
L’adresse source / destination
Le type de paquet ICMP
La taille du paquet
Interface d’entrée / de sortie
Filtrage avec état (statefull ou statefull inspection, pour la société CheckPoint) ».

Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les uns des autres,
ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP,
qui gère la notion de session, afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux
services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement
(c'est-à-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office de
serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire.
Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du
modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-
saxon est « stateful inspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec état ».
☺ Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges,
c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette
manière, à partir du moment où une machine autorisée initie une connexion à une machine situé de l'autre
côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion sera implicitement
accepté par le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant
de l'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités
représentent la part la plus importante des risques en termes de sécurité.
Configuration correcte des règles et des différents paramètres du firewall

Trouver un équilibre entre sécurité et fonctionnalité. Le firewall doit assurer une protection adéquate
(sécurité) tout en évitant de limiter trop les fonctionnalités de l’utilisateur (fonctionnalité)
Il est recommandé de limiter le nombre d’utilisateurs pouvant configurer et modifier les règles et
paramètres du firewall.

FIREWALLS 129
Notion de pare-feu personnel
Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall
personnel (pare-feu personnel).
Quelle est la différence entre un firewall logiciel et firewall matériel ?

C'est simple, il n'y a pas de différence, ou si peu.
D'un côté, vous avez votre ordinateur, sur lequel tourne un firewall logiciel. De l'autre, vous avez une boîte,
plus ou moins grosse, à qui l'on donne le doux nom de "firewall matériel" et qui, de par son prix, n'est
absolument pas destinée aux particuliers.
Seulement, dans cette boîte il ne se cache rien de moins qu'un ordinateur, généralement réduit à sa plus
simple expression et conçu spécifiquement pour cela. Et sur cet ordinateur, on trouve un firewall logiciel.
Dans la pratique, le firewall matériel étant supposé s'exécuter sur un système d'exploitation réputé pour sa
sécurité, et disposer d'un firewall parfaitement configuré, il est donc potentiellement plus efficace.
Utilisation d'un pare-feu à trois interfaces
Un pare-feu à trois interfaces se compose d'un

pare-feu doté d'une interface attribuée à Internet,
d'une deuxième interface attribuée au réseau privé
et d'une troisième interface destinée au sous
réseau filtré. Les flux de trafic entre les trois
interfaces sont contrôlés par les règles de pare-feu.
Le pare-feu à trois interfaces protège le réseau
privé en redirigeant tout le trafic source Internet
vers le sous réseau filtré et en empêchant le trafic
Internet d'atteindre directement le réseau privé.
Le tableau ci-dessous récapitule les

avantages/inconvénients liés à l'implémentation
d'un pare-feu à trois interfaces :
Avantages Inconvénients
Coût inférieur en raison de l'implémentation d'un Tous les pare-feu ne prennent pas en charge cette
seul ordinateur pare-feu. configuration.
La configuration peut englober plusieurs Si le pare-feu est compromis, tous les segments du réseau
segments. Chaque segment peut être configuré interne sont exposés.
selon un niveau d'accès particulier au réseau
interne.
Une seule liste de règles est nécessaire. Le pare-feu peut devenir un goulot d'étranglement, car
tout le trafic entrant et sortant doit être analysé à son
niveau.
La liste des règles de pare-feu peut devenir
particulièrement complexe.

130 FIREWALLS
Utilisation d'un sous réseau filtré intermédiaire
Un sous réseau filtré intermédiaire est une

zone du réseau, située entre deux pare-feu,
qui contient des systèmes accessibles à
partir d'Internet. Les deux pare-feu font
office de barrières, l'un entre Internet et le
sous réseau filtré, l'autre entre le sous
réseau filtré et le réseau interne.
Si les pare-feu associés au sous réseau

filtré intermédiaire proviennent de
plusieurs constructeurs, la sécurité du
réseau interne peut s'en trouver renforcée.
Si le pare-feu externe est compromis, un
pirate doit utiliser différents outils et
méthodes pour compromettre le pare-feu
interne afin d'accéder aux ressources du
réseau interne.
Le tableau suivant récapitule les avantages et les inconvénients liés à l'implémentation d'un sous réseau
filtré intermédiaire :
Avantages Inconvénients
Étant donné qu'un pirate doit passer outre deux Deux pare-feu sont plus onéreux qu'un seul.
pare-feu pour accéder au réseau interne, cette
méthode renforce la sécurité de votre réseau.
L'utilisation de pare-feu de deux marques Une configuration et une administration supplémentaires

différentes réduit le risque de violation. sont requises.
Injection de codes (firewall by-pass)

L’injection de dlls : exemple, le programme iexplore.exe est autorisé à traverser le firewall, le
programme X n’est pas autorisé à traverser le firewall.
X va injecter dans le processus iexplore.exe la dll contenant les fonctions à exécuter. Ces fonctions étant
réalisées par un programme autorisé, le firewall est
contourné. Le chargement de la dll peu être effectuée
de la manière suivante :
• via Windows Hooks, ou via la fonction LoadLibrary
Les règles du firewall doivent être basées, en plus du
chemin d’accès et du nom du programme, sur les hash
(MD5 en général) des programmes. Ceci va permettre de contrôler l’intégrité des programmes et donc de
s’assurer que le programme essayant de traverser le firewall est bien le même que celui ayant été autorisé
lors de la création de la règle. Tous les nouveaux firewalls personnels « sérieux » possèdent cette fonction.
Conclusion
Les firewalls personnels ne proposant pas des fonctionnalités tels que le contrôle de DLLs, le blocage
d’injection de threads ou encore la protection contre le contournement de la pile TCP/IP n’offrent aucune
protection contre les malwares utilisant des techniques « récentes ».
Cependant, les failles de type injections de codes se situant au niveau de l’OS et non du réseau, il pourrait
paraître légitime que les éditeurs de firewall personnel estime que la gestion de ces failles n’est pas de leur
ressort. Des outils tels que ProcessGuard (Windows) ou Systrace (Linux) sont spécialisés dans la gestion
des droits interprocessus et proposent un grand nombre de fonctionnalités permettant de bloquer les
malwares utilisant l’injection de code, l’installation de kernel-mode driver etc...

FIREWALLS 131
La société Yoggie Security Systems propose le premier pare-feu matériel (pour les portables) implanté
dans une clé USB. Sa taille mini ne l'empêche pas d'être vraiment efficace au regard des spécifications
annoncées par le constructeur. Cette clé est déjà disponible pour le système Windows. Pour Linux et MacOS X,
il faudra patienter mais le constructeur assure que les pilotes seront eux aussi proposés bientôt.
13 applications dédiées à la sécurité

Voilà une solution qui ravira les nomades soucieux de la sécurité de leurs
données. La société américaine Yoggie Security Systems propose et c'est
une première, la Yoggie Pico, une "simple" clé USB dans laquelle est
implantée un pare-feu matériel, une véritable centrale de sécurité qui
saura remplir les rôles d'anti-spam, d'anti-phishing, d'anti-spyware,
d'antivirus et de système de contrôle parental.
Elle peut en outre servir de Proxy pour le courrier électronique (SMTP et
POP3) et pour web (http et FTP). Elle dispose de systèmes de détection
et de prévention des intrusions (IDS). Dotée d'un processeur Intel
PXA270 cadencé à 520MHz et s'appuyant sur un système Linux (le noyau 2.6), la Yoggie Pico est équipée en
tout de 13 applications entièrement dédiées à la sécurité.
Les améliorations point de vue sécurité dans XP SP2

De multiples changements ont été apportés au SP2 pour une sécurité accrue.
Ci-dessous une liste des diverses améliorations
- Trafic restreint sur les RAW Sockets limitant les DDoS et l'envoi de spoofed packets avec une
IP forgée.
- Le service Avertissement (Alertes administratives) est désactivé par défaut
- Gestion sécurisée de Bluetooth intégrée
- Sécurisation de la couche TCP/IP
- Windows Firewall filtrant les connexions entrantes (sous Windows Vista : filtrage des
connexions entrantes/sortantes) TCP/IP version 4 (IPv4) and TCP/IP version 6 (IPv6) activé par
défaut sur toutes les interfaces et actif au boot grâce à une règle statique. Configurable en ligne de
commande. Supporte de multiples profils.
- Sécurisation du service WiFi automatisée
- Outlook Express
Limite au téléchargement des images et autres contenus html externes prévenant entre autres la validation
de son adresse Mail au reçu d'un spam
Attachment Execution Service API Integration nouveaux API (AES) pour la vérification des pièces jointes
- Renforcement de la sécurité pour la navigation pour les téléchargements, les pièces jointes et
les authenticodes
- Gestion des modules complémentaires et crash détection liés à ceux-ci - concerne les Browser
Help Objects (BHO), les ActiveX, les extensions barres d'outils et navigateur
- Barre d'information Internet Explorer Centralisation de la gestion des pop-up, des
téléchargements, des ActiveX et du contenu actif
- Internet Explorer Pop-up Blocker
Remarque :
Vous pouvez autoriser les fenêtres pop-up de sites sécurisés avec Windows XP SP2, pour cela, lancez
l’éditeur de registres, dans l’éditeur placez-vous sur la clé :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows. Là, créez une
nouvelle valeur chaîne que vous nommerez « AllowHTTPS » et donnez lui la valeur 1.
Vous pouvez restreindre les ports USB à la lecture (il faut le SP2), dans
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies, créez une
valeur de type Reg_Dword « WriteProtect » et attribuer la valeur 1.

132 FIREWALLS
Prévention de l'Exécution des Données
Depuis le SP2 de Windows XP (Vista inclus), une nouvelle gestion de

la mémoire (mode No eXecute) a été ajoutée, elle permet aux
processeurs Athlon 64 d'AMD, Opteron (appelé NX – No Execute chez
AMD), compatible avec les sockets AM2, 939 et 754, processeurs Intel
au socket LGA775 (appellé XD ou Active Bits)… Au niveau matériel,
les processeurs compatibles empêchent l’exécution de codes de
programmes dans les zones mémoires marquées comme réservée à des
données. Windows XP SP2 permet également de réduire les
exploitations des mécanismes de gestion des exceptions de Windows.
Si le DEP est compatible avec votre processeur une fenêtre d’exception
s’affiche (voir ci-contre). Le DEP ne vérifie pas l’installation de logiciels (y compris virus, spyware, trojan,
adware,…) il ne fait que surveiller les logiciels installés sur l’ordinateur et vérifier l’utilisation de la
mémoire système par ceux-ci. En cas d’utilisation d’une zone interdite, Windows ferme automatiquement
le programme qui tente d’y accéder. Il n’ya pas de vérification du type de programme, tous logiciel est
automatiquement arrêter.
Des programmes tout à fait corrects peuvent donc être stoppés rendant leur exécution impossible. Cette
fonctionnalité provoque parfois au démarrage de Windows le message suivant « Pour aider à protéger
votre ordinateur, Windows à fermer le programme suivant ». Solution :
• Vous pouvez cependant définir des exceptions et la désactiver pour des applications précises.
Si vous voulez désactiver la prévention PED pour un

programme que vous estimez digne de confiance,
vérifiez d’abord si l’éditeur du logiciel a créé une version
du programme compatible avec cette fonctionnalité, ou
s’il propose une mise à jour, avant de modifier un
paramètre de prévention de l’exécution des données. Si
c’est le cas, il est conseillé d’installer ce programme ou
cette mise à jour et de laisser la prévention de
l’exécution des données activée afin de bénéficier de la
protection qu’elle assure. Au cas où l’éditeur n’a pas
publié de version ou de mise à jour compatible avec la
prévention DEP du programme, vous pouvez désactiver
cette fonctionnalité pour le programme. Vous serez en
mesure d’utiliser ce programme, mais il peut faire l’objet
d’une attaque risquant d’affecter les autres programmes
et fichiers.
Si votre ordinateur ne prend

pas en charge le DEP vous
aurez le message ci-contre :
Je vous propose de paramétrer cette DEP comme ceci :
• Sous XP :
o Allez dans le menu Démarrer, faites un clic-droit sur Poste de travail puis cliquez sur
Propriétés. Dans la zone Performances, cliquez sur Paramètres.
o Allez à l'onglet Prévention de l'exécution des données.
o Sélectionnez alors l'option "Activer la prévention d'exécution des données pour tous les
programmes et services, sauf ceux que je sélectionne".

FIREWALLS 133
o Cliquez alors sur le bouton "Ajouter" puis sélectionnez sur votre disque dur l'exécutable de
votre programme incompatible avec la Prévention d'exécution des données. Cliquez alors sur
le bouton Ouvrir.
o Cliquez enfin sur le bouton OK puis redémarrez votre ordinateur pour appliquer la
modification.
Ou de la désactiver complètement par le boot.ini comme suit (ceci est valable seulement pour Windows XP) :
Remplacez alors le niveau du fichier boot.ini, xxxx, de /noexecute=xxxx par AlwaysOff.
Votre commutateur doit maintenant correspondre à /noexecute=AlwaysOff.
Néanmoins si un jour vous souhaitez le réactiver, il vous suffit de recommencer l'opération et de remplacer
/noexecute=AlwaysOff par /noexecute=Optin.
Space Layout Randomization

ASLR (Address Space Layout Randomization), a été introduit avec Windows Vista, fin 2007.
ASLR permet de rendre aléatoires les zones de données dans la mémoire virtuelle, diminuant les chances
de succès de certaines exécutions de code malveillant.
L’utilisation combinée de DEP et de ASLR permet de rendre très difficile l’écriture d’exploit.
De nombreuses applications négligent leur utilisation, parmi celles testées et n’utilisant pas DEP et ASLR
figurent des applications populaires incluant Sun Java JRE, Apple QuickTime, VLC Media Player,
OpenOffice.org, Google Picasa, Foxit Reader, Winamp et Real Player.
D’autres applications sont, au contraire, devenues compatibles DEP, dont Mozilla Firefox, Apple iTunes,
et Safari, Google Chrome était la seule application parmi les 16 testées à utiliser à la fois DEP et ASLR
Le centre de sécurité
Il est accessible par l'icône dans la barre de tâches si un problème est détecté (Cette icône apparaît dans ce
cas : ) sinon par le panneau de configuration ( ).

Il regroupe 3 points essentiels à une bonne sécurité de votre système
:
1. Le pare-feu (ICF dans XP et XP SP1) Windows Firewall.

2. La mise à jour Windows Update.
3. La détection de l'anti-virus (elle nécessite un AV récent ou une
mise à jour de votre AV).
La "bulle" d'alerte de "non-détection" de l'anti-virus peut

simplement être désactivée par la case à cocher "J'ai un programme Anti-virus..." accessible par le bouton
[recommandation] qui devient visible lorsque l'on développe le double chevron de la ligne "Protection
Antivirus" ou bien par le lien "Modifier la façon dont le centre de sécurité me prévient"
Windows Firewall
Windows Firewall est activé dès l'installation sur toutes les interfaces (Internet, Ethernet, WiFi,...)
Attention ! Windows Firewall (SP2) ne filtre pas le trafic sortant, il convient donc d'être extrêmement
prudent dans l'installation des programmes ou fichiers de sources peu sures, tout malware installé sur votre
machine communiquera librement vers l'extérieur si vous n'utilisez pas de mesures complémentaires, telles
un bloqueur comme SystemSafetyMonitor

134 FIREWALLS
☺ On peut configurer le parefeu XP SP2 de 3 manières : par l'interface graphique; via la ligne de
commande via NetSh (network shell); par les tratégies de groupes (gpedit.msc).
===============================================================================
Gestion (affichage) des logs du Pare-feu Windows XP
FirePanelXP propose divers outils dans une interface facile : les logs de Windows Firewall, Connexions
(netstat -ano), un Sniffer basique, un éditeur de règles pour le Firewall, Stats (Netstat -e) et Routing (Netstat -r)
****Remarque : Activez au niveau de votre firewall la journalisation des événements, avant de commencer le
TP ci-dessous****
1. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP (ce dossier partagé sur la machine du
formateur contient le programme FirePanelXP et le fichier. NET Framework version 1.1.4322), se connecter en
tant que :
Nom : Marcel
2. Double-cliquez sur le fichier .NET Framework version 1.1.4322 pour l’installer.
3. Double-cliquez sur le fichier FirePanelXP.msi pour l’installer.
Remarque : Pour que ce programme(FirePanelXP) puisse

fonctionner, il faut au préalable installer frame-network-
dotnetfx (.NET Framework version 1.1.4322), venez le
chercher sur le partage de la machine du formateur :
\\SecNet\Temp, puis exécutez-le pour l’installer
4. Cliquez sur son icône (FirePanelXP) pour faire

apparaître l'interface.
5. L'onglet Firewall Log donne une vue d'ensemble des
évènements enregistré, les couleurs signalant immédiatement
l'état du port.
6. L'onglet Connections présente l'état des connexions en
cours. A noter que les ports sont parfaitement STEALTH
(Drop) lors d'un test en ligne, sauf ceux que vous avez
ouverts pour un serveur accessible depuis l'extérieur de votre
réseau.
================
Ce chien de garde (Watch Dog) surveille Windows Firewall et empêche tout
logiciel tiers de le désactiver. Une icône dans le Systray vous permet cependant
de le désactiver/activer à la demande (Vert = activé/Rouge = désactivé). Les
options d'installation permettent de le lancer au démarrage de Windows En effet,
si les firewalls tiers récents se permettent avec raison de le désactiver à leur
installation/exécution, rien n'empêche un malveillant d'ajouter une routine dans un
malware faisant la même chose. Même passer par le panneau de
configuration\Pare-feu Windows et cocher désactiver ne le termine pas, il est
indispensable de passer Watch Dog.
===============================================================================
Protéger Windows Firewall avec WatchDog
1. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP (ce dossier partagé sur la machine du
formateur contient le programme WatchDog-Setup), se connecter en tant que :
Nom : Marcel
2. Double-cliquez sur le fichier WatchDog-Setup.exe pour l’installer.
3. Une fois installé, dans la boite de dialogue de Watch DOG, cliquez sur Options, puis cocher Start with
Windows et Auto Watch on start, dans language choisir Français.lng, puis OK.

