Académique Documents
Professionnel Documents
Culture Documents
Volume
Sécurité
Poste Client
Windows
La Sécurité des Systèmes d’Information (SSI) est aujourd’hui un sujet important parce que le
système d’information (SI) est pour beaucoup d’entreprises un élément absolument vital.
Les résultats
Pas de surprise, c'est Windows XP qui est, de loin, le système d'exploitation le plus utilisé par les
internautes, avec 95,71% de parts de marché, suivi de très loin par Mac OS avec 3,12% (2,7% en 2005) et
Linux avec 0,76% (0,6% en 2005).
Quelques Chiffres
Une sous-estimation des dommages
L’ampleur alarmante de la cybercriminalité (2011)
50% des adultes internautes ont été victimes de la cybercriminalité durant leur vie, 50 000
victimes/heure, 820 victimes/mn, 14 victimes/sec.
24% des internautes adultes déclarent « ne pas pouvoir vivre sans Internet ».
32% des utilisateurd des réseaux sociaux estiment qu’ils « perdraient contact avec leurs amis s’ils
devaient vivre san réseaux sociaux ».
Vols de portables aux États-Unis
Le ratio est de 1 portable volé pour 50 présents dans l'entreprise.
En Mai 2008, un audit révèle qu’au Département d’Etat américain près de 400 ordinateurs
portables d’employés ont disparu de la circulation ? Ces ordinateurs contenaient des données
secrètes concernant les relations diplomatiques américaines, ainsi que des infos sur le programme
d’assistance anti-terrorisme…..
Cyber crimes
IDC A mené une enquête sur 350 entreprises. 30.3 % de ces entreprises reconnaissent avoir subi
une attaque. 22.3% ne se prononcent pas. 54.5 % de ces entreprises n'affectent aucune ressource à
la sécurité. La sécurité représente des budgets de ces mêmes entreprises. 78.8 % pensent avoir pris
les mesures nécessaires à la continuité de leur exploitation par des back up, la redondance des
équipements, …
Délinquance informatique en France
En 2009, 450800 tentatives de fraude à la carte bancaire ont été enregistrées, pour un montant total
de 86 millions d’euros. Soit 2,82% des 17 millions de transactions prises en compte par
FIANET. Un taux qui connaît une augmentation non-négligeable sur les chiffres 2008.
La société estime le montant des fraudes à la carte bancaire à 705 millions d’euros pour
l’ensemble du e-commerce français, en précisant que cette estimation « sous estime la réalité ».Le
nombre de fraudeurs a augmenté de 42% depuis 2008 pour atteindre 53000. Enfin, les secteurs
touchés se diversifient. Derrière les traditionnels matériels informatiques et téléphonie, le domaine
de la mode et du textile est revenu dans le trio de tête en 2009, avec une augmentation de 92% du
montant des fraudes en 2009.
Origine des fraudes
Selon une étude du cabinet Ernst & Young réalisée en 1998, 84% des fraudes les plus graves
subies par les entreprises commises par leurs propres employés.
Le marché de la biométrie
Selon International Biometric Group, en 1999, Les
technologies biométriques se répartissaient comme
suit :
• Rétine 2%
• Signature 3%
• Iris 9%
• Voix 11%
• Visage 15%
• Empreinte palmaire 26%
• Empreinte digitale 34%
• ☺ Protection contre la «lecture» non autorisée par un tiers: garantir le secret de l’information
transmise ou archivée (chiffrement, voir ex : IPSec => DES (56 bits), 3DES, AES (256 bits))
• ☺Coffre-fort, pli cacheté
De plus, le chiffrement des données est relativement complexe à mettre en place : il nécessite des boîtiers
ou des logiciels de chiffrement à toutes les extrémités du réseau, des échanges de clés… Aussi est-il adapté
à certains cas particuliers :
• Protection de données ultraconfidentielles (par exemple la Défense)
• Protection des données transitant sur des réseaux non protégés : Internet, WIFI, GPRS…
Protocoles authentification
De nombreux protocoles requièrent une authentification de l’identité de l’utilisateur ou de l’équipement
avant d’accorder des autorisations d’accès.
☺ TACACS (Terminal Access Controller Access Control System), combine l’authentification et le
processus d’autorisation. Développé à l’origine par BBN pour le MILNET, puis repris par Cisco, il a été
étendu une première fois avec XTACACS (eXtended TACACS), compatible avec TACACS, pour finir par
TACACS+. TACACS est un protocole de contrôle d’accès simple.
TACACS+ utilise le port TCP 49, contrairement à TACACS qui s’appuie sur UDP.
☺ RADIUS (Remote Authentication Dial-In User Service), le protocole RADIUS
permet de fournir des services (AAA) d'authentification, d'autorisation et de gestion de
comptes. Un client RADIUS envoie des informations d'identification d'utilisateur et des
informations sur les paramètres de connexion sous la forme d'un message RADIUS à un
serveur RADIUS. Le serveur RADIUS authentifie et autorise la demande du client RADIUS.
☺ Kerberos est un protocole gérant la confidentialité des données et l’authentification
mutuelle, du client et du serveur, fonctionne au moyen d’une clé secrète (ex Active
Directory).
• ☺ Garantie de non-modification par un tiers d’un contenu (message, document ou programme par
exemple, ex : voir IPSec)
• ☺ Document manuscrit : simple
• ☺ Certains protocoles, comme IPSEC => Fonction de Hachage : MD5 (128 bits) , SHA1 (160
bits) oubien PGP, assurent à la fois confidentialité, authentification et intégrité.
L’Intégrité : demande que l'information sur le système ne puisse être modifiée que par les personnes
autorisées.
Elle repose sur des mécanismes d'authentification et de signature, ainsi que sur des mécanismes
d'horodatage*. Elle introduit aussi la notion de tiers de confiance, qui va, comme un notaire dans la vie
réelle, assurer l'enregistrement de la transaction, en l'horodatant et en gardant ensuite les traces qui
serviront à prouver que la transaction a bien eu lieu, et que le contenu annoncé par l’une des parties est bien
valide.
La Disponibilité : demande que l'information sur le système soit disponible aux personnes autorisées.
-☺ Disques en RAID (physique) :
-RAID 1 (Miroir), tolérance aux pannes, partition contenant l’OS
-RAID 5 (Agrégat par bandes avec parités) , tolérance aux pannes, accès en lecture très rapide,
partition applicative, ex base de données
-☺ Cluster de Machines (nœuds) => Tolérance aux pannes au niveau machines
-☺ Cloud Computing (informatique en nuage)
Le Cloud Computing est l’accès à la demande, via le réseau Internet (ou Intranet) à des ressources
informatiques virtualisées, mutualisées et partagées avec d’autres utilisateurs, simple d’utilisation, et
payé à l’usage via un abonnement
Informatique donc dématérialisée ou infonuagique (Intel, Hewlett Packard, Yahoo Google, Microsoft :
Office 2010, Red Hat, IBM), utilisation de la mémoire et des capacités de calcul des ordinateurs et des
serveurs réparties dans le monde entier et reliés par un réseau, tel Internet, les utilisateurs (entreprises) ne
sont plus propriétaires de leurs serveurs informatiques mais peuvent ainsi accéder de manière évolutive à de
nombreux service en ligne sans avoir à gérer l’infrastructure sous-jacente souvent complexe.
Les clouds publics sont ouverts à tous et offrent différents servies : SaaS, Paas et Iaas.
SAAS : Software as a Services
IAAS : Infrastructure as a Service
PAAS : Platforms as a Service
☺ Du point de vue de la sécurité informatique, une menace est une violation potentielle de la sécurité. Cette
menace peut-être accidentelle, intentionnelle (attaque), active ou passive.
Les sites opérationnels sont implantés dans des bâtiments soumis à des règles strictes de
protection. Les bâtiments principaux sont contrôlés par un service de gardiennage, présent 24h/24, qui
assure le contrôle d'accès, la supervision de la gestion technique centralisée et la réaction sur alarme. Une
supervision centralisée des alarmes (intrusion, incendie, dégât des eaux, anomalie réseau…) est mise en
place, permettant ainsi une intervention rapide et adaptée 24h/24.
• Formaliser l'accueil par des procédures, tout le monde doit être badgé y compris les salariés de
l'entreprise, sensibiliser tous les salariés à la venue de personnes extérieures
• Généraliser l'emploi de la vidéosurveillance au niveau des lieux publics et des points d'accès sans
pour autant la généraliser à l'ensemble des pièces et couloirs de l'entreprise.
• Surveiller les déchets (attention la paranoïa n’est plus très loin ), conduits d'aération dont la
source part du toit, Centraliser l'accès aux locaux de l'entreprise et contrôler les portes de sécurité
L'accès logique
Validation d'accès sur le réseau par un annuaire (ex : Active Directory avec Kerberos) hébergé par un
serveur sécurisé
• Identifiez les utilisateurs par login et mot de passe en le rattachant à des groupes ou à des
organisations lui donnant des droits (mot de passe complexe sur le compte Administrateur
obligatoire par exemple).
• Limitez la plage d'accès aux horaires de travail du salarié.
• Obligez les utilisateurs à changer de mot de passe régulièrement.
• Limiter le nombre de tentatives de connexions erronées
• Coupez la connexion en cas d'inactivité prolongée.
• Consignez les événements de connexion.
• Détruisez ou désactivez les comptes d'intérimaires, de contractuels ou de personnels licenciés.
• Gérer les droits d'accès aux programmes et fichiers (permissions NTFS)
• Les pare-feux, les anti-virus, les VPN
Sous Windows
Pour tester la fiabilité des mots sous Windows, l'administrateur pourra utiliser le logiciel John the Ripper
sur Windows ou sur Unix ou le logiciel LophtCrack (LC5) de Lopht Heavy Industries ou encore
SAMInside, Cain & Abel, Lophtcrack qui, lui, n'est pas distribué gratuitement (enfin pas pour les
versions récentes).
Remarque : vous pouvez télécharger depuis Internet une image ISO de « Ultimate Boot CD », qui contient
plusieurs programmes intéressants tous gratuits, dont un qui permet de modifier (et pas de trouver) le mot
de passe sur les systèmes Microsoft Windows XP/2000/2003 (programme sous Linux), voir aussi des
« Windows Live CD », comme « ERD Commander 2005 », « Hiren’s BootCD »etc….
*****Afin d’accélérer le temps de calcul des hashs et ainsi trouver les mots de passe, utiliser le LiveCD
Ophcrack (linux-Slax) pour XP ou Vista (http://ophcrack.sourceforge.net) qui utilise des tables de hashs
pré-calculés (Rainbow Tables) *****.
***☺ La base de comptes d’annuaire (SAM : Security Account Manager) est stockée dans :
Windows\System32\Config, et plus précisément la branche
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users, ainsi que dans Windows\Repair
(n’existe pas sous Vista).Positionner les bonnes permissions NTFS sur les deux dossiers ci-dessus :
Administrateur = CT, System=CT, Tout le monde= Aucun Accès ou Lister (surtout pas Lire :
Copier/Coller)***
PassX est un logiciel permettant de générer des mots de passes sécurisés, idéale pour ceux qui n’aurait pas
d’imagination. www.troupware.com
Offrez-vous un coffre-fort gratuit pour vos mots de passe
Keepass : créer un fichier de mots de passe (.kdbx), c’est dans ce fichier que seront stockées (sous forme
cryptée) vos informations. Vous pouvez par ailleurs associer un fichier clé (conseillé) dont la présence sera
obligatoire pour ouvrir la base de données.
☺ TP à réaliser.1a
===============================================================================
Trouver un mot de passe sur une station Windows XP (fichier Windows\system32\config\Sam)
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration :
Nom : administrateur
Mot de passe : XXXXXX.
2. Cliquez sur Démarrer, puis sur Exécuter…, saisir : cmd et valider, puis saisir :
C:\> net use R: \\192.168.x.200\TEMP /user:marcel P@sswrd1 (ce dossier contient l’outil LC6, qui vous
permettra de trouver le mot de passe Windows)
3. Copier le fichier : lc6setup_v6.0.1.exe depuis le partage de la machine formateur (R:) vers votre dossier
C:\temp, puis double-cliquez dessus pour l’exécuter.
4. Dans la boite de dialogue « Welcome…. », Cliquez sur Next.
5. Dans la boite de dialogue « Licence Agreement », cliquez sur
I Agree.
6. Dans la boite de dialogue « Choose Destination Location »,
garder la proposition par défaut (C:\Program Files\L0phtCrack
6), puis cliquez sur Next.
7. Dans la boite de dialogue « Choose Start Menu Folder »,
garder la proposition par défaut (L0phtCrack 6), puis cliquez sur
Install.
7. Dans la boite de dialogue « WinPcap 4.0.2 Setup », cliquez
sur Next, puis Next, puis I Agree et sur Finish.
Cliquez ici pour
démarrer …
Les onduleurs
Appelé également ASI "alimentation sans interruption" ou UPS "uninterruptible power supply", dans le
milieu informatique c'est un appareil qui se branche entre le réseau EDF et le PC. L’utilité de l'onduleur
variera suivant la qualité du réseau électrique. En fait, il sert à palier les désagréments que peut fournir
le réseau électrique. La puissance des onduleurs est exprimée en Volt. Ampère (V.A) puissance
apparente, mais la puissance des éléments qui ont besoin de cette puissance s'exprime en Watt (puissance
absorbée). Généralement on conseille d'appliquer un facteur 1,4 à 1,5 : pour un PC consommant au
total 300W réels prévoir un onduleur de 420VA ou plus est idéal. Ne pas placer l’onduleur juste à
côté de l’unité centrale (phénomène magnétique qui peut désorganiser le disque dur).
Les risques
• ☺ Variations de tension qui provoque les dysfonctionnements et la destruction de composants
sensibles
• ☺ Coupures de courants Edf (10 à 60 ms) liés à l'utilisation des réenclencheurs automatiques et au
délestage automatique fréquent en zone rurale
Solutions
Au niveau d'une entreprise disposant d'un parc étendu, mieux vaut privilégier les systèmes centralisés.
Centralisée. L'utilisation de systèmes tels que Metaframe ou TSE permet de limiter l'emploi des onduleurs.
Décentralisée Cette architecture la plus souvent choisie est couplée avec des onduleurs 3 KVa associés à
chacun des serveurs.
L'onduleur est hors circuit en fonctionnement normal, mais des circuits électroniques spéciaux amortissent
très largement la microcoupure lors de son entrée en service.
C'est de loin le meilleur type au niveau prix/services, car ce type d'onduleur pallie à tous les défauts sauf
aux variations de fréquences
☺ ON LINE
Ce type d'onduleur participe à la chaîne d'alimentation électrique en permanence. Il fonctionne en continu
et, lorsque le secteur est défaillant, les équipements protégés restent alimentés sans la moindre
microcoupure. Ce type pallie à tous les défauts, mais il est de loin le plus cher.
1). Activer la protection du secteur d'amorce de votre machine : Enabled au niveau du Virus Warning
dans Advanced BIOS Features. N'autorisez à bouter qu'avec disque dur (après avoir installé votre
système). Cela évite, en laissant une disquette d'être contaminé par un virus bout, vous pouvez aussi éviter
de vous faire modifier logiciellement les paramètres de votre Bios par un virus Bios.
2). Si possible activer l’option « Flash BIOS Protection » afin de protéger votre machine contre les virus
de bios qui ont la fonctionnalité de mettre à 0 votre bios => PC HS.
3). Les nouvelles machines vous offrent la possibilité d'être "réveillées" par un simple appel sur le modem
ou par le biais d'une activité réseau. Cette fonction est associée à la gestion de l'énergie de votre machine.
☺ Désactivez tout ce qui est relatif à PowerOn by…, désactiver donc dans le setup de votre machine la
fonctionnalité de réveil à distance de votre PC via une carte réseau PXE. Cela peut être utilisé afin de
peut être déployé à distance sur votre PC des programmes divers.
Cmos NVRAM
Le mot de passe est stocké dans une mémoire NVRAM (Non-Volatile Random Access Memory), de
technologie Cmos. Il s'agit généralement d'une mémoire de petite taille, 128 octets,
alimenté par une pile au lithium pour maintenir la mémoire. Le composant électronique
assurant cette fonction est aussi l'horloge temps réel, la RTC. Une rupture de
l'alimentation de la Cmos et son contenu est effacé ainsi que le mot de passe s'y
trouvant. Pour cette raison, le stockage du mot de passe dans la Cmos se fait
principalement sur les desktops où la sécurité n'est pas primordiale.
EEPROM
Pour les portables, les constructeurs ont recherchés assez un moyen plus fiable de stocker le mot de passe.
Ils l'ont trouvé avec les EEPROM (Electronically Erasable Programmable Read Only Memory). Il s'agit
d'une mémoire reprogrammable non volatile. L'information peut se maintenir une dizaine d'année hors
tension et supporter 100 000 écritures. En pratique, vous aurez à changer d'ordinateur bien avant. Pour
récupérer son contenu, ignorant le câblage réalisé par le constructeur, il faudrait dessouder l'EEPROM de la
carte mère, la placer dans un lecteur d'eeprom et connecter celui-ci à un autre ordinateur.
Autre méthode :
CmosPwd
Un programme regroupe différentes techniques de décodage, il s'agit de CmosPwd,
http://www.cgsecurity.org/cmospwd.html. Sous Windows NT/2000/XP, il faut installer un driver en tant
qu'administrateur pour autoriser l'accès aux ports 0x70 et 0x71 contrôlant la Cmos puis utiliser la version
CmosPwd cmospwd_nt.
Certains logiciels nous proposent de voir le mot de passe BIOS du système. Mais il faut avoir au moins une
fois accès au système d'exploitation pour pouvoir les installer.
Voici 2 logiciels permettant de voir le mot de passe du BIOS :
• AMI BIOS RECOVER (pour les BIOS AMI)
• AWCRACK (voir et enlever votre pass BIOS)
Des bips mystérieux lors du boot du PC => consultez le site www.bioscentral.com et http://bit.ly/yq
Défaillance matérielle
Tout équipement physique est sujet à défaillance (usure, vieillissement, défaut…)
L'achat d'équipements de qualité et standard accompagnés d'une bonne garantie
avec support technique est essentiel pour minimiser les délais de remise en
fonction. Seule une forme de sauvegarde peut cependant protéger les
données.
Les principales mesures préventives visant à limiter l'impact des pannes
physiques sont :
4. Le choix de standards
Le choix de solutions propriétaires qui peut paraître alléchant au départ, peut devenir un vrai « cauchemar »
en cas d'obligation de remplacement de l'un ou l'autre élément. Le risque peut aller jusqu'à la nécessité de
revoir et remplacer complètement la chaîne de traitement en cas de rupture physique d'un élément.
Défaillance logicielle
Tout programme informatique contient des bugs.
La seule façon de se protéger efficacement contre ceux-ci est de faire des copies de l'information à
risque. Une mise à jour régulière des logiciels et la visite des sites consacrés à ce type de problèmes
peuvent contribuer à en diminuer la fréquence.
Erreur humaine
Considérer les erreurs humaines comme des menaces peut sembler un peu indélicat et pourtant, comme le
montrent les statistiques publiées par différents organismes, elles demeurent une cause très courante de
sinistres informatiques. On considère comme «erreur humaine », tout comportement humain ne respectant
pas le bon usage et pouvant conduire de façon involontaire à des préjudices divers.
Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce problème.
Il est conseillé de consacrer beaucoup d'énergie à la limitation de l'impact des erreurs humaines et de ne pas
partir du principe que l'on va être en mesure d'éviter toutes les erreurs humaines. Les principales contre-
mesures sont les suivantes :
• La sensibilisation et la formation
• La mise en place et le contrôle de procédures
• La gestion et le suivi des erreurs
• L’administration centralisée (Domaine Windows 2003 => Stratégies systèmes)
Remarque : Un logiciel Open Source : Trucrypt il s’agit d’un logiciel universel pour les systèmes
d’exploitation Windows 2000/XP/2003/VISTA, Linux et Mac OS, permettant de chiffrer des partitions
entières de disque, une fois le mot de passe protégeant nos partitions saisi, il est impossible de travailler
sur le disque en question. Nous pouvons nous servir d’un algorithme AES très sécurisé qui garantira toute
la sécurité nécessaire à nos données.
Verbatim USB Secure Data conçue pour les professionnels, cette clé de 8
Go est dotée de la technologie de cryptage de sécurité matériel AES 256
bits. Ainsi, la clé USB micro Secure Data protège l’utilisateur du vol ou de
la fuite des données grâce à ses nombreux éléments de sécurité : mot de
passe de connexion, algorithme de hachage du mot de passe et une
connexion par mot de passe anti-piratage (qui efface les données du
périphérique après 20 échecs de tentative d’accès). Les composants sont
logés dans un boitier robuste, hermétique, résistant à l’eau et à la poussière .
Voir également la clé Kingston DataTraveler Secure.
Evitez qu’un tiers ne vole des informations ou des documents de votre PC avec une clé USB.
Regedit => HKLM\SYSTEM\CurrentControlSet\Control.
Créez une nouvelle clé et nommez-la StorageDevicePolicies.
Puis créez une valeur DWORD 32 bits et nommez-la WriteProtect, et attribuez-lui la valeur 1.
Redémarrez votre ordinateur. La copie de fichiers sur les clés ou disques durs USB est désormais
interdite.