FIREWALLS 135
4. Dans la boite de dialogue de Watch DOG, cliquez sur l’îcone ENABLE, puis sur Watch ON, Fermer.
5. l’icône de Watch DOG est maintenant active dans la zone de notification.
6. Redémarrer votre PC puis essayez de désactiver votre firewall graphiquement, normalement avec Watch
DOG, le firewall restera toujours Activé.
De nombreux virus et chevaux de Troie tentent de neutraliser les suites de sécurité, vous
pouvez essayer de mettre fin aux processus en cours de telles suites à l’aide du logiciel gratuit
Process Explorer (WWW.sysinternals.com/tilities/ProcessExplorer.html). Le résultat est
inquiétant car, si une telle désactivation manuelle est possible, elle doit aussi être à la portée
d’un code nuisible, de manière automatisée…..
===============================================================================
Ajout de l'exception de port via l’interface graphique de Windows
1. Cliquez sur Démarrer, puis sur Exécuter, tapez Wscui.cpl et cliquez sur Pare-feu Windows pour ouvrir
le Pare-feu Windows.
2. Cliquez sur l'onglet Exceptions puis sur Ajouter un port pour afficher la boîte de dialogue Ajouter un
port.
3. Indiquez le numéro de port utilisé par votre programme : 22.
4. Sélectionnez le protocole TCP pour ce programme.
5. Dans le champ Nom, tapez la désignation du port : SSHv2.
6. Cliquez sur Modifier l'étendue pour afficher ou régler l'étendue de l'exception du port : sélectionner
Uniquement mon réseau (ou sous-réseau) et cliquez sur OK.
7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un port.
8. Vérifier qu’Afficher une notification lorsque le Pare-feu Windows bloque un programme est cochée.
9. Fermer le Centre de sécurité Windows.
===============================================================================
Identification des ports
1. À l'invite de commande, tapez C:\> Netstat –ano > C:\netstat.txt et appuyez sur ENTRÉE (cette
commande permet de créer le fichier Netstat.txt. Ce fichier répertorie tous les ports d'écoute).
2. À l'invite de commande, tapez C:\> Tasklist /svc > c:\tasklist.txt (pour répertorier les services qui sont
chargés dans chaque processus).
3. Ouvrez le fichier qui est dans C:\Tasklist.txt et recherchez le programme qui pose problème s’il y en a
un !!!! (ici non).
Notez ici par exemple, par écrit l'identificateur du processus SSHv2 : ____________________ et ouvrez le
fichier Netstat.txt. Notez les entrées associées à l'identificateur de processus SSHv2 ainsi que le protocole
utilisé : ________________________________.
4. À l'invite de commande, tapez C:\> Netstat –abnov et appuyez sur ENTRÉE (cette commande liste les
processus qui sont à l’écoute sur le port TCP et UDP).
===============================================================================
Vérification et configuration du Pare-feu XP via la commande Netsh
Commandes dans ce contexte :
1. Ouvrez une invite de commande.
2. netsh puis Entrée
3. netsh> firewall, puis Entrée.
===============================================================================
1. netsh firewall>set icmpsetting 8 ENABLE : Active en entrée les requêtes de type ICMP Request (Ping)
2. netsh firewall>set icmpsetting 5 ENABLE : Active en entrée les requêtes de type ICMP Redirect
3. netsh firewall> show icmpsetting - Affiche la configuration ICMP du pare-feu.
4. netsh firewall>set icmpsetting 5 DISABLE : Désactive en entrée les requêtes de type ICMP Redirect
5. netsh firewall> show icmpsetting - Affiche la configuration ICMP du pare-feu.
===============================================================================
1. Dans l’Explorer de Windows, désactiver les partages simples (menu Outils, Options des dossiers, onglet
Affichage, la dernière ligne décocher : Utiliser le partage de fichiers simple).

136 FIREWALLS
2. Ouvrez une invite de commande, puis créer un répertoire C:\TEMP (sauf s’il existe déjà) par la commande :
C:\> MD C:\temp.
3. Puis partager le en tant que TEMP, par la commande : C:\> net share temp=c:\temp.
4. Ouvrir une autre invite ce commande, saisir : C:\> cacls C:\Temp /T /E /G «tout le monde»:R, puis
fermer l’invite de commande.
5. netsh firewall>set service FILEANDPRINT ENABLE : Active le partage de fichiers et imprimantes réseaux
6. Demander à votre partenaire de faire, bouton Démarrer, puis Exécuter…, puis \\192.168.x.y\temp (@ IP du
partenaire).
7. Est-ce que la boite Connexion à … apparaît ? : _______
8. netsh firewall> show service - Affiche la configuration de service du pare-feu.
9. netsh firewall>set service FILEANDPRINT DISABLE : Désactive le partage de fichiers et imprimantes
réseaux
10. Demander à votre partenaire de faire, bouton Démarrer, puis Exécuter…, puis \\192.168.x.y\temp (@ IP du
partenaire).
11. Est-ce que la boite Connexion à … apparaît ? : _______
===============================================================================
1. netsh firewall>set logging %windir%\pfirewall.log 8192 ENABLE : Paramètre du fichier de log du
Pare-feu
2. netsh firewall> show logging - Affiche la configuration de journalisation du pare-feu.
===============================================================================
1. netsh firewall>set portopening TCP 80 MonPortWeb ENABLE : Active le port 80 – Serveur WEB
2. netsh firewall>show portopening : Affiche la configuration de port du pare-feu.
3. netsh firewall>set portopening protocol = ALL port = 53 name = ReqDNS mode = ENABLE scope
= CUSTOM addresses = 192.168.x.y,172.16.0.0/16,10.0.0.0/255.0.0.0,LocalSubnet (ici ALL= TCP et UDP)
4. netsh firewall>show portopening : Affiche la configuration de port du pare-feu.
5. Allez dans le Panneau de configuration, Performances et maintenance, Outils d’administration, icône
Services.
6. Mettre le service Telnet sur Automatique, puis le démarrer.
7. netsh firewall>set portopening TCP 23 Telnet ENABLE.
8. Demander à votre partenaire d’ouvrir une invite de commande, puis de saisir : C:\> telnet 192.168.x.y, (@IP
du partenaire). Puis de valider par « o » et Entrée. Pour le login saisir un nom et un mot de passe valide chez
votre partenaire (sinon à ce stade cela signifie que le pare feu ne bloque plus la connexion Telnet).
9. Est-ce que cela à fonctionné : ___________ ?
===============================================================================
1. netsh firewall> show allowedprogram - Affiche la configuration des programmes autorisés par le pare-feu.
2. netsh firewall>set allowedprogram C:\WINDOWS\System32\sessmgr.exe “Bureau à distance”
DISABLE (désactive Assistance à distance).
===============================================================================
1. netsh firewall> reset : efface les paramétrages du Pare-feu remet le Pare-feu dans le mode par défaut.
2. netsh firewall> show config : affiche la config du Pare-feu
===============================================================================
Commandes dans ce contexte :
1. Définissez l'état du service Pare-feu Windows / Partage de connexion Internet en tapant à l'invite de
commande : C:\> sc query sharedaccess (le nom abrégé du service est SharedAccess.) Réglez le problème
du démarrage du service en fonction du code de sortie Win32 s'il ne démarre pas.
2. Définissez l'état du pilote de pare-feu Ipnat.sys en tapant à l'invite de commande : C:\> sc query ipnat
3. vérifiez si des paramètres de stratégie ne compromettent pas le fonctionnement.
Pour cela, tapez : C:\> GPResult /v > C:\gpresult.txt à l'invite de commande et recherchez si le fichier texte
que vous obtenez comporte des stratégies configurées liées au pare-feu.
===============================================================================
Appliquer une stratégie locale pour le Pare-feu XP
1. Depuis le bureau Windows XP, cliquez Démarrer, cliquez Exécuter, entrez mmc, puis cliquez OK.
2. Dans le menu Fichier, cliquez Ajouter/Supprimer un composant logiciel enfichable.
3. Dans l’onglet Autonome cliquez sur Ajouter.
4. Dans la liste des composant logiciel enfichable sélectionnez Stratégie de groupe puis cliquez sur Ajouter.
5. Dans le boîte de dialogue Sélection d’un objet de stratégie de groupe dans Objet de stratégie de groupe,
vérifier que vous avez Ordinateur local, puis cliquez Terminer, puis Fermer et OK.
6. Dans l’arborescence de la console ouvrez Stratégie Ordinateur local, puis Configuration ordinateur,
Modèles d’administration, Réseau, Connexions réseau, et puis Pare-feu Windows.

FIREWALLS 137
7. Dans Profil standard, sélectionner :
Pare-feu Windows : Protéger toutes les connexions réseau, double cliquez dessus, cocher Activer,
puis OK
Pare-feu Windows : autoriser la journalisation, double cliquez dessus, cocher Activer, cocher
Enregistrer les paquets ignorés dans le journal, dans Chemin d’accès et nom de fichier du journal, mettre :
C:\Windows\pfirewall.log,dans Limite de taille du journal à 2048 (ko), puis OK.
Pare-feu Windows : autoriser les exceptions ICMP, double cliquez dessus, cocher Activer, cocher
Autoriser les requêtes d’echo entrante, puis OK
Pare-feu Windows : définir les exceptions de ports, double cliquez dessus, cocher Activer, cliquez
sur Afficher, Ajouter, puis saisir : 80:TCP:192.168.x.0/24:enabled:Web service, puis OK, OK, OK
8. Fermer la console, cliquez sur OUI pour enregistrer les paramètres de la console1 sur le bureau, puis
Enregistrer.
9. Ouvrez une invite de commande et saisir : gpupdate /force, fermer l’invite de commande
10. Vérifier graphiquement via le Panneau de configuration, le Centre de sécurité, Pare-feu, que les
options imposées par la stratégie ont bien été appliquées (grisées, donc non modifiables).
11. Défaire les options du firewall via la stratégie mise en place ci-dessus, remettre les différentes options
configurées en « non configuré »….

138 FIREWALLS
Configurer le filtrage TCP/IP : Windows NT 4.0/2000/2003/XP/Vista

Les ordinateurs Windows prennent en charge plusieurs méthodes de contrôle d'accès entrant. L'une
des méthodes les plus simples et les plus puissantes de contrôle d'accès entrant consiste à utiliser la
fonction de filtrage du protocole TCP/IP (Transmission Control Protocol/Internet Protocol). Le filtrage
TCP/IP est disponible sur tous les ordinateurs Windows.
Le filtrage TCP/IP participe à la sécurité car il utilise le mode noyau. À l'inverse, d'autres méthodes de
contrôle d'accès entrant sur les ordinateurs
Windows 2003, telles que l'utilisation du filtre de
stratégie IPSec et du serveur de routage et d'accès
distant, dépendent des processus utilisateur ou des
services activés sur la station de travail et sur le
serveur.
Remarque : Le filtrage TCP/IP ne peut filtrer que le

trafic entrant et ne peut pas bloquer les messages
ICMP, quels que soient les paramètres définis dans la
colonne Autoriser seulement pour Protocoles IP ou
le fait que vous ayez ou non autorisé le protocole IP1.
Utilisez les stratégies IPSec ou le filtrage de paquets
pour un contrôle renforcé de l'accès sortant.
Voir clé: Tcpip\Parameters\Interfaces\{interface}\

RawIpAllowedProtocols
============================================================================
Configuration de la sécurité TCP/IP
Pour configurer la sécurité TCP/IP, procédez comme suit :
1. Cliquez sur Démarrer, pointez sur Panneau de configuration, puis sur Connexions réseau, puis cliquez sur
la connexion réseau local que vous souhaitez configurer.
2. Dans la boîte de dialogue Etat de connexion au réseau local, cliquez sur Propriétés.
3. Cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
4. Dans la boîte de dialogue Propriétés de Protocole Internet TCP/IP, cliquez sur Avancé.
5. Cliquez sur Options.
6. Sous Paramètres optionnels, cliquez sur Filtrage TCP/IP, puis sur Propriétés.
7. Activez la case à cocher Activer le filtrage TCP/IP (pour toutes les cartes).
8. Dans la boîte de dialogue Filtrage TCP/IP, trois sections vous permettent de configurer les ports TCP, les
ports UDP (User Datagram Protocol) et les protocoles IP. Pour chaque section, configurez les paramètres de
sécurité adaptés à votre ordinateur.
Pour connaître les numéros de protocoles et de ports, vous pouvez consulter les fichiers :
%windir%\system32\drivers\etc\protocol
%windir%\system32\drivers\etc\services
============================================================================
Remarque : Lorsque l'option Tout autoriser est activé, vous autorisez l'accès de tous les paquets de trafic
TCP ou UDP. Autoriser seulement vous permet d'autoriser uniquement l'accès aux trafics TCP ou UDP
sélectionnés en ajoutant les ports autorisés. Pour définir les ports, cliquez sur le bouton Ajouter. Pour
bloquer tous les trafics UDP ou TCP, cliquez sur Autoriser seulement mais n'ajoutez pas les numéros de
port dans les colonnes Ports UDP ou Ports TCP. Vous ne pouvez pas bloquer le trafic UDP ou TCP en
activant l'option Autoriser seulement pour Protocoles IP et en excluant les protocoles IP 6 et 17.
Evaluez la configuration de votre pare-feu
http://scan.sysgatetech.com ou www.testmyfirewall.com ou
http://check.sdv.fr, ces sites permettent de connaître les faiblesses de la
configuration, tant au niveau des services inutilement exécutés que des ports
mal surveillés ?
Assignation des ports et des protocoles : WWW.iana.org

(Internet Assigned Numbers Authority)

PROXY 139
PROXY OU MANDATAIRE (EN FRANÇAIS)
Présentation
Un serveur mandataire ou encore « proxy » est un serveur qui travaille au niveau application. Il est lié à
un protocole précis, comme, par exemple, le protocole http (Protocole utilisé pour le Web).
Cette fonction du proxy consiste à relayer des demandes d’informations d’un réseau vers un autre.
De façon plus générale, le fonction première d’un proxy est le relai des requêtes d’un poste client vers un
poste serveur (le principe-même de la communication).
Le proxy joue un rôle d’intermédiaire entre ces deux entités.
Un serveur proxy peut offrir les six fonctions suivantes :

a) ☺ La fonction de cache (en anglais : caching). Le serveur proxy conserve en mémoire toutes les pages
web demandées par les clients qu'il dessert ; ainsi si vous demandez plusieurs fois la page
http://www.yahoo.com/index.html, le proxy vous la donnera immédiatement sans aller la chercher
sur www.yahoo.com.
b) ☺ La fonction de relai applicatif (http, dns, ftp, smtp, etc…).
c) ☺ La fonction d'enregistrement (en anglais : tracking ou logging). Le serveur proxy garde une trace
détaillée de toutes les informations qui le traversent ;
d) ☺ La fonction de filtre (en anglais : filtering). On peut configurer un serveur proxy de telle sorte qu'il
examine l'information qui le traverse, et qu'il refuse de délivrer les fichiers contenant une chaîne de
caractères donnée. On peut également lui demander de gérer les droits de chaque client en ce qui
concerne Internet ; cette fonction de protection du proxy est souvent incluse dans les firewalls
e) ☺ La fonction d'anonymiseur (en anglais : anonymizing). On peut faire en sorte que les requêtes
relayées par un serveur proxy ne contiennent pas l'adresse du navigateur client, de manière à protéger
l'anonymat de l'internaute sur le web ; en effet, quand vous surfez, tous les sites Web peuvent savoir de
quel site vous venez, quel navigateur vous utilisez, quel est votre système d'exploitation, votre adresse
IP... Certains proxy masquent ces informations. Ces proxys sont dits proxy anonymes.
f) ☺ La fonction de sécurité. Le serveur proxy peut constituer une barrière entre Internet et le réseau
local de l'entreprise ;
g) ☺ Enfin un proxy peut éventuellement remplacer un routeur au niveau de la translation d'adresse
(NAT).

140 PROXY
Les dangers
Confidentialité:
Etant donné que vous demandez toutes vos pages au proxy, celui-ci peut savoir tous les sites que vous avez
visités.
Mots de passe:
Certains sites Web nécessitent des mots de passe. Comme vous passez par le proxy, le proxy connaîtra vos
mots de passe (sauf si vous utilisez HTTPS/SSL).
Censure:
Certains proxys peuvent être configurés pour censurer des sites. Il faut donc avoir confiance en
l'administrateur du proxy. A vous de voir si vous voulez faire confiance au serveur proxy de votre
fournisseur d'accès. Pour ceux des entreprises... Les spécialistes estiment que 70% des entreprises
américaines examinent les accès des employés aux proxys.
Le rôle d'enregistrement du serveur proxy
Comme tout serveur qui se respecte, un proxy génère un fichier journal (log file). On y trouve la trace de
toutes les requêtes effectuées par tous les postes clients dépendant du serveur en question. Contrairement à
ce qui se passe pour les serveurs web, il n'existe pas de format normalisé pour le fichier journal des
serveurs proxy.
Cependant, quelle que soit sa présentation, ce fichier journal contient pratiquement toujours :
• La date et l'heure ;
• L'identification du client, sous une forme qui dépend de la manière dont est géré le réseau local. Il
peut s'agir d'un numéro ou d'un nom de machine, d'un nom d'utilisateur, etc. Les personnes qui
utilisent un ordinateur portable (lequel reçoit un numéro IP à la volée lorsqu'on le branche) peuvent
être difficiles à identifier ;
• L'URL de la ressource demandée ;
• La taille de la ressource ;
• Le temps de téléchargement ;
• Le résultat de l'opération, etc.
Loi pour la lutte contre le terrorisme de Nicolas Sarkozy, Loi n°2006-64 du 23 janvier 2006 porte sur des
dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Elle prévoit notamment l’obligation
de conserver les données de connexion des clients, appelées "logs", des opérateurs télécoms, des
fournisseurs d’accès Internet et des entreprises, pendant une durée minimale d’un an. Ces logs
pourront être demandés par requête judiciaire ou par la police et les entreprises, FAI ou administration
seront tenus de les fournir.
En outre, il définit les données de trafic à conserver :
- les informations permettant d’identifier l’utilisateur,
- les données relatives aux équipements terminaux de communication utilisés,
- les caractéristiques techniques, la date, l’horaire et la durée de chaque communication,
- les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs,
- les données permettant d’identifier le ou les destinataires de la communication.
La loi étend aux « personnes qui, au titre d'une activité professionnelle principale ou accessoire,
offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un
accès au réseau, y compris à titre gratuit », les obligations incombant aux opérateurs de communications
électroniques prévues par l’article L. 34-1 du Code des postes et communications électroniques (CPCE).
Sont visés les « cybercafés ». Pourraient également être concernés les hôtels, les fournisseurs d’accès à des
réseaux de communications électroniques accessibles via une borne Wifi, etc. Par ailleurs, la loi crée un
nouvel article L. 34-1-1 CPCE définissant les conditions dans lesquelles les services de police et de
gendarmerie peuvent exiger des opérateurs mentionnés à l’article L. 34-1 CPCE la communication des
données qu’ils conservent et traitent.

PROXY 141
Les proxys transparents
- couper le port HTTP en sortie du site -> plus de choix pour les utilisateurs
- intercepter le trafic HTTP et le traiter par un proxy-cache : proxy transparent
Le proxy transparent permet de s’affranchir des problèmes de configuration de navigateurs. En principe,

vous indiquez volontairement que vous voulez utiliser un proxy.
Certains fournisseurs d'accès (comme Wanadoo ou AOL, dans certains cas), regardent quels protocoles
vous utilisez et détournent sans vous le dire les requêtes HTTP vers leurs serveurs proxy. Certains
fournisseurs détournent les requêtes HTTP sur leurs serveurs proxy sans vous le dire.
Pourquoi font-ils cela ?

• Cela permet d'effectuer des statistiques très précises sur les habitudes de navigation des
internautes, et ce genre d'information se vend très bien aux sociétés de marketting.
• Cela permet d'économiser de la bande passante pour réduire la quantité de données reçues
d'Internet.
Comment détecter un proxy transparent ?

En principe, quand vous vous connectez sur un site Web sans proxy, celui-ci doit voir votre adresse IP (ou
celle de votre passerelle).
Il suffit de comparer votre adresse IP avec celle vue par le serveur Web. Désactivez le proxy dans votre
navigateur, puis essayez par exemple un des sites suivants:
• http://cgisource.com/cgi-bin/env.cgi
• http://cpcug.org/scripts/env.cgi
• http://www.adresseip.com
• http://www.whatismyip.fr/
• http://www.mon-ip.com/
• http://www.seomoz.org/ip2loc?start (localisation de votre adresse ip sur Google map)
Si vous ne passez pas par une passerelle, comparez le champ REMOTE_ADDR avec votre adresse IP. Si
elles sont différentes, alors c'est que votre fournisseur d'accès utilise probablement un proxy transparent !
(ou bien que vous passez par une passerelle/firewall).

142 PROXY
Mise en place d'un serveur proxy
Le proxy le plus répandu est sans nul doute Squid, un logiciel libre disponible sur de nombreuses plates-
formes dont Windows et Linux. Sous Windows il existe plusieurs logiciels permettant de réaliser un
serveur proxy à moindre coût pour son réseau local :
• Wingate est la solution la plus courante (mais non gratuite)
• Windows 2000 intègre Microsoft Proxy Server (MSP), complété par Microsoft Proxy Client,
permettant de réaliser cette opération, la nouvelle mouture chez Microsoft de son Proxy Server
pour Windows Seveur 2003, s’appelle ISA Server.
Routeur-détourneur
• utilisation du policy-routing Cisco
• possible avec IOS 11.x
• problème de performance jusqu’en 11.2, fast-switché à partir de 11.3
Exemple de configuration :
interface Ethernet1
ip address 195.220.94.44 255.255.255.224
ip policy route-map proxy-redir
!
access-list 110 deny tcp host 195.220.94.33 any eq www ! pour éviter bouclage
access-list 110 permit tcp any any eq www ! restreindre éventuellement les adresses source
route-map proxy-redir permit 10
match ip address 110
set ip next-hop 195.220.94.33 ! le next hop est le proxy
Le rôle d'anonymiseur
Une autre solution consiste à utiliser un serveur proxy public dénommé "anonymizer" (en français :
anonymiseur -- mais le terme est peu employé). Un tel serveur doit remplir les trois conditions suivantes :
• Ne pas retransmettre l'adresse IP du client ;
• Supprimer tous les cookies ;
• Ne pas enregistrer de fichier journal, ou le détruire dans les délais légaux sans l'avoir utilisé.
Les anonymiseurs ne sont pas sans défauts :

• Il faut reconfigurer son navigateur pour se connecter au web via un proxy public ;
• Le risque existe qu'un anonymiseur ne soit pas de bonne foi, et plus particulièrement lorsque le
service est gratuit, la seule source de financement provenant alors de la publicité (voir la
déclaration de confidentialité d'un anonymiseur connu) ;
• Le passage par l'anonymiseur ralentit beaucoup l'accès au web ;
• Les sites qui requièrent l'usage des cookies ne peuvent pas être atteints ;
• Les anonymiseurs gratuits n'assurent pas pour certains les liaisons sécurisées par le protocole SSL.
Les proxies qui acceptent de crypter/décrypter vos données sont généralement payants comme le «
tunnel » de anonymizer.com nommé « Pipeline anonymizer » ou encore, celui de IDSecure.
Vous avez la possibilité de passer par des services spécialisés comme http://www.anonymizer.com/ ,
http://megaproxy.com/ ou http://surfola.com/.
Certains services ne nécessitent pas reconfigurer le proxy, mais s'utilisent en se connectant directement
dessus avec votre navigateur (ex : Internet Explorter).

PROXY 143
Vous trouverez une liste de proxies anonymes régulièrement mis à jour sur :
http://proxy.nikto.net/anon_list.htm et également sur les sites undergrounds suivants :
http://www.proxy4free.com
http://www.publicproxyservers.com
http://www.multiproxy.org
http://www.novelsoft.com/dark/proxy/
http://tools.rosinstrument.com/proxy/proxiesn.htm
Toutefois vous pouvez vous inscrire à la liste « proxies » d’e-groups afin de recevoir une liste de proxies
testés, accompagnée de liens vous permettant de les vérifier.
Pour vous abonner envoyez simplement un e-mail à : mailto:proxies-subscribe@egroups.com
Concernant Firefox, il existe l'extension FoxyProxy qui vous permet de changer aisément de Proxy et
QuickProxy qui permet, d'un clic, d'activer un serveur paramétré.
Géneralment les proxies utilisent par défaut les ports standards 80 (serveur http), 8080 (port de navigation
http) ou 3128 (Active API Server Port). Mais, il est de moins en moins rare de voir l’usage d’autres ports
tels que le 443, 553, 554, 808, 6588, 9377….Si vous disposez d’un routeur, n’oubliez pas de créer des
règles de routage associées pour autoriser les communications des ports concernés.
Pour toutes les questions relatives aux anonymiseurs, consulter la FAQ mise en ligne par
iNetPrivacy Software. Certains sites entretiennent des listes de serveurs proxy publics : AltaVista,
Rosinstrument, Samair, etc.
Vos traces sur le Net (http://www.anonymat.org/vostraces/) : page vous montrant les informations qu'il est
possible de collecter sur vous lorsque vous surfez.
La plupart du temps le serveur proxy est utilisé pour le web, il s'agit alors d'un proxy HTTP

144 PROXY
Infos, Remarques et Liens complémentaires :
Les autres mouchards : Que vous utilisiez un proxy anonyme ou TOR, sachez néanmoins que pour un
anonymat renforcé, tous les autres mouchards de votre PC doivent être désactivés (plugins notamment java
et flash, cookies ...). L'idéal étant d'avoir un navigateur, vierge de tous plugins, et dédié uniquement au surf
anonyme.
Vous pouvez aussi utiliser les extensions Firefox NoScript et Flashblock.
Google et réseaux sociaux : Ce n'est pas la peine de rechercher l'anonymat si vous passez votre temps à
raconter votre vie sur les réseaux sociaux. Une petite recherche sur Google de "Prénom Nom" et
inversement "Nom Prénom" vous informera sur votre degré d'exhibitionnisme.
Vous pouvez aussi faire une recherche sur Google .... de votre propre adresse IP (si vous avez une IP
fixe) : cela donne parfois des résultats intéressants.
Les Moteurs de Recherche : Certains sont plus respectueux de votre vie privée et ne conservent pas ni
l'historique des recherches ni votre IP :
ixquick
Exalead
yauba : Ce moteur de recherche permet aussi de visiter un site internet, de manière anonyme et sécurisé,
suite à une recherche.
Les reverse-proxy
☺ On appelle reverse-proxy (en français le terme de
relais inverse est parfois employé) un serveur proxy-
cache "monté à l'envers", c'est-à-dire un serveur proxy
permettant non pas aux utilisateurs d'accéder au réseau
internet, mais aux utilisateurs d'internet d'accéder
indirectement à certains serveurs internes.
Le reverse-proxy sert ainsi de relais pour les

utilisateurs d'internet souhaitant accéder à un site web
interne en lui transmettant indirectement les requêtes.
Grâce au reverse-proxy, le serveur web est protégé des
attaques directes de l'extérieur, ce qui renforce la sécurité
du réseau interne. D'autre part, la fonction de cache du
reverse-proxy peut permettre de soulager la charge du
serveur pour lequel il est prévu, c'est la raison pour laquelle un tel serveur est parfois appelé "accélérateur"
(server accelerator).
Enfin, grâce à des algorithmes perfectionnés, le reverse-proxy peut servir à répartir la charge en redirigeant
les requêtes vers différents serveurs équivalents; on parle alors de "répartition de charge", ou en anglais
"load balancing".
Proxy SOCK
SOCK est un protocole réseau ; il permet à des applications client/serveur d’employer de manière
transparente les services d’un pare-feu.
SOCKS est l’abréviation de « socket » et est une sorte de proxy pour les « sockets ».
En soit, les proxys SOCKS ne savent rien du protocole utilisé au-dessus (que ce soit du http, ftp, …)
Certains l’auront peut-être compris, SOCKS est une couche intermédiaire entre la couche applicative et la
couche transport (d’après le modèle OSI).
Ces proxys diffèrent du proxy traditionnel qui ne supporte que certains protocoles.
Ils sont plus modulables et sont ainsi aptes à répondre à des besoins variés.
Le serveur SOCKS est mis en oeuvre au niveau de la couche application

PROXY 145
Port Forwarding
☺ Le port forwarding permet de se connecter depuis l'Internet
à une machine qui possède une adresse privée (192.168.x.y)
inconnue derrière un routeur NAT. On sait uniquement que
cette machine va traiter la demande sur un port particulier, par
exemple, le port 80 pour un serveur HTTP ou le port 110
pour un serveur POP. Le port forwarding consiste donc à
indiquer au routeur de retransmettre les paquets qui arrivent
sur le port 80 vers la machine locale qui héberge le serveur
HTTP et ceux qui arrivent sur le port 110 vers la machine qui
héberge le serveur POP. Il faut naturellement que ces
machines aient une adresse IP privée fixe pour que le routeur
s'y retrouve (voir DynDns).
DynDNS
DynDNS permet d'associer un nom d'hôte à votre adresse
IP. Commencer par créer un compte sur le site de DynDNS
(http://www.dyndns.com). Cliquez sur Sign Up Now en haut
à droite:
Après avoir créé un compte, connectez-vous à l'aide de vos

identifiants et cliquez sur Services:
Dans le menu de gauche cliquez sur DNS Services puis
Dynamic DNS:
Ensuite, 2 options s'offre à vous:
- Add Dynamic DNS
- Manage Existing Hosts
OpenDNS
OpenDNS propose d'utiliser (gratuitement) leurs serveurs
DNS à la place de ceux de votre FAI.
Caractéristiques:
• Généralement plus rapide que votre fournisseur d'accès (ils possèdent
plusieurs gros serveurs, avec un cache DNS important)
• Plus fiable (OpenDNS a plusieurs "pieds" dans internet, et leurs serveurs ont une disponibilité de
100%)
• Auto-correction des petites erreurs de frappe (google.cmo → google.com)
• Permet d'accéder à un site même quand les serveurs DNS de ce site sont morts (option SmartCache
activée par défaut).
• Propositions automatiques (Moteur de recherche) si le domaine n'existe pas.
• Plus sûr:
o Protection anti-phishing (OpenDNS est lié en direct à PhishTank.com)
o Protection contre diverses attaques DNS (DNS Rebinding, faille de Kaminsky, blocage des
domaines utilisés par certains virus pour se mettre à jour)
o Protection contre le virus Conficker (OpenDNS ne résoud pas les adresses internet
nécessaires au fonctionnement de Conficker)
• Le service est gratuit
• Aucun logiciel à installer (Juste l'adresse des DNS à configurer).
• Vous pouvez à tout moment cesser d'utiliser OpenDNS.
Utilisez simplement les serveurs DNS suivants:

208.67.222.222
208.67.220.220

146 DETECTION D'INTRUSION
DÉTECTION D’INTRUSION
Même si l’intrus parvient à franchir les barrières de protection (coupe-feu, système d'authentification, etc.),
il est encore possible de l’arrêter avant qu'il n’attaque. Placés sur le réseau de l’entreprise, les outils de
détection d'intrusion décèlent tout comportement anormal ou trafic suspect.
Il existe deux catégories d’outils sur le marché : la première analyse le trafic réseau, la seconde étudie
le comportement des utilisateurs au niveau d’un système ou d’une application.
Site « pot de miel »

Un honeypot (pot de miel) est un ordinateur ou un programme volontairement vulnérable mis en place afin
d’attirer et piéger les pirates informatiques ou les logiciels malveillants. Le but de ce subterfuge est donc de
faire croire à l’intrus, qu’il s’agisse d’une personne physique ou d’un logiciel malveillant, qu’il peut
prendre le contrôle d’une véritable machine de production pour observer les moyens de compromission et
ainsi donner la possibilité aux administrateurs réseau de l’entreprise de se prémunir contre de nouvelles
attaques et de leur laisser ainsi un laps de temps supplémentaire afin de réagir avant que les vrais serveur de
production soient touchés.
Trois buts possibles

• La surveillance
• La collecte d’information
• L’analyse d’information
Honeyd est un projet libre et gratuit permettant la mise en place d’un système d’honeypot de manière simple et
rapide
Provos (provos@citi.umich.edu). URL: http://www.citi.umich.edu/u/provos/honeyd/
Specter, un honeypot commercial. URL : http://www.specter.com
L’efficacité reste à démontrer, il semblerait que ce soit suffisant pour se protéger des amateurs (les plus
nombreux !).
Remarque : Vous pouvez aussi simuler un faux point d’accès Wi-fi avec Karmetasploit (voir distribution
Backtrack Linux : subtiliser des mots de passe et autres cookies…).

DETECTION D'INTRUSION 147
IDS
☺ La détection d’intrusion consiste donc à mettre en évidence les événements « anormaux » qui
surviennent sur le système objet de la surveillance. Ces événements proviennent du trafic réseau et
d’applications. Une fois ces informations collectées, elles seront analysées pour rechercher les «
empreintes ».
La notion d’intrusion sous-entend qu’une personne, ou un système outre passe les droits ou privilèges qui
lui sont normalement accordés.
Il faut distinguer la notion d’attaque de la notion d’intrusion proprement dite.
L’attaque est une tentative d’intrusion alors que l’intrusion est évoquée lorsque l’attaque a abouti,
permettant ainsi la compromission du système.
Les IDS sont des outils logiciels et matériels qui automatisent la collecte et le traitement des informations
dans le but de détecter des intrusions.
Un IDS (Intrusion Detection Systems ) permet de :

– Vérifier si les règles d'un pare-feu sont valides ?
– Évaluer le nombre d'attaques subies au cours de la dernière semaine ?
– Différencier une surcharge normale du réseau d'une attaque par DOS ?
– Aviser lors d’activités suspectes
_ Un IDS sert à identifier les activités malveillantes
_ Celle-ci peut se produire dans un réseau interne (VPN inclus)
– Activités provenant d’un poste infecté
– Activités volontaires de piratage, ou provenir de l’extérieur, de l’Internet
Points négatifs des IDS

Un système dont le rôle est d’émettre des alertes ne doit pas tomber dans l’excès et il doit les émettre à bon
escient. Sinon l’alerte perd toute sa valeur, et les opérateurs resteront indifférents.
Technologie complexe, nécessite un degré d’expertise élevé
Long à optimiser
Encore immature
☺ Faux positif
• Alerte générée par une activité normale
• Ce phénomène peut être réduit par un ajustement des règles
☺ Faux négatif
• Activité anormale non détectée
De quoi est constitué un IDS

Un IDS est essentiellement un sniffer couplé avec un
moteur qui analyse le trafic (sondes) selon des règles. Ces
règles décrivent un trafic à signaler
Selon le type de trafic, l’IDS accomplit certaines actions :
Journaliser l’événement
Avertir un système avec un message (ex : SNMP)
Avertir un humain avec un message (ex : email)
Amorcer certaines actions sur un réseau ou hôte
– Exemple: mettre fin à une connexion réseau,
ralentir le débit des connexions, etc (rôle actif)

148 DETECTION D'INTRUSION
Les systèmes de détection d’intrusions peuvent être classés selon leur position :
• NIDS : Network Intrusion Detection System, cousins des analyseurs réseaux (Snort, Netsecure…),
inefficace sur VPN ou VLAN (cryptage) voir sur Gigabit.
Une sonde ou des sondes (appelées aussi connecteurs) sont connectées sur un réseau, elles cueillent
le trafic du réseau en mode promiscuité
• HIDS : Host based IDS, similaire aux outils d’administration de service, vérifie l’usage d’une
ressource ou d’un service par un utilisateur (Intruder alert, dragon squire…).
Basé dans un ordinateur hôte
HIDS permet de surveiller l’OS et les applications
– Les journaux systèmes, de contrôler l'accès aux appels systèmes, de vérifier l'intégrité des
systèmes de fichiers
Le HIDS à accès à des composants non-accessibles sur le réseau
– Exemple: la base de registre de Windows
Activité locale sur l’hôte surveillé, ne surveille pas les hôtes sans HIDS
Le logiciel TRIPWIRE est un HIDS
• NNIDS : Network Node IDS, très similaire à un NIDS, le stack-based IDS, fonctionne en étant
plus intimement lié aux couches du modèle OSI. Sa particularité est en fait de ne s’intéresser qu’au
trafic qui est destiné à l’hôte qu’il doit surveiller.
HIDS versus NIDS (Mode passif ou actif)

Chacun adresse des besoins spécifiques
HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé
NIDS permet de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte
Les IDS actifs vont se placer dans la position d’agresseur pour déterminer les vulnérabilités d’un système
et générer les rapports d’alerte.
Par opposition les IDS passifs vont se baser uniquement sur la collecte d’informations pour obtenir ces
vulnérabilités et ces alertes de sécurité.
L’IDS actif présente deux défauts majeurs :

• Il risque de perturber le fonctionnement normal d’un système en production par l’impact sur le
trafic réseau et il emploie des méthodes « agressives » pour obtenir les données recherchées
• Il donne une image à un instant T : par exemple, il se peut que certaine machine ne soit pas
accessible au moment où le test est effectué.
Il travaille en permanence à détecter les vulnérabilités et les attaques qui peuvent se produire. Il procède à
l’analyse en temps réel. De plus, de par son rôle passif, il ne gêne pas ou peu le système qui est observé.
Les IDS permettant un comportement proactif sont appelés IPS.
Leur comportement proactif est caractérisé par la possibilité de stopper un trafic réseau dans le cas d’un
NIDS (Network IDS), ou des actions effectuées par un utilisateur ou un processus jugés « non conformes »
à la politique de sécurité dans le cas des HIPS (Host IPS). Un IPS ne remplace pas un firewall
Remarque :
IDS (Intrusion Detection System)
☺ Mode Passif
HIDS (Host IDS), NIDS (Network IDS)
IPS (Intrusion Prevention System)
☺ Mode Actif
HIPS (Host IPS), NIPS (Network IPS)
SNORT est un NIDS Open Source.