Le vol d’identité
On peut considérer qu’il y a vol d’identité lorsqu’une personne malicieuse réussit, par un moyen
technique ou non, à se faire passer pour une autre personne.
Très concrètement, un vol d’identité peut se résumer au seul fait qu’un pirate qui connaît le mot de passe de
votre messagerie (Gmail, Hotmail…) envoie des emails à d’autres personnes en se faisant passer pour vous.
Ainsi, le pirate pourra écrire à votre femme, votre patron, vos amis, votre banque, etc et en tirer profit ou
tout simplement générer des nuisances importantes.
Par exemple, aux USA, le numéro de sécurité sociale est recherché par les pirates.
En France, une date de naissance, une adresse et un RIB permettent, dans plusieurs endroits, de se faire
passer pour quelqu’un d’autre avec un pouvoir de nuisance important.
Le vol d’identifiant bancaire est la seconde voie royale pour le voleur. En
effet, beaucoup d’entreprises exigent un RIB, pour vous identifier les clients
lors de créations d’abonnements à des services (ADSL, EDF, magazines,
etc.). Malheureusement, les banques ne contrôlent pas à 100% les demandes
de débits lorsqu’elles émanent d’institutions connues dignes de confiance.
Les infos publiées sur les profils sont des infos privées visibles uniquement par les personnes choisies
par le propriétaire du profil. Vous pouvez décider, par exemple que vos informations publiées sur votre
profil Facebook ne sont visibles que par vos amis Facebook.
Les infos publiées sur des pages Facebook, elles sont publiques et tout le monde peut les voir ; même
les personnes n’ayant pas de profil Facebook. En fait, les pages Facebook sont un peu l’équivalent d’un
site Web vitrine.
Les risques :
** ☺ Le vol de votre compte entier
** ☺ Le vol de certaines de vos données
** ☺ La diffamation
** ☺ La diffusion d’informations que vous auriez préféré gardées privées.
La société Reputation Defender a récemment mis au point une application FaceBook, permettant de
sécuriser sa page. L’application Privacy Defender règle automatiquement vos paramètres pour que rien ne
filtre.
La personne en charge de réaliser des tests se doit de signer un contrat avec l’entreprise accueillant le test.
Ce contrat inclut des clauses de non-divulgation au cas où une faille serait détectée. Le prestataire s’engage
également à prendre toutes les mesures nécessaires pour sécuriser les données des clients.
Il existe de nombreux prestataires de services aptes à réaliser ce genre de test d’intrusion. Initialement
appelés Hackers, ce nom fut petit à petit détourné par les internautes pour n’y voir que des pirates
informatiques alors qu’initialement il n’en est rien.
☺ Afin donc de bien faire la différence entre le bon et le mauvais coté, un nouveau terme est apparu, il
s’agit des Ethical Hackers.
L’analyse se réalise selon trois cas :
BlackBox : l’Ethical Hacker se met réellement dans la peau d’un attaquant potentiel et ne possède aucune
information sur le réseau ou sur les infrastructures de l’entreprise, seule une connexion à Internet lui est
fournie et, de là, il doit tenter de récupérer le maximum d’informations par n’importe quelle méthode
(Internet, Faille de sécurité sur les serveurs, Social Engineering, Phishing, Reverse Engineering, etc). Il
s’agit du type de pénétration système le plus demandé. Il existe deux types de BlackBox, un interne et un
externe. Les BlackBox externes consistent à attaquer le système de l’entreprise « en aveugle », sans avoir
aucune information sur le matériel informatique et leurs techniques de défense alors que les BlackBox
internes se font au sein des locaux de l’entreprise. En effet, le système d’information peut être sécurisé de
l’extérieur et, malgré tout, être vulnérable depuis l’intérieur.
GreyBox : L’Etical Hacker connaît un nombre limité d’informations. Il peut par exemple connaître
l’adresse IP de l’ensemble des serveurs, le plan d’adressage ou encore les protocoles réseau utilisés au sein
de l’entreprise. Ce genre de test est très intéressant car il permet de vérifier la sécurité des infrastructures
depuis de l’intérieur. Une étude estime que 80% des attaques réseau et des actes de piratage proviennent de
l’intérieur même de l’entreprise, il est donc nécessaire de ne pas oublier ce genre de test.
WhiteBox : l’Etical Hacker connaît l’ensemble des informations relatives à l’entreprise, du code source du
site Internet, au schéma de configurations des routeurs tout en passant par le code source de l’application
C++ leur servant de passerelle réseau. Ces tests sont les plus complets car ils allient les techniques des tests
BlackBox en ajoutant des informations complémentaires. Ces tests sont également, en règle générale, les
plus longs.
En plus de Secunia PSI, deux outils se révèlent très utiles au quotidien pour
vérifier les paramètres de son ordinateur.
Microsoft Baseline Security Analyser (signale les failles présentes et les paramètres mal
définis au travers de rapports très pédagogiques et précis).
Health Check de F-Secure (définit un état de santé de votre ordinateur)
SlimDrivers ou DriverMax ou Ma-Config.com, outil gratuit qui analyse votre config et vous signale
les pilotes manquants ou périmés et vous guide vers le téléchargement manuel des dernières versions.
Élaboration de l'étude.
Afin d’assurer la continuité des activités d’une entreprise en cas de sinistre, des solutions de secours
doivent être mises en œuvre.
Pour déterminer ces solutions, il est indispensable d’identifier les situations de crises potentielles, puis
d’étudier les exigences des utilisateurs.
Ainsi, les solutions proposées seront adaptées aux sinistres et aux spécificités de la filiale.
Afin de cadrer le périmètre du PRA, il sera important de mettre en place différents scénarios
« catastrophes », en tenant compte de l’environnement interne et externe de l’entreprise.
Tous les scénarios ne peuvent bien évidemment pas être prévus, c’est pourquoi les cas non envisagés
seront traités par analogie.
L’identification des scénarios peut passer par l’élaboration d’une fiche, comprenant les différents points de
notre « catastrophe ».
Répondre aux problématiques de confiance des entreprises passe par une démarche de certification.
Il garantit :
• ☺ L’étanchéité des flux entre deux réseaux et vis-à-vis d’Internet,
• ☺ La sécurité physique des équipements déployés,
• ☺ L’administration exclusive de ces équipements par des personnes autorisées.
La norme anglaise BS 7799 est à l’origine de cette norme ISO. Créée en 1995 par le British Standard
Institute (équivalent de l’AFNOR en France), cette norme instaure des standards de qualité et de
performance pour l’industrie. En 1999, elle connaît un succès international et est adoptée en tant que
ISO/IEC 17799 :V2000. Seuls des pratiques et des contrôles sont édictés par ce texte. Aucune référence à
une quelconque certification n’y est mentionnée.
Au Maroc, ISO 27001 connaît un essor depuis 2008 (administration publique), pour les entreprises cotées
en bourse aux Etats-Unis, cette norme est utilisée pour mettre en œuvre un cadre de conformité à la loi
Sarbanes-Oxley.
Le modèle PDCA
Une démarche PDCA (Plan, Do, Check, Act)
également appelée « roue de Deming »
précise les étapes de l’application des mesures
de sécurité (voir schéma ci-dessous).
EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité : créée en 1995 et mise à
jour en 2004) est actuellement la méthode de gestion des risques de sécurité des systèmes
d’information (SSI) développée et maintenue par la DCSSI (Direction centrale de la sécurité des
systèmes d’information – France). Cette méthode a la particularité d’être disponible gratuitement, pour
tout organisme souhaitant mener une étude des risques SSI et mettre en place une politique adéquate de
sécurité de l’information.
EBIOS offre un certain nombre d’avantages en vue d’une démarche de certification ISO 27001.
☺ Une charte informatique, doit être soumise aux représentants du personnel, cela constitue une
garantie pour l’employeur : grâce à elle, il peut facilement prouver, texte à l’appui, qu’il encadre
l’utilisation par ses employés des ressources informatiques de l’entreprise et n’est donc pas responsable
de leur détournement éventuel (à des fins de piratage, par exemple). Ces règles écrites lui permettent
aussi de démontrer qu’un salarié a commis une faute. Plusieurs entreprises qui n’avaient pas pris
soin d’éditer un tel document ont ainsi perdu en appel après avoir licencié un employé accusé de
consulter des sites pornographiques. Annexées au règlement intérieur des sociétés, ces chartes
rendent obligatoires les respects de leurs règles et prévoient des sanctions en cas de manquement.
323-3 Le fait d'introduire frauduleusement des données dans un jusqu’à 5 ans 75 000,00 €
système de traitement automatisé ou de supprimer ou de
modifier frauduleusement les données qu'il contient
323-4 La participation à un groupement formé ou à une entente Peines prévues
établie en vue de la préparation, caractérisée par un ou pour l'infraction
plusieurs faits matériels, d'une ou de plusieurs des infractions elle-même ou
prévues par les articles 323-1 à 323-3-1 pour l'infraction la
plus sévèrement
réprimée.
Explication : la première sanction de la Loi Création et Internet (ou loi Hadopi) prévoit d’envoyer un e-
mail aux Internautes repérés sur les réseaux peer-to-peer en train de télécharger illégalement des œuvres
protégées (si bien entendu, le mail ne retrouve pas dans les courriers spams !!).
Si par malgré tout, l’internaute récidive en téléchargeant illégalement des fichiers sur internet, c’est une
lettre d’avertissement en Recommandée qui lui sera adressée.
Lors de la troisième réprimande, une sanction automatique s’applique : l’abonnement à Internet sera
suspendu pour une durée allant d’un mois à 1 an.
Le budget annoncé de combien HADOPI va-t-elle couter au contribuable est de 6,7 millions d’euros par an
pour envoyer des courriers électroniques et des lettres recommandées. Hors coût de surveillance des
réseaux, la recherche d’identité, frais de justice.
Porter plainte
La plainte déposée a pour but de décrire l’attaque, sa réussite ou son échec, les éventuels dommages qui
peuvent en résulter ainsi que toutes les autres conséquences (perte de temps pour vérification de l'intégrité
du site ou des données, pertes d'argent, perte de crédibilité auprès des internautes ou des clients de
l'entreprise, etc...). La police envoie ensuite au parquet votre dossier qui décidera ou non d’instruire le
dossier.
En France, il existe non seulement une législation, mais aussi une police chargée d'enquêter.
A Paris et en région parisienne : BEFTI (Brigade d'Enquêtes sur les Fraudes aux Technologies de
l'Information), 163 avenue d'Italie, 75013 Paris (01 40 79 67 50).
En province : le SRPJ (Service Régional de Police Judiciaire) où il y a des ESCI (Enquêteur Spécialisé
Criminalité Informatique), enfin, il existe une organisation centrale, l'OCLCTIC (Office Central de Lutte
contre la Criminalité liée aux Technologies de l'Information et de la Communication) - 101 rue des Trois
Fontanot, 92000 Nanterre (01 49 27 49 27)
En outre, il vaut mieux répondre à ce type de comportement en portant plainte plutôt qu'en
tentant de se venger soi-même. La France possède une législation assez rigoureuse en
matière de cyber-crime et il serait fort dommage de voir votre attaquant porter plainte si
vous lui causez des dégâts en représailles. Sachez que ce type de situation peut tout à fait
se produire et que vous ne pourrez arguer d’avoir été attaqué le premier. Tout comme dans
la vie réelle, nous ne pouvons nous faire justice nous même sur Internet.
La sécurité à 100% n’existe pas, c’est en connaissant les risques que l’on peut réagir à temps.
La sécurité concerne avant tout des comportements humains: sensibiliser son personnel à la prudence et le
responsabiliser est la première des préventions. En cas d’intrusion : effectuez une déclaration auprès de
votre assurance, attention les délais sont courts. Pour les risques résultant d’une malveillance:
saisissez l’autorité compétente pour déposer une plainte.
Pour illustrer l’architecture EAP, voici un exemple de configuration possible dans un contexte Wifi :
Ö • Le client possède un logiciel de connexion fourni avec son adaptateur Wifi. Ce logiciel
est compatible avec le 802.1x (donc avec l’EAP) et supporte deux méthodes
d’authentification : PEAP/MS-CHAP-v2 et EAP/TLS (nous les décrirons dans les
paragraphes suivants).
Ö • Le contrôleur d’accès est un AP compatible 802.1x : il n’a pas besoin de connaître
PEAP/MS-CHAP-v2, EAP/TLS ou toute autre méthode d’authentification particulière. Il
est toutefois capable de relayer des requêtes EAP vers le client (via la connexionWiFi) et
vers le serveur d’authentification (via le réseau de l’entreprise).
Ö • Le serveur d’authentification est un serveur RADIUS compatible avec EAP. Il gère les
méthodes d’authentification EAP/TLS et TTLS/PAP (voir paragraphes suivants). Le
serveur demandera au client de s’identifier selon une méthode. Si le client ne la gère pas,
le serveur en suggérera une autre et ainsi de suite jusqu’à ce que le client en accepte une.
Dans cet exemple, ils tomberont d’accord sur la méthode d’identification EAP/TLS.
Lorsque l’on décide de mettre en place une architecture qui repose sur l’EAP, il faut choisir les
méthodes d’authentification que le serveur acceptera, et s’assurer que chaque client soit bien
compatible avec au moins l’une de ces méthodes.
☺. L’EAP, sans l’aide d’autres mécanismes, ne protège que l’authentification, pas la session. Donc si
l’on ne fait rien de plus qu’EAP (c’est-à-dire du 802.1x seul) alors un pirate peut espionner ou
détourner les sessions existantes, en toute impunité.
☺. Mais alors, comment se protéger ?
=> L’authentification 802.1x peut être très sûre, mais elle ne sert à rien si la session qui suit n’est
pas elle-même sécurisée. La session peut être protégée par un tunnel entre le client et le
contrôleur d’accès.
Pour atteindre le meilleur niveau de sécurité, il est recommandé d’utiliser les tunnels : EAP/TLS,
PEAP, TTLS ou EAP/FAST.
Les principales méthodes d’authentification EAP sont EAP/MD5 (mot de passe), EAP/MS-CHAP-v2
(mot de passe), EAP/OTC (mot de passe), EAP/GTC (carte à jeton), EAP/SIM (carte SIM) et
EAP/TLS (certificat électronique). Par ailleurs, trois autres méthodes EAP ont pour but de protéger une
authentification EAP au sein d’un tunnel sécurisé : EAP/PEAP, EAP/TTLS et EAP/FAST.
La sécurité du 802.1x peut être compromise de trois façons différentes : en attaquant la méthode
EAP utilisée, en détournant une session après sa création ou encore en s’interposant entre le client et
le serveur d’authentification. Pour éviter toutes ces attaques, il faut :
Ö –☺. utiliser une méthode d’authentification basée sur un tunnel : EAP/TLS, TTLS
ou PEAP (voire EAP/FAST) ;
Ö –☺. s’assurer que les clients ne se connectent que si le certificat envoyé par le serveur
est valide (vérifié par le client) ;
Ö –☺. éventuellement, utiliser un certificat par poste client et le faire vérifier par le
serveur (c’est malheureusement plutôt lourd à gérer) ;
Ö –☺. utiliser une méthode interne assez forte, comme les cartes à jeton par exemple ;
Ö –☺. s’assurer qu’un cryptage puissant soit négocié pendant l’identification : le WPA
et le WPA2 sont les meilleures solutions pour le WiFi...
Radius est un protocole qui répond au modèle AAA. Ces initiales résument les trois fonctions du protocole:
☺ A = Authentication : authentifier l’identité du client ; A = Authorization : accorder des droits au
client ; A = Accounting : enregistrer les données de comptabilité de l’usage du réseau par le client.
Contrairement à une idée reçue, le WiMAX n’est pas une nouvelle version du WiFi : malgré
quelques similitudes, il s’agit d’un tout autre protocole, conçu pour les WMAN et non les
WLAN (de 2,5 à 3,5 GHz sur une distance de 50 Km).
Voici les principaux avantages et inconvénients à déployer un réseau sans fil WiFi :
Avantages :
• ☺ Mobilité : les utilisateurs sont généralement satisfaits des libertés offertes par un réseau sans fil
et de fait sont plus enclins à utiliser le matériel informatique.
• ☺ Facilité et souplesse : un réseau sans fil peut être utilisé dans des endroits temporaires, couvrir
des zones difficiles d’accès aux câbles, et relier des bâtiments distants.
• ☺ Coût : si leur installation est parfois un peu plus coûteuse qu’un réseau filaire, les réseaux sans
fil ont des coûts de maintenance très réduits ; sur le moyen terme, l’investissement est facilement
rentabilisé.
• ☺ Évolutivité : les réseaux sans fil peuvent être dimensionnés au plus juste et suivre simplement
l’évolution des besoins.
Inconvénients :
• ☺ Qualité et continuité du signal : ces notions ne sont pas garanties du fait des problèmes pouvant
venir des interférences, du matériel et de l’environnement.
• ☺ Sécurité : la sécurité des réseaux sans fil n’est pas encore tout à fait fiable du fait que cette
technologie est novatrice.
WPA
WPA est l’acronyme de WiFi Protected Access et respecte la norme 802.11i. WPA est sorti avant la
validation de 802.11i en 2004 et naturellement été remplacé par WPA2 lors de la ratification de la norme
802.11i. On peut dire que WPA respecte la norme 802.11i et WPA2 implémente complètement la norme
802.11i.
Le chiffrement est renforcé par rapport à WEP. Il utilise une clé de chiffrement de 128 bits et un vecteur
d’initialisation de 48 bits. TKIP (Temporal Key Integrity Protocol) est utilisé dans WPA pour renouveler
et négocier dynamiquement une nouvelle clé de chiffrement de manière périodique. CCMP, un autre
protocole similaire mais plus robuste est disponible dans WPA2. WPA utilise toujours le chiffrement RC4.
WPA2 propose quant à lui le protocole de chiffrement AES 256 bits.
La WiFi Alliance a ainsi crée une nouvelle certification, baptisée WPA-2, pour les matériels supportant le
standard 802.11i
Le serveur d’authentification peut être un serveur RADIUS comme Microsoft IAS ou le service de
Windows 2008 appelé Network Policy Server (Serveur de Stratégies Réseau). Le standard 802.1X repose
sur la norme EAP (Extensible Authentication Protocol = Protocole d’extension d’authentification) qui est
une extension du protocole PPP (Point to Point Protocol, Protocole Point à Point).
Le but d’EAP est de transporter les informations d’authentification, et de nombreux protocoles
d’authentification sont disponibles. Parmi les principaux, notons :
• -EAPMD5 : déprécié, retiré depuis Windows XP SP1.
• -EAPTLS (Transport Layer Security : Sécurité de la couche de transport) : authentification
mutuelle par certificats serveurs et clients.
• -EAPTTLS (Tunneled TLS : Tunnel TLS) : authentification mutuelle, mais déploiement de
certificats serveurs uniquement.
• -PEAP/MSCHAPV2 (Protected EAP: EAP Protégé) :
authentification du serveur par certificat puis établissement d’un
canal sécurisé et authentification du client dans ce canal sécurisé
par mot de passe ou certificat numérique.
Le Wardriving
Le Wardriving consiste à rechercher des réseaux sans fil (wireless). Cette recherche se fait généralement en
voiture, d'où son nom, mais aussi en train, en autobus, à pied... La personne qui fait du Wardriving est un
Wardriver.
Pour cela, il faut une carte réseau wireless (Pcmcia par exemple), un ordinateur portable ou un
PDA, une antenne (généralement couplée à la carte réseau, mais il est aussi possible de monter
une antenne externe pour plus de réceptivité), et un logiciel de sniffer (renifleur) wireless.
Le Mapping
Une des conséquences du Wardriving est le Mapping. Le
Mapping consiste à établir des cartes géographiques qui
recensent les points d'accès de réseaux wireless (open hot
spots). Ces cartes sont faciles à établir car, dans la
majorité des cas, le Wardriver est équipé d'un GPS. On
trouve facilement et gratuitement ces cartes sur le net.
Pratiques concernant l’utilisation d’une connexion sans-fils publique avec son portable
a) ATTENTION ! N'échangez aucune information confidentielle quand vous êtes branché à un réseau
sans-fils public, tel que celui d’une bibliothèque, d’un restaurant ou d’une école.
b) L’ordinateur portable devrait être configuré afin de ne pas se connecter automatiquement à un réseau
sans-fils public, sans la demande préalable de l’utilisateur. Cette connexion devrait toujours être provisoire
(quelques heures).
c) Avant d’écrire quelque information sensible, s’assurer que vous êtes bien connecté à un site web chiffré
(petit cadenas dans le bas de l’écran du fureteur) lorsque vous utilisez un réseau sans-fils public. Sans cette
précaution, un autre utilisateur du réseau pourrait écouter votre communication et intercepter, par exemple,
votre nom d’utilisateur et le mot de passe de votre boîte de courriel, ou le numéro de votre carte de crédit
que vous aurez utilisée pour effectuer un achat.