DETECTION D'INTRUSION 149
===============================================================================
Ici installation d’abord du serveur « Nessus-3.0.6.1.exe » qui permet de détecter les failles de sécurités sur
les postes de votre Lan, puis du client « nessuswx-1.4.5d.zip » => lancer ces requêtes depuis un PC distant.
Nom : Marcel
3. Double cliquez sur le fichier Nessus-3.0.6.1.exe pour installer le serveur Nessus. Il fait office de client et
serveur à la fois.
4. Cliquez sur Next, puis sur I accept the terms of the licence agreement, puis Next, garder le répertoire
d’installation par défaut, puis Next, puis Install, ne pas cliquez ensuite sur Oui pour indiquer que vous possédez
un code d’enregistrement, normalement reçu sur votre mail lors de votre enregistrement sur le site
www.nessus.org, (normalement il faut une connexion Internet pour l’installation des plugins (14999), puis sur
Finish), donc ici plutôt faire Cancel. Le processus nessusd.exe est démarré, vous pouvez le vérifier via votre
gestionnaire de tâches.
5. Ouvrir l’Explorer de Windows, allez dans le répertoire C:\Program Files\Tenable\Nessus, cliquez ensuite
sur UserMgmt.exe, puis Add User, mettre :
Nom : student
Password : gefi
Confirm Password : gefi
Puis OK. Puis fermer cette boite de dialogue. Toujours dans le répertoire C:\Program Files\Tenable\Nessus,
cliquez sur ServerConf.exe. Dans Serveur IP : mettre l’adresse IP de votre machine (qui est serveur Nessus),
dans Port mettre : 1241, puis Save, Oui, Exit. Si besoin pensez à redémarrer le service Tenable Nessus.
6. Cliquez sur l’icône sur votre bureau Tenable Nessus, puis sur Start Scan Task, mettre localhost, puis Next,
cochez sur Enable all but dangerous plugins with default settings (Recommended), puis Next, vérifier que
l’option Scan from a remote Nessus erver est cochée, puis mettre :
Name or IP address : adresse IP de votre machine.
Port : 1241.
Username : student.
Password : gefi
7. Dans le Panneau de configuration, Performances et maintenance, Outils d’administration, icône
Services, vérifier que le service Tenable Nessus est démarré, sinon démarrer-le. Puis Scan Now
8. Lorsque le scan est terminé, un rapport au format HTML apparait indiquant toutes les ports ouverts ainsi que
le danger sur certains trous de sécurités.
===============================================================================
Installation du client Nessus pour Windows : nessuswx-1.4.5d.zip
1. Extraire depuis le dossier Temp de la machine du formateur le fichier nessuswx-1.4.5d.zip vers votre dossier
C:\Temp de votre machine.
2. Dans le dossier C:\Temp\nessuswx-1.4.5, cliquez sur NessusWX.exe.
3. Dans le menu Communications, cliquez sur Connect, puis dans Name mettre l’adresse IP de votre serveur
Nessus (votre partenaire), dans Port number mettre : 1241, dans Login mettre : student, dans Encryption
cochez TLSv1, cochez aussi Authentication by password, puis Connect, mettre le mot de passe : gefi, puis
OK.
Vous devez avoir un message qui apparait en bas de l’écran vous indiquant que la connexion est « established »
et « terminated ».
4. Dans le menu Session, puis New, mettre comme nom : Session1, puis Create.
5. Dans l’onglet Target, choisir Add, sélectionnez Single host, dans Host name or IP address mettre l’adresse
IP de la machine de votre partenaire, puis OK.
6. Dans l’onglet Options, sélectionnez en plus des options déjà cochées, Enable plugin dependencies, Do
reverse DNS lookups, Resolve unknown services, puis OK.
7. Dans l’onglet Port scan, cochez Specific range et mettre : 1-665535, sélectionnez chaque élément dans la
partie Port scanners identifiés par une croix rouge, puis cliquez sur Enable. Cliquez sur Appliquer, puis OK.
8. Bouton droit sur Session1, puis Execute et Execute de nouveau. Une fois que le test est terminé, cliquez sur
Preview, développez votre machine (+) et observer les différents ports potentiellement dangereux.
9. Fermer ensuite cette boite de dialogue, puis dans Manage Session Results, cliquez sur Report, dans Report
type choisir HTML, dans File name mettre C :\Student, puis OK. => un rapport au format HTLM exploitable.
===============================================================================

150 CRYPTOGRAPHIE
INTRODUCTION A LA CRYPTOGRAPHIE
But de la cryptographie moderne

Depuis la nuit des temps, les hommes (surtout les militaires) ont pratiqué
l’espionnage (et le contre-espionnage).
Le chiffrement des messages est donc né avec les armées (au moins avec les
armées de Rome).
Aujourd’hui le chiffrement est partout :
• Carte vitale
• Téléphone GSM
• Anti-vol de
• Carte bancaire
• Télévision à péage
• Mot de passe informatique •
• Services sensibles de l’internet
Il conditionne la sécurité du système d’information et la confidentialité des communications
Si le but traditionnel de la cryptographie est d’élaborer des méthodes permettant de transmettre des données
de manière confidentielle, la cryptographie moderne s’attaque en fait plus généralement aux problèmes de
sécurité des communications. Le but est d’offrir un certain nombre de services de sécurité comme la
confidentialité, l’intégrité, l’authentification des données transmises et l’authentification d’un tiers.
Pour cela on utilise un certain nombre de mécanismes basés sur des algorithmes cryptographiques.
Principes de base du Chiffrement

Bref historique
A l’origine, le chiffrement fut développé dans un contexte militaire afin de pouvoir
envoyer des messages sans qu’un ennemi potentiel ne puisse prendre connaissance du
contenu. On à des traces de son utilisation par les Égyptiens vers 2000 av. J.-C. Déjà,
Jules César lui-même envoyait des messages chiffrés à ses correspondants par
l’intermédiaire de messagers en lesquels il n’avait aucune confiance. Son système de
chiffrement était alors rudimentaire et consistait à remplacer chaque lettre de l’alphabet
par une autre lettre avec un simple décalage de trois caractères. Ainsi, il remplaça chaque ‘A’ par un ‘D’,
chaque ‘B’ par un ‘E’, ..... Plus tard, les systèmes ne cessèrent de se perfectionner.
Définitions et problèmes
Chiffrer : transformer à l’aide d’une convention secrète (clé) des
informations claires en informations inintelligibles par des tiers n’ayant
pas connaissance du secret
Déchiffrer : retrouver les informations claires, à partir des informations
chiffrés en utilisant la convention secrète de chiffrement
Décrypter : retrouver l’information intelligible, à partir partir de l’information chiffrée sans utiliser la
convention secrète de chiffrement
Crypter, Encrypter : pas de sens clair

CRYPTOGRAPHIE SYMETRIQUE 151
Globalement, les objectifs de l’utilisation du chiffrement sont les suivants :
Assurer la confidentialité des données : « La confidentialité est la propriété qu’une information n’est ni
disponible ni divulguée aux personnes, entités ou processus non autorisés » [d’après la norme ISO 7498-
2 (ISO90)]. En général, l’information n’est disponible et partagée qu’entre les deux parties de confiance
que sont l’émetteur et le récepteur définis dans le cadre d’un échange. La confidentialité est historiquement
le premier problème posé à la cryptographie. Il se résout par la notion de chiffrement.
Assurer l’intégrité des données : « L’intégrité est la prévention d’une modification non autorisée de
l’information » [toujours d’après la norme ISO 7498-2 (ISO90)].
Assurer l’authentification : consiste à vérifier l’identité des différentes parties impliquées dans le
dialogue. L’authentification préserve de l’usurpation d’identité et participe de la confidentialité dans le sens
où elle assure que celui qui émet est bien l’entité attendue.
Assurer la non-répudiation : permet de prouver qu’un message a bien été émis par son initiateur. Le
message ne peut donc plus ensuite être dénié par celui qui l’a émis.
La sécurité de la cryptographie, repose sur trois facteurs :

• La qualité des algorithmes : la qualité d’un algorithme repose sur sa fiabilité mathématique et
surtout pas sur le secret de sa réalisation.
• L’implémentation des algorithmes : il est souvent bien plus facile de contourner une mauvaise
implémentation que d’attaquer un algorithme.
• La gestion des clés : une faille dans la gestion des clés peut remettre en cause la fialibité de
l’ensemble ;
☺ Il existe deux grandes familles d’algorithmes cryptographiques à base de clefs :

1.-Les algorithmes à clef secrète ou algorithmes symétriques
2.-Les algorithmes à clef publique ou algorithmes asymétriques
Cryptographie symétrique
Texte clair : P
Texte chiffré : C
Clé de chiffrement : E_K
Clé de déchiffrement : D_K
• Connaissant P et E_K la clé de chiffrement, il est facile de calculer C.

• Connaissant C et D_K (ou E_K puisque dans ce cas E_K = D_K),
Il est facile de calculer P.
• Connaissant P et C, il est « très difficile » de trouver E_K ou D_K.
☺ Cryptographie à clé secrète (clé de chiffrement == clé de déchiffrement)

Confidentialité : Alice écrit un message à Bob
Alice désire envoyer un message à

Bob sans qu’il soit possible pour
personne d’autre de lire le contenu
du message,
1. Alice envoie donc un message à
Bob sous forme chiffrée à l’aide
de la clé secrète (secret partagé).
2. Lorsque ce dernier reçoit le
message, il est capable de le
déchiffrer car il connaît la clé
secrète (secret partagé).

152 CRYPTOGRAPHIE SYMETRIQUE
Son énorme avantage réside dans sa rapidité à chiffrer et Utilisateur A
déchiffrer des blocs de données (mille fois plus rapide Utilisateur J Utilisateur B
qu’un système asymétrique).

Utilisateur C
***Cependant si cet échange peut être intercepté, alors la
sécurité apportée par le cryptage symétrique est
compromise, ainsi des algorithmes comme le cryptage Utilisateur I
asymétrique, le protocole Diffie-Hellman et quelques

autres protocoles sont utilisés pour cet échange initial.*** Utilisateur D
Les limites de la cryptographie symétrique : Utilisateur H

Utilisateur E
• Pas de garantie d’intégrité et de signature, la Utilisateur G

Utilisateur F
multiplication des clés
☺ Avantages :
-Chiffrement / déchiffrement rapide
-Nombreux algorithmes existants
• DES ;TripleDES ;AES
• RC2 ;RC4 ;RC5
-Fiabilité : fonction de la longueur de la clé
☺ Inconvénients :
-Nombreux utilisateurs => nombreuses clé à gérer
-Changement fréquent des clés à prévoir
-Plus la clé est utilisée, plus la clé est exposée
_ Algorithmes de chiffrement en continu (stream cipher)

_Agissent sur un bit à la fois, le plus courant actuellement :
_1. RC-4 (River Cipher 4 : longueur de clef variable, généralement 128 bits),
_2. RC-5 (jusqu'à 1024 bits)
======================================================================
_ Algorithmes de chiffrement par blocs (block cipher)
_Opèrent sur le texte en clair par blocs (généralement, 64 bits)
_1. DES (Data Encryption Standad : clef de 56 bits codée sur 64)
_2. 3DES est en fait l'algorithme DES appliqué trois fois sur les données. Il a été conçu par
Whitfield Diffie, Martin Hellman et Walt Tuchmann en 1978. L'algorithme utilise une taille de
clé comprise entre 128 bits et 192 bits. La taille des blocs est de 8 octets (64 bits). Le
tripleDES a été approuvé FIPS (Federal Information Processing Standards) par le NIST et
donc peut être utilisé par les organisations gouvernementales.
_3. Blowfish a été conçu par Bruce Schneier en 1993 comme étant une alternative aux
algorithmes existants, en étant rapide et gratuit. Blowfish est sensiblement plus rapide que
DES. Il est un chiffrement Feistel, utilisant itérativement une fonction de chiffrement 16 fois.
La grandeur des blocs est de 64 bits. Il peut prendre une longueur de clé variant entre 32
bits et 448 bits.
_4. AES (Advanced Encryption Standard : longueur de clef variable : 128, 192, 256)
Il s'agit d'un algorithme de chiffrement symétrique, choisi par le NIST pour être le nouveau
standard de chiffrement pour les organisations du gouvernement des États-Unis. Ce faisant,
l'AES remplace le DES (choisi comme standard dans les années 1970) qui de nos jours
devenait obsolète, car il utilisait des clefs de 56 bits seulement. De plus, son utilisation est
très pratique car il consomme peu de mémoire. Le niveau TOP-SECRET nécessite des clés
de 192 ou 256 bits.
_5. IDEA
_6. Cast128

CRYPTOGRAPHIE ASYMATRIQUE 153
Cryptographie asymétrique
• Connaissant P et E_K, il est facile de calculer C,
• Connaissant C et D_K, il est facile de calculer P,
• Connaissant P et C, il est « très difficile » de trouver E_K ou D_K,
• La connaissance de E_K ne permet pas ou difficilement de connaître
D_K et réciproquement.
☺ Avec les algorithmes asymétriques, les clés de chiffrement et de déchiffrement sont distinctes et ne
peuvent se déduire l’une de l’autre. On peut donc rendre l’une des deux publique tandis que l’autre reste
privée (ce trousseau comprend une clé privée et une clé publique). Si la clé publique sert au chiffrement,
tout le monde peut chiffrer un message, que seul le propriétaire de la clef privée pourra déchiffrer.
On assure ainsi la confidentialité, certains algorithmes permettent d’utiliser la clé privée pour chiffrer. Dans
ce cas, n’importe qui pourra déchiffrer, mais seul le possesseur de la clé privée peut chiffrer. Cela permet
donc la signature des messages.
Tous les algorithmes actuels présentent l’inconvénient d’être bien plus lents que les algorithmes à clé
secrète symétrique : de ce fait, ils sont utilisés non pour chiffrer directement des données, mais pour
chiffrer une clé de session secrète (La cryptographie asymétrique répond à un besoin majeur de la
cryptographie symétrique : le partage sécurisé d'une clé entre deux correspondants, afin de prévenir
l'interception de cette clé par une personne tierce non autorisée, et donc la lecture des données chiffrées
sans autorisation). Certains algorithmes ne sont adaptés qu’au chiffrement, tandis que
d’autres ne permettent que la signature. Seuls trois algorithmes sont utilisables à la fois
pour le chiffrement et pour la signature : RSA, ELGamal et Rabin.
clé de chiffrement=clé publique du destinataire,

☺ Cryptographie à clé publique :
différente de la clé de déchiffrement=clé privée du destinataire)
Confidentialité : Alice écrit à Bob, Bob est le seul à pouvoir déchiffrer le message émis par Alice !
Cryptographie asymétrique : chiffrement d’un document avec la clé publique du partenaire => Confidentialité
1). Echange préalable ces clés publiques entre Bob et Alice

2). Alice chiffre le message avec la clé publique de Bob
3). Puis le message est envoyé à Bob sous format chiffré, si un individu mal intentionné intercepte le
document, il ne pourra rien en faire car même s’il connaît la clé publique, cette dernière ne peut être utilisée
que pour chiffrer et non déchiffrer le document.
4). Lorsque Bob reçoit le message chiffré, il utilise sa clé privée qu’il est le seul à posséder pour déchiffrer
le message.

154 CRYPTOGRAPHIE ASYMETRIQUE
Cryptographie asymétrique : signature d’un document (clé privé d’Alice) : authentification + non répudiation
☺ Algorithmes (confidentialité)
Diffie-Hellman – 1976
Basé sur la difficulté du calcul du logarithme discret dans un corps fini
RSA – 1978 (jusqu’ à 2048 bits)
Basé sur la difficulté de décomposer un grand nombre en ses facteurs premiers
Autres : ex. El Gamal
☺ Algorithmes (signature numérique standardisé)
DSA
RSA, ElGamal, Rabin (confidentialité/signature) : 100 à 1000 fois plus lent que 3DES
☺ Inconvénients :
Beaucoup plus lent que la cryptographie symétrique
• De 100 fois à 1000 fois plus lent, non utilisable pour le chiffrement de trafics importants
• Exemples : Diffie-Helleman (protocole d’échange de cléfs) ; RSA (Rivest Shamir Adelman) :
chiffrement et authentification
Une nécessaire combinaison des deux types :

Cryptographie à clé « non adaptée » pour un chiffrement rapide
• Utilisation d’une cryptographie à cléf secrète
Comment sécuriser le partage de la clé secrète ?
• Utilisation d’une cryptographie à clé publique
Protocole Diffie-Helleman (IPSec)
Enveloppe digitale (SSL)
Algorithmes Public/Privé Symétrique

Vitesse Plus lente Plus rapide (x1000)
Taille Min Sécurisée 1024 bits 128 bits
Duréé de vie 1 an Usage unique
moyenne des clés
Sécurité Mise en place : Facile. Mise en place : Difficile et coûteuse.
Sécurité : Très bonne, dépend Sécurité : Très bonne, dépend de la longueur de
de la longueur de la clé et de la clé et de l’algorithme
l’algorithme
Exemple RSA DES, 3DES, AES, IDEA

SIGNATURE NUMERIQUE 155
***Admettons que l’on veuille envoyer
un document à un ami. Une fois le
document rédigé, on le chiffre avec une
clé secrète (algorithme symétrique, par
exemple AES, pour assurer la
confidentialité). Puis on chiffre la clé
secrète avec la clé publique du
destinataire (on est alors sûr que ce
sera notre ami détenteur de la clé
privée associée qui lira le document).
Enfin, on envoie notre message. Notre
ami, reçoit le message, déchiffre la clé
secrète à l’aide de sa clé privée. Puis
avec sa clé secrète, il déchiffre le
document***
Combinaison Cryptographique : Symétrique et Asymétrique : confidentialité
Signature numérique et non répudiation

Hachage
Le hachage est une fonction mathématique à sens unique qui convertit une chaîne de
caractères d'une longueur quelconque en une chaîne de caractères de taille fixe appelée
digest ou empreinte. Ces fonctions, appelées aussi fonctions de « condensation »,
condensent en quelque sorte les informations contenues dans un fichier de taille quelconque en un nombre
qui se révèle alors être l’empreinte du fichier. La chaîne résultante est appelée empreinte (digest en
anglais) ou condensé de la chaîne initiale.
☺ La signature numérique est utilisée afin de garantir l’identité de l’émetteur ainsi que l’intégrité
des données, la méthode employée afin d’assurer l’authenticité du document ainsi que son intégrité,
est la fonction de hashage à sens unique.
Un mécanisme de signature numérique doit présenter les propriétés suivantes :

• Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa
signature.
• Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment
où le lecteur le consulte.
Pour cela, les conditions suivantes doivent être réunies :
Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine.
Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un d'autre ne peut se faire passer pour un
autre.
Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être
déplacée sur un autre document.
Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier.
Irrévocable : La personne qui a signé ne peut le nier.

156 SIGNATURE NUMERIQUE
Fonction de hashage : Intégrité
1 et 2. Bob rédige un message et le soumet à un
algorithme de hachage non réversible (MD5).
3. Le résultat de la fonction de hachage est joint au
message original sous la forme d’empreinte
numérique (appelée condensé).
4. Le message et le condensé sont envoyés au
destinataire (ici Alice).
5 et 6. Le destinataire (Alice) sépare le condensé du
message original, et soumet le message à la même
fonction de hachage non réversible (MD5) que celle
utilisée par l’émetteur (Bob).
7. Le destinataire (Alice) compare le résultat ainsi
obtenu au condensé envoyé par l’émetteur (Bob). Si
le résultat est identique, alors le message n’a pas été
modifié lors de la transmission. Par contre si le
résultat diffère, les données ont été modifiées.
D’autre part, seule l’intégrité du document est vérifiée (les plus utilisés sont MD5, SHA-1, SHA-2 et
HMAC (ou MAC)). C’est pourquoi l’émétteur va chiffrer l’empreinte à l’aide de sa clé privée (le
destinataire pourra la déchiffrer graçe à la clé publique associée). Cela va alors garantir à la fois
l’intégrité du message, mais aussi l’authentification de l’emetteur. La signature numérique assure donc
l’authentification de l’origine des données, l’intégrité et la non-répudiation. Voici les algorithmes utilisés :
DSS (combinaison de SHA avec El-Gamal) et RSA (combinaison MD5 ou SHA avec RSA).
Problème de distribution des clés secrètes partagées.

Comment expéditeur et destinataire se mettent-ils d’accord sur les clés secrètes partagées devant être
utilisées pour le chiffrement ? (clés de chiffrement à utiliser avec le chiffrement symétrique).
Il faut pouvoir modifier les clés secrètes partagées à intervalles réguliers (lorsqu’elles ont été utilisées pour
une quantité de données déterminée ou pendant un intervalle de temps déterminé).
A la différence des mots de passes, les clés doivent être générées (pour renforcer le caractère aléatoire,
pout éviter certaines clés faibles qui peuvent faciliter la cryptanalyse).
Il existe deux méthodes pour établir les clés.

La première est le transport. Dans ce cas de figure, une clé de session est générée aléatoirement et on la
chiffre à l’aide d’un algorithme à clé publique. Une fois la clé de session chiffrée, on l’envoie
audestinataire (un exemple de transport est RSA : voir illustration des combinaisons symétriques et
asymétriques pour comprendre le principe).
La seconde méthode est la génération de clé (ex protocole Diffie-Hellman) qui consiste à établir un
secret partagé à partir d’informations publiques sans pour autant connaitre des informationspréalables entre
les deux participants.Cette méthode automatique pour partager les clés secrètes est nécessaire (pour
échanger les informations en public, sur le même réseau que celui qui transporte le trafic chiffré).
IKE (voir plus loin dans le support) utilise la méthode d’agrément de clé Diffie-Hellman, chaque partie
génère une valeur que personne d’autre ne connaît, elle envoie la valeur publique correspondante, calculée
avec les paramètres DH, les deux parties calculent la même clé qu’elles sont seules à connaître (en
combinant leur valeur secrète avec la valeur publique
de l’autre).
Quand Bob communique avec Cédric, Alice est une

oreille indiscrète qui écoute passivement le trafic, et si
quelqu’un pourrait modifier le trafic dans les deux
directions ? (appelons-le Alice), elle pourrait envoyer
son propre choix de valeurs publiques à Bob et Cédric.
Dériver une clé commune avec les deux, puis
intercepter le trafic chiffré envoyé entre les deux ! (Man
in the Middle), c’est pourquoi IKE requiert une
authentification mutuelle entre les deux homologues

SIGNATURE NUMERIQUE 157
_ Algorithmes de hachage
_MD4 et MD5 (Message Digest) furent développées par Ron Rivest. MD5 produit des
hachés de 128 bits en travaillant les données originales par blocs de 512 bits.
_ SHA-1 considéré comme plus sûr que MD5, Il fonctionne également à partir de blocs de
512 bits de données et produit par contre des condensés de 160 bits en sortie. Il nécessite
donc plus de ressources que MD5
_ SHA-2 (octobre 2000) agrandit la taille de l’empreinte, les différences principales résident
dans les tailles de hachés possibles : 256, 384 ou 512 bits. Il sera bientôt la nouvelle
référence en termes de fonction de hachage.
– RIPEMD-160 (Ripe Message Digest) est la dernière version de l'algorithme RIPEMD. La
version précédente produisait des condensés de 128 bits mais présentait des failles de
sécurité importantes. La version actuelle reste pour l'instant sure; elle produit comme son
nom l'indique des condensés de 160 bits.
Un dernier point la concernant est sa relative gourmandise en termes de ressources et en
comparaison avec SHA-1 qui est son principal concurrent.
– Tiger : Tiger est une fonction de hachage cryptographique conçue par Ross Anderson et
Eli Biham en 1996. Tiger fournit une empreinte sur 192 bits mais des versions sur 128 et 160
bits existent aussi. Ces versions raccourcies prennent simplement les premiers bits de la
signature de 192 bits.
MAC (Message Authentification Code)

☺ C'est la combinaison d'une fonction de hachage à sens unique et d'une clé secrète.
L'empreinte créée par le hachage est chiffrée à l'aide d'un algorithme à clé secrète (symétrique).
La clé secrète doit avoir été échangée au préalable entre les 2 parties.
Le destinataire ne pourra vérifier l'intégrité des données que s'il possède la clé symétrique ayant servie à la
génération du MAC. Contrairement à la signature digitale, seul un destinataire particulier sera en mesure de
faire cette opération. Un MAC assure l'intégrité d'un message mais pas la non-répudiation puisque émetteur
et récepteur possèdent la même clef (principe du chiffrement symétrique). L'émetteur peut donc nier avoir
signé les données puisqu'il n'est pas le seul à pouvoir le faire. Le MAC est très utile (rapide et efficace) à
condition d'avoir mis en place un mécanisme sûr d'échange de la clef secrète entre les différents
protagonistes.

158 SIGNATURE ELECTRONIQUE
Signature électronique
☺ Bien que triviaux, il est bon de rappeler que les objectifs d’une signature électronique sont les suivants :
• Vérifier l’intégrité d’un message : détecter toute modification éventuelle.
• Authentifier de manière certaine la provenance du message.
Contrairement au chiffrement qui est utilisé à des fins de confidentialité, les signatures électroniques sont,
en quelque sorte, annexées aux données et laissent le texte qui vient d’être signé totalement en clair.
Assure l’authentification de l’émetteur : Signature de message :

intégrité + authentification + non-répudiation
1. L’émetteur (Alice) possède une paire de clés

publique/privée et envoie sa clé publique au
destinataire (Bob).
2. Elle soumet son message à une fonction de
hachage non réversible (ex : MD5).
3. Elle utilise ensuite sa clé privée afin de signer le
condensé (résultat = signature numérique).
4. Le message ainsi que la signature numérique sont
envoyés au destinataire (Bob).
5. Le destinataire (Bob) reçoit le message, sépare le
condensé du message, utilise la clé publique de
l’émetteur (Alice) afin de chiffrer le condensé et
obtient donc le condensé.
6. Le destinataire (Bob) soumet ensuite le message à
la même fonction de hachage que celle utilisée par
l’émetteur (Alice).
7. Le destinataire (Bob) compare ensuite les deux
condensés ainsi obtenus.
Il est important à ce stade de bien comprendre que la signature numérique apporte uniquement une sécurité
sur l’émetteur du message ainsi que sur son intégrité. Par contre le message est envoyé en clair sur le
réseau. Pour assurer la confidentialité du message, il faut en plus utiliser un cryptage du message comme
nous l’avons vu au début de ce chapitre.
Concrètement, ce qu’il faut retenir sur le mécanisme des signatures, c’est que les algorithmes mis en œuvre
sont lents et que souvent la signature se fait en réalité sur un petit nombre de données représentatives.
Enfin, il reste à prendre en compte le problème de la non-répudiation.
Le cryptage asymétriques, par la signature numérique, ajoute la notion de non-répudiation d’un message.
La non-répudiation est le fait qu’une personne ayant émis un message ne peut pas nier l’avoir envoyé.
Ce problème a deux dimensions :

• L’émetteur ne peut pas nier l’envoi d’un message.
• Le récepteur ne peut pas nier la réception d’un message.
Pour cela, les propriétés suivantes doivent être vérifiées :

• Une signature ne peut pas être falsifiée.
• Une signature donnée n’est pas réutilisable sur un autre document.
• Un document signé est inaltérable.
• Une signature ne peut pas être reniée.

SERVICE DE CERTIFICATS 159
Service de certificats (Certificat Server)
☺ Définition
« Une infrastructure de gestion de clés PKI offre un environnement de confiance, ainsi qu’un
ensemble de garanties et services relatifs aux certificats de clés publiques ».
Composants essentiels
Objets
• Certificats
Éléments
• Autorité de certification
• Autorité d’enregistrement
• Autorité d’horodatage
• Système de publication/distribution de certificats (annuaire)
• Autorité de révocation
Certificats
L'utilisation de la cryptographie à clef publique à grande échelle nécessite de pouvoir gérer des listes
importantes de clefs publiques, pour des entités souvent réparties dans un réseau.
Les certificats permettent de distribuer les clés de manière sécurisée et de les stocker de façon sûre
(signature, chiffrement, non répudiation, etc…).
Un certificat numérique (aussi appelé certificat électronique) est un fichier permettant de certifier l'identité
du propriétaire d'une clé publique, un peu à la manière d'une carte d'identité.
☺ Un certificat :
• prouve l’identité d’une personne au même titre qu’une carte d’identité, dans le cadre fixé par l’autorité
de certification qui l’a validé ;
• pour une application, il assure que celle-ci n’a pas été détournée de ses fonctions ;
• pour un site, il offre la garantie lors d’un accès vers celui-ci que l’on est bien sur le site auquel on veut
accéder.
☺ Un certificat est généré dans une infrastructure à clés publiques (aussi appelé PKI pour Public Key
Infrastructure) par une autorité de certification (Certification Authority, CA : agit en tiers de
confiance en se portant garant de l’identité du titulaire du certificat) qui a donc la capacité de générer des
certificats numériques contenant la clé publique en question. Les certificats ainsi utilisés sont du type X.509
v3 (1996) et permettent donc d’être utilisés avec des solutions autres que les services fournis dans
Windows 2003.
_ Problèmes à résoudre
_Distribuer les clefs de façon authentifiée et intègre
_Stocker les clefs de façon sûre (protection en intégrité)
_ Limiter le nombre de clefs à stocker
_ Solution => certificats et hiérarchies de certification PKI
Une autorité de confiance (CA) signe avec sa clé privée un document contenant :
• L’identité d’une entité possédant un couple de clé
• La clé publique
• Des informations décrivant l’usage de cette clé
•…
=> Le résultat est un certificat
=> L’autorité de confiance est appelée « Autorité de Certification », utilisée dans : messagerie avec
signature et/ou chiffrement, contrôle d’accès et confidentialité (accès distant, vpn, poste de travail), etc….

160 SERVICE DE CERTIFICATS
Autorité de Certification
Description des champs contenus dans un certificat X.509 v3

Version : Indique à quelle version de X.509 correspond ce
certificat.
Serial number : Numéro de série du certificat (propre à chaque
autorité de certification).
Signature Algorithm ID : Identifiant du type de signature
utilisée.
Issuer Name : Distinguished Name (DN) de l'autorité de
certification qui a émis ce certificat.
Validity period : Période de validité.
Subject Name : Distinguished Name (DN) du détenteur de la
clef publique.
Subject public key info : Infos sur la clef publique de ce
certificat.
Issuer Unique ID / Subject Unique ID : Extensions
optionnelles introduites avec la version 2 de X.509.
Extensions : Extensions génériques optionnelles, introduites
avec la version 3 de X.509.
Signature : Signature numérique de la CA (clé privée) sur
l'ensemble des champs précédents.
Exemple d’utilisation d’un certificat

Un administrateur système peut configurer la stratégie de groupe pour
installer automatiquement un certificat sur un ordinateur membre d’un
domaine. Le certificat peut être utilisé à des fins d’authentification
entre deux ordinateurs sur lesquels la sécurité IPSec a été configurée.
Les certificats doivent aussi être installés sur les serveurs Web qui
fourniront des connexions sécurisées de type SSL (Secure Sockets
Layer) pour les utilisateurs.
Utilisations des certificats Description

Signatures numériques Utilise la clé publique dans un certificat pour
vérifier que les données ont été signées avec la clé privée correspondante.
Système de fichiers EFS Utilise la clé publique dans un certificat pour crypter les (Encrypting File System)
clés de cryptage des fichiers.
Authentification Internet Vérifie l’identité d’un serveur Web pour les clients Web.
Les serveurs Web peuvent aussi utiliser des certificats pour vérifier l’identité des clients Web.
Sécurité IP (IPSec) Vérifie l’identité des ordinateurs et crypte les données lorsqu’elles sont transmises sur
le réseau.
Messagerie sécurisée Vérifie les messages électroniques signés et décrypte les messages électroniques.
Ouverture de session par carte à puce Vérifie l’identité d’un utilisateur par le biais d’une ouverture de session par carte à
puce.
Signature du code logiciel Vérifie l’identité d’un éditeur de logiciels.
Présentation de l'infrastructure de clé publique

Une infrastructure de clé publique (PKI, Public Key Infrastructure) aussi appelée
IGC (Infrastructure de Gestion de Clés) est une combinaison de logiciels, de
services et de technologies de cryptage qui permet à une entreprise de préserver la
sécurité de ses communications et de ses transactions commerciales.
Lorsque l'Autorité de Certification reçoit une demande de certificat par
l'intermédiaire de l'Autorité d'Enregistrement, elle doit générer un certificat. Pour prouver que le certificat
émane réellement de cette CA, il doit être signé avec la clé privée de l'Autorité de Certification.
Il est donc primordial d'assurer la sécurité et la confidentialité de la clé privée de l'Autorité de Certification.
☺ Rappel qu’est-ce donc qu’une PKI

L’ensemble des services permettant de :
– créer des certificats,
– de les publier
– d’en prolonger la validité
– de les révoquer
– de les recouvrer
☺ Les autorités d’enregistrement (RA) vérifient les données des demandes de certificats,
☺ Les autorités de certifications (CA) établissent les certificats sur la base de ce que les RAs ont
validé.
La liste des CAs de confiance défini le niveau de sécurité de vos applications. La PKI doit donc publier sa :
– politique d’enregistrement
– politiques de certification
– politique de révocation
– politique de recouvrement
– politique de sécurité
– audit des politiques
☺ Les listes de révocation (CRL)
Fonction fondamentale en cas de doute sur le secret de la clef privée, changement concernant le
bénéficiaire, …
Simple liste des numéros de série des certificats révoqués.
• Signée par la CA émettrice
• Avec une période de validité de la CRL
• Il faut « recharger » périodiquement les CRLs
Autorités de certification pour le Web :

Sur Internet, les CA émettent des certicats pour les navigateurs et les serveurs Web, à utiliser pour
l’accès aux sites Web sécurisés utilisant des URL https://, pour les courriels chiffrés ou signés en utilisant
SMIME.
Etablir une PKI pour Internet, une infrastructure pour distribuer des clés publiques de manière sûre.
Bob peut envoyer à Alice une copie de son propre certificat, Alice vérifie qu’il a été émi par une CA de
confiance, vérifie la signature sur le certificat, vérifie que la période de validité est bonne et qu’il n’a pas
été « révoqué ».
Les systèmes Windows sont configurés pour faire confiance à un grand nombre de CA Internet par
défaut, ce qui signifie qu’ils acceptent la validité de tout certificat émis par une CA.
Exemple d’utilisation de certificats numériques :

La déclaration des impots, il est désormais possible en France de déclarer ses impôts sur Internet, pour cela, le
contribuable doit installer auparavant le certificat proposé sur le site de l’administration des impôts. Le
contribuable C veut déclarer ses impôts en ligne, il faut donc que ce dernier soit sûr que le destinataire est bien le
site des impôts, d’autre part, l’envoi de la déclaration doit être sécurisé (chiffrement des données).
L'utilisateur peut demander des certificats à partir de l'adresse http://nomserveur/certsrv où nom serveur
représente un serveur sur lequel les Services de certificats sont installés.
Vous pouvez importer/exporter des certificats dans les formats ci-dessous.