Pour effectuer le crackage, vous aurez besoin des programmes suivants et d’un brin de patience, quoique
l’opération ne prenne pas au max plus de 30mn si tout ce passe bien:
Aircrack ng : C’est la suite logiciel à connaître pour casser une clé WEP. Elle comporte plusieurs
programme :
• Airodump-ng qui ne capture les paquets, scan les réseaux et conserve les paquets qui
permettront de décrypter la clé;
• Airplay-ng : qui envoie les paquets dans le but de stimuler le réseau et capturer le plus de
paquets;
• Aircrack-ng qui crack la clé
Objectif d’une attaque : Désinformer, empêcher l'accès à une ressource, prendre le contrôle d'une
ressource, récupérer de l'information présente sur le système, utiliser le système compromis pour rebondir
Remarque : ☺ l’énumération est définie comme l’extraction des noms utilisateurs, des noms machines,
des ressources réseau, des partages (NetBIOS), et des services. L’énumération est réalisée à partir d’un
environnement Intranet, nécessite des connexions actives au système et des requêtes dirigées.
Voici quelques exemples : NetView, Netstat, Enum, JXplorer, Getif SNMP MIB browser
Lorsque nous achetons un nom de domaine, les informations sur l’acheteur ainsi que le ou les responsables
techniques (nom, prénom, adresse, code postal, numéro de téléphone), les serveurs DNS principaux
(dns1.xxxxx.com, dns2.xxxxx.com), ces informations permettent à l’attaquant de connaître la victime et ainsi
utiliser ces informations comme piste pour affiner et pousser encore plus loin les recherches. Il existe des
sites de consultation WHOIS :
• WHOIS sur Internet, aller sur le site :
http://whois.domaintools.com/, puis saisir le nom du domaine
visé (ci-dessous : www.gefi-sa.com) .
Pour protéger vos informations, il y a deux solutions : soit entré de fausses informations (cela vous
décrédibilise auprès des clients), soit acheter un nom de domaine qui comprend l’option de type
Whoisguard (http://www.whoisguard.com), rendant vos informations privées.
Exemple de Scanning (bannière des différents softs : versions) : C:\> Telnet www.spiveytech.com 80
Voici un exemple de résultat avec VisualRoute sur le site VisualRoute.com (voir aussi commande
tracert), qui permet de connaître ou est situé le système cible :
La liste ci-dessous est loin d'être exhaustive. Le produit Nmap est gratuit. Conçu par un hacker.
Editeur Produit Coût
GFI Languard Network Security Scanner Payant
? LocalPortScanner Gratuit
Winternals TcpView Pro Payant
? Natural Port Scanner Gratuit
Angryziber Software Angry Ip Scanner Gratuit
Fyodor Nmap Gratuit
Famatech Advanced Port Scanner Gratuit
Carlos Medas Look@Lan Gratuit
☺ TP à réaliser.2b
===============================================================================
Mettre en place un outil de scan de ports nmap-5.10BETA2-setup.exe (en ligne de commande).
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration :
Nom : administrateur
Mot de passe : XXXXXX.
2. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP, se connecter en tant que :
Nom : Marcel
Mot de passe : P@sswrd1.
3. Vérifer avant de commencer cet exercice que votre firewall est désactive (le temps de cet exercice)
Spoofing
☺ Le spoofing est une technique de piratage qui a pour but d‘usurper les droits d'une personne ou de
fournir de fausses informations pour se camoufler ou passer les systèmes de sécurité.
Il existe plusieurs types de techniques de spoofing ayant des degrés de difficultés variables. Il y a par
exemple le SMS spoofing, le mail spoofing, l‘IP spoofing, le DNS spoofing, l‘UDP spoofing, l‘ARP
spoofing, le MAC spoofing (en rapport avec les adresses MAC)… et on peut inventer encore plein de
technique ! exemple : Nemesis (spoofing arp, DNS, ethernet, Icmp, IP, igmp, ospf, rip, Tcp, udp)
MAC spoofing
Il s’agit ici d’une usurpation d’adresse MAC (niveau 2 du modèle OSI), soit pour passer un système et
contourner certaines règles (ex : filtrage par adresse MAC : Wifi), soit pour faire croire que l’info vient d’une
machine spécifique ou peut être encore pour qu’un système ne soit plus accessible (ex : un service réseau : DNS,
DHCP etc…).
☺ TP à réaliser.2c
===============================================================================
Changer son adresse MAC par une adresse MAC fictive
****Partie à réaliser par les deux partenaires****
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration :
Nom : administrateur
Mot de passe : XXXXXX.
2. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP, se connecter en tant que :
Nom : Marcel
Mot de passe : P@sswrd1.
***A effectuer sur uniquement sur la machine ayant l’adresse IP la plus petite***
Changer son adresse MAC par la même que celle de votre partenaire => conflit d’adresse MAC
9. Avec le programme MacMakeUP.exe, mettre comme adresse MAC, celle de votre partenaire, puis cliquer sur
le bouton Change, (attendre que l’interface soit mise Down puis Up).
10. Saisir en invite de commande, C:\> getmac
Quelle est votre adresse MAC : ___________________________, a-t-elle changée : ________
11. Saisir en invite de commande C:\> ping 192.168.x.y adresse IP du partenaire, cela fonctionne t’il :
_________
12. Demander à votre partenaire de pinguer votre adresse IP, cela fonctionne t’il : _________
ARP spoofing
L’attaque est connue sous le nom de «ARP Poisoning» ou « ARP Redirect », et peut permettre au pirate de
rediriger le trafic d’une, ou de plusieurs, machines du réseau vers la sienne.
L’opération vise à modifier le cache ARP de, ou des, victimes, en envoyant des paquets ARP Reply
associant l’adresse IP de la passerelle (par exemple) à l’adresse MAC du pirate. Tout le trafic Victime
passerelle sera envoyé vers l’ordinateur du Pirate. Ce dernier n’aura plus qu’à router ce flux vers la
destination demandée, afin que la victime ne s’aperçoive de rien.
Cette technique est aussi utilisée dans le cadre d’écoute passive sur réseaux locaux commutés. Les
commutateurs (Switch) redirigent les trames Ethernet sur des ports différents selon l’adresse physique
(MAC). Il devient donc impossible à une station de sniffer (écouter) les trames qui ne lui sont pas adressées
directement (@unicast, @ de broadcast limité ou dirigé). L’ARP spoofing va donc permettre à un pirate
d’écouter le trafic entre des machines situées sur deux ports différents du Switch (attaque de type Man In
The Middle).
Une autre méthode d’attaque a pour objectif de remplir la table CAM du Switch pour qu’il devienne un
hub. Pour cela il faut générer des paquets avec des adresses MAC sources différentes pour que le Switch
associe ces différentes adresses MAC à un port et lorsque la table est pleine et que le Switch reçoit des
messages destinés à une adresse MAC inconnue (de la table CAM), il ne saura où les envoyer et les enverra
sur tous les ports, ce qui a comme effet un hub, toutefois cette méthode ne fonctionne plus vraiment de
nos jours, car les Switch savent se protéger de se type d’attaque (pour une nouvelle info entrée dans la
table CAM, une ancienne en sera supprimée). De plus, les switchs récents (Cisco entre autres) savent se
protéger contre le « Arp Poisoning ».
Il est aussi possible de distinguer la MAC Spoofing (niveau 2), l’ARP Spoofing (niveau 3).
Plusieurs solutions peuvent être mises en œuvre afin de limiter ce scénario catastrophe :
- Contenu statique des caches ARP (intérêts et limites)
- Outils permettant de monitorer les paires @IP/@MAC (arpwatc : Unixh, winarpwatch : Windows, xarp,
DecaffeinatID, ARPFreeze).
- Détecteur d’intrusion implémentant un module de surveillance du protocole ARP (snort,…).
- Analyse régulière des logs pertinents (tâche classique d’un administrateur réseau ou sécurité)
- Une sensibilisation des administrateurs à la sécurité réseau ; …
Les VLAN, par définition, ne peuvent être déployés qu’au sein d’un même réseau local. Dans ce rôle ils
sont très commodes : une fois les commutateurs configurés, tout est automatique. Les commutateurs sont
plus faciles à configurer que les routeurs, ils sont aussi moins chers et plus rapides.
IP spoofing
Usurpation d’adresse IP, on fait croire que la requête provient d’une machine autorisée (=> forger et
envoyer des paquets IP avec une fausse adresse source), ce qui peut être une simple attaque par déni de
service ou des attaques plus avancées par abus des relations de confiance. Il ne s’agit pas pour autant d’un
changement d’adresse IP, mais d’une « mascarade » de l’adresse IP au niveau des paquets émis. Une
bonne configuration du routeur d’entrée permet d’éviter qu’une machine extérieure puisse se faire passer
pour une machine interne.
*****Une attaque de type source-routing est similaire à celle de l’usurpation d’adresse IP (spoofing),
d’ailleurs elles vont généralement de paire. Cela permet à un pirate de rediriger le trafic réseau d’un routeur
vers des routes prédéfinies. Utilisée seule, celle-ci pourrait permettre à une personne malveillante de
contourner des listes d’accès, ou certaines Appliances de sécurité au sein d’un réseau. En revanche si celle-
ci est utilisée conjointement avec l’usurpation d’identité elle permettrait d’autoriser du trafic malveillant en
se faisant passer pour une adresse de confiance vis-à-vis d’un hôte ou simplement en offrant plus
d’anonymat au niveau des transactions réseau. Le source-routing se décline en deux options : Strict Source
Record Route (SSRR) et le Loose Source Record Route (LSRR). La solution consiste à désactiver le
source-routing sur le routeur lui-même*****.
Certains tendent à assimiler l’utilisation d’un proxy (permettant de masque d’une certain façon l’adresse
IP) avec de l’IP Spoofing. Toutefois, même si l’adresse est apparemment masquée, un pirate peut
facilement être retrouvé grâce au fichier journal (logs) du proxy.
☺ TP à réaliser.3
===============================================================================
Envoi de datagramme IP ayant une adresse IP source modifiée graphiquement.
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration :
Nom : administrateur
Mot de passe : XXXXXX.
2. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP, se connecter en tant que :
Nom : Marcel
Mot de passe : P@sswrd1.
3. Double-cliquez sur le fichier : wireshark-win32-1.4.3 (installation du sniffer Wireshark anciennement
Ethereal), cliquez sur Next, puis I Agree, puis Next, puis Next, puis Next, puis Next, puis Install , puis Next,
puis Next, puis I Agree (Winpcap 4.1.2), puis Install, puis Next, puis Finish.
4. Copier le fichier : pktbuilder10_build150.exe vers C:\Temp.
5. Double cliquez sur le fichier pktbuilder10_build150.exe, puis Next, cochez I accept the agreement, puis
Next, puis Next, puis Next, puis Next et Install, puis Next, cochez Launch Colasoft Packet Builder 1.0, puis
Finish.
6. Dans Colasoft Packet Builder, cliquez sur Add, dans Select Template choisir IP Packet, puis OK, dans
Ethernet II Header, mettre dans Destination Address l’@MAC du partenaire, dans Source Address, mettre
votre @MAC (voir commande C:\> getmac.exe), dans IP – Internet Protocol, dans Fragment mettre 0, dans
Time To Live mettre 100, dans Protocol mettre 1 (ICMP), dans Source IP mettre 192.168.14.88 (fausse @IP),
dans Destination IP mettre l’@IP de votre partenaire, dans L’entête ICMP – Internet Control Messages
Protocol, dans Type mettre 8 (Echo Request :Ping), dans le menu Adaptater choisir votre carte réseau.
7. Démarrer le snifer wireshark, dans le menu Démarrer, puis Tous les programmes, puis Wireshark, puis
bouton droit sur wireshark, puis envoyer vers, puis Bureau (créer un raccourci), sur le bureau cliquez sur
wireshark, menu capture, puis options, dans Interface choisir votre carte réseau : 3COM (voir la salle), puis
start.
Voici quelques exemples de filtre que vous pourez utiliser
8. Revenir sur le programme Colasoft Packet Builder, puis
avec Wireshark :
dans le menu Send cliquez sur Send Selected Paquet, dans
Filtrage par @IP :
Select choisir votre carte réseau, puis cliquez sur Start.
9. Basculer vers wireshark et cliquez sur Stop (dans menu ip.addr = = 10.0.0.4 or ip.dst = = 10.0.0.5
Filtrage de X adresses :
capture)
ip.addr = = 10.0.0.4 or ip.addr = = 10.0.0.5
10. Essayer de voir les trames concernant le Protocole ARP
Monitirer un port spécicfique :
la source c’est la machine du partenaire, la destination
tcp.port = = 443
c’est un Broadcast en essayant de savoir quelle est votre
adresse MAC par rapport à votre adresse IP : (IP fausse). ip.addr = = 192.168.1.100 machine
ip.addr = = 192.168.1.100 && tcp.port = = 443
12. Que constateriez-vous globalement sur des effets appliqués à la machine de votre partenaire si le champ de
données était de 65535 octets ?, peut’ il ici savoir que cela provient de votre machine ? :
__________________________________________________________________________________________
__________________________________________________________________________________________
13. Fermer wireshark et Colasoft Packet Builder.
===============================================================================
DNS spoofing
L'objectif de cette attaque est de rediriger, à leur insu, des Internautes vers des sites pirates. Il existe deux
principales attaques de type DNS Spoofing :
• DNS ID Spoofing
• DNS Cache Poisoning.
☺ Remarque : Pensez aussi à vider le cache DNS client sur votre poste de travail : IPCONFIG
/FLUSHDNS, attention le cache DNS client sur votre poste sous Windows contient aussi le contenu du
fichier Hosts situé dans Windows\system32\drivers\etc, le contenu de celui-ci est chargé dynamiquement
dans le cache DNS client, pensez à vérifier si celui-ci est corrompu.
Voir également la commande IPCONFIG /DISPLAY (affiche le cache client DNS) et IPCONFIG
/REGISTERDNS (force votre PC à s'enregister auprès du serveur DNS).
En fait, un serveur DNS ne possède seulement que les enregistrements des machines pour lequel il fait
autorité, s’il désire connaître les machines en dehors de son autorité, il envoi une requête au serveur DNS
qui détient ces enregistrements, il stocke ensuite dans son cache local la réponse retournée par les autres
serveurs DNS.
1) Le pirate envoi une requête à votre serveur DNS, demandant de résoudre www.attacker.net
2) Votre serveur DNS n’a pas autorité sur cette zone (il ne peut donc pas résoudre le nom de cette machine
en adresse IP), aussi il redirige cette requête vers le domaine faisant autorité sur cette zone, ici
ns.attacker.net.
3) Le serveur DNS du pirate (modifié pour l'occasion) enverra alors, en plus de la réponse, des
enregistrements additionnels (dans lesquels se trouvent les informations falsifiées à savoir un nom de
machine publique associé à une adresse IP du pirate, incluant les enregistrements concernant
www.cnn.com)
Note : ce processus est appelé transfert de zone.
5) Maintenant, si vous demandez à votre serveur DNS de résoudre www.cnn.com, il vous fournira comme
adresse IP : 172.50.50.50, une machine faisant une requête sur le serveur DNS cible demandant la
résolution d'un des noms corrompus aura pour réponse une adresse IP autre que l'adresse IP réelle associée
à cette machine
Le DNS ID Spoofing :
Concrètement, le but du pirate est de faire correspondre l'adresse IP d'une machine qu'il contrôle à un nom
réel et valide d'une machine publique.
Une requête DNS est alors envoyée à un serveur DNS, déclaré au niveau de A, demandant la résolution du
nom de B en son adresse IP. Pour identifier cette requête, un numéro d'identification (en fait un champ de
l'en-tête du protocole DNS) lui est assigné. Ainsi, le serveur DNS enverra la réponse à cette requête avec le
même numéro d'identification. L'attaque va donc consister à récupérer ce numéro d'identification (en
sniffant, quand l'attaque est effectuée sur le même réseau physique, ou en utilisant une faille des systèmes
d'exploitation ou des serveurs DNS qui rendent prédictibles ces numéros) pour pouvoir envoyer une
réponse falsifiée avant le serveur DNS (attaque Man In The Middle en utilisant l’Arp Spoofing sur la
machine Hôte voir commande WinDNSSpoof).
Le schéma ci-dessous illustre simplement le principe du DNS ID Spoofing.
Les scams
Le plus courant est le scam nigérian: un dignitaire d'un pays d'Afrique vous demande de servir
d'intermédiaire pour une transaction financière importante, en vous promettant un bon pourcentage de la
somme. Pour amorcer la transaction, il vous faut donner de l'argent. C'est bien entendu une arnaque !
Certains naïfs se sont fait voler des dizaines de milliers d'euros. Ne répondez pas.
Flooding
☺ Raid massif de connexions non terminées afin de saturer un système ou un réseau.
Générer du trafic pour simuler une activité sur le réseau
Cette partie n’est pas du « flood » à proprement dit. Cet objectif était plutôt de réaliser un « bruit de fond
» de manière quasi continue. Cette opération peut être réalisée tout au long d’un projet couvrant ainsi
toutes les phases d’une attaque. Cela permet de pouvoir masquer les attaques ensuite réalisées, afin qu’il
n’y ait pas du trafic sur le réseau uniquement lors d’une attaque. On peut alors ainsi masquer les attaques
menées et en profiter pour noyer l’équipe analyse avec un flot de données important à analyser.
Smurf
Envoie d'une trame ICMP "echo request" sur une adresse de diffusion.
• Exemple: ping 193.49.200.255
• Méthode utilisée pour déterminer les machines actives sur une plage
IP donnée.
Parades au smurf
• Interdire la réponse aux trames ICMP sur les adresses de diffusion:
• Au niveau routeur (Cisco par défaut accepte ce type de trame)
• Au niveau machine (les machines Linux acceptent pour certaines aussi
ce type de trame, pas pour les versions Windows, la pile TCP/IP est
protégée en conséquence contre ce type d’attaque)
Web bug
Les « Web bugs », ces cookies intelligents sont présents sous forme d’une image invisible et indétectable
constituée d’un unique pixel présent, soit dans un E-mail au format HTML (appelé « Taupe »,
<img src="http://www.serveur.xx/image.gif ?email=utilisateur@adresse"> généralement une publicité
non sollicitée), qui vous est envoyé anodinement, soit sur certains sites Web (notamment ceux présentant
des publicités DoubleClick) voire dans des groupes de discussions. Si vous utilisez un client de messagerie
capable de visualiser les messages en HTML (comme Outlook) cette « image » provoque la connexion
automatique à un serveur distant qui est capable de converser avec tous les cookies de la même société
présents sur votre disque (et d’en créer de nouveau !) et peut récupérer en même temps votre adresse e-mail
et votre adresse IP !
Donc, si le courrier est ouvert pendant la connexion, la requête de téléchargement de l’image vient
confirmer la lecture du message et la validité de votre adresse.
Conseil : ne pas valider l’ouverture automatique du format HTML ou ne pas ouvrir ses courriers en ligne.
Un utilitaire de détection de « web bug » BUGNOSIS est disponible sur www.bugnosis.org.
Hoax (rumeur)
Si nécessaire, prévenez ensuite l'expéditeur du message ainsi que les éventuels co-destinataires, afin
de les informer de l'existence des hoax et de contribuer à enrayer la propagation du message.
Si le message suspect contient un ou plusieurs mots-clés évidents (par exemple "virus Biskai94" ou
"Rachel Arlington"), saisissez ces mots-clés, sélectionnez "Rechercher par mots-clés", puis lancez la
recherche en cliquant sur le bouton "Recherche Hoaxkiller.fr". Le moteur de recherche vous orientera
alors le cas échéant vers la fiche du canular correspondant. Si le message suspect ne comporte pas de mot-
clé évident, copiez-collez tout le texte dans le formulaire de recherche, sélectionnez "Rechercher par texte
intégral", puis lancez la recherche en pressant le bouton "Recherche Hoaxkiller.fr". Le moteur de
recherche vous orientera alors vers une liste de documents probables, classés par pertinence décroissante.
------------------------------------------------------------------------------------------------------
De : "direction"(direction@mon_entreprise.fr) Répondre à : direction@mon_entreprise.fr Date : Tue, 9 Jan 2001 13:14:45 +0100
À : "LISTE DIRECTEURS"
(mailto:directeur1@mon_entreprise.fr)(mailto:directeur2@mon_entreprise.fr)(mailto:directeur3@mon_entreprise.fr)
Objet : [directeurs] alerte virus potable
----- Original Message -----
From: Alain (compta@entreprise_a.com)
To: Bernard@entreprise_b.com ; Charles@entreprise_c.net ; Diane@entreprise_d.fr ; Eric@entreprise_e.com ;
Objet : Message d'alerte virus et de bonne année
Merci de transmettre ce message à tout votre carnet d'adresse Et bonne année malgré tout!
Cordialement Alain
Objet: ALERTE VIRUS PORTABLE & INTERNET
>
>Message d'Alcatel - il est important de le lire, car la source est sérieuse et le danger maximal.
>> Objet: Alerte Pirate
> > Diffusion message d'alerte à rediffuser a tous ceux que vous connaissez et qui ne figureraient pas dans les destinataires.
> >1. Il s'agit d'1 information provenant du Ministère de l'Interieur à l'attention de tous les détenteurs de téléphone portables :
UN CORRESPONDANT LAISSE 1 MESSAGE AFIN QU'ON LE RAPPELLE AU 01 41 46 51 14.
N'appelez surtout pas ce numéro ou vos factures augmenteront sans commune mesure……………☺☺☺☺☺☺☺
Hacker et cracker
Les actes de piratage informatique, au cœur des réseaux d’information et de la
communication, sont l’œuvre d’acteurs sociaux qu’il convient de connaître et de
comprendre, notamment afin d’appréhender correctement les différents aspects de ce
type de menaces. Il est commun de dénommer ces acteurs : « Cyber délinquants ».