_ Échange d'informations personnelles - PKCS #12. Permet le transfert de certificats et de leurs clés
privées correspondantes d'un ordinateur à un autre ou d'un ordinateur à un support amovible.
Si un certificat a été délivré par une Autorité de certification Windows 2003, la clé privée correspondante
ne peut être exportée que si l'une des conditions ci-dessous est remplie.
Le certificat concerne le système de fichiers de cryptage ou une récupération EFS.
Le certificat a été demandé par l'intermédiaire de la page Web Demande de certificat avancée, la
case à cocher Marquer les clés comme étant exportables étant activée.
_ Standard de syntaxe de message cryptographique - Certificats PKCS #7.
Permet le transfert d'un certificat, ainsi que de tous les certificats contenus dans le chemin d'accès de la
certification, d'un ordinateur à un autre ou d'un ordinateur à un support amovible.
_ Binaire codé DER X.509. Prend en charge l'interopérabilité des formats utilisés par les Autorités de
certification installées sur des serveurs n'exécutant pas Windows 2003. Les fichiers de certificat DER
utilisent l'extension .cer.
_ Codé Base64 X.509. Prend en charge l'interopérabilité des formats utilisés par les Autorités de
certification installées sur des serveurs n'exécutant pas Windows 2003. Les fichiers de certificat Base64
utilisent l'extension .cer.
Envoi d'une demande de certificat

Pour effectuer une nouvelle demande de certificat, les utilisateurs peuvent se connecter à l'aide d'Internet
Explorer sur le site Web : http://nom-de-l'autorite/certsrv (ou https://nom-de-l'autorite/certsrv dans
le cas d'une connexion sécurisée).
Situation de la cryptographie en France

Les clés de 56 bits, on est aujourd'hui capables, dans des délais raisonnables, de casser de telles clés : en
22h15, associé à 100.000 ordinateurs organisés en réseau (cela fut fait le 18 janvier 1999 en testant 250
milliards de clés par seconde). Une clé de 128 bits nécessite théoriquement 40 milliards de milliards de
fois plus d'essai : " en mobilisant dans un gigantesque réseau tous les ordinateurs de la planète il faudrait
plusieurs siècles pour la casser ".
Voici, en deux mots, la situation de la cryptographie en France d'un point de vue légal, vue du côté de
l'utilisateur final.
La crypto à clé publique n'entre pas en ligne de compte, il n'y a pas de contrôle envisagé lié aux tailles de
clés (le chiffrement à clé publique utilisé ne cache pas de vraie information, seulement la clé symétrique
aléatoire qui sert, elle, à chiffrer les données).
1. Dès que la fourniture du produit est autorisée (c'est le cas de PGP), il n'y a aucune
formalité ni aucune restriction quant à l'utilisation, 128-bits ou pas, usage privé ou pas.
Référence : le décret no 98-101 du 24 février 1998, article 20, paragraphe II.
Conséquence : PGP version 6, qui intègre le 3DES (à 168 bits, 3 clés en mode EDE), est
légal depuis fin 1999, suite à l'autorisation demandée par (et accordée à) NAI.
2. Un produit ne dépassant pas une taille de clé de 128 bits est librement utilisable
pour "l'usage privé d'une personne physique", sans autorisation ni déclaration. Pour les

autres types d'usages (entreprise par exemple), il suffit que le fournisseur ait déclaré le
produit (pas besoin d'autorisation). Référence : le décret n° 99-200 du 17 mars 1999.
Conséquences : début 1999, la v5 de PGP était légale (taille de clé ne dépassant pas 128
bits). Le SSL 128 bits est également légal en France pour l'utilisateur final (l'idée était
de promouvoir le "e-commerce").
***Enfin, la Loi du 21 juin 2004 pour la confiance dans l'économie numérique a totalement libéralisé
l'utilisation des moyens de cryptologie ; cependant la fourniture de clés de chiffrement est soumise à
déclaration ou autorisation.***
===============================================================================
Dans les TP qui suivent vous allez travailler avec le Formateur
Dans cet exercice, le Formateur va installer le serveur Web de Microsoft, IIS 6.0 sur un Windows
Serveur 2003 sans Active Directory
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur hébergeant l'Autorité de
certification racine (machine du Formateur)***.
Les étapes suivantes vous indiquent comment installer IIS.
Pour installer IIS
1. Cliquez sur Démarrer, Panneau de configuration, Ajout/Suppression de programmes.
2. Cliquez sur le bouton Ajouter/Supprimer des composants Windows pour démarrer l'Assistant.
3. Dans la liste Composants, activez la case à cocher en regard de Serveur d'applications et cliquez sur Détails.
4. Dans la boîte de dialogue Serveur d'applications, remarquez les éléments installés par défaut. Dans la zone Sous-
composants de Serveur d'applications, sélectionnez Services Internet (IIS) et cliquez sur Détails.
5. Dans la boîte de dialogue Services Internet (IIS), remarquez les éléments installés par défaut. Dans la liste Sous-
composants de Services Internet (IIS), sélectionnez Service World Wide Web et cliquez sur Détails.
6. Dans la boîte de dialogue Service World Wide Web, remarquez les éléments installés par défaut.
7. Pour ajouter d'autres composants, activez leur case à cocher, vérifiez donc que Service World Wide Web et Active
Server Page (ASP) sont cochés.
9. Cliquez sur OK jusqu'à ce que la fenêtre de l'Assistant Composants de Windows apparaisse de nouveau.
10. Cliquez sur Suivant, puis sur Terminer.
11. Pour activer les pages ASP (normalement déjà activé), dans le Gestionnaire des services Internet (IIS),
développez l'ordinateur local, puis cliquez sur Extensions du service Web, puis cliquez sur Active Server Pages
(ASP), puis Autoriser.
12. Dans le volet d'informations, cliquez sur Active Server Pages (ASP), puis sur Autoriser.
13. Vous pouvez modifier la source du fichier iisstart.htm situé dans C:\Inetpub\wwwroot, afin d’afficher un
message différtent de En chantier.
-----------------------------------------------------------------------------------------------------------------------------------------------
Serveur IIS en http (port 80)
14. Ouvrez la page http://127.0.0.1/à l'aide d'Internet Explorer. La page devrait être marquée : « En chantier » si
IIS fonctionne correctement.
15. Fermer Internet Explorer.
===============================================================================
===============================================================================
Dans cet exercice, vous allez créer une Autorité de certification racine autonome (CA) sur un
Windows Serveur 2003 sans Active Directory.
certification racine (machine du Formateur)***.
a. Ouvrez une session en tant qu'administrateur, avec le mot de passe P@sswrd1

b. Dans le Panneau de configuration, double-cliquez sur Ajout/Suppression de programmes.
c. Dans la boîte de dialogue Ajout/Suppression de programmes, cliquez sur Ajouter/supprimer des composants
Windows.
d. Dans l'Assistant Composants de Windows, dans la page Composants Windows, activez la case à cocher Services
de certificats.

Remarque : Un message s’affiche indiquant qu’après l’installation de ce service l’ordinateur ne pourra plus ni être
renommé ni être joint ou disjoint d’un domaine (sauf si vous supprimer ensuite le service).
Remarque : Si votre serveur de certificat possède IIS sans que les pages ASP soient activées, un message
d’avertissement vous indique qu’ASP est utilisé pour la prise en charge des demandes de certificats par le Web, mais
qu’ASP représente un risque potentiel pour la sécurité de votre serveur Web. En cliquant sur le bouton Oui, vous
activez les pages ASP sur IIS.
e. Dans le message Services de certificats Microsoft, cliquez sur Oui, puis sur Suivant.
f. Dans la page Type d'Autorité de certification, vérifiez que l'option Autorité racine autonome est sélectionnée,
puis cliquez sur Suivant.
g. Dans la page Information d'identification de l'Autorité de certification, entrez les informations ci-dessous.
Nom de l'autorité de certification : Bourges CA
Suffixe du nom unique : CN=Certif
Durée de validité : 2 ans
h. Cliquez sur Suivant.
i. Dans la page Emplacement du stockage de données, cliquez sur Suivant.
j. Dans la boîte de dialogue Services de certificats Microsoft, cliquez sur Oui pour arrêter les Services Internet
(IIS).
k. Dans la boîte de dialogue Fichiers nécessaires, tapez le chemin des fichiers sources (CD ROM) et cliquez sur OK.
l. Une fois le processus de configuration achevé, cliquez sur Terminer.
m. Fermez toutes les fenêtres.
===============================================================================
===============================================================================
Dans cet exercice, vous allez demander un certificat pour votre ordinateur Windows XP.
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur client qui est sous Windows XP
Pro (Machine Stagiaire)***.
***Vérifier que l’heure sur votre machine soit la même que celle de la machine du
Formateur***
Exécutez la procédure ci-dessous sur les deux ordinateurs des stagiaires.
a. Cliquez sur Démarrer, puis sur Exécuter.
b. Dans la zone Ouvrir, tapez http://serveur/certsrv (où serveur représente le nom de l’ordinateur du formateur, vous
pouvez aussi utiliser son adresse IP), puis cliquez sur OK.
c. Si l'Assistant Connexion Internet s'affiche, renseignez-le en indiquant que vous souhaitez vous connecter par
l'intermédiaire d'un réseau local. Acceptez les paramètres par défaut de la connexion de réseau local, et ne configurez
pas de compte de messagerie Internet.
d. Dans Internet Explorer, dans la page Bienvenue, cliquez sur Demander un certificat.
Remarque : Vous pouvez aussi choisir Certificat de protection de courrier électronique, pour un certificat d’un autre
usage, cliquez sur demande de certificat avancée. Si vous choisissez cette dernière option, vous pourrez choisir dans
type de certificat, différents certificats selon les besoins comme : Certifications d’authentification de client, Certificat
de protection de courrier électronique, Certificat d’authentification de serveur, Certificat de signature de code,
Certificat horodateur, Certificat IPSec.
e. Dans la page Demander un certificat, cliquez sur Certificat de navigateur Web, cliquez ensuite sur Options
supplémentaires >> et enfin sur Utilisez le formulaire de Demande de certificat avancée.
f. Dans la page Demande de certificat avancée, entrez les informations ci-dessous.
Dans Nom : votre nom
Dans Adresse de messagerie : stagiaire@wanadoo.fr
Dans Société : gefi
Dans Service : stagiaire
Dans Ville : Bourges
Dans Etat : Cher
Dans Pays/région : FR
Dans Type de certificat nécessaire, choisissez : Certificat d’authentification de client.
Dans option de la clé, cochez : Créer un nouveau jeu de clés
Dans Fournisseur de services, choisissez : Microsoft Enhanced Cryptographic Provider v1.0
Dans Utilisation de la clé, choisissez : Les deux
Dans Taille de la clé, choisissez : 1024, cochez également : Nom de conteneur de la clé automatique
Cochez également : Marquer les cles comme étant exportables, aussi Activer la protection renforcée par clé
privée.

Vérifier que le format de la demande est CMC, que Algorithme de hachage est sur : SHA-1, puis Envoyer.
g. Un message « violation de script potentielle » apparaît, cliquer sur OUI, dans la boite qui apparaît cliquez sur Définir le
niveau de sécurité, puis sur Haut, Suivant, une boite de dialogue « Création du mot de passe pour protéger cet
élément » (Clé privée CryptoAPI) apparaît, saisir :
Mot de passe : toto
Confirmer le mot de passe : toto, puis Terminer, puis OK.
h. Noter ici l'identificateur de votre requête : ________
===============================================================================
☺ TP à réaliser.26c
===============================================================================
Ordinateur Windows 2003 Serveur
certification racine (Machine du Formateur)***.
Utilisez l'Autorité de certification pour délivrer le certificat que vous avez demandé.
a. Restaurez la console Autorité de certification.
b. Dans l'arborescence de la console, développez si nécessaire Bourges CA, puis cliquez sur Demandes en attente.
c. Dans le menu Action, cliquez sur Actualiser.
d. Dans le volet de détails, cliquez avec le bouton droit sur votre demande de certificat, pointez sur Toutes les tâches,
puis cliquez sur Délivrer.
e. Dans l'arborescence de la console, cliquez sur Certificats délivrés, puis vérifiez que le certificat de votre ordinateur
a bien été délivré.
f. Fermez la console Autorité de certification.
===============================================================================
☺ TP à réaliser.26d
===============================================================================
Ordinateur Windows XP du stagiaire
Utilisez Internet Explorer pour installer le certificat que vous avez délivré.
a. Restaurez Internet Explorer.
b. Dans la zone Adresse, tapez http://serveur/certsrv (où serveur représente le nom de l’ordinateur du formateur),
puis appuyez sur ENTRÉE.
c. Dans la page Bienvenue, cliquez sur Afficher le statut d’une requête ce certificat en attente.
d. Dans la page Afficher le statut d’une requête ce certificat en attente, vérifiez que la demande de certificat que
vous avez envoyée est répertoriée, puis cliquez dessus.
e. Dans la page Certificat émis, cliquez sur Installer le certificat, un message vous indique une violation de script
potentiel, cliquez sur Oui.
===============================================================================
☺ TP à réaliser.26e
===============================================================================
Ordinateur Windows XP du stagiaire, vérifier la connexion en http via un certificat
Créez une console MMC qui contient le composant logiciel enfichable Certificats destiné à votre ordinateur,
puis confirmez que le certificat IPSec a été délivré à votre ordinateur.
a. Cliquez sur Démarrer, puis sur Exécuter.
b. Dans la zone Ouvrir, tapez mmc puis, cliquez sur OK.
c. Agrandissez la fenêtre Racine de la console.
d. Dans la fenêtre Racine de la console, dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant
logiciel enfichable.
e. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
f. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Certificats, puis sur
Ajouter.
g. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Mon compte d’utilisateur, puis
sur Terminer.
h. Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d'un composant logiciel enfichable autonome.
i. Cliquez sur OK pour fermer la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable.

j. Dans le menu Fichier, cliquez sur Enregistrer sous.
k. Enregistrez le fichier console sous le nom Certificats de l'ordinateur dans l'emplacement par défaut.
l. Dans l'arborescence de la console, développez Certificats Utilisateur actuel, puis Personnel, puis sous Personnel,
cliquez sur Certificats.
m. Dans le menu Action, cliquez sur Actualiser.
n. Dans le volet de détails, cliquez avec le bouton droit sur le certificat que vous avez délivré à destination de nom (où
nom représente votre nom), puis cliquez sur Ouvrir.
o. Dans la boîte de dialogue Certificat, vérifiez (Onglet Détails) les informations suivantes :
• Numéro de série :
• Algorithme de signature :
• Emetteur :
• Valide à partir du :
• Valide jusqu’au :
• Clé publique :
• Alogorithme d’empreinte numérique :
puis cliquez sur OK.
p. Fermez la console Certificats de l'ordinateur sans enregistrer les modifications.
r. Démarrer Internet Explorer, puis saisir l’adresse suivante : http://192.168.x.y (machine du formateur), quel
message apparaît : ___________________________________________
-----------------------------------------------------------------------------------------------------------------------------------------------
Exporter un Certificat
s. Dans le menu Outils, Options d’Internet Explorer, cliquez sur l’onglet Contenu, puis Certificats.
t. Sélectionnez votre certificat, puis cliquez sur Exporter, puis Suivant, cochez Oui, exporter la clé privée, puis
Suivant, cochez Echange d’informations personnelles –PKCS # (.pfx), ainsi que Activer la protection renforcée
(necessite IE 5.0, NT 4.0 ou supérieur), puis Suivant, mettre comme mot de passe : toto et confirmer le mot de
passe : toto, puis Suivant, dans la zone Nom de fichier mettre : C:\moncertif.pfx (on aurai pu indiquer ici une clé
USB par exemple), puis Suivant, Terminer, dans la zone Clé privée CryptoAPI mettre comme mot de passe : toto,
puis OK, OK
u. Vérifiez la présence du fichier C:\ moncertif.pfx sur votre machine.
-----------------------------------------------------------------------------------------------------------------------------------------------
Supprimer un Certificat
u. Basculer vers la MMC Certificats, sélectionnez votre certificat, bouton droit, puis Supprimer, puis OK. Votre
certificat est maintenant supprimer.
-----------------------------------------------------------------------------------------------------------------------------------------------
Importer un Certificat
v. Cliquez droit sur Personnel\Certificats, puis Toutes les tâches, puis Importer, Suivant, dans la zone Fichier de
type, choisir Echange d’informations personnelles (*.pfx ;p1), cliquez sur Ouvrir, sélectionnez le fichier
C:\moncertif.pfx, puis Ouvrir, puis Suivant, mettre le mot de passe : toto, cochez Marque cette clé comme
exportable. Cela vous permettra de sauvegarder et transporter vos clés ultérieurement, puis Suivant, Suivant,
Terminer et OK
Remarque :
Normalement on peut aussi demander un certificat à l’autorité de certification via la MMC Certificats, bouton droit
sur Certificat, Toutes les tâches, Demander un nouveau certificat…, sauf qu’ici cela ne fonctionnera pas car il faut
un domaine Active Directory.
===============================================================================
☺ TP à réaliser.26f
===============================================================================
Sécuriser IIS à l'aide du protocole SSL, machine Windows 2003 Serveur
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur
hébergeant l'Autorité de certification racine (Machine du
Formateur)***.
Il est possible de sécuriser les pages Web du serveur IIS à l'aide du protocole SSL
(Secure Sockets Layer). Lors de l'utilisation du SSL, les données qui transiteront entre
le demandeur d'un certificat et l'autorité de certification seront cryptées, dans notre cas,
cela permettra de sécuriser tous les échanges avec l'autorité de certification.
1. Pour activer SSL sur le serveur IIS, bouton Démarrer, puis Outils
d’administration, puis Gestionnaire des services Internet (IIS), sélectionnez
l'ordinateur local, puis « Sites Web ».
2. Effectuez un click droit sur le « Site Web par défaut » (qui contient le répertoire
virtuel CertSrv) et choisissez « Propriétés ».

3. Dans la fenêtre qui s'affiche, sélectionnez l'onglet « Sécurité du répertoire ».
4. Sur la page qui s'affiche, cliquez sur le bouton « Certificat de serveur » puis Suivant, puis sélectionner Créer un
certificat, puis Suivant.
5. Choisissez « Préparer la demande, mais ne pas l'envoyer maintenant », puis Suivant.
6. Choisissez ensuite un nom pour le nouveau certificat, mettre : Bourges_student, dans Longueur en bits laisser
1024, puis Suivant.
7. Dans Organisation, mettre : Gefi, dans Unité d’organisation, mettre : Formation, puis Suivant.
8. Dans Nom commun (nom NetBIOS), mettre le nom de la machine qui est le Gestionnaire de certificat, puis
Suivant.
9. Dans Pays/région, mettre FR (France), dans Département ou région, mettre : 94000, dans Ville/Localité, mettre :
Créteil, puis Suivant, dans Nom de fichier, mettre (ou laisser) c:\certreq.txt, puis Suivant, puis Suivant et
Terminer.
Remarque : Si votre serveur appartient à un domaine, il est possible de transmettre directement la demande à
l'autorité de certification en cliquant sur « Envoyer immédiatement la demande à une autorité de certification en
ligne ».
10. Vous avez choisi de préparer une demande, il vous faudra l'enregistrer avant
de pouvoir générer le certificat, démarrer Internet Explorer, puis saisir
l’adresse suivante : http://127.0.0.1/certsrv.
11. Sélectionner « Demander un certificat », puis soumettre un « demande de
certificat avancée » et enfin « Soumettre une demande de certificat en
utilisant un fichier CMC ou PCK#10 ».
Dans la zone de texte « Demande enregistrée », collez-le contenu du fichier
enregistré précédemment (qui se trouve par défaut dans c:\certreq.txt), puis
cliquez sur le bouton « Envoyer ».
Remarque : Si un message apparaît « ..il est possible que d’autres personnes

puissent y accéder.. », cliquez sur Oui
12. Dans le cas d'une autorité de certification autonome (CA), vous devrez autoriser manuellement la génération de ce
certificat, bouton Démarrer, puis Outils d’administration, puis, Autorité de certification, puis« Demandes en
attente », effectuer un clique droit sur la demande que vous venez d'émettre, puis Toutes les tâches, puis « Délivrer »
ce certificat.
13. Une fois votre autorisation accordée, retournez à l'accueil de la page Web : http://127.0.0.1/certsrv puis
« Afficher le statut d'une requête de certificat en attente ». Sélectionnez votre demande puis coche l’option Codé
DER, puis « Télécharger le certificat » enregistrer le sur votre disque dur : C:\.(le nom par défaut est certnew.cer)
Fermez alors le navigateur Internet.
-----------------------------------------------------------------------------------------------------------------------------------------------
Serveur IIS en HTTPS
14. Revenez dans les propriétés du Site Web d'IIS, dans l'onglet « Sécurité du répertoire », puis Certificat de
serveur, puis Suivant, puis cocher « Traitez la demande en attente », puis Suivant, dans chemin et nom de fichier,
mettre : c:\certnew.cer, puis Suivant, dans Port SSL que ce site Web devait
utiliser, mettre : 443, puis Suivant, puis Suivant et Terminer.
Remarque : Votre serveur IIS dispose donc maintenant de son propre certificat
garantissant aux yeux des utilisateurs son identité et il ne reste plus qu'à activer
le protocole SSL sur ce site Web.
15. Pour cela, toujours dans l'onglet « Sécurité du répertoire », cliquez sur le
bouton « Modifier » et cochez « Requérir un canal sécurisé (SSL) » ainsi
qu' « Exiger le cryptage 128 bits », dans Certificats clients cocher l’option
Exiger les certificats client, puis OK, puis Appliquer et OK. Enregistrez la
configuration et fermez le Gestionnaire des services Internet.
Remarque : L'interface Web de l'autorité de certification est désormais

accessible en entrant l'url suivante : https://nom_de_lautorite/certsrv.