Ces derniers se caractérisent par des capacités techniques et des motivations diverses,
tout en provenant d’horizons sociaux multiples.
La « famille » des hackers est bien structurée :
Les newbies
- en premier, il y a les newbies (débutants) :
ce sont généralement des adolescents fascinés
par les exploits de certains hackers et qui se
sont mis à apprendre tout ce qu'ils pouvaient
dans le domaine de l'informatique.
Les intermédiaires
- ensuite, il y a les intermédiaires, anciens
newbies qui ont acquis une somme de
connaissances en sécurité informatique,
programmation et sur les réseaux.
Les hackers ou « chapeaux blancs » sont certainement les plus connus, mais aussi les plus incompris des
cyber délinquants. Ils se démarquent des crackers et des script-kiddies (lamers) par leur sens de l’éthique.
Contrairement à ces derniers, ils n’attaquent pas leurs cibles, mais se contentent d’enfreindre la sécurité de
leurs systèmes pour en souligner les failles. Il s’agit pour le hacker, à travers des moyens, illicites, il est
vrai, de relever un « challenge » technologique tout en agissant pour le bien des organisations attaquées,
puisqu’il permet l’amélioration de la sécurité du système d’information concerné. Peuvent devenir pour la
plupart des professionnels en sécurité informatique au sein d’une entreprise.
Hautement qualifiés et compétents, leurs actions sont motivées par une idéologie commune, à savoir, la
conviction que la propriété intellectuelle doit appartenir à tous ceux qui en ont la compréhension et que
toute tentative de légiférer en matière de cyberespace doit être combattue.
La communauté hacker partage une culture commune rassemblant des programmeurs expérimentés, des
spécialistes réseaux et des passionnés des technologies de l’information et de la communication, au sens
large du terme.
Ces 3 précédents membres de la famille des hackers travaillent pour une amélioration
de la structure.
Maintenant, voyons d'autres membres de la famille des hackers qui travaillent dans le « côté obscure » du
hacking. Ils préfèrent profiter des failles et les exploitent pour le plaisir ou pour de l'argent :
Son comportement est totalement irresponsable, pouvant atteindre n’importe quelle ressource informatique, y
compris les ressources informatiques de la compagnie où travaillent ses parents, par exemple.
Le Black Hat ou « chapeau noir », souvent confondu avec le White Hat hacker, pénètre les systèmes
informatiques avec l’intention de nuire. Il peut arriver que le cracker attaque pour des raisons ludiques,
mais en général, il essaye de tirer un gain de ses méfaits, comme le fait de nuire à un concurrent, un
enrichissement personnel ou l’acquisition de données confidentielles. Hackers exploitant leurs trouvailles à
des fins hostiles, parasitaires, maffieuses, terroristes... Ce sont les Pirates.
Bien souvent, il s’agit de véritables criminels, fonctionnant dans des réseaux mafieux, pour leur
propre compte ou le compte d’autrui. Souvent très compétents techniquement, ils peuvent égaler
les compétences des hackers, cependant, ils en représentent véritablement le côté sombre, car ne
font pas profiter une victime de leur savoir pour le mettre au profit de l’amélioration de la sécurité
à mettre en place, bien au contraire, leur but est de maximiser cette connaissance à leur profit.
Phreaking
Ils peuvent construire des systèmes électroniques (appelés « Box »)
ayant des fonctions bien définies comme avoir la possibilité de
téléphoner à l’autre bout de la terre sans débourser d’argent (ils
piratent les PABX), de téléphoner sur le compte d’une entreprise…
Les Hacktivistes
Ce sont des hackers utilisant leurs connaissances pour défendre ce en quoi ils pensent et se battre pour un
but (les droits de l’homme, la non-commercialisation de l’Internet…).
Conclusion
La véritable communauté hackers, très underground, ne comporterait que quelques centaines de
membres au niveau mondial, et n’est attirée que par les sites hautement sécurisés qui représentent
un véritable défi technologique. Si les crackers sont plus nombreux, plusieurs milliers, ces derniers
se concentrent généralement sur les grandes compagnies, n’ayant aucun intérêt à viser une cible de
moindre importance. En fait, la masse nuisible se comptent par centaines de milliers et attaquent de
manière complètement aléatoire, est surtout constituée par les script-kiddies.
Comme nous venons de le voir, il existe une grande variété de « hackers », ayant chacun leurs domaines de
prédilection ; mais avant de se spécialiser, il faut généralement :
• Savoir programmer sinon on ne peut être ni un hacker ni un informaticien. Il faut au moins connaître
deux langages dans cette liste : C++, Java, Perl, Pyton, Cobol, Assembleur, Lisp, Scheme, Delphi, et
Visual Basic en plus du C et de l’HTML (qui est plus un langage de mise en page).
• Connaître les technologies des réseaux (principes de base, services…), la pile TCP/IP et tout ce qui s’y
rapporte.
• Savoir utiliser Internet : faire des recherches intelligentes et précises.
• Connaître les principes de base et savoir utiliser les systèmes d’exploitation les plus courants :
Windows, Unix, Linux.
• Avoir des bases en électronique et en hardware pour savoir identifier le matériel quelconque.
Virus
Avec l'expansion de l'Internet, la propagation des virus (et assimilés) est plus aisée et plus rapide.
• Le risque infectieux informatique est récent : environ 30 ans d’existence.
• La défense évolue moins vite que la menace (ordres de grandeurs différentes, propagation plus
rapide).
• Existence d’une volonté maligne : les pirates informatiques, depuis environ 2003 on est passé
d’une phase plutôt artisanale à une phase industriel (groupe de personnes organisées et
communiquant)
• Faillite du monde logiciel : vulnérabilités (faille 0Days), efficacité limitée de l’antivirus.
• Problème général d’ « hygiène informatique » (comportement utilisateur).
☺ Le dictionnaire propose une définition plus conventionnelle : "(mot latin, poison) Informatique :
instruction (ou suite d'instructions parasites), introduite dans un programme et susceptible d'entraîner
diverses perturbations dans le fonctionnement de l'ordinateur" en se dupliquant (son propre code) et en
infectant d’autres fichiers par exemple. Donc un virus à besoin d’une « mère porteuse : autre
programme » pour pouvoir exister.
Sur Internet, les virus peuvent contaminer une machine de plusieurs manières :
• Echanges de données (clé USB, CD-ROM, etc…)
• Téléchargement de logiciel puis exécution de celui-ci sans précautions,
• Ingénierie sociale (jeux, sex, humour, secret, etc…)
• Ouverture sans précautions de documents contenant des macros,
• Pièce jointe de courrier électronique (exécutable, script type VB ou JS ou JPG.VBS ou .BAT…),
• Ouverture d’un courrier au format HTML contenant du JavaScript exploitant une faille de sécurité
du logiciel de courrier (normalement JavaScript est sans danger).
• Exploitation d’un bug du logiciel de courrier (effectuer régulièrement les mises à jour).
Les virus peuvent être très virulents, mais ils coûtent aussi beaucoup de temps en mise en place d’antivirus
et dans la réparation des dégâts causés. On peut malheureusement trouver facilement des logiciels capables
de générer des virus et donc permettant à des « amateurs » (aussi appelés scripts-kiddies) d’étaler leur
incompétence.
☺ La meilleure parade est l’utilisation d’un antivirus à jour et d’effectuer les mises à jour des
logiciels (pour éviter l’exploitation des bugs).
Sality est un virus parasite polymorphique qui s’attaque aux fichiers exécutables de Windows, le corps
du virus est chiffré à l’aide de l’algorithme RC4.
Le gestionnaire de tâches est désactivé via le registre, l’éditeur de registre est lui-même désactivé, efface
également les clés du registre permettant de démarrer en Mode sans Echec le firewall. Les paramètres de
l’explorateur sont aussi modifiés afin de ne pas afficher les fichiérs cachés et les fichiers systèmes.
Un driver est installé permettant à Sality de filtrer les paquets et de bloquer l’accès aux sites des éditeurs
antivirus et certains sites de désinfection ou de scan tels que Virus Total. Il tente également de tuer un
certain nombre de produits de sécurité et pour terminer Sality utilise aussi la propagation par périphérique
amovibles et les partages réseaux : autorun.inf sur le média amovibles ainsi que sur les partages réseaux.
Copie modifie et infecte le fichier notepad.exe.
Virus d’applications
Les virus d'applications infectent les fichiers exécutables (notamment ceux portant les extensions .exe,
.com ou .sys).
Virus polymorphes
Ces virus modifient leur aspect à chaque nouvelle infection. A chaque fois qu’ils infectent un fichier, ils se
cryptent différemment. Il faut donc que l'antivirus analyse la technique d'encryptage de chaque virus pour
tenter de déceler, dans les fichiers contaminés, une caractéristique remarquable.
Virus flibustiers
Ils ont pour but de désactiver l’antivirus. Ils sont rares, mais diablement efficaces et dangereux, le système
devenant totalement vulnérable.
Virus de macros
Est un code contenu dans un fichier de données, non exécutable, activé par un interpréteur contenu de façon
native. Ces virus peuvent être au format texte (VBS, JS, RTF, PS, PDF, ...) ou binaire (DOC, XLS, PPT,
PPS, ...). Se met dans les modèles de document (normal.dot pour Word), modifient le comportement de
certaines fonctions (FileSaveAs, Tools Macros) ou raccourcis (Shift.) .Utilisent la fonction AutoExec.
Les plugins
Selon Matt Loney de ZDNet UK, le lecteur Flash Player offrirait la possibilité à des pirates de prendre le
contrôle à distance d'un ordinateur ou y injecter un virus.
Les vers
☺ Contrairement aux virus qui doivent se loger dans des programmes (ou autres
informations exécutables) pour agir, un ver est un programme malveillant qui à une
existence autonome. "En général les concepteurs de vers s'efforcent de faire des programmes
de petite taille pour rendre l'infection discrète.
Les vers, également appelés virus de messagerie, (peut être vu comme un virus orienté réseau) se répandent
par le courrier électronique, en profitant des failles de certains logiciels de messagerie (notamment Outlook
Express, de Microsoft)
Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est
apparu en octobre 2008. Ce ver exploite une faille du Windows Server Service utilisé par Windows 2000,
XP, Vista, 7, 2003 et 2008.
Microsoft a rendu public un patch (http://www.microsoft.com/technet/security/Bulletin/MS08-
067.mspx) pour enlever ce ver le 15 octobre 2008. Symantec propose un outil de suppression pour
Conficker (nommé Downadup chez l'éditeur de Norton Antivirus). Pour ESET NOD32 voir
http://download.eset.com/special/EConfickerRemover.exe.
F-Secure déclarait que Conficker avait infecté presque 9 000 000 ordinateurs.
Conséquences :
Les conséquences sont multiples :
• Déclenchement d'un son ? affichage d'un texte ou d'un message
• Perturbation de l'affichage, ralentissement et diminution des performances
• Augmentation de la place occupée sur disque ou en RAM.
• Destruction de données, formatage du disque
• Attaque du Bios : CIH/Tchernobyl sont susceptible d'altérer
les bios flashables et de vous amener à changer votre eprom,
au pire changer votre carte mère. Préférez toujours une carte
mère flashable par cavalier. Aujourd'hui, ces modèles sont
rares.
• Perte de contrôle et comportement erratique
• Les débordements de mémoire, etc…
Depuis les 3-4 dernières années, la Chine est devenue la source principale de malwares.
En 2009, le nombre de programmes malicieux dans la collection était de 33,9 millions, plus du double de
l’année 2008. Kaspersky a identifié environ 15 millions de nouvelles menaces en 2009.
Antivirus
On estime aujourd’hui qu’il y a entre 250 000 et 300 000 virus connus.
Cependant, des différences peuvent exister entre ces types de logiciels. Elles se situent
principalement dans le nombre de fonctionnalités, leur mise en place ainsi que les
méthodes utilisées pour la détection d'anomalies.
En cas de détection d'anomalie ou de tentative d'infection informatique, dans la majorité des cas et selon la
configuration choisie par l'utilisateur, l'antivirus affichera une alerte à l'utilisateur permettant de :
• ☺ Bloquer la tentative d'infection informatique.
• ☺ Réparer le contenu infecté ou malicieux en effaçant toute trace du virus.
• ☺ Supprimer définitivement le contenu infecté.
• ☺ Mise sous quarantaine du contenu infecté ou malicieux.
Du fait de la convergence des techniques d'infection informatique, certains constructeurs de logiciels
intègrent également dans leur solution d'antivirus des fonctionnalités de firewall.
Pourquoi se protéger ?
L'utilisation d'un logiciel antivirus permet de contrer les menaces suivantes :
• ☺ Virus
• ☺ Chevaux de Troie
• ☺ Vers
• ☺ Certains Rootkit
Attitudes à adopter
• Tenir à jour les différents logiciels de protections (ex : firewall, antispam, antispyware, etc)
• Tenir à jour les différents logiciels (ex : Pack Office, etc)
• Tenir à jour les systèmes d’exploitation (ex : Windows XP Pro : Service Pack, Patch de sécurité)
• Tenir à jour les différents services s'exécutant sur chaque machine (ex : FTP, Telnet, http, etc)
• Désactiver tous les services qui ne servent pas (ex : partages NetBIOS, etc)
• Ne pas mettre une copie de sauvegarde saine sur un ordinateur non sain (ou non totalement
vérifié).
• Utiliser le moins possible le compte Administrateur, utiliser à la place un compte restreint.
Si l’antivirus est paralysé par un virus ou ver on peut avoir recours à un antivirus en ligne, tels ceux qui
sont disponibles sur les sites suivants (nécessite un navigateur pour fonctionner):
Si vous avez juste un fichier douteux à scanner, vous pouvez utiliser un des sites suivants: Ils testeront
votre fichier avec plusieurs antivirus à la fois.
VirusTotal => http://virustotal.com/ : 41 antivirus utilisés
Virscan => http://virscan.org/ : 37 antivirus utilisés
F-Secure Online Scanner ☺
Test de Malware en ligne: Sunbelt CWSandbox
Remarque : Un fichier vous semble louche? Ne prenez pas de risques. Avec JottiQ
assurez-vous qu'il est sain. Cet utilitaire, en anglais, va le soumettre à l'analyse de 19
antivirus comme Avast ou Kaspersky
Remarque: tous les produits “Internet Security” inclus un antivirus + Firewall + anti spam + anti
spyware .ex: ZoneAlarm Internet Security Suite v 7.1 Fr
Les performances des suites payantes sont évidemment très au-dessus de ce qu’il est logique d’attendre de
la part d’un antivirus gratuit couplé au pare-feu de Windows 7. Mais il faut concéder aux gratuits des
performances honnêtes qui en font de très bonnes solutions d’appoint pour un usage basique notamment.
****Microsoft a annoncé une suite logicielle gratuite, présentée actuellement sous le nom Microsoft
Security Essentials nom de code Morro****Suite à des tests réalisés sur 500 000 malware, l'antivirus a pu
en identifier 98,4%. Coté adware et spyware, le résultat est un peu moins bon: sur 14 222 testés il en a
identifié 90.9%. Enfin, un test a été effectué sur 25 rootkits et là, le taux de réussite s'est élevé à 100%. En
revanche, il impose l'outil anti-piratage WGA pour être installé.
Les éditeurs ont remplacé la richesse des bases de données virales par la fréquence des mises à jour.
Certains éditeurs en proposent une centaine par semaine. Les pirates ont toujours une longueur
d’avance. Dans l’absolu, il suffit de modifier un seul octet d’une souche connue pour qu’elle ne soit
plus détectée (à la portée de n’importe quel étudiant en première année d’informatique). De plus,
certains malwares sont contruits sur des technologies qui rendent la suppression quasi impossible.
Corolaire :
****Affirmer pouvoir « détecter tous les virus, y compris ceux inconnus » est une affirmation fausse et
mensongère****
**** Si l’antivirus a longtemps été jugé comme le garant de la sécurité du poste de travail, ceci n’est
aujourd’hui plus suffisant : il doit être considéré comme un maillon de la chaîne de production, il
faut aussi le considérer comme un programme comme un autre, c'est-à-dire avec ses vulnérabilités et
pouvant être la cible d’attaque ****.
Rappel TCP
Clients/Serveurs :
De nos jours, les réseaux fonctionnent grâce à la topologie client/serveur.
Le système client ouvre une session sur le système serveur, puis fait des requêtes spécifiques au(x)
service(s) que délivre de dernier.
Le système serveur est développé pour accepter la connexion d’un des clients et fournir un/des service(s)
spécifique(s).
Pour information, un service n’est fournit que par un serveur et peut-être de types différents : service http,
FTP, Telnet, etc …
Sockets :
Pour faire communiquer des systèmes à travers le réseau, des chercheurs ont créés ce que l’on appelle des
sockets.
Maintenant quoi que l’on fasse sur le réseau, on utilise sans le savoir (ou plutôt sans s’en préoccuper) des
sockets.
Pour information, les sockets sont principalement constitués d’une adresse IP et d’un port de
communication (ex : 192.168.14.200 :8080).
L’entête TCP contient six indicateurs (drapeaux) qui signalent comment interpréter les autres champs
Indicateur Signification
URG Tenir compte du champ urgent
ACK Tenir compte du champ numéro d’acquittement
PSH Ce segment doit être transmis immédiatement
RST Réinitialise la connexion
SYN Synchronise les numéros de séquence
FIN Termine la connexion
1. ☺ le client initie une connexion TCP avec le serveur. Dans le paquet qu’il envoie, le bit SYN est activé
(set=> 1), le bit ACK n’est pas activé (not set=>0), indiquant au serveur que le champ du numéro de
séquence est valide et qu’il devrait être vérifié. Le client définit le numéro de séquence initial dans le
champ d’entête prévu à cet effet.
2. ☺ le serveur répond en envoyant au client un paquet avec le SYN activé (set=>1), le bit ACK est
activé (set=>1). Le numéro de séquence initial du serveur est égal à celui du client plus un (N_ACK +
1).
3. ☺ le client accuse réception du numéro de séquence initial du serveur en le lui renvoyant incrémenté de
un (N_ACK + 1), le bit SYN n’est pas activé (set=> 0), le bit ACK est activé (set=>1).
4. ☺ la connexion est établie et le transfert des données peut commencer.
• TCP utilise un numéro de séquence pour chaque octet transféré et requiert que la réception de
chacun d’eux soit acquittée par le destinataire. Cette exigence permet à TCP de garantir une
Le service FTP obéit à un modèle client/serveur traditionnel. Ajoutons que la variante de FTP protégée par
les protocoles SSL ou TLS (SSL étant le prédécesseur de TLS) s’appelle FTPS (RFC 2228). FTP s’appuie
sur le protocole Telnet pour établir le dialogue du canal de contrôle. Toutes les communications effectuées
sur le canal de contrôle suivent les recommandations du protocole Telnet traditionnel, ainsi les commandes
FTP sont des chaînes de caractères Telnet en code NVT-ASCII terminée par le code de fin de ligne Telnet
(comprendre la séquence CR+LF, Carriage Return - retour chariot) suivi du caractère Line Feed, notée
CRLF.
Le protocole FTP supporte deux manières de fonctionner, à peine différentes, mais la différence est
d'importance, surtout lorsque l'on a à traverser un firewall par filtrage de paquets. Ce sont :
• ☺ Le mode Actif,
• ☺ Le mode Passif.
Etablissement d'une connexion TCP entre le client (192.168.14.1:2001) et le serveur (192.168.14:200 :21) :
canal de contrôle. Le port 21 est le port standard d'écoute des commandes FTP. Nous trouvons ici le
classique dialogue [SYN], [SYN, ACK], [ACK]. Etait-il nécessaire de le signaler ? FTP s'appuie bien
entendu sur un mode connecté (TCP).
Fonctionnement :
1. Le serveur écoute sur le port 21.
2. Le client amorce une connexion depuis un port N (2001 par exemple) vers le port 21 du serveur.
3. Le client écoute sur le port ‘[(P1 * 256) + P2]. Il l’indique par la commande PORT.
4. Le serveur initie une connexion depuis le port 20 vers le port de rendez-vous du client.
Le serveur FTP initie une nouvelle connexion FTP (trames 31,32 et 33). Mais vous avez bien vu, c'est le
serveur qui initie la connexion, autrement dit, il agit comme un client TCP, et c'est le client FTP qui va agir
comme un serveur TCP, c'est à dire qu'il va rester à l'écoute de son port 2003 = (7*256) +211 : canal de
données. Cette particularité est due au mode actif. Le client FTP est actif, parce qu'ici, ce sera lui le serveur
(au sens TCP).
Le mode actif représente la méthode utilisée à l'origine par le protocole FTP pour transférer des données à
l'application cliente. Lorsqu'un transfert de données en mode actif est engendré par le client FTP, le serveur
établit une connexion depuis le port 20 sur le serveur, vers l'adresse IP et un port aléatoire, non-privilégié
(supérieur à 1024) spécifié par le client. Dans une telle situation, l'ordinateur client doit être autorisé à
accepter des connexions sur tout port supérieur à 1024. Avec le nombre croissant de réseaux non-sécurisés,
tels que l'Internet, l'utilisation de pare-feu pour protéger les ordinateurs clients est désormais très répandue.
Étant donné que ces pare-feu côté client refusent souvent les connexions entrantes originaires de
serveurs FTP en mode actif, il est recommandé d'utiliser le mode passif.
Nous avons, dans ce cas de FTP en mode actif, observé que, pour la création du canal de données, le client
FTP :
.Indique au serveur un numéro de port,
.Se met à l'écoute sur ce port (fonction "serveur TCP"),
.Le serveur FTP va quant à lui, utiliser le port 20 pour ce canal de données et agir en client TCP.
Ce détail est extrêmement important. Il explique la raison pour laquelle le FTP actif ne fonctionne pas
correctement sur des filtres de paquets qui interdisent tout paquet SYN depuis le Net vers la zone protégée.
Nous avons vu en effet qu'ici, le serveur FTP initie une nouvelle connexion TCP sur le client FTP (ne vous
mélangez pas les pédales entre FTP et TCP svp...).
De plus, si le routeur fait du NAT, comme c'est souvent le cas, ça ne va pas être simple de savoir à qui
s'adresse cette nouvelle connexion. N'oublions pas que nous regardons ici ce qu'il se passe derrière le NAT.
Le serveur FTP, qui est sur le Net, n'a aucune connaissance de l'IP réelle de son client. Pour lui, son
interlocuteur, c'est le routeur NAT lui-même, vu du côté Internet.
La prise en charge de clients FTP actif NATés nécessite l’implémentation d’un proxy.
Le mode passif
Dans le mode passif, le client FTP n'est jamais serveur TCP. Ca simplifie la vie pour le passage des filtres
de paquets, mais ça alourdit la charge des serveurs FTP. Donc alors que le mode passif résout les
problèmes d'interférence du pare-feu côté client avec des connexions aux données, il peut rendre plus
complexe l'administration du pare-feu côté serveur. En limitant dans le fichier de configuration du serveur
FTP, l'éventail des ports non-privilégiés disponibles pour des connexions passives, il est possible de
restreindre le nombre de ports ouverts sur un serveur, ce qui permet également de simplifier la création de
règles de pare-feu pour le serveur.
L’authentification de l’utilisateur sur un serveur FTP n’est absolument pas sécurisée, les logins et mots de
passe pouvant être très facilement interceptables sur le réseau. Il est nécessaire d’avoir un serveur (et des
clients !) supportant une extension de FTP (rfc2228) pour une authentification sécurisée, ou un serveur
implémentant le SSL.
Si l’on doit pour des raisons d’ouverture au monde Internet ou des raisons "business" fortes, utiliser le
protocole ftp, il faudra prévoir une architecture DMZ avec serveur proxy correctement durci.
On lui préférera en général un autre moyen : HTTPS ou SFTP par exemple. Dans le cas où les deux
extrémités sont parfaitement identifiées, un canal ssh ou vpn avec un protocole tel que SFTP ou rsync peut
aussi convenir.
Saturation de ressources
☺ Le but d'une telle attaque n'est pas de dérober des informations sur une machine distante, mais de
paralyser un service ou un réseau complet (à tous les niveaux : IP, UDP, TCP, ICMP, routage,
saturation, …). Les attaques Dos sont généralement utilisées lorsque l'on ne peut pas pénétrer un
système et que l'on préfère le faire couler ou l‘invalider.
Nous pouvons considérer qu'il existe deux types de dénis de service : le deni de service applicatif et le
déni de service réseau.
Le déni de service applicatif exploite les vulnérabilités d'une application comme par exemple des
dépassements de tampon (buffer overflow), ou encore la saturation de ressources (Ping of the death, syn
flood). Les dénis de service applicatifs exploitent les faiblesses de la conception d'un protocole ou de son
implémentation.
Les codes pour faire des attaques de type refus de services peuvent être écrits
dans différents langages : du C au PERL en passant par le python.
L'agent peut avoir été écrit de façon à être très léger pour s'introduire dans un système via une application
anodine (cheval de Troie), puis une fois installé récupérer les exploits nécessaires via le réseau en fonction
des informations récoltées sur la machine compromise
Les architectures
Les pirates exploitent des techniques de plus en plus élaborées. Par exemple Tribal Flood Network (TFN),
un système en architecture deux tiers
(client-serveur) permet à un client de
contrôler plusieurs daemons qui vont
attaquer la cible. Trin00 un autre
système, fonctionne lui, en architecture
trois tiers : le pirate dirige des serveurs
maîtres (masters) qui contrôlent les
daemons. Le troisième tiers augmente la
difficulté à tracer la source de l'attaque en
ajoutant une couche aux
communications.
BotNets :
Herding : Dimunitif de BotNets Herding, bot étant le diminutif de robot, et Herding venant de Herder
qui veut dire berger. Ces réseaux de PC détournés à l'insu de leurs propriétaires sont devenus la clé
de voûte du business des escrocs sur le web. Ils servent désormais à remplir toutes sortes de tâches
illégales et lucratives tout en en faisant porter la responsabilité à leurs propriétaires ignorants. Un BotNets
est un réseau constitué de bots (machines zombies sous contrôle à distance), ce réseau est contrôlé par un
botherd, bot Herder, Zombie Master, Bot Master ou Jean Kevin. Le contrôle du BotNets se fait par
l’intermédiaire d’un canal de contrôle et de communication également appelé « C&C ».
Les BotNets sont aujourd’hui créés uniquement à des fins malveillantes qui sont, entre autres, les suivantes:
• Attaque en dénis de service (DDOS ou Distributed Denial of Service)
• Envoie de SPAM
• Vol d'informations
• Le phishing
• Exploiter les ressources des machines infectées
---------------------------------------------------------------------------------------------------------------------------------
Pour information, il existerait aujourd'hui sur Internet entre 4000 et 5000 BotNets actifs.
En début d'année 2010, plusieurs BotNets ont été découverts.
Les mesures à prendre afin d'éviter de faire partie d'un réseau de BotNets sont les suivantes:
• Avoir un Anti-virus à jour.
• Avoir un Anti-malware à jour.
• Avoir un HIDS/HIPS à jour.
• Disposer d'un bon mot de passe.
• Gérer les droits utilisateurs.
Ces mesures sont assez classiques mais trop souvent oubliées. Il est aujourd'hui très
important de s'y tenir pour maintenir le parc machine sécurisé.
En moins d’une minute le serveur est saturé, il ne répond plus aux vraies requêtes
☺ TP à réaliser.4
===============================================================================
L'intérêt de pktbuilder10_build150 est d'émettre un datagramme en Tcp Syn et d’identifier si une
application est active sur le PC distant recevant en retour un Ack. C'est intéressant dans le cas où un hôte
distant ne répond pas au Ping (Icmp) ou qu'un Firewall bloque les paquets Icmp.
1. Dans Panneau de configuration, Performances et maintenance, Outils d’administration, icône Services,
double-cliquez sur Telnet.
2. Dans Type de démarrage, choisir : Automatique, puis Appliquer, puis Démarrer, et OK, puis fermer
toutes les boites de dialogues (le service « tlntsrv.exe » est démarré) Le firewall de XP ne doit pas être activé.
3. Dans Colasoft Packet Builder, cliquez sur Add, dans Select Template choisir TCP Packet, puis OK, dans
Ethernet II Header, mettre dans Destination Address l’@MAC du partenaire, dans Source Address, mettre
votre @MAC (voir commande C:\> getmac.exe), dans IP – Internet Protocol, dans Source IP mettre vore @IP,
dans Destination IP mettre l’@IP de votre partenaire, dans l’entête TCP – Transport Control Protocol, dans
Source Port mettre 2048 (ou une valeur > à 1023), dans Destination Port mettre 23 (17 en décimal). Démarrer
le snifer Wireshark (ne pas oublier de choisir votre carte réseau : 3COM, dans le menu capture, puis options).
4. Dans Packet List de pktbuilder10, sélèctionnez votre trame, puis dans le menu Send cliquez sur Send
Selected Paquet, puis dans Select choisir votre carte réseau, et cliquez sur Start.
5. Sur votre machine (Wireshark) cliquez sur Stop, pour arrêter la capture de trames et afficher celles-ci, choisir
votre adaptateur réseau, puis Start.
6. Vérifier dans la capture de trames les éléments cités ci-dessus…..
7. Oberserver via wireshark ayant comme filtre « Telnet », les Flags de l’en-tête TCP : le bit ACK ainsi que le
bit SYN (trame allez er retour).
8. Fermer le programme wireshark.
9. Désactiver et arrêter le service Telnet (Dans Panneau de configuration, Performances et maintenance,
Outils d’administration, icône Services, double-cliquez sur Telnet.)
===============================================================================
Mail Bombing
Le Mail Bombing consiste à envoyer un nombre faramineux d'emails (plusieurs milliers par exemple) à un
ou des destinataires. L'objectif étant de :
Il est nécessaire pour l'auteur de l'attaque de se procurer un logiciel permettant de réaliser le mail bombing.
Les paramètres d’utilisation sont simples, il suffit de rentrer les champs suivants :
Adresse IP ou DNS du serveur SMTP et le port TCP du service
Nombre de mails à envoyer
Adresse mail source et destination
Copies et en-tête supplémentaires
Corps du mail
Remplir les champs de manière aléatoire
Tester la présence du serveur SMTP
Définir des en-têtes supplémentaires
L’application permet également d’inclure des pièces jointes au mail. Il suffit ensuite de cliquer sur « send »
et la magie s’opère…
De plus, X-Mas 2000 possède une liste de serveurs SMTP qui laissent passer le mail bombing.
Vous pouvez au préalable vérifier le contenu du message en faisant un clic gauche avec la souris sur le
message. Cela vous donnera des éléments sur le corps du message et sur l'expéditeur.
Quid de la loi ?
Le mail bombing n'est, à priori, pas illégal. Il n'existe pas de limite légale déterminant le nombre
maximum de messages à envoyer à un internaute. Cependant, les fournisseurs d'accès à Internet
n'apprécient pas ce type de procédés. Tout d’abord, la totalité des fournisseurs d’accès interdisent dans
leurs conditions générales la pratique du mail bombing. Les contrevenants peuvent donc voir leur
contrat résilié. L’atteinte à un système de traitement automatisé de données (STAD) est aussi
condamnée par la loi article 323-1 du Code pénal).Dernièrement un mail bomber a été condamné à 8
mois de prison avec sursis et 20000€ de dommages et intérêts par le TGI de Paris.
☺ Les cartes réseaux qui permettent aux ordinateurs de se connecter aux réseaux, fonctionnent en deux
modes, à savoir le mode Normal et le mode Promiscuous. Par défaut les cartes réseau fonctionnent en
mode Normal, ce mode permet à une carte de filtrer les paquets reçus et d’accepter uniquement le trafic lui
étant destiné. Par contre le mode Promiscuous permet à la carte d’accepter tous les paquets circulant dans
le réseau local ou sans fil, même ceux qui ne lui sont pas destinés. C’est le programme sniffer qui fait
passer la carte réseau du mode Normal au mode Promiscuous.
Tous les sniffers sont disponibles sur le Web et en grand nombre (Wireshark ex Ethereal, Sniffer Pro,
CommView, Sniff’em, Tcpdump, Windump, Snort, Sniffit, BlackICE Pro, Linsniff, LANWatch,
BUTTSniffer, Win Sniffer, Ace Password Sniffer, EtherPeek, AirPeek,
CommView for Wifi).
Les fonctionnalités de capture de Wireshark s’appuient sur la bibliothèque open source libcap ou sous
Windows WinPcap pour les réseaux filaires et AirPcap pour les réseaux sans fil.
Dans un réseau partagé ou toutes les machines sont reliées à un concentrateur réseau (HUB), les trames
arrivant sur un hub sont envoyées sur toutes les lignes, pour être reçues par toutes les stations. Ici un
utilisateur malveillant situé sur le même réseau peut espionner un trafic qui ne lui est pas destiné.
Un sniffer classique capture seulement les paquets circulant dans le segment réseau de la machine
exécutant ce Sniffer (Hub). Il ne peut donc pas capturer les paquets qui ne passent pas par le réseau de la
machine exécutant le sniffer.
Cependant, il existe des sniffers qui peuvent être installés dans un segment réseau et être contrôlables à
partir d’un autre segment. Ces sniffers sont basés sur la technologie client/serveur, le programme serveur
est installé dans une machine du segment cible, le programme client est installé dans une machine située
dans un autre segment. C’est le programme client qui va activer et contrôler le programme serveur du
Dans un réseau commuté, toutes les stations sont reliées à un commutateur (Switch) qui s’occupe
d’envoyer les trames qu’il reçoit aux bons destinataires, les autres machines n’y ont pas accès.
Donc dans un réseau commuté le sniffing semble impossible à réaliser puisque seul le destinataire reçoit les
trames qui lui sont envoyées, même avec les cartes réseau en mode Promiscuous.
L’attaque Man-in-the-Middle permet de rediriger le trafic réseau entre deux machines cibles vers la
machine de l’agresseur et le retransmettre de nouveau à la destination d’origine.
Dsniff est le premier programme qui a rendu possible le sniffing dans un réseau local commuté, il en existe
d’autres : Dsniff, Ettercap, Angst, Taranis, arp-sk, ARPoison, Parasite, Snarp.
Un agresseur peut configurer son sniffer afin de capturer des paquets selon des critères de filtrage définis
par l’utilisateur. Comme exemple, l’agresseur définit des filtres de sorte que le sniffer ne capture que les
paquets dont le port est égal à 25 (SMTP). En principe tout trafic utilisant le port 25 est un trafic
correspondant à des emails. Puisque les données dans les emails sont en général non cryptées, l’agresseur
peut alors facilement lire le contenu des emails transitant par le réseau.
☺ Ces services envoient leurs informations en clair HTTP (TCP 80), POP3 (TCP 110), FTP (TCP 21,
20), Telnet (TCP 23), SMTP (TCP 25), SNMP (UDP 161).
Utiliser les protocoles énumérés ci-dessus en particulier dans un réseau inconnu, est source de problèmes.
Un client est configuré pour travailler le plus souvent avec les protocoles POP3 et SMTP, il est
recommandé d’accéder à votre compte de messagerie via le Web si vous travailler dans un réseau étranger
(Web mailer), la plupart des serveurs de messagerie proposent actuellement une connexion chiffrée.
Voici un exemple de trame capturée avec Wireshark, ici on constate qu’avec Pop3 le login Nom +
Password sont en clair.
Comment configurer une adresse email avec Outlook 2003 (avec SSL)
================================================================================
1). Ouvrez le logiciel Outlook 2003
2). Dans le menu principal, cliquez sur « Outils », cliquez ensuite sur « Comptes de messagerie… »
3). Sélectionnez « Ajouter un nouveau compte de messagerie » puis cliquez sur « Suivant », dans la fenêtre
« Type de serveur », sélectionnez « POP3 », dans la fenêtre « Compte de messagerie », inscrivez votre adresse
Plus simplement encore, l’utilisateur malveillant peut se servir d’un sniffer dédié à la capture des logins et
mots de passe, tel que les sniffers de mots de passe WinSniffer (www.winsniffer.com) et Ace Password
Sniffer (www.effetech.com). Il est clair que ce type d’attaque touche à la vie privée des utilisateurs réseau.
Conclusion
Les sniffers sont donc une arme à double tranchant. Il s’agit en effet d’un outil de gestion de réseaux qui
permet de détecter des activités suspectes et de contrôler les accès, mais aussi, un outil qui permet
« d’écouter » les communications qui transitent sur le réseau et de s’approprier des infos très sensibles.
Parades :
- utilisez anti-sniff (qui repère les sniffers et les cartes réseau en mode promiscuité)
- cryptez les paquets circulant sur le réseau,
- vérifiez régulièrement les tables de routage,
- désactivez les protocoles non utilisés.
Détecter un sniffer
Théoriquement, les sniffers sont "invisibles". Ils peuvent être entièrement passifs, et peuvent seulement
servir à écouter. La seule manière pour détecter un sniffer dans ce cas, est de contrôler si l'interface réseau
n'est pas en Promiscuous mode.
Il existe différentes applications qui contrôlent si l'interface de réseau est en mode Promiscuous comme
CPM (check Promiscuous Mode), AntiSniff, PromiScan, proDETECT, PMD. Une autre méthode est
d'exécuter: ifconfig -a (machine Linux) ceci énumérera les interfaces réseaux, et affichera toutes les
informations à leur sujet. Le mot PROMISC signifie que la carte est en mode Promiscuous.
Exécuter la commande : ifconfig -a | grep PROMISC ceci vous affichera les cartes qui sont en mode
Promiscuous (ce type de commande peut être facilement incorporé à une entrée dans cron, cela peut
fonctionner d'heure en heure ou par jour pour vérifier la présence d'un sniffeur : attention cela ne
fonctionne pas sur toutes les versions linux !!!!!).
HTTP Sniffer : Effetech, décode le Protocol http et génère un rapport de trafic Web.
MSN Sniffer : enregistre les conversations automatiquement, les messages sans être détecté.
Remarque : demander à votre partenaire ci celui-ci à terminer la création du compte utilisateur Marcel? : ____,
si Oui, vous pouvez continuer le TP.
5. Démarrer wireshark (ne pas oublier de choisir votre carte réseau : 3COM, dans le menu capture, puis
options), afin de capturer les trames de connexion Telnet.
6. Faites un Telnet sur la machine de votre partenaire : C:\> Telnet 192.168.x.y, au message proposé, taper
« o ». Au login, tapez : Marcel, au mot de passe : P@sswrd1, l’invite de commande affichée est celle de votre
partenaire, tapez en invite de commande C:\> ipconfig /all, vous devez obtenir l’adresse IP de votre partenaire.
Tapez exit pour quitter l’invite Telnet sur le partenaire.
8. Sur votre machine cliquez sur Stop (au niveau wireshark), pour arrêter la capture de trames et afficher celles-
ci.
9. Essayer de visualiser le nom et le mot de passe de connexion pour la session Telnet initiée vers la machine de
votre partenaire, ici : Nom : administrateur, password : P@sswrd1, (chaque lettre apparaît dans une trame
différente, voir dessin ci-dessous.). Vous pourriez mettre un filtre sur wireshark de type « Telnet » afin de
n’afficher que ce type de trames.
SSH est à la fois un protocole et un ensemble de programmes. SSH se base sur le protocole SOCKS v5
intégré dans la plupart des équipements réseau. SSH apporte donc une amélioration indéniable aux
protocoles non sécurisés tels que Telnet, Rlogin, FTP…Il existe un client SSH très connu sous Windows et
Unix Putty.
Pour filtrer des requêtes sur les informations accumulées dans les captures de Wireshark, il est nécessaire
d’avoir une connaissance de base de ses opérateurs et de sa syntaxe.
Pour accéder au web il faut deux ports ouverts qui autorisent les connexions sortantes. Le port 80 est
associé au HTTP et le port 443 est associé au HTTPS.
Avec les « canaux cachés (tunneling) » si le trafic est autorisé, le protocole employé peut servir de support
à l’envoie d’informations, il devient difficile de le détecter.
L’utilisation des canaux cachés pour le transfert de données au sein de votre réseau d’entreprise doit se
faire dans un cadre légal.
SSL/TLS
SSL (Netscape)) signifie Secure Sockets Layer et son équivalent actuel TLS signifie Transport Secured
Layer. Ils sont tous les deux des protocoles situés entre le niveau Transport et Application.
SSL et TLS se comportent en effet comme une couche intermédiaire supplémentaire, car ils sont
indépendants du protocole utilisé au niveau application. Cela signifie donc qu'il peut aussi bien être
employé pour sécuriser une transaction web, l'envoi ou la réception d'email, etc. SSL et TLS sont donc
transparents pour l'utilisateur et ne nécessitent pas l'emploi de protocoles de niveau Application spécifiques.
Il y a en revanche une assez grande variété de solutions pour introduire le VPN dans l’architecture du
réseau :
• ☺ Couche 2 : Mentionnons ici pour mémoire les réseaux locaux virtuels (VLAN), L2TP (Layer
Two Tunneling Protocol), comme son nom l’indique, encapsule une liaison de couche 2 (liaison de
données) sur un lien réseau (couche 3) ce qui permet à un PC distant d’avoir accès au réseau de
son entreprise comme s’il était connecté au réseau local, et ainsi d’avoir accès aux serveurs de
fichiers, aux imprimantes, etc.. Voir également PPTP.
• ☺ Couche 3 : introduire le VPN au niveau de la couche réseau (no 3 du modèle ISO), c’est la
solution retenue par la pile de protocoles désignés collectivement par l’acronyme IPSec.
MPLS (Multi-Protocol Label Switching, RFC 2547) est un protocole de niveau 3 (réseau) qui
permet d’établir un tunnel privé au sein d’un réseau public ; il est surtout utilisé par les
fournisseurs d’accès à l’Internet pour proposer à leurs clients un moyen de créer un réseau privé
entre plusieurs sites d’une même entreprise.
• ☺ Couche 4 : La disponibilité de bibliothèques SSL/TLS (pour Secure Socket Layer/Transport
Layer Security) à la mise en oeuvre facile a encouragé le développement de VPN de couche 4
(transport), comme OpenVPN ou les tunnels SSL.
• ☺ Couche 7 : Le logiciel SSH (Secure Shell), qui comme son nom l’indique est un client de
connexion à distance chiffrée, donc de couche 7, permet de créer un tunnel réseau.