☺ TP à réaliser.26g
===============================================================================
Ordinateur Windows XP du stagiaire, vérifier la connexion en HTTPS via un certificat
1. Démarrer Internet Explorer, puis saisir l’adresse suivante : http://192.168.x.y (machine du formateur), quel
message apparaît : ___________________________________________
2. Essayez maintenant l’adresse suivante : https:// 192.168.x.y (machine du formateur), dans la boîte d’avertissement
d’Alerte de sécurité cliquez sur OUI, puis de nouveau sur OUI pour télécharger le certificat sur votre machine, quel
message apparaît : ___________________________________________. Dans la boite de dialogue Choisir un
certificat numérique, choisir votre certificat, puis OK.
☺ TP à réaliser.26h
===============================================================================
Machine Windows 2003 Serveur
1. Dans Démarrer, puis Outils d’administration, puis, Autorité de certification, puis Certificats délivrés,
sélectionner les certificats Attribués antérieurement (sauf celui de la machine formateur), puis bouton droit, Toutes les
tâches, puis Révoquer un certificat, dans Code de raison choisir Clé compromise, puis Oui.
2. Dans Certificats révoqués, vous pouvez visualiser le certificat révoqué.
3. Bouton droit sur Certificats révoqués, puis Publier, puis choisir Nouvelle liste de révocation à publier, puis OK.
☺ TP à réaliser.26i
===============================================================================
Ordinateur Windows XP du stagiaire
Vérifier la révocation d'un certificat SSL
Remarque : Cette option n'est pas activée dans les versions antécédentes à Microsoft Windows 2003.
L'activation de cette option permet de s'assurer auprès de l'autorité de certification qui a délivré le certificat SSL s'il
n'a pas été révoqué depuis. Ouvrez Internet Explorer 6, dans le menu "Outils", choisir "Options Internet", cliquez sur
l'onglet, avancé", recherchez et cochez dans la liste, dans la rubrique "Sécurité", l'option "Vérifier la révocation des
certificats (redémarrage nécessaire)" Redémarrez Internet Explorer 6
1. Saisir l’adresse suivante : https:// 192.168.x.y, dans la boîte d’avertissement d’Alerte de sécurité cliquez sur OUI,
puis OUI, puis de nouveau OUI pour utiliser le certificat, choisir votre certificat, puis OK.
Normalement cela ne devrait pas fonctionner car le certificat étant révoqué, celui-ci n’est plus utilisable.
Si cela fonctionne toujours, pensez à vider les cookies ainsi que les fichiers temporaires d’Internet explorer
2. Lancer Internet explorer, menu Outils puis options d’Internet, onglet Contenu, cliquez sur Certificats, double-
cliquez sur votre certificat, onglet Détails, indiquez ici le N° de série votre certificat :
____________________________
Remarque : Les certificats révoqués sont déclarés dans, \\192.168.x.y/CertEnroll du serveur de certification (sur le
serveur faisant office d’autorité de certification : machine du formateur).
-----------------------------------------------------------------------------------------------------------------------------------------------
Attendre que le formateur ait réalisé la procédure décrite ci-dessous :
**A faire sur la Machine Windows 2003 Serveur par le formateur avant de continuer le TP**
Pour cela, toujours dans l'onglet « Sécurité du répertoire », cliquez sur le bouton « Modifier » et décochez
« Requérir un canal sécurisé (SSL) » ainsi qu' « Exiger le cryptage 128 bits », dans Certificats clients décocher
l’option Exiger les certificats client. Enregistrez la configuration et fermez le Gestionnaire des services Internet
-----------------------------------------------------------------------------------------------------------------------------------------------

Vous pouvez poursuivre votre TP
3. Lancez Internet Explorer, puis saisir comme URL : http :\\192.168.x.y\Certsrv (machine du formateur), puis
Entrée, puis sélectionnez Télécharger un certificat de certification, une chaine de certification ou une liste de
révocation de certificats, cochez méthode de codage : DER, puis sélectionner Télécharger la dernière liste de
révocation de certificats de base :
4. Double cliquez sur le fichier .crl, puis Ouvrir
Notez ici les différents éléments :
Onglet Liste de révocation
Notez ici le N° de votre certificat révoqué (est’il parmi la liste ? : _____) : N°=_________________________
• Date de révocation :
5. Cliquez sur OK, fermer tout.
===============================================================================
Création d’un tunnel L2TP/IPSEC, avec authentification de type Radius
a). Attribuez une adresse IP fixe au serveur [SERVEUR]

(Normalement déjà réalisé, voir TP antérieur)
1. Ouvrez le menu démarrer, puis pointez sur Panneau de configuration

2. Faites un click droit sur Connexion réseau et sélectionnez Ouvrir
3. Faites un clic droit sur la carte réseau, puis sur propriétés
4. Sélectionnez Protocole internet (TCP/IP), puis cliquez sur propriétés
5. Cliquez sur Utiliser l’adresse IP suivante :
6. Entrez l’ip 192.168.x.200 (adresse IP de la machine du formateur)
7. Cliquez sur le Masque de sous-réseau (le masque par défaut apparaît)
8. Cliquez sur Utiliser l’adresse de serveur DNS suivante :
9. Dans serveur DNS préféré mettre 192.168.x.200
10. Cliquez sur ok et encore sur ok.
========================================================================================
b). Attribuez une adresse IP fixe au client [XP]

1. Ouvrez le menu démarrer, puis pointez sur Panneau de configuration

2. Faites un click droit sur Connexion réseau et sélectionnez Ouvrir
3. Faites un clic droit sur la carte réseau, puis sur propriétés
4. Sélectionnez Protocole internet (TCP/IP), puis cliquez sur propriétés
5. Cliquez sur Utiliser l’adresse IP suivante :
6. Entrez l’ip 192.168.x.y (adresse IP imposée par le formateur)
7. Cliquez sur le Masque de sous-réseau (le masque par défaut apparaît : 255.255.255.0)
8. Mettre comme adresse de passerelle par défaut : 192.168.x.200 (l’adresse IP du serveur VPN)

9. Cliquez sur Utiliser l’adresse de serveur DNS suivante :
10. Dans serveur DNS préféré mettre 192.168.x.200 (adresse du serveur)
11. Cliquez sur ok et encore sur ok.
========================================================================================
c). Installez le service d’annuaire Active Directory [SERVEUR]

1. Ouvrez le menu Démarrer puis sélectionnez Exécuter.

2. Tapez dcpromo puis validez.
3. Cliquez deux fois sur le bouton Suivant >.
4. Dans la page Type de contrôleur de domaine, vérifiez que l’option Contrôleur de domaine pour un
nouveau domaine est sélectionnée, puis cliquez sur Suivant.
5. Dans la page Créer un nouveau domaine, vérifiez que l’option Domaine dans une nouvelle forêt est
sélectionnée, puis cliquez sur Suivant.
6. Dans la zone Nom DNS complet pour le nouveau domaine, tapez Bourges.eds puis Suivant.
7. Validez les pages suivantes avec leurs arguments par défaut jusqu'à la page Diagnostics des inscriptions
DNS.
8. Sélectionnez l’option Installer et configurer le serveur DNS sur cet ordinateur et définir cet ordinateur
pour utiliser le serveur DNS comme serveur DNS de préférence, puis cliquez deux fois sur le bouton Suivant.
9. Pour le mot de passe de l’administrateur de restauration des services d’annuaires entrez P@ssw0rd, puis
Suivant.
10. Validez le résumé afin que le processus d’installation d’Active Directory démarre.
11. Une fois l’installation d’Active Directory terminée, redémarrez votre ordinateur.
========================================================================================
d). Configurez xp pour qu’il joigne le domaine du serveur [XP]

1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration et sélectionnez Système.
2. Dans l’onglet Nom de l’ordinateur, cliquez sur le bouton Modifier, ajouter le suffixe au nom de votre
machine : Bourges.eds
3. Dans l’encadré Membre de, cliquez sur domaine, saisissez Bourges.eds dans le champ approprié, puis
cliquez sur le bouton OK.
4. Saisissez les informations d’identification (login/password) du compte Administrateur/ P@ssw0rd du
serveur, puis cliquez sur le bouton OK.
5. Redémarrez impérativement votre ordinateur lorsque l’on vous le demande.
========================================================================================
e). Vérifiez que le service Routage et accès distant est désactivé [XP et
SERVEUR]
Installation du serveur VPN et configuration des options générales
1. Ouvrez le menu Démarrer, pointez sur Outils d’administration puis cliquez sur Routage et Accès distant.
2. Dans la console MMC, cliquez sur Etat du serveur.
3. Si le serveur est dans l’état Démarré, faites un clic droit sur nom_ordinateur, puis cliquez sur Désactiver le
routage et l’accès distant. Cliquez ensuite sur le bouton Oui pour confirmer.
4. Quittez la console Routage et accès distant.
========================================================================================
f). Créez une connexion au réseau privé virtuel pour tester le bon
fonctionnement du serveur VPN de votre partenaire [XP]
1. Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Faites ensuite un clic droit sur
Connexions réseau, puis choisissez Ouvrir.
2. Dans la fenêtre Connexions réseau, cliquez sur le menu Fichier, puis sur Nouvelle connexion.
3. Cliquez sur Suivant, sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant.
4. Dans la fenêtre Connexion réseau, choisissez Connexion au réseau privé virtuel, puis cliquez sur le bouton
Suivant.
5. Saisissez Connexion de test au serveur VPN dans la zone de texte Nom de la société, puis cliquez sur le
bouton Suivant.
6. Entrez 192.168.x.200 dans le champ Nom d’hôte ou adresse IP, puis validez ce choix en cliquant sur le
bouton Suivant.
7. Dans la page Disponibilité de connexion, sélectionnez Tous les utilisateurs, puis cliquez sur le bouton
Suivant, puis sur le bouton Terminer pour quitter l’assistant.
========================================================================================

g). Essayez d’établir la connexion VPN client en utilisant le compte
Administrateur [XP] (falcultatif)
1. Dans la fenêtre Connexion à Connexion de test au serveur VPN, entrez le mot de passe du compte
Administrateur, puis cliquez sur le bouton Se connecter.
2. Vérifiez que l’erreur 800 apparaisse.
3. Cliquez sur le bouton Annuler pour quitter la fenêtre.
========================================================================================
h). Activez et configurez le routage et l’accès distant [SERVEUR]

1. Ouvrez le menu Démarrer, pointez sur Outils d’administration puis cliquez sur Routage et Accès distant.
2. Dans la console MMC, faites un clic droit sur SECNET, puis cliquez sur Configurer et activer le routage et
l’accès distant.
3. Dans l’assistant Installation du serveur de routage et d’accès distant, cliquez sur le bouton Suivant.
4. Dans la fenêtre Configuration, choisissez Configuration personnalisée, puis cliquez sur le bouton Suivant.
5. Côchez ensuite la case Accès VPN et cliquez sur le bouton Suivant, puis sur le bouton Terminer pour quitter
l’assistant.
6. Cliquez sur le bouton Oui pour démarrer le service.
========================================================================================
i). Configurer le serveur VPN pour attribuer des adresses IP aux clients parmi
une plage d’adresses IP statiques. [SERVEUR]
1. Dans la console Routage et accès distant, faites un clic droit sur SECNET, puis sélectionnez Propriétés.
2. Dans la section Attribution d’adresses IP de l’onglet IP, sélectionnez Pool d’adresses statiques, puis
cliquez sur le bouton Ajouter…
3. Saisissez 192.168.x.50 dans le champ Adresse IP de début et 192.168.x.80 dans le champ Adresse IP de
fin, puis OK.
4. Cocher Activer le routage IP, ainsi que Autoriser l’accès distant utilisant les adresses IP et les
connexions d’accès à la demande, dans Carte laissez la valeur par défaut : Autoriser le RAS à sélectionner
la carte.
5. Dans l’onglet Général, vérifiez que Routeur, Routage réseau local et de numérotation à la demande, ainsi
que Serveur d’accès distant sont cochés.
6. Cliquez deux fois sur le bouton OK pour valider la modification.
========================================================================================
j). Inscrivez le serveur VPN dans le service d’annuaire Active Directory

[SERVEUR]
1. Lancez une invite de commande (vous pouvez saisir cmd dans la boite de dialogue Exécuter)
2. Saisissez netsh, puis appuyez sur la touche Entrée.
3. Saisissez RAS, puis appuyez sur la touche Entrée.
4. Saisissez add registeredserver, puis appuyez sur la touche Entrée.
5. Vérifiez que l’inscription s’est correctement terminée, puis Exit l’invite de commande.
========================================================================================
k). Créez un compte nommé usr_vpn et autorisez-le à établir des connexions

d’accès distant [SERVEUR]
Implémentation d’un serveur VPN utilisant L2TP/IPSec (important)
1. Ouvrez le menu Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs
Active Directory.
2. Développez Bourges.eds dans la console Utilisateurs et ordinateurs Active Directory.
3. Faites un clic droit sur le conteneur Users, sélectionnez Nouveau, puis Utilisateur.
4. Dans la fenêtre Nouvel objet – Utilisateur, saisissez la chaîne de caractère usr_vpn dans la zone de texte
Prénom et dans la zone de texte Nom d’ouverture de session de l’utilisateur. Cliquez ensuite sur Suivant.
5. Décochez la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis
entrez P@ssw0rd dans les champs Mot de passe et Confirmer le mot de passe.
6. Cliquez sur les boutons Suivant, puis Terminer pour valider la création de l’utilisateur (n’incluez pas cet
utilisateur dans le groupe Administrateur, laissez-le dans le groupe Utilisateurs du domaine).
7. Faites un clic droit sur l’utilisateur nommé usr_vpn à l’intérieur du conteneur Users, puis sélectionnez
Propriétés.

8. Cliquez sur l’onglet nommé Appel entrant.
9. Dans la section Autorisation d’accès distant (appel entrant ou VPN), choisissez Autoriser l’accès. Cliquez
ensuite sur le bouton OK pour valider la modification.
10. Créez un groupe de sécurité que vous nommerez Utilisateurs VPN, incluez le compte Administrateur et
usr_vpn dans ce groupe.
========================================================================================
l). Installez le serveur Web Internet Information Service (IIS) 6.0 sur le
contrôleur de domaine [SERVEUR]
1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression
de programmes.
2. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows.
3. Dans la fenêtre Assistant de Composants Windows, côchez la case serveur d’applications, puis cliquez
sur le bouton Suivant >.
4. Lorsque le programme vous le demande, insérez le CD-ROM de Windows Server 2003.
5. Une fois l’installation arrivée à son terme, cliquez sur le bouton Terminer.
========================================================================================
m). Installez le service de certificats [SERVEUR]