Les VLAN peuvent être utiles en termes de sécurité, par exemple en limitant la promiscuité sur un
réseau local. Une application assez répandue et commode de ce procédé consiste, sur un campus ou au
sein d’une entreprise, à créer pour accueillir les ordinateurs portables des visiteurs extérieurs un VLAN
où ils seront confinés, ce qui évitera qu’ils puissent accéder aux serveurs internes, ou qu’ils répandent
dans l’entreprise les virus dont ils pourraient être infectés, tout en ayant la possibilité d’accéder à
l’Internet ou à toute autre ressource qui leur aura été autorisée..
Nous pensons qu’il est très intéressant, sur un campus, de créer un VLAN pour accueillir les
ordinateurs portables des visiteurs auxquels on ne veut pas accorder de droits, mais qui doivent quand
même travailler et accéder à l’Internet, ne serait-ce que pour communiquer avec leurs bases. Pour tout
Légitime ou illégitime :
Un RAT peut être
1. légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre
société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la
télémaintenance et de télé diagnostique qu'une entreprise délègue à son fournisseur de produits et
services informatiques. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt
à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être
activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention.
2. illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un Trojan qui a probablement servi à
l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la
malveillance introduite, une faille de sécurité quelque part qui a permis son installation
Commercial ou pirate :
Un RAT peut être
1. un produit commercial, comme le célèbre PC-AnyWhere, VNC, etc…
2. un produit de pirates. Certains sont excellents et sont devenus des produits commerciaux.
La première mesure de protection face aux attaques, et de sécuriser au maximum l’accès à votre machine et
de mettre en service un antivirus régulièrement mis à jour. Un nettoyeur de troyens peut aussi s’avérer utile.
Attention : sous Windows, un partage de fichiers actifs et trop permissif offre les mêmes possibilités
sans que le visiteur n’ait besoin d’installer un logiciel !
Les chevaux de Troie utilisent une ruse pour agir de façon invisible, le plus souvent en se greffant sur un
programme anodin, afin d’ouvrir une porte dérobée (processus clandestin installé sur un système par un
pirate, un ver ou un cheval de Troie pour y ouvrir un accès non autorisé).
Mode d'action
Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à des
exécutables. Ils modifient le système d'exploitation cible (sous Windows, la base des registres) pour
pouvoir démarrer en même temps que la machine. De plus, ils sont actifs en permanence (car un cheval de
Troie est un véritable serveur, il reste à l'écoute des connections provenant de l'attaquant pour recevoir des
instructions) mais ils restent furtifs et sont rarement détectables par l'utilisateur. Ainsi, un listing des tâches
courantes ne fournira pas d'indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera
tout ce qu'il y a de plus banal ("Patch.exe", ".exe", "winamp34.exe", "winrar.exe", "setup.exe", "rundlls").
Les exemples les plus connus de chevaux de Troie de type porte dérobée sont : «Subseven», (port 27374,
UDP), «BackOrifice» (port 31337, UDP), et «Netbus» (port 12345, TCP), etc….
Contre-mesures
Du fait qu'ils ne se répliquent pas (contrairement aux virus), ils ne possèdent pas de signature de réplication
et ne sont donc pas détectables par les anti-virus, en tout cas à ce niveau là. De plus, les chevaux de Troie
n'altèrent en général pas les données vitales de la cible (MBR...) qui sont protégées.
Il est assez facile de les détecter avec les anti-virus actuels qui connaissent très précisément leur empreinte
ou leur code (signature). Le problème est un peu plus compliqué lorsqu'il s'agit de programmes dont les
sources sont disponibles librement sur internet. Il devient alors aisé de modifier le code et de le recompiler
afin d'obtenir un cheval de Troie dont l'empreinte sera unique et donc inconnue des anti-virus.
Si l'on ne peut pas détecter leur présence, on peut essayer de détecter leur activité : un cheval de
Troie est obligé d'ouvrir des voies d'accès (N°de ports), pour pouvoir communiquer avec l'extérieur.
Ainsi, plusieurs ports de la machine risquent de le trahir (par exemple 12345, 31337, etc...) surtout
s'ils sont habituellement inutilisés.
=> Rappelons que la commande netstat permet d'obtenir de telles informations sous Linux et Windows.
Cas concrets
Voici les fonctionnalités d'un des chevaux de Troie les plus répandus :
• Accès Telnet :
• Accès HTTP, supporte le téléchargement, l'envoi de fichiers :
Permet de créer un serveur web basique.
• Information sur le système distant
• Récupère tous les mots de passe :
Driver Startup:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\VMM32Files
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\VxD
ActiveX Startup:
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName
Explorer Startup:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Registry Shell Open methods
c). ☺ Injection
Le processus trojan est chargé (injecter) avec un des processus de Windows généralement iexplore.exe
Conclusion
Les chevaux de Troie représentent aujourd'hui un phénomène inquiétant car
grandissant. Ils ont changé les règles du jeu, ouvert de nouvelles voies dans
lesquelles se retrouvent de plus en plus d'apprentis hackers. Car contrairement
aux virus, ils sont faciles à utiliser, accessibles à tous (sans pré-requis en
programmation) et très efficaces. En témoigne leur utilisation croissante à des
fins professionnelles : prise en main à distance (help desk, etc...), administration
centralisée, gestion de parcs informatiques. Bien sûr, la majorité des produits
utilisés dans ce secteur restent des produits commerciaux. Loin d'en promouvoir
l'utilisation, rappelons enfin l'énorme menace que les chevaux de Troie
représentent : ces outils sont conçus pour espionner et infiltrer les systèmes. Ils sont furtifs et très difficiles
à détecter, surtout tant que l'attaquant ne cherche pas à se manifester.
Logiciels anti-trojan
Trojan Remover v 6.6.4 Trojan Defence Suite (TDS)
LockDown2000 Trojans First Aid Kit
Pest Patrol Anti-Trojan 5.5
Tauscan The Cleaner
PC Door Guard Trojan Hunter
Remarque : Si vous avez un anti virus, celui ci va vous dire qu'il y a un trojan sur votre PC lorsque vous
ouvrirez l'application. Je vous propose donc de le désactiver le temps que vous fabriquer votre serveur sinon il
va vous embêter toutes les deux minutes
5. Lorsque vous ouvrez l'editServeur.exe, cliquez sur browse, puis dans C:\Temp\Sub7 choisir server.exe,
puis Ouvrir.
6. Cliquez ensuite sur read current settings (les valeurs par défaut du service server sont chargées).
7. Vous pouvez voir sur la partie Installation à droite, choisir : Port : 27374 (garder le port par défaut du service
serveur, même si en réalité vous pourriez très bien le changer)
8. Cocher l’option server password : mettre comme mot de passe : tt (ou celui que vous voulez), dans reenter :
mettre comme mot de passe : tt (ou celui que vous voulez, voir ci-dessus)
9. Dans server name : cocher specify a filename : mettre testserver.com (ici il faudrait choisir un nom qui
n’attire pas trop l’attention, un nom à la Windows).
10. Cocher l’option : melt server after installation (déplace l’exécutable dans le répertoire Windows)
Remarque :
L’option enable fake error after installation (avec le bouton configure), permet de simuler un message d’erreur
à l’exécution du trojan pour faire croire qui cet exécutable est défaillant (exemple erreur CRC).
L’option bind server with EXE file: ? (avec le bouton browse), permet de cacher le Trojan au sein d’un autre
exécutable.
11. Cocher l’option protect the server so it con’t be edited/changed ?, dans password : tt (ou celui que vous
voulez), dans reenter : mettre comme mot de passe : tt (ou celui que vous voulez, voir ci-dessus)
(Attention !!! ce mot de passe est très important car si la victime se méfie et qu'elle tombe sur le serveur que
vous lui avait envoyé, lorsqu'elle l'exécutera, elle pourra voir votre adresse électronique, votre numéro
ICQ.....en bref tout ce que vous aurez rentré dans la partie EDITSERVEUR
12. Dans le menu Startup method[s], laisser les valeurs par défaut :
registry RunServices est coché
WIN.INI n’est pas est coché
Registry-Run n’est pas coché
Key name : laisser la valeur par défaut WinLoader
Remarque : la partie notification options (E-MAIL) est la partie dans laquelle vous devez entrer votre adresse
électronique trois fois ou des adresses électroniques différentes (à vous de voir). Laisser les valeurs par défaut.
Avec l’option enable e-mail notify ? : permet d’envoyer un mail au pirate lorsque vous êtes connectez sur
Internet.
13. Cliquez sur "save a new copy of the server with the new settings", enregistrer sous
C:\Temp\Sub7\Pirate.exe.
RAPPELS IMPORTANTS :
*Mettez à l’abri de votre famille votre serveur que vous aurez fait car il ne
faudrait pas que votre petite sœur ou votre petit frère l'exécute sinon vous seriez
contaminable par d’autres pirates.
*Je vous rappelle que l'utilisation de Trojans est à vos risques et périls. Le
téléchargement de Trojans est légal mais ce que vous en ferais avec est illégal.
===============================================================================
Remarque : Pour se défendre d'un trojan ce n’est pas bien difficile, il faut avoir un pare-feu (attention un pare
feu bloque les ports mais il doit être bien paramétré et surtout faites gaffe quels ports seront utilisés ==> vous
pouvez le savoir en allant dans votre panneau de config) ou alors vous pouvez télécharger un pare-feu gratuit
La deuxième solution est de se procurer un anti-trojan.
D'une manière générale il est préférable de combiner l'anti-trojan ET le pare-feu.
Mot emprunté au monde Unix / Linux dans lequel il désigne un parasite permettant de s'octroyer des droits
"root", c'est-à-dire les niveaux de droits les plus élevés de l'administrateur de la machine afin de prendre le
contrôle de cette dernière tout en restant furtif (invisible).
☺ Un rootkit est donc un programme furtif qui se rend invisible. Il modifie en temps réel les
informations de Windows ou Linux. Il peut se cacher lui-même, cacher d’autre processus, masquer des
connexions réseaux, masquer des clés de la base de registre, corrompre les espaces disques.La finalité
d’un rootkit est d’obtenir un accès à l’ordinateur (backdoor) en toute transparence vis à vis de
l’utilisateur et de masquer l’existence d’autres outils. Il est important de noter que l’installation d’un
rootkit nécessite les droits administrateurs afin de modifier le cœur du système
Comment fonctionnent-t-ils ?
On distingue deux types de rootkits, qui opèrent à deux niveaux distincts : niveau utilisateur (application)
et noyau.
Les rootkits en mode utilisateur se basent sur des techniques de hooking (crochets) ou l’interception des
appels API au niveau utilisateur ou applicatif (HE4Hook, Vanquish, HackerDefender).
Les rootkits en mode noyau modifient le comportement du système d’exploitation ou certaines structures
de données par des techniques de hooking ou de modification des données du noyau (FU Rootkit, FUto
Rootkit).
Les éditeurs de solutions Antivirus informent qu’une fois installés ils ne peuvent pas être détectés par les
moyens conventionnels.
☺ TP à réaliser.11
===============================================================================
Utilisation du RootKit « Hacker Defender : hxdef100»
----------------------------------------------------------------------------------------------------------------------------------------
Vérifier que le trojan de « SubSeven » est visible
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration :
Nom : administrateur
Mot de passe : XXXXXX.
2. Désactiver pour le moment AntiVir Guard (zone de notification, bouton droit sur icône Avira, puis cliquez
sur Activer AntiVir Guard : parapluie fermé). Créer un répertoire C:\Temp\Hack
3. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP, se connecter en tant que :
la section [Hidden Table] déclare tous les fichiers et dossiers qui seront cachés :
[Hidden Table]
Hack*
Hxdef*
la section [Hidden Processes] indique ici tous les processus qui seront cachés (n’apparaît plus dans les logs ni
dans le gestionnaire des tâches)
[Hidden Processes]
hxdef*
trojan.com
la section [Root Processes] permet d’administrer le rookit par un shell backdoor
[Root Processes]
hxdef*
trojan.com
la section [Hidden Services] permet de cacher les services dans l’icône services
[Hidden Services]
HackerDefender*
WinLoader*
trojan.com
la section [Hidden RegKeys] indique les clés qui seront cachées dan la base de registre
[Hidden RegKeys]
HackerDefender100
LEGACY_HACKERDEFENDER100
HackerDefenderDrv100
LEGACY_HACKERDEFENDERDRV100
La section [Hidden Regvalues] sert à cacher les valeurs des clés dans le registre
[Hidden Regvalues]
WinLoader
La section [Startup Run] indique les processus qui seront démarrés au démarrage de Windows
[Startup Run]
C:\Temp\hack\HackMe.exe
la section [Free Space] permet de brouiller l’espace disque pris
[Free Space]
C :536870912
la section [Hidden Ports] permet de cacher des N° de ports TCP et UDP
[Hidden Ports]
TCPI : 27374
TCPO : 27374
☺ TP à réaliser.12a
===============================================================================
Visualisation d’un RootKit (son processus caché) avec Seem
1. Ouvrez une session avec un compte d'utilisateur avec des droits d'administration :
Nom : administrateur
Mot de passe : XXXXXX.
3. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP, se connecter en tant que :
Nom : Marcel
Mot de passe : P@sswrd1.
4. Copiez sur le fichier : Seem_v4.1b.fr.zip en local vers C:\Temp, décompressez-le dans ce même dossier.
5. Double-cliquez sur le fichier « Seem.exe » pour l’exécuter.
6. Dans la partie gauche cliquez sur Processus, puis dans la partie droite, identifiez le processus hxdef100.exe.
7. Faire bouton droit sur le processus hxdef100.exe, puis cliquez sur Terminer, puis Oui.
8. Vérifier que le processus HackMe.exe est de nouveau présent dans le Gestionnaire de tâches, Onglet
Processus.
9. Ouvrez une invite de commande, puis saisir : C/> netstat -an, vérifiez que le port TCP 27374 correspondant
au programme trojan (SubSeven) est de nouveau visible et en écoute.
----------------------------------------------------------------------------------------------------------------------------------------
Détection et désinfection du trojan sub7legends avec Avira_antivir_personal_fr (ver 9.0.0.67)
1. Activer de nouveau AntiVir Guard (zone de notification, bouton droit sur icône Avira, puis cliquez sur
Activer AntiVir Guard : parapluie ouvert). Double-cliquez sur l’icône Avira AntiVir Control Center sur votre
bureau. Dans Protection locale, dèvelopper Sélection manuelle, cochez le lecteur C :, bouton droit sur ce
lecteur C :, puis Start Scan (icône en forme de loupe). Lorsque Antivir trouve quelques choses, choisir l’option
Supprimer et cochez Appliquer la sélection à toutes les détections, puis Ok. Fermer AntiVir.
===============================================================================
Remarque : Une des raisons principales du support des ADS par Windows (à ne pas confondre avec
Active Directory Service) est de permettre le support du système de fichiers Macintosh Hierarchical File
System (HFS) et ainsi de permettre à un système de type Windows NT d'être serveur de fichiers pour des
clients Macintosh.
En effet, toute copie basique d'un fichier contenant des flux additionnels vers un support non NTFS
(partition FAT, gravure de CD, ...) va entraîner la perte totale de ces flux et de leurs contenus respectifs.
Seul le flux standard sera conservé.
Une autre raison de cette méconnaissance est due au fait qu'il existe très peu d'outils capables de traiter les
informations de ces métadonnées.
☺ TP à réaliser.12b
===============================================================================
Création de flux
Exemple pour créer un Alternate Data Stream en cachant une vidéo :
1. C:\> echo video > c:\video.txt
2. Copiez le fichier neo.avi du partage « Temp » de la machine du formateur vers votre disque C:\Temp>
3. C:\> type "c:\temp\neo.avi" > "c:\video.txt:matrix.avi"
4. C:\Program Files\Windows Media Player> wmplayer.exe "c:\video.txt:matrix.avi"
5. Récuperer sur le partage Temp de la machine formateur, le fichier « cat.exe », et copier-le vers votre machine à la
racine de votre disque C :
6. C:\> cat "c:\video.txt:matrix.avi" > c:\neo.avi (vérifier que le fichier C:\neo.avi existe : ______)
-------------------------------------------------------------------------------------------------------------------------------------------------------
ADS Spy est un tout petit programme permettant de voir et supprimer des fichiers cachés de Windows lorsque
celui-ci utilise le mode de gestion de fichiers NTFS.
7. Copier le fichier « ADSSpy.exe », depuis le partage « Temp » de la machine du formateur, dans votre dossier local
« C:\Temp », puis exécuter-le.
8. Cocher : Scan only this folder, sélectionnez le disque C:, puis OK.
9. Cliquez sur Scan the system for alternate data streams.
10. Sélectionnez les différent flux crées dans les TP ci-dessus, puis sélectionnez Remove selected streams, cliquez sur Oui
pour valider l’effacement.
11. Fermer ADSSpy.
-------------------------------------------------------------------------------------------------------------------------------------------------------
☺ Par lettre
Le hacker vous fera une lettre très professionnelle. Au besoin, il n'hésitera pas à voir un imprimeur pour
avoir du papier à lettre comportant un logo, un filagramme, téléphone, fax, email... Il utilisera très
certainement une boîte postale pour l'adresse de sa société fictive.
Comment parer cette méthode ?
L'idéal serait de filtrer tout le courrier entrant de l'entreprise. Pour chaque source inconnue de
l'entreprise, il faudrait faire une vérification de l'existence réelle de celle-ci.
☺ Par Internet
Le social engineering par Internet est semblable à celui par téléphone. Le hacker se fera facilement passer
pour un opérateur système, un responsable informatique ou un ingénieur système. Le terme « scammers »
regroupe les individus tentant d’escroquer d’autres personnes par l’envoi de mails sollicitant de l’aide pour
placer des quantités d’argent très importantes, hors d’atteinte des autorités.
Comment parer cette méthode ?
Comme pour le téléphone, ne donnez pas de renseignements à quelqu'un que vous ne connaissez pas. Mais
par Internet, c'est plus facile de donner de la crédibilité, tant il y a de noms de domaines et d'adresses
emails farfelus. Il n'est donc pas facile de faire la part des choses.
Conclusion
Il est important, de la part d'une entreprise, de former le personnel à ce problème. Un bon hacker s'attaquera
à la personne la plus faible de l'entreprise, à savoir le personnel non technique (secrétaires, comptables...) et
les personnes récemment recrutées. La paranoïa reste l'arme ultime de ce genre d'attaque.
Le Spyware ne fonctionne pas seul, il est souvent associé aux logiciels affichant des publicités (appelé
adwares) ou aux logiciels enregistrant vos informations personnelles ou sensibles (keylogger).
Aujourd’hui, le terme se confond de plus en plus avec celui d’ « adware » (logiciel d’affichage de
publicités, ex : Popcorn.net) et de « malware » (logiciel hostile indéfini, joliment traduit en français par
« pourriciel ») car la majorité des malwares actuels sont des spywares.
Les Hijack modifient la configuration de l'ordinateur (DNS, page de démarrage etc..). Le but de ces
infections est d'augmenter le trafic de ces pages afin de pouvoir augmenter le tarif des publicités et donc de
se faire de l'argent, ex : MyWebSearch.
D’autres sortes de logiciels indésirables effectuent des modifications parfois gênantes sur votre ordinateur
et à l’origine de son ralentissement ou de pannes répétées comme des :
• Pop-up, publicités incessantes
• Désactivation de l’antivirus et pare-feu
• Changement de la page Web
• Ajout de liens dans les Favoris
• De nouvelles barres d’outils
• Impossibilité de lancer un programme
• Navigateur bloqué
• Le démarrage et l’arrêt de l’ordinateur très long.
3). La messagerie
L’envoi de messages non sollicités (spam) est également un moyen d’installer des spywares, soit
en incitant l’utilisateur à visiter un site « infecté », soit en exploitant directement une faille du
client de messagerie. Outlook est une cible de choix car le moteur du rendu HTML Microsoft
(MSHTML.DLL) est commun entre Internet Explorer, Outlook et l’explorateur de fichiers.
Se protéger des spywares n'est pas chose facile. En effet, un anti-virus ne les détecte pas puisqu'il ne
détaille pas l'ensemble du code des programmes mais reconnaît des signatures identifiées au préalable.
L’étude faite en 2005 (résultats toujours d’actualité en 2007) par l’éditeur de logiciel Symantec sur
l’étendue des diverses infections qui touchent nos ordinateurs, montre que :
• 64% des ordinateurs seraient infectés par au moins un spyware
• 33% des ordinateurs auraient un dialer installé (programme appelant un numéro spécial surtaxé)
• 31% des ordinateurs seraient infectés par un trojan
• 14% des ordinateurs seraient infectés par un virus
• Le spyware représente 30% des appels au support chez Microsoft ;
En conclusion, il est impossible à l'heure actuelle de surfer en étant certain que nos informations ne sont
pas transmises. Il n'existe aucun moyen de s'assurer qu'un ordinateur connecté à internet ne soit pas à même
d'envoyer à notre insu des éléments non désirés. C'est pourquoi il est parfois préférable d'utiliser un PC
public, (cybercafé, université etc ...) si l'on veut surfer en paix sans donner d'informations. Une autre
solution peut être de naviguer à partir d’un LiveCD Windows ou Linux……
☺ info.
===============================================================================
Windows Defender c’est l’AntiSpyware de Microsoft : il est en téléchargement gratuit sur le
site de Microsoft, il est intégré dans Windows Vista (prgamme résident)
Remarque : pour que ce logiciel fonctionne, il faut que Windows XP SP2 soit activé.