1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression
de programmes.
2. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows.
3. Dans la fenêtre Assistant de Composants Windows, côchez la case services de certificats.
4. Si une fenêtre vous avertissant qu’une modification de l’appartenance au domaine entraînera l’invalidité des
certificats, cliquez sur le bouton Oui.
5. Cliquez sur le bouton Suivant >, vérifiez que l’option Autorité racine d’entreprise est côchée, puis cliquez de
nouveau sur le bouton Suivant >.
6. Entrez CA monentreprise dans le champ Nom commun de cette autorité de certification et 2 dans le champ
Période de validité, puis cliquez deux fois sur le bouton Suivant.
7. Si un message vous demande de remplacer une clé qui existe déjà, cliquez sur Oui.
8. Si un message vous averti que le service IIS va être temporairement arrêté, cliquez sur le bouton Oui.
9. Lorsque le programme vous le demande, insérez l’image ISO ou le CD-ROM de Windows Server 2003.
10. Si une boite de dialogue vous demande d’activer le support de l’ASP sur le serveur Web, cliquez sur le
bouton Oui.
11. Cliquez sur le bouton Terminer pour quitter l’assistant Composants de Windows.
========================================================================================
n).Créez et configurez une GPO permettant d’allouer automatiquement un

certificat ordinateur à chaque ordinateur du domaine [SERVEUR]
1. Basculez vers la console Gestion des stratégies de groupe (GPMC).
2. Si GPMC n’est pas installé, récupérez le package gpmc.msi. Dans Outils d’administration, lancez Gestion
des stratégies de groupe
3. Développez Forêt : Bourges.eds, Domaines, puis cliquez sur Bourges.eds.
4. Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau.
5. Dans la zone de texte Nom, entrez GPO_ Allocation de certificats ordinateur, puis cliquez sur le bouton OK.
6. Faites un clic droit sur l’objet stratégie de groupe nommé GPO_ Allocation de certificats ordinateur, puis
sélectionnez Modifier.
7. Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres
Windows / Paramètres de sécurité, puis Stratégies de clé publique.
8. Faites un clic droit sur Paramètres de demande automatique de certificat, puis sélectionnez Nouveau /
Demande automatique de certificat…
9. Dans l’assistant Création de demandes automatiques de certificats, cliquez sur le bouton Suivant.
10. Dans la page Modèle de certificat, sélectionnez Ordinateur, puis cliquez sur le bouton Suivant.
11. Cliquez sur le bouton Terminer pour quitter l’assistant.
12. Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe.
========================================================================================

o). Créez et configurez une GPO pour que toutes les machines membres du
domaine fassent confiance à l’autorité de certification racine d’entreprise CA
[SERVEUR]
1. Basculez vers la console Gestion des stratégies de groupe (GPMC).
2. Développez Forêt : Bourges.eds, Domaines, puis cliquez sur Bourges.eds.
3. Faites un clic droit sur Objets stratégie de groupe, puis sélectionnez Nouveau.
4. Dans la zone de texte Nom, entrez GPO_Configuration CA, puis cliquez sur le bouton OK.
5. Faites un clic droit sur l’objet stratégie de groupe nommé GPO_Configuration CA, puis sélectionnez Modifier.
6. Dans la console Editeur de stratégie de groupe, développez Configuration ordinateur / Paramètres
Windows / Paramètres de sécurité, puis Stratégies de clé publique.
7. Faites un clic droit sur Autorités de certification racines de confiance, puis sélectionnez Importer…
8. Dans l’assistant Importation de certificats, cliquez sur le bouton Suivant.
9. Dans la page Fichier à Importer, cliquez sur le bouton Parcourir…
10. Sélectionnez le fichier de certificat correspondant à l’autorité de certification racine d’entreprise de votre
domaine.(SecNet.bourges.eds_CA monentreprise.crt)
Ce fichier est présent dans C:\WINDOWS\system32\certsrv\CertEnroll, puis Ouvrir.
11. Une fois cette opération effectuée, cliquez deux fois sur le bouton Suivant, puis sur le bouton Terminer pour
quitter l’assistant Importation de certificat.
12. Si une boite de dialogue vous avertissant que l’importation s’est terminée correctement apparaît, cliquez sur
le bouton OK.
13. Utilisez le menu Fichier / Quitter pour fermer la console Editeur de stratégie de groupe.
========================================================================================
p). Liez et appliquez (option Ne pas passer outre) les deux GPOs
précédemment crées au niveau du domaine à l’aide de la console GPMC
[SERVEUR]
1. Dans la console GPMC, faites un clic droit sur Bourges.eds, puis sélectionnez Lier un objet de stratégie de
groupe existant…
2. Dans la liste des GPOs de votre domaine, sélectionnez GPO_ Configuration CA, puis cliquez sur le bouton
OK.
3. Faites un clic droit sur le lien qui vient d’apparaître à côté de Default Domain Policy, puis sélectionnez
Appliqué, et OK.
4. Répétez l’opération pour la stratégie de groupe GPO_ Allocation de certificat ordinateur.
5. Quittez la console GPMC.
========================================================================================
q). Rafraîchissez les paramètres de stratégies de groupe sur les deux

machines à l’aide de la commande gpupdate.exe [XP et SERVEUR]
1. Ouvrez le menu Démarrer puis sélectionnez Exécuter.
2. Saisissez la commande gpupdate.exe /force, puis cliquez sur le bouton OK.
========================================================================================
r).Augmentez le niveau fonctionnel du domaine vers Windows 2003 natif

[SERVEUR]
1. Lancez la console Domaines et Approbations Active Directory.
2. Faites un clic droit sur bourges.eds puis sélectionnez Augmenter le niveau fonctionnel du domaine…
3. Vérifiez que le niveau fonctionnel de domaine Windows 2000 natif est bien sélectionné, puis cliquez sur le
bouton Augmenter (vous passez donc en mode natif 2003 Serveur).
4. Lisez l’avertissement, puis cliquez sur le bouton OK.
5. Cliquez sur le bouton OK une fois la modification effectuée, puis quittez la console Domaines et
Approbations Active Directory.
========================================================================================
s). Autorisez l’utilisateur usr_vpn à se connecter au serveur VPN en fonction

d’une stratégie d’accès distant [SERVEUR]
1. Lancez la console Utilisateurs et Ordinateurs Active Directory.
2. Développez bourges.eds, puis Users.
3. Faites un clic droit sur le compte d’utilisateur nommé usr_vpn, puis sélectionnez Propriétés.

4. Dans l’onglet Appel entrant, côchez la case Contrôler l’accès via la stratégie d’accès distant, puis cliquez
sur le bouton OK.
Remarque : Cette option Contrôler l’accès via la stratégie d’accès distant est uniquement disponible si votre
domaine est en mode natif, elle indique que l’autorisation de connexion de l’utilisateur ne dépend pas des
propriétés de son compte utilisateur, mais des autorisations définies dans la stratégie elle-même.
========================================================================================
t).Créez une stratégie d’accès distant autorisant les membres du groupe

Utilisateurs VPN à établir une connexion VPN la plus sécurisée possible
[SERVEUR]
1. Dans la console Routage et Accès distant, développez SECNET, puis Stratégies d’accès distant.
2. Supprimez les deux stratégies prédéfinies.
3. Faites un clic droit sur Stratégies d’accès distant, puis choisissez Nouvelle stratégie d’accès distant.
4. Dans l’assistant de création de stratégie, cliquez sur le bouton Suivant.
5. Côchez la case Installer une stratégie personnalisée, nommez la stratégie Accès VPN sécurisé, puis
cliquez sur le bouton Suivant.
6. Dans la page Conditions de la stratégie cliquez sur le bouton Ajouter…
7. Dans la page Sélection d’un attribut, choisissez Authentification-Type, puis cliquez sur le bouton Ajouter…
8. Ajouter uniquement le protocole d’authentification MS-CHAP V2, puis cliquez sur le bouton OK.
9. Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Ajouter…
10. Dans la page Sélection d’un attribut, choisissez Tunnel-Type, puis cliquez sur le bouton Ajouter…
11. Ajouter uniquement le protocole de tunneling Layer Two Tunneling Protocol (L2TP), puis cliquez sur le
bouton OK.
12. Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Ajouter…
13. Dans la page Sélection d’un attribut, choisissez Windows-Group, puis cliquez sur le bouton Ajouter…
14. Ajouter uniquement le groupe global de sécurité Utilisateurs VPN puis cliquez sur le bouton OK.
15. Dans la page Conditions de la stratégie cliquez de nouveau sur le bouton Suivant >.
16. Dans la page Autorisations, côchez la case Accorder l’autorisation d’accès distant, puis cliquez sur le
bouton Suivant >.
17. Cliquez sur le bouton Suivant >, puis sur le bouton Terminer pour créer la stratégie d’accès distant.
Remarque :
La stratégie d’accès distant Accès VPN sécurisé autorise uniquement les clients respectant certains
paramètres à se connecter au réseau de l’entreprise. Voici les conditions que doivent remplir les clients
pour pouvoir se connecter :
• Utilisation du protocole d’authentification MS-CHAP V2
• Utilisation du protocole de tunneling L2TP/IPSec
• Appartenance au groupeUtilisateurs VPN
Toutes les demandes ne correspondant pas à ces critères seront rejetées !
========================================================================================
u). Configurez le serveur VPN pour qu’il accepte un maximum de 30

connexions via le protocole de tunneling L2TP/IPSec. [SERVEUR]
1. Dans la console Routage et accès distant, développez SECNET.
2. Faites un clic droit sur Ports, puis choisissez Propriétés.
3. Sélectionnez Miniport réseau étendu WAN (L2TP), puis cliquez sur le bouton Configurer.
4. Saisissez 30 dans le champ Nombre maximum de port, puis cliquez sur le bouton OK.
5. Une fois que vous avez terminé, cliquez sur le bouton Oui, puis sur le bouton OK pour quitter la fenêtre
Propriétés de Ports.
========================================================================================
v). Configurez la connexion VPN cliente pour utiliser le protocole de tunneling

L2TP/IPSec [XP]
1. Faites un clic droit sur la connexion nommée Connexion de test au serveur VPN, puis sélectionnez
Propriétés.
2. Dans l’onglet Gestion de réseau, modifiez la valeur du paramètre Type de réseau VPN d’automatique en
VPN L2TP/IPSec.
3. Cliquez sur le bouton OK pour appliquer la modification.
========================================================================================

w). Essayez d’établir la connexion VPN client en utilisant le compte usr_vpn
[XP]
1. Basculez vers la fenêtre Connexions réseau.
2. Faites un clic droit sur Connexion de test au serveur VPN, puis cliquez sur Se connecter.
3. Saisissez usr_vpn dans le champ Nom d’utilisateur et P@ssw0rd dans le champ Mot de passe, puis cliquez
sur le bouton Se connecter.
4. Vérifiez que la connexion nommée Connexion de test au serveur VPN est bien devenue active.
5. Faire bouton droit sur Connexion de test au serveur VPN, puis Statut, puis onglet Détails, indiquez ici les
différentes options de connexion :
Nom du périphérique :
Type de serveur :
Transport :
Authentification :
Cryptage IPSec :
Adresse IP du serveur :
Adresse IP du client
6. Ouvrez une invite de commande, puis saisir C:\> Route Print, pour voir la table de routage, notez ici la valeur
de(s) passerelle(s) par défaut : _________________________________________________________________
7. Lancez Ethereal configurée sur votre carte physique, puis faire un ping sur l’adresse IP du serveur VPN
(autre côté, c'est-à-dire le réseau différent du votre, exemple ici 10.0.0.1)
8. Ouvrez une invite de commande, puis faire un ping sur cette adresse : 10.0.0.1
9. Arrêtez Ethereal, et observez les trames capturées :
Adresse IP Source :
Adresse IP Destination :
Type de Protocol :
10. Déconnectez-vous du Serveur VPN.
========================================================================================
Serveur d’authentification (Radius)

RADIUS (Remote Authentication Dial-In User Service), est un protocole permettant de centraliser
l’authentification et l’autorisation des utilisateurs distants, ainsi que les services et applicatifs prenant en
charge une authentification Radius (certains routeurs, pare-feu, bornes réseau sans fil, etc). Il a été
développé par Livingston Entreprise Inc et a été soumis à l’IETF qui l’a défini comme standars (RFC
2865-2866 et 2869).
Il s’agit d’un protocole client/serveur fonctionnant sur UDP, 2 ports sont donc utilisés lors de processus
d’authentification d’un client RADIUS vers un serveur RADIUS. Les ports 1812 (authentification des
messages) et 1813 (accounting des messages) sont sollicités lors de la phase d’authentification.
De plus, les normes RADIUS prennent en charge l'utilisation de proxy RADIUS. Un proxy RADIUS est un
ordinateur qui transfère des messages RADIUS entre des ordinateurs compatibles avec le protocole
RADIUS.

Sous Linux
• freeradius’ serveur Radius
• radiusclient’
Sous Windows 2003 serveur
• IAS (Service d’Authentification Internet)
☺ TP à réaliser.31 (Suite TP précédent)

========================================================================================
x). Authentification Radius, manipulations à réaliser sur le serveur Radius

[SERVEUR]
1. Dans le Panneau de configuration, Ajout/Suppression de programmes, cliquez sur Ajouter ou supprimer
des composants Windows.
2. Sélectionnez Service de mise en réseau puis cliquez sur le bouton Détails.
3. Cochez la case Service d’authentification Internet, puis cliquez sur le bouton OK puis sur Suivant,
Terminer.
4. Dans les Outils d’administration, ouvrez la console Service d’authentification Internet.
5. Effectuez un clic droit sur Client RADIUS et sélectionnez Ajouter un client RADIUS.
6. Saisissez comme nom convivial ServeurX (ou X représente le numéro de réseau qui vous a été attribué : le
serveur VPN) et comme adresse IP 192.168.x.200. Cliquez sur le bouton Suivant.
7. Sous Client-Fournisseur, sélectionnez Microsoft.
8. Précisez un secret partagé : azerty-12345, confirmer le secret partagé : azerty-12345, et cochez la case Les
requêtes doivent contenir l’attribut de l’authentificateur de message (impose que le client Radius envoie une
signature basée sur le secret partagé pour les méthodes d’authentification PAP, CHAP, et MS-CHAP, si vous
utilisez EAP, vous devez utilisez les signatures numériques) puis cliquez sur le bouton Terminer.
9. Sous Stratégie d’accès distant, modifiez la stratégie afin d’ajouter comme condition l’attribut Windows-
Group pour le groupe Utilisateurs VPN ainsi que l’attribut Tunnel-Type pour L2TP. Dans le profil de cette
stratégie (bouton Modifier le profil, onglet Paramètres avancés, bouton Ajouter), ajoutez l’attribut avancé
Ignore-user-Dialin-Properties avec comme valeur Vrai. Dans les Propriétés de la stratégie (onglet
Paramètres), sélectionnez Accorder l’autorisation d’accès distant.
Remarque : Si l’attribut Ignore-User-Dialin-Properties défini dans le profil de la stratégie d’accès distant est
positionné à la valeur Vrai, alors les autorisations définies dans les propriétés du compte utilisateur (ainsi que
l’onglet Appel entrant) ne seront pas consultées, et seules les autorisations définies dans la stratégie d’accès
distant feront foi.
10. la console Service d’authentification Internet (local), faire un clic droit sur Service d’authentification
Internet (local) puis sélectionnez Inscrire le serveur dans Active Directory. Si vous recevez le message disant
que votre serveur est déjà inscrit dans AD, ne pas tenir compte de celui-ci.
========================================================================================
y). Manipulations à réaliser sur le client Radius (c'est-à-dire sur le serveur VPN)
[SERVEUR].
1. Ouvrez la console Routage et accès distant.

2. Allez dans les Propriétés de votre serveur, onglet Sécurité.
3. Sous Fournisseur d’authentification, sélectionnez Authentification RADIUS.
4. Cliquez sur le bouton Configurer puis sur Ajouter.
5. Dans le champ Nom du serveur, entrez le nom du serveur Radius, c’est-à-dire SecNet.bourges.eds.
6. Cliquez sur le bouton Modifier puis entrez la du secret (le même que celui entré sur le serveur Radius : azerty-
12345).
7. Cochez la case Toujours utiliser l’authentificateur de messages puis cliquez sur le bouton OK à trois
reprises.
8. Cliquez sur le bouton OUI à la demande de redémarrage du service Routage et accès distant.
9. Remarquez que dans la console Routage et accès distant, le dossier Stratégies d’accès distant a
disparu.
========================================================================================
z). Vérification de la connexion [XP].

1. Afin de vérifier que l’authentification RADIUS fonctionne, demandez à un client VPN d’un binôme d’établir une
connexion VPN vers le serveur VPN.
2. Lancez Ethereal configurée sur votre carte physique, puis faire un ping sur l’adresse IP du serveur VPN
(autre côté, c'est-à-dire le réseau différent du votre, exemple ici 10.0.0.1)
3. Ouvrez une invite de commande, puis faire un ping sur cette adresse : 10.0.0.1. Constatez que la requête
aboutit.
4. Effectuez une requête Telnet sur la même adresse : C:\> telnet 10.0.0.1. Constatez que la requête Telnet
aboutit.
Remarque : Le service Telnet doit au préalable être démarré sur la machine faisant office de serveur VPN, et
aucun firewall ne doit bloquer cette requête.
5. Arrêtez Ethereal, et observez les trames capturées (de type ESP):

6. Déconnectez votre VPN.
========================================================================================


Gefi Support Securite

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Gefi Support Securite

Transféré par

Droits d'auteur :

Formats disponibles

25

SUPPORT DE COURS -DOCUMENTATION

© GEFI – REPRODUCTION INTERDITE

SESSIONS DE FORMATION 2012/2013

TABLE DES MATIERES

TABLE DES MATIERES .................................................................................................................................... 2

CENTRE DE FORMATION G E F I - CRETEIL

SESSIONS DE FORMATION 2012/2013

CENTRE DE FORMATION G E F I - CRETEIL

La sécurité informatique d'une entreprise ou d'une administration requiert donc d'inculquer

Ce cours vous montrera comment répondre

Les menaces contre le système d’information entrent

☺Risque = Préjudice x Probabilité d’occurrence

SESSIONS DE FORMATION 2006/2007

Postes sous Windows en Europe

Windows, seul maître à bord ?

Selon Xiti, ces statistiques européennes se retrouvent au niveau mondial.

• Windows : 95,71% Du côté des postes clients, pas de surprise, Linux ne

Le hit-parade des vulnérabilités Windows ou Unix/Linux ?

***Attention, le piratage est un fait

****Sinon vous encourez de fortes peines de prison et amendes****.

CENTRE DE FORMATION G E F I - CRETEIL

Les types de cybercrime les plus courants,

SESSIONS DE FORMATION 2006/2007

Les ports les plus attaqués

CENTRE DE FORMATION G E F I - CRETEIL

Il convient d'identifier les exigences fondamentales en sécurité informatique.

La confidentialité des échanges

L'authentification des utilisateurs

• ☺ Assurance de l’identité d’une personne, d’un objet

La détermination des droits et privilèges passe par un mécanisme d’identification et

SESSIONS DE FORMATION 2006/2007

L’intégrité des données et des échanges

La non-répudiation des transactions

Disponibilité des données

CENTRE DE FORMATION G E F I - CRETEIL

Les contrôles d'accès

SESSIONS DE FORMATION 2006/2007

Les bons mots de passe

CENTRE DE FORMATION G E F I - CRETEIL

Il y a deux principaux types d'attaques pour le « craquage » de mots de passe.

Méthodes d'attaques pour le « craquage » de mots de passe

SESSIONS DE FORMATION 2006/2007

Vous pouvez également tenter de cracker le hash récupérer, en ligne sir le

Comment désactiver LM HASH ?

Disque de remise à zéro

CENTRE DE FORMATION G E F I - CRETEIL

Voici la puissance nécessaire de l'onduleur qu'il vous faudra pour chaque

LES 3 GRANDES FAMILLES D'ONDULEURS

☺ IN LINE, ou LINE INTERACTIVE ou encore STAND BY INTERACTIVE

SESSIONS DE FORMATION 2006/2007

Voici quelques marques de fabricants :

CENTRE DE FORMATION G E F I - CRETEIL

SESSIONS DE FORMATION 2006/2007

Reset password jumper/Effacer la Cmos

Procedez à un formatage sécurisé

CENTRE DE FORMATION G E F I - CRETEIL

1. La mise en place d’une salle informatique organisée

2. La conception d’une architecture redondante dite «à tolérance de panne»

3. Une politique d’archivage fonctionnel

Accidents (pannes, incendies, inondations…)

SESSIONS DE FORMATION 2006/2007

Les erreurs de type « incapacité»

Sinon vous encourez de fortes peines de prison et amendes.