===============================================================================
Cookies
☺ Les « cookies » ne sont ni plus ni moins qu’un espace de stockage de données persistantes, du type
site:champ=valeur. En effet la norme HTLM d’origine ne prévoit pas de fonction de stockage côté client,
ce qui s’est avéré limitant pour la personnalisation des sites (ex : je veux consulter la météo de mon
département sans avoir à ressaisir le code postal à chaque visite). Un « cookie » est une chaîne de
caractère (fichier texte) qu’un serveur Web dépose sur votre disque dur, via votre navigateur (IE, Firefox),
afin normalement d’accélérer ou d’autoriser votre prochaine visite. La création du cookie peut aussi être à
l’initiative du navigateur Web.
Proposés par Netscape en 1997, les cookies avaient provoqué de vives réactions des défendeurs des
libertés individuelles (privacy) qui avaient identifié les risques de vol d’informations sensibles (en cas de
vol de cookies) et/ou pistages des internautes.
Un cookie est un ensemble d'infos stockées sur le disque de l'utilisateur pour faciliter la navigation. Il ne
peut contenir que ce que l'utilisateur a bien voulu donner. Les autres renseignements tels que l'adresse IP,
le système d'exploitation ou le type de navigateur utilisé sont connus indépendamment des cookies !
Par exemple, sur MaSociété.com, nous utilisions un cookie pour le forum. Si vous envoyez un message
dans le forum, en remplissant votre pseudo (champs "Nom"), et éventuellement les autres champs ("email",
"URL", etc...), ces informations seront stockées dans un cookie. Ainsi, quand vous reviendrez voir le
contenu du forum, le site MaSociété.com vous "reconnaîtra" et remplira pour vous les divers champs que
vous aviez remplis auparavant.
Voici le contenu d’un « cookie »:
le nom le texte la date de fin le nom de l’ordinateur ou indique si le "cookie" est
= du du
« cookie » « cookie »
du « cookie » domaine accessible uniquement par un
qui a déposé le « cookie » serveur sécuritaire
Selon le navigateur tous les cookies sont déposés dans un seul fichier, c'est le cas de Netscape ou un fichier
par cookie, c'est le cas d’Internet Explorer de Microsoft. Par la suite, à chaque requête de page HTML que
vous faites, votre navigateur vérifie si un cookie existe (selon les paramètres de création du cookie) pour :
Mais jamais un cookie ne pourra récupérer à votre insu, par exemple, votre adresse Émail (à moins que
vous ne la communiquiez explicitement dans un formulaire).
Un cookie est une information de type "texte" qui est stockée, à l'aide d'un JavaScript, sur la machine du
client, sous des formes diverses suivant le navigateur utilisé :
dans plusieurs fichiers (un par serveur) (sauf V3.0 sous NT3.51)
Ex. : E:\Documents and Settings\BELLAMY\Cookies\Bellamy@springfield[1].txt
• Internet Version IE Version Windows Répertoire
Explorer
2000/XP/Vista %userprofile%\Cookies\<username>@<sitename>.txt
5.x /6.x
Toutes les informations qu'ils contiennent auront été volontairement données par vous-même.
Si par hasard un site WWW vous demande des renseignements plus ou moins confidentiels tels que votre
compte bancaire, la liste des logiciels que vous utilisez, etc.., c'est le site lui-même (et surtout son
responsable) qui est à mettre en cause, et non pas les cookies qu'il pourrait éventuellement créer.
Réponse de Google.fr
HTTP/1.1 200 OK
Content-Length: 1546
Server: GWS/2.0
Date: Wed, 05 Jun 2002 18:10:41 GMT
Content-Encoding: gzip
Content-Type: text/html
Cache-control: private
Set-Cookie: PREF=ID=4179fbc62eb90f6c:LD=fr:TM=1023300641:LM=1023300641:S=EVRhsiQ8sCc;
domain=.google.fr; path=/; expires=Sun, 17-Jan-2038 19:14:07 GMT
Le serveur reçoit une requête HTTP vierge de tout cookie, il en crée un et le transmet avec la réponse grâce
à la fonction Set-Cookie. Le client recoit la réponse, crée le cookie dans un fichier texte, sur votre disque
dur. A la prochaine connexion, il transmettra à Google.fr les informations contenues dans le cookie.
Comme vous le voyez, le cookie étant un fichier texte, il est placé dans l'entête HTTP, champs "Cookie".
Et comme vous l'avez remarqué, le cookie est EN CLAIR !
Les cookies ne sont pas des virus, car ce sont simplement des fichiers
textes ouverts avec le bloc note donc il est impossible de pouvoir faire exécuter des scripts sur le poste du
client. Comme un cookie ne peut être ni un script ni un virus ni un programme, alors il ne peut pas lancer
de recherche sur le système du client dans le but d‘y rechercher des informations. Comme le stockage des
cookies est limité, il est impossible de porter une attaque de type DoS sur le système du client (en tout cas
pour le moment, on ne sait jamais ce que l‘avenir nous réserve).
Comme les espions qui vous traquent détestent que vous les repériez et les éradiquiez, ils ont trouvé des
techniques pour se rendre encore plus discrets. Et surtout permanents !
Vous aurez beau effacer vos cookies, certains réapparaîtront tout seuls, comme par magie.
Le responsable? Le lecteur Flash d’Adobe : permet de rendre les sites interactifs en intégrant des vidéos et
des jeux => stocker des données permanentes sur l’ordinateur dans des fichiers dits Local Storage Object
(LSO) ou cookies Flash. C’est bien utile pour sauvegarder par exemple la partie en cours d’un jeu afin de
le reprendre plus tard.
Depuis la version 10.3 de Flash, Adobe permet au navigateur d’effacer lui-même les Flash cookies.
Les cookies Flash ne seront effacés automatiquement avec les cookies classiques qu’avec Firefox 4 et
Internet Explorer 8 et 9 Chrome version 12.
Pour Firefox, l’extension BetterPrivacy, spécialisée dans la suppression des LSO.
Pour Chrome, l’extension Click&Clean
CCleaner
CCleaner est un programme gratuit qui permet le nettoyage de Windows : fichiers temporaires, cache
Internet, nettoyage du registre etc. Il peut être intéressant d'utiliser CCleaner pour désinstaller les
programmes installés sur votre machine, ou de nettoyer certains malwares s'installant dans les dossiers :
C:\DOCUME~1\%USERNAME%\LOCALS~1\Temp\
C:\DOCUME~1\%USERNAME%\LOCALS~1\Application Data\
De nombreuses raisons peuvent expliquer l’utilisation d’un keylogger. Les fabricants de ce type de
logiciels/matériels les emploient de manière l égale :
• Pour faire une copie d’éléments de preuve dans le cadre d’une enquête
• Pour faire une copie de documents sensibles en cas de crash système ou matériel
• Pour surveiller l’accès aux contenus pornographiques et protéger les enfants
• Pour surveiller les possibles abus d’employés pendant leurs temps de travail
• Pour servir de support aux détectives privés et experts en sécurité
☺ Mais malheureusement, les keyloggers sont détournés de leur fonction première à des fins frauduleuses.
Différents modèles de keyloggers existent sur le marché, toutefois ils peuvent être divisés en deux grandes
catégories : les keyloggers logiciels et les matériels.
Contre-mesures :
Les Keyloggers matériels ne sont pas identifiés par les anti-virus. Il
n'est donc pas évident de les remarquer. Par contre, les Keyloggers
logiciels qui s'exécutent au démarrage de la machine, tout
ralentissement du système au lancement doit sembler suspect.
Cependant, avec les nouvelles générations d'ordinateurs il est de moins
en moins simple de noter ces ralentissements machines.
En général les fichiers de récupération, cryptés ou non sont stockés
avec des noms très peu parlant dans c:/windows/temp.
HijackThis
☺ BHO est l'acronyme de Browser Helper Object, BHO est une bibliothèque (DLL) qui
s'installe sur le navigateur Internet Explorer sous forme de plugin afin d'élargir les
fonctionnalités du navigateur WEB. La majorité des barres d'outils (Google Toolbar,
Yahoo! Toolbar etc..) installent aussi des BHO, qui sont plus visibles pour l'utilisateur
puisqu'elles modifient l'aspect visuel du navigateur.
Par exemple, la majorité des infections de faux codecs installent des BHO afin d'effectuer des redirections
vers des sites provoquant des alertes.
Souvent sous forme de lignes suivantes sur HiJackThis :
• O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX
Access\iesplg.dll
• O2 - BHO: SXG Advisor - {B21F613B-A670-4788-AB37-F08331D7C63D} - C:\WINDOWS\dpvtpornmw.dll
• O2 - BHO: SXG Advisor - {9C22FF6B-11B2-43B0-9F1A-8B0C209C1FAB} - C:\WINDOWS\dpvtportwf.dll
Beaucoup d'utilitaires permettent de visualiser et identifier les BHO installés sur votre ordinateur. Le plus
utilisé et le plus connu est HijackThis.
Comprendre les logs d’HijackThis
HijackThis est un outil capable de traquer les hijackers présents sur votre PC. Ces modifications non
sollicitées ont différents effets comme par exemple le détournement de la page d'accueil d'Internet
Explorer, l'insertion d'un composant dans la barre du navigateur ou encore le détournement
d'adresse IP via le fichier Hosts. Le programme liste les différents endroits où sont susceptibles de se
cacher des hijackers et vous permet ainsi de supprimer les entrées suspectes. Malheureusement,
l’interprétation de ces listes (ou logs) n’est pas chose aisée et bien souvent l’utilisateur ne sait si tel ou tel
élément doit être supprimé.
HijackThis v2.0.2 Written by Merijn - http://www.merijn.org/files/hijackthis.zip
***A l’adresse suivante : http://www.hijackthis.de/fr, coller la log à l’endroit spécifié : « veuillez copier
votre log ci-dessous », puis cliquez sur « Evaluer »***
Voici un extrait de résultat :
☺ Avant d’utiliser HijackThis, il est fortement conseillé d’effectuer les manipulations suivantes :
1.- supprimez tous vos fichiers Internet temporaires et Cookies et dossier Temp (voir Ccleaner)
2.- scannez vos disques avec un antivirus installé (mis à jour) sur votre PC
3.- scannez vos disques avec un antivirus en ligne (http://www.secuser.com/outils/antivirus.htm)
4.- scannez votre machine avec Spybot - Search & Destroy (mis à jour)
5.- utilisez CWShredder, BHO Daemon v2.0.0.23 (browser hijacker remover)
6.- utilisez la dernière version de HijackThis (analyser les logs obtenus)
Vous pouvez donc utiliser pleinement HijackThis. Cliquez sur le bouton Scan : la vérification des clés
commence. Une fois les lignes néfastes cochées, cliquez sur le bouton fix checked, => supprimer les lignes.
☺ TP à réaliser.14
================================================================================
Suppression du service Rootkit HxDef100
1). Arrêter et désactiver le service HxDService100 (bouton droit puis Gérer sur Poste de travail)
2). Supprimer le service HackerDefender100 avec HijackThis (menu MiscTools)
================================================================================
Solution 2 :
Quand vous surfez depuis un ordinateur utilisé par plusieurs personnes, ces derniers peuvent
usurper votre identité, pirater vos comptes, épier votre courier en utilisant les traces laissées dans le
logiciel. Heureusement, les navigateurs incluent tous une fonction de navigation privée.
La navigation privée est un autre ajout majeur présent dans Internet Explorer 8. Aussi appelée « pr0n
mode », elle offre une navigation sans aucune conservation de données sur le disque dur (exemple naviguer
sur un poste qui n’est pas le sien par défaut : rien dans l’historique ni dans les cookies, de mots de passe
enregistrés).
Pour passer en mode privée il suffit d’appuyer sur Ctrl + Shift + P ou d’aller dans le menu Safety puis
InPrivate Browsing, une nouvelle session du navigateur s’ouvre, et dès lors « In Private » fait son
apparition à côté de la barre d’adresse pour vous indiquer clairement que vous allez surfer sans laisser de
traces sur votre machine. Après la fermeture de la session du navigateur, aucune donnée relative à
cette navigation n’est conservée sur le disque dur. Vous comprendrez à coup sûr l’intérêt d’un tel mode
et son surnom.
Il est plus facile (IE9) d'effacer l'ensemble de vos cookies, pour cela, dans le menu principal, sélectionnez
Options Internet, dans l'onglet Général de la nouvelle fenêtre, cliquez sur le bouton Supprimer de la
section Historique de navigation, ne laissez cochée que la case Cookies dans la fenêtre suivante, puis
cliquez sur Supprimer.
Vous pouvez également bloquer l’enregistrement obligatoire des données pour certains sites. Il faut pour
cela aller dans les options « InPrivate Blocking ».
Vous pouvez également lancer directement le mode privé avec le raccourci suivant : iexplore.exe –private
Do Not Track est une nouvelle technologie intégrée (à Firefox et IE9), elle offre la possibilité de signifier
aux sites Web votre refus que vos habitudes de surf soient enregistrées et utilisées pour délivrer de la
publicité ciblée. Cette solution ne fonctionne en effet qu'avec les règles et les sites publicitaires qui le
veulent bien.
Cliquez sur Outils, dans le menu Sécurité sélectionnez Protection contre le tracking, dans la fenêtre qui
s'ouvre, sélectionnez Protection contre le tracking dans la colonne de gauche et cliquez sur Votre liste
personnalisée dans celle de droite et sur le bouton Activer en bas à droite. En sus de la technologie Do Not
Track, IE9 propose de filtrer automatiquement des listes préétablies de sites, les empêchant de collecter et
de partager vos données de navigation. Pour récupérer et activer une telle liste, cliquez sur Protection
contre le tracking dans la colonne de gauche, puis sur Obteneir une liste de protection contre le
tracking en ligne juste en dessous, une nouvelle page s'ouvrira, affichant pour l'instant, cinq listes de
protection contre le suivi, il suffit de cliquez sur le bouton Ajouter à côté de chacune d'entre elles pour
l'activer.
Ainsi les modifications effectuées sous la protection de Sandboxie ne sont pas effectives dans les fichiers
authentiques. Les parasites et les bogues qui y sont enfermés n'affectent pas le système d'exploitation.
Toutes les traces laissées par vos activités online (favoris, cookies, historique, cache Internet...) seront
également sous le contrôle de Sandboxie. De plus, Sandboxie interdit depuis la zone qu'il contrôle toute
injection dans le noyau de
Windows (driver, DLL…).
Il suffira de vider le
contenu du bac à sable
avant de terminer une
cession d'utilisation de
l'ordinateur pour que toutes
les traces inutiles ou
dangereuses isolés dans le
bac à sable soient définitivement effacées du disque … Virus, chevaux de Troie, logiciel espion, et autres
logiciels malveillants, ainsi que l’historique et le contenu du cache de navigation.
Solution 4 :
Utiliser un logiciel de virtualisation comme VMWARE, Virtual PC, VirtualBox, afin pouvoir surfer sur
Internet à partir d'un OS virtualisé dans un système hôte sans risquer d'altérer celui-ci par des attaques ia
votre navigateur.
De par leur facilité d'installation, ces périphériques s'échangent très facilement d'une machine à une
autre. Cependant, cette opération présente des risques. Le simple fait d'ouvrir le poste de travail et
de double-cliquer sur la clé USB/disque dur externe (ré) infectera le système d'exploitation ! La clé
infectera à son tour un PC sain. Et ainsi de suite ...
Symptômes
• Le double-clique pour ouvrir vos supports amovibles infectés ne fonctionne plus.
• Si vous rendez visible les fichiers et dossiers cachés, vous vous rendrez compte que la clé
contiendra plusieurs fichiers et processus inconnus et donc infectés ; ne surtout pas double-cliquer
dessus pour les ouvrir car ils rendront active l'infection, si ce n'est déjà fait !
Après avoir connecté une clé USB, il faut aller dans le Gestionnaire de Périphériques et chercher le
Périphérique de stockage de Masse USB correspondant. Dans l’onglet détails de ses Propriétés, on
trouve le Numéro d’identification de l’instance de périphérique, ici :
USB\VID_0781&PID_5406\00001675C674A608 pour une clé Scandisks Cruzer et le Numéro
d’identification compatible, ici : USB\Class_08&SubClass06&Prot_50. Dans ce cas précis, le
VID_0781 correspond à Scandisks et le PID_5406 au produit Cruzer Micro tandis que Class_08
correspond à la classe générique « stockage de masse ».
☺ Du côté Windows, le pilote est décrit dans le fichier Windows\Inf\usbstor.inf ou la correspondance est
faite grâce à la ligne : USB\Class_08&SubClass06&Prot_50.
Le programme « USB Dumper » a été conçu et est composé d’à peine 200 lignes de code écrites en C,
initie la copie de tous les fichiers de manière transparente dans le répertoire ou a été lancé le programme.
Pouvant être considéré comme un cheval de Troie, l’antivirus le détecte (pour Symantec il s’agit de
infostealer.Gasval) et l’élimine. Cependant cette protection est illusoire car une simple recompilation avec
MSVC (Visual C++ v8 par exemple) permet de la contourner.
☺ Pour la désactiver sous Windows, il suffit de modifier la clé suivante dans la base de registres :
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom
Pour la désactivation de l'autorun : Autorun = 0 (par défaut déjà désactive sous Windows 7).
Via Gpedit.msc : Configuration de l’ordinateur/Modèles d’administratifs/Système et activez l’option
Désactiver la fonction Auto démarrage.
☺ Un utilisateur reçoit un e-mail déguisé de sa banque ou de son magasin en ligne favori contenant un lien
vers son compte, il est demandé une confirmation de mot de passe ou une bonne affaire est proposée.
Une fois le lien cliqué, l'url dans la barre d'adresse est maquillée et le vrai site cloné sur un serveur
différent. Confiant, l'internaute piégé rentre ses identifiants et/ou ses numéros de cartes, etc…
Il existe plusieurs stratégies principales pour lesquelles un phisher à succès peut opter afin de tirer de
l’argent avec les logins bancaires volés en-ligne :
-Vendre les informations sur les logins volés (en général, les comptes dont le solde s’élève à plus de
100K$ sont négociés entre 100$ et 500$ e-gold).
-Encaisser de l’argent par le réseau de Drops (il s’agit de trouver un drop à qui faire confiance, ce qui
est loin d’être une tâche facile : le drop est censé ne pas vous trahir s’il est démasqué, il est également
possible de demander un paiement en e-gold).
Les informations volées sur les cartes de crédit sont utilisées pour acheter des e-gold (est une devise en or
digitale, exploitée par la Gold&Silver Reserve Inc sous e-gold Ltd. C’est un système qui autorise des
transferts instantanés de propriété d’or entre les usagers, habituellement les gros comptes sont détenus par
des gens appelés Gold Bugs, autrement dit, des gens qui ne font pas confiance aux devises traditionnelles et
préfère investir dans de l’or, l’utilisation facile de e-gold en fait un moyen de paiement universel :
anonymat, irréversibilité, indépendance) répartis de préférence entre plusieurs comptes afin de réduire la
visibilité de chaque transaction, e-gold est utilisé pour les cartes de débit (typiquement Cirrus ou Maestro)
établies par des entreprises extraterritoriales qui exigent uniquement une adresse valide pour y envoyer la
carte. Cette adresse peut être celle d’une boîte postale ou d’un drop. L’argent liquide est alors retiré aux
guichets automatiques avec les cartes de débit jusqu’à l’épuisement du solde limite journalier de la carte.
La première précaution à prendre est de ne jamais cliquer sur les liens contenus
dans un e-mail et menant a un formulaire de paiement ou de connexion. Recopiez
plutôt l'adresse dans votre navigateur.
Exemples de mail "phishing" US : Paypal
Comment se protéger du
phishing?
Defacement/défiguration
Les sociétés devenant de plus en plus dépendantes des réseaux de
l'information, la simple
modification de ceux-ci peut
provoquer des dommages
non négligeables de type
économiques, sociaux,
logistiques, émotionnels ou
encore environnementaux.
De plus, le public et les
journalistes sont fascinés par
tous les types d'attaques
informatiques, ce qui conduit à une large couverture dans
les médias. De fait, une défiguration conduite souvent à une
baisse flagrante de l'image de marque de la victime.
Le spam
Comment se protéger ?
Surtout ne pas répondre à un message spam. Les spammeurs utilisent généralement de fausses
adresses d'envoi. Il est donc totalement inutile de répondre. De plus, si l’adresse de l’émetteur
est correcte, vous ne feriez que renseigner cet émetteur sur la validité de votre adresse mail et
recevoir plus de spams encore. La meilleure solution reste la prévention.
N’utilisez jamais publiquement l'adresse e-mail confiée par votre fournisseur d'accès ou votre entreprise,
réservez-la à un cercle restreint d'amis ou des collègues en lesquels vous avez toute confiance.
Vérifiez que votre adresse e-mail ne sera pas diffusée sans votre accord explicite. Certains fournisseurs
d'accès ou prestataires peuvent automatiquement vous inscrire dans un annuaire web. Remplacer son
adresse électronique par une image (non détectable par les logiciels de capture d'adresses). Décomposer
son adresse électronique, par exemple didier point dupond arobase free point fr.
Evitez au maximum la publication de votre adresse e-mail sur des forums ou des sites Internet.
☺ Créez une ou plusieurs « adresses poubelles » servant uniquement à vous inscrire ou vous identifier sur
les sites jugés non dignes de confiance (voir sur www.jetable.org ou http://spamgourmet.com/ : créer un
mail temporaire que vous aurez le droit d’utiliser pendant une heure, une semaine ou un mois, à votre
convenance, tous les mails de cette fausse adresse seront routés vers votre véritable mail, jusqu’à ce
qu’elle expire.).
---------------------------------------------------------------------------------------------------------------------------------
Hotmail et Yahoo! Mail permettent de créer des adresses secondaires à partir de son compte mails.
1). Connectez-vous sur votre compte de messagerie Yahoo! Mail, cliquez sur le menu Options et choisissez
Autres Adresses mail jetables puis cliquez sur Ajouter une adresse dans le volet droit.
2). Entrez un nom de votre choix dans la boite de dialogue Créer la racine et cliquez sur Suivant,
choisissez ensuite un mot-clé en rapport avec l'utilisation de votre adresse jetable. Vous avez la possibilité
On estime à près de 90% le pourcentage des emails publicitaires et frauduleux sur l’ensemble des
emails envoyés à travers le monde, autant dire que la guerre est perdue...
Les dispositifs anti-spam côté client, situés au niveau du client de messagerie. Il s'agit généralement de
systèmes possédant des filtres permettant d'identifier les spams, sur la base de règles prédéfinies ou d'un
apprentissage. (Junk E-mail dans Outlook 2003)
Les dispositifs anti-spam côté serveur, permettant un
filtrage du courrier avant remise aux destinataires. Ce type
de dispositif est de loin le meilleur, car il permet de stopper
le courrier non sollicité en amont et d’éviter l'engorgement
des réseaux et des boîtes aux lettres des internautes.
On peut trouver sur Internet des listes identifiant les producteurs ainsi que les « relayeurs » de spams. Ces
derniers sont des serveurs de messagerie sur Internet qui permettent l'envoi de spams. Ceux-ci sont
identifiés sur base de leur adresse IP et de leur domaine. Ces listes sont ensuite utilisées pour configurer les
serveurs de messagerie de façon à interroger cette source d’informations et prendre une décision quant aux
messages provenant d’émetteurs listés dans ces listes noires. La consultation s’effectue dans la majorité des
cas via une requête de type DNS (service Internet assurant la conversion des noms de domaines en
adresses IP et vice versa).
Si la réponse indique une source répertoriée comme émettrice de spams, le serveur n’a plus qu’à filtrer le
mail. Rien ne s’oppose à ce qu’une autre technique de filtrage et d’analyse ne soit appliquée par la suite aux
messages acceptés, par exemple sur leur contenu ou sur leur enveloppe.
Avantages/inconvénients
Le filtrage sur émetteur évite que le spam arrive sur les serveurs si le filtrage a lieu au niveau des
fournisseurs d'accès à Internet.
Il en découle des économies de bande passante, de stockage et de CPU. De plus, si on interroge une base
locale, le recours à cette technique consomme peu de ressources et est donc rapide.
Les listes blanches sont exploitées par des sociétés commerciales qui accréditent la qualité d’un serveur de
mail. Elles contiennent des sites, des domaines ou des adresses IP sûres et certifiées.
Parmi ces listes les plus connues sont : Habeas, Bonded Sender, SuretyMail (ISIPP). Vous pouvez aussi
créer sur votre client de messagerie une liste blanche avec tous vos contacts (famille, amis, professionnel)
Il existe quelques listes, ni noires, ni blanches. Une liste spécifique répertorie tous les serveurs de Yahoo :
ybl.megacity.org (attention cette liste n’est pas crédible). D’autres listes, plus utiles, permettent de
connaître le pays d’origine de l’IP consultée : tr.countries.nerd.dk, <PAYS>.blackholes.us.
Les listes de domaines (RHSBL) sont utilisées et présentes sur l’Internet
depuis moins longtemps. Elles peuvent être utilisées dans deux cas : soit pour
contrôler le domaine expéditeur, soit pour vérifier les URL contenues dans un
email. Dans ce dernier cas, souvent le plus intéressant, une extraction des
URL présentes dans le corps des courriers électroniques est effectuée pour
vérifier chacune d’elles dans les RHBL.
Sur un total d’environ 25 RHSBL existant actuellement, les principales et des
plus utilisées sont : rhsbl.sorbs.net, sbl.spamhaus.org, fulldom.rfc-
ignorant.org, multi.surbl.org, multi.uribl.com.
Les produits complet comme par exemple : Norton internet Security intègre en plus d’un pare-feu, plus
antivirus, également un anti spam.
Ce protocole est basé sur des normes définies par l’UPnP Forum. Il s’appuie sur les standards Internet
connus : IP, TCP/UDP, HTTP, SOAP (XML). Aucun driver n’est nécessaire à l’implémentation d’un
équipement UPnP.
La phase de découverte
Une fois la connectivité IP établie, l’équipement UPnP (de type Device/Serveur) doit alors alerter les
autres éléments du réseau de ses services.
☺ Des requêtes SSDP NOTIFY sont alors émises en Multicast vers le port UDP/1900 de tous les
équipements du réseau local. Chaque élément UPnP est ainsi en mesure de savoir quels équipements
proposent quels services.
Chaque requête contient un entête LOCATION qui indiquera l’emplacement du fichier XML contenant le
catalogue des services proposés.
De leur côté, les équipements client (ou Control Point) peuvent également rechercher les équipements
(devices) UPnP présents sur le réseau en envoyant, à intervalles réguliers, une requête SSDP M-SEARCH
vers adresse Multicast 239.255.255.250 sur le port UDP/1900, c’est à dire vers tous les équipements.
Chaque équipement (device) “Control Point” répondra via une requête 200 OK et lʼadresse (entête
LOCATION) du fichier de configuration XML à consulter.
Nombreux logiciels utilisés du quotidien utilisent sans même que vous le sachiez le protocole UPnP afin
d’ouvrir automatiquement (et discrètement) certains ports sur votre routeur ADSL.
MSN est l’exemple le plus connu. L’utilisation des services voix et téléphonie nécessite l’ouverture et le
Mapping des ports sur le routeur ou le pare-feu. Chose que MSN sait faire tout seul avec UPnP.
Windows peut également implémenter un client UPnP en ajoutant cette spécificité dans “Ajouter un
composant de Windows”, puis “Services de mise en réseau”. Dès lors, le système Windows peut
découvrir automatiquement les périphériques UPnP et alerte l’utilisateur par un pop-up dès qu’un tel
équipement est découvert sur le réseau. Ce dernier est alors ajouté dans “favoris réseau”.
L’exemple le plus frappant serait de natter deux ports externes vers les ports 139 et 445 d’une machine
interne afin d’accéder aux dossiers partagés par la victime.
UPnP est donc un protocole dangereux. L’absence de mécanisme d’authentification donne aux pirates des
possibilités étendues qui dépendent notamment des implémentations propres à chaque fabricant.
Les routeurs ADSL sont au centre du problème, car la fonction de port mapping est indispensable pour les
applications d’aujourd’hui…d’autant plus que la plupart des internautes utilisent encore des navigateurs
vulnérables aux attaques CSRF.
---------------------------------------------------------------------------------------------------------------------------------
Sous Windows XP, le système Universal Plug & Play est supporté par deux services (processus),
-"Service de découvertes SSDP" (SSDPDS) et
- "Hôte de périphérique universel Plug-and-Play" (UPNPDH).
Les personnes pensent qu’en désactivant le service nommé " Hôte de périphérique universel Plug-and-
Play " cela désactive le système UPnP. Mais cela n’est pas le cas, l’action correcte est d’arrêter et
désactiver le service nommé "SSDP Discovery Service".
Avec le service SSDPDS fonctionnant sous Windows XP nous avons
-le port TCP 5000 ouvert => accepte les connexions distantes et
-le port UDP 1900 en écoute pour les datagrammes en entrée.
Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau
informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La
méthodologie généralement employée par les pirates informatiques consiste à scruter le réseau (en
envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée,
puis à chercher une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet pour
plusieurs raisons :
• La machine cible (à la maison) est susceptible d'être connectée sans pour autant être surveillée (je
suis au travail);
• La machine cible est généralement connectée avec une plus large bande passante (ADSL-Fibre
Optique);
• La machine cible ne change pas (ou peu) d'adresse IP (ADSL-Zone dégroupée : Free.fr).
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une
connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de
protection.
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewalls en anglais), est un dispositif physique
(matériel) ou logique (logiciel) servant de système de protection pour les ordinateurs domestiques. Il peut
également servir d'interface entre un ou plusieurs réseaux d’entreprise afin de contrôler et éventuellement
bloquer la circulation des données en analysant les informations contenues dans les flux de données
(cloisonnement réseau). Une structure destinée à empêcher un feu de la traverser.
Elle limite l’accès à l’Internet ou aux autres parties des réseaux
• limiter l’entrée et la sortie à des points contrôlés
• empêcher les attaques de l’extérieur
Un firewall sert dans de nombreux cas également à éviter la fuite non contrôlée d’informations vers
l’extérieur (votre machine est déjà infectée).
Il est possible de mettre un système pare-feu sur n'importe quelle machine et avec n'importe quel système
pourvu que :
• La machine soit suffisamment puissante pour traiter le trafic ;
• Le système soit sécurisé ;
• Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main », on utilise le terme
d'« Appliance ».
Il est également utilisé pour la création de zones démilitarisées (DMZ) pour l’hébergement de serveurs
publics. Dans certains cas, il sert même à séparer différentes parties du réseau d’entreprise en périmètres de
sécurité différents (cloisonnement réseau).
Firewall- généralités
a). Screened host FW with single-homed bastion
De façon générale, ce système présente une sécurité accrue pour deux raisons principales :
• Cette configuration met en œuvre les deux filtrages : le filtrage de paquets et le filtrage d’applications.
Ceci permet une très bonne souplesse dans la définition des polices de sécurité.
• Une attaque devra pénétrer deux systèmes consécutifs s’il désire compromettre le réseau interne.
Dans le cas où le filtrage de paquets n’est plus assuré (compromised), l’entier du réseau interne est perdu !
Par contre les accès directs au monde extérieur sont plus compliqués si l’on se contente de ne laisser passer
que le trafic du bastion.
En cas de présence d’un serveur Web dans le réseau interne, on ouvrira le filtre de paquets pour cette
machine sur le port correspondant (dans ce cas le port 80 ou 443).
Cette méthode peut être sans autres appliquée si le service ne requière pas un haut degré de sécurité (strong
authenticassions)
Afin de ne pas compromettre le réseau interne en cas de « perte » du filtrage de paquets, un Bastion à deux
ports physiques distincts permettra d’isoler ce dernier du serveur Web. Ainsi :
– Le routeur de filtrage de paquets n’est plus critique.
– Le trafic entre le réseau extérieur et une machine du réseau interne doit traverser le Bastion et ainsi être
contrôlé.
Le serveur Web peut être installé entre le Bastion et le filtre de paquets pour des raisons de vitesse de
service sans pour autant compromettre le reste du réseau interne (Intranet).
L’installation d’une zone « tampon » entre le réseau extérieur (en principe Internet) et le réseau interne (en
principe Intranet) semble être la solution idéale. Cette zone est aussi appelée « Zone démilitarisée » DMZ
(DeMilitarited Zones).
La DMZ permet l’installation de machines jugées à risques (serveur Web, Server POP, Bastion) dont la
chute ne mettra pas en cause le réseau interne.
Implique un haut degré de sécurité en raison des deux filtrages de paquets mis en œuvre du coté interne et
du coté externe.
Firewall/ Pare-feu Le Firewall est un ordinateur, un boîtier ou même un logiciel qui sert à protéger et isoler les réseaux
les uns des autres, notamment pour protéger des pirates pénétrant par les connexions Internet. Il assure
généralement les fonctions suivantes :
• examen détaillé de chaque paquet reçu,
• filtrage de contenu d'applications,
• authentification/autorisation d'applications,
• cryptage/décryptage, traduction d'adresses de réseau ou NAT (Network Address
Translation), qui rend les utilisateurs non visibles de l’extérieur en leur attribuant une
adresse IP différente pour l'extérieur.
En clair, c'est un logiciel, séparé ou intégré à un OS, sur une machine qui comporte au moins 2 cartes
réseau
DMZ La DMZ (DeMilitarized Zone) désigne une zone partiellement sécurisée, située entre l’accès à
Internet et le réseau interne de l’entreprise et dans laquelle on peut placer les serveurs Web
accessibles depuis l’extérieur. Un firewall isole cette zone du réseau interne qui bénéficie ainsi d’une
sécurité supérieure aux systèmes les plus exposés.
Bastion (Proxy) Machine en interne (DMZ), proposant des services informatiques publics ou contrôlés, peu jouer le
rôle de pare feu. Machine ou routeur filtrant qui n’autorise que le trafic de et vers ce bastion (proxy).
Les bastions sont installés de façon très sécurisée afin d'éviter des restaurations de système trop
souvent. Du trafic peut passer directement à travers le routeur filtrant (performances).
Routeur Élément actif qui permet de communiquer avec un tiers via ADSL, RNIS, LS, RTC… depuis un
réseau interne isolé. La communication sur le réseau câblé se fait par transmission de paquets. Chacun
d'eux possède une identité de destination et d'origine et le routeur choisit le chemin au coup par coup
jusqu'au prochain saut. Ce choix peut s'agrémenter d'un tri effectué selon des règles préfixées.
NAT Traduction d'adresses IP privée en adresse IP publique. C'est le calcul réalisé par un élément actif
pour faire sortir des paquets venants d'une IP interne, les faire sortir avec sa propre adresse IP (en
transformant l'en-tête du datagramme), et refaire la transformation inverse dès le retour du paquet afin
de le délivrer au demandeur.
Serveur Machine de référence qui gère des droits de connexions avec d'autres éléments actifs. Elle possède
d'Authentification une clef privée secrète qui est identique aux éléments qui lui font référence d'authentification.
Tacacs / Tacacs+ / Méthodes d'AAA très sécurisées avec des clés publiques / privées.
Radius/Diameter
(open source)
AAA Autorisation Authentification Account. Les services AAA dépendent d’un serveur ou cluster pour
stocker les mots de passe des utilisateurs (gestion centralisée des identifiants). Ce type d’utilisation
des services AAA peut être complété avec 802.1x pour les réseaux filaires, permettant de bloquer le
port si la demande est refusée ou même si l’adresse MAC connectée n’est pas la bonne.
Syslog Programme très proche de l'OS qui enregistre, sous forme basique, toutes les informations de
débuggage et des actions qui se déroulent sur le système. (login, extinction, boot, lancement de
processus.....)
L'ensemble de ces règles (au niveau du routeur) permet de mettre en œuvre une méthode de filtrage
dépendant de la politique de sécurité adoptée par l'entité. On distingue habituellement deux types de
politiques de sécurité permettant :
===============================================================================
Avantage:
– Concept simple
– Complètement transparent pour l’utilisateur interne ou externe (pour autant que ses paquets soient
transmis et non éliminés !)
– Rapide bien que la présence d’un Firewall ralentira en tout les cas le trafic.
Inconvénients:
– Grosses difficultés à paramétrer la configuration de façon cohérente. Cette difficulté rendra le Firewall
inefficace en cas de mauvaise configuration
– Pas de mécanisme d’authentification. Les seuls paramètres contrôlés se trouvent dans les en-têtes des
paquets.
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire.
Pour y remédier, le système de filtrage dynamique de paquets est basé sur l'inspection des couches 3 et 4 du
modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-
saxon est « stateful inspection » ou « stateful packet filtering », traduisez « filtrage de paquets avec état ».
☺ Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des échanges,
c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les règles de filtrage. De cette
manière, à partir du moment où une machine autorisée initie une connexion à une machine situé de l'autre
côté du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion sera implicitement
accepté par le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant
de l'exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités
représentent la part la plus importante des risques en termes de sécurité.
Dans la pratique, le firewall matériel étant supposé s'exécuter sur un système d'exploitation réputé pour sa
sécurité, et disposer d'un firewall parfaitement configuré, il est donc potentiellement plus efficace.
Avantages Inconvénients
Coût inférieur en raison de l'implémentation d'un Tous les pare-feu ne prennent pas en charge cette
seul ordinateur pare-feu. configuration.
La configuration peut englober plusieurs Si le pare-feu est compromis, tous les segments du réseau
segments. Chaque segment peut être configuré interne sont exposés.
selon un niveau d'accès particulier au réseau
interne.
Une seule liste de règles est nécessaire. Le pare-feu peut devenir un goulot d'étranglement, car
tout le trafic entrant et sortant doit être analysé à son
niveau.
La liste des règles de pare-feu peut devenir
particulièrement complexe.
Le tableau suivant récapitule les avantages et les inconvénients liés à l'implémentation d'un sous réseau
filtré intermédiaire :
Avantages Inconvénients
Étant donné qu'un pirate doit passer outre deux Deux pare-feu sont plus onéreux qu'un seul.
pare-feu pour accéder au réseau interne, cette
méthode renforce la sécurité de votre réseau.
Conclusion
Les firewalls personnels ne proposant pas des fonctionnalités tels que le contrôle de DLLs, le blocage
d’injection de threads ou encore la protection contre le contournement de la pile TCP/IP n’offrent aucune
protection contre les malwares utilisant des techniques « récentes ».
Cependant, les failles de type injections de codes se situant au niveau de l’OS et non du réseau, il pourrait
paraître légitime que les éditeurs de firewall personnel estime que la gestion de ces failles n’est pas de leur
ressort. Des outils tels que ProcessGuard (Windows) ou Systrace (Linux) sont spécialisés dans la gestion
des droits interprocessus et proposent un grand nombre de fonctionnalités permettant de bloquer les
malwares utilisant l’injection de code, l’installation de kernel-mode driver etc...
Remarque :
Vous pouvez autoriser les fenêtres pop-up de sites sécurisés avec Windows XP SP2, pour cela, lancez
l’éditeur de registres, dans l’éditeur placez-vous sur la clé :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows. Là, créez une
nouvelle valeur chaîne que vous nommerez « AllowHTTPS » et donnez lui la valeur 1.
Vous pouvez restreindre les ports USB à la lecture (il faut le SP2), dans
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies, créez une
valeur de type Reg_Dword « WriteProtect » et attribuer la valeur 1.
Des programmes tout à fait corrects peuvent donc être stoppés rendant leur exécution impossible. Cette
fonctionnalité provoque parfois au démarrage de Windows le message suivant « Pour aider à protéger
votre ordinateur, Windows à fermer le programme suivant ». Solution :
• Vous pouvez cependant définir des exceptions et la désactiver pour des applications précises.
• Sous XP :
o Allez dans le menu Démarrer, faites un clic-droit sur Poste de travail puis cliquez sur
Propriétés. Dans la zone Performances, cliquez sur Paramètres.
o Allez à l'onglet Prévention de l'exécution des données.
o Sélectionnez alors l'option "Activer la prévention d'exécution des données pour tous les
programmes et services, sauf ceux que je sélectionne".
Ou de la désactiver complètement par le boot.ini comme suit (ceci est valable seulement pour Windows XP) :
Remplacez alors le niveau du fichier boot.ini, xxxx, de /noexecute=xxxx par AlwaysOff.
Votre commutateur doit maintenant correspondre à /noexecute=AlwaysOff.
Néanmoins si un jour vous souhaitez le réactiver, il vous suffit de recommencer l'opération et de remplacer
/noexecute=AlwaysOff par /noexecute=Optin.
L’utilisation combinée de DEP et de ASLR permet de rendre très difficile l’écriture d’exploit.
De nombreuses applications négligent leur utilisation, parmi celles testées et n’utilisant pas DEP et ASLR
figurent des applications populaires incluant Sun Java JRE, Apple QuickTime, VLC Media Player,
OpenOffice.org, Google Picasa, Foxit Reader, Winamp et Real Player.
D’autres applications sont, au contraire, devenues compatibles DEP, dont Mozilla Firefox, Apple iTunes,
et Safari, Google Chrome était la seule application parmi les 16 testées à utiliser à la fois DEP et ASLR
Le centre de sécurité
Il est accessible par l'icône dans la barre de tâches si un problème est détecté (Cette icône apparaît dans ce
Windows Firewall
Windows Firewall est activé dès l'installation sur toutes les interfaces (Internet, Ethernet, WiFi,...)
Attention ! Windows Firewall (SP2) ne filtre pas le trafic sortant, il convient donc d'être extrêmement
prudent dans l'installation des programmes ou fichiers de sources peu sures, tout malware installé sur votre
machine communiquera librement vers l'extérieur si vous n'utilisez pas de mesures complémentaires, telles
un bloqueur comme SystemSafetyMonitor
☺ On peut configurer le parefeu XP SP2 de 3 manières : par l'interface graphique; via la ligne de
commande via NetSh (network shell); par les tratégies de groupes (gpedit.msc).
☺ TP à réaliser.16
===============================================================================
Gestion (affichage) des logs du Pare-feu Windows XP
FirePanelXP propose divers outils dans une interface facile : les logs de Windows Firewall, Connexions
(netstat -ano), un Sniffer basique, un éditeur de règles pour le Firewall, Stats (Netstat -e) et Routing (Netstat -r)
****Remarque : Activez au niveau de votre firewall la journalisation des événements, avant de commencer le
TP ci-dessous****
1. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP (ce dossier partagé sur la machine du
formateur contient le programme FirePanelXP et le fichier. NET Framework version 1.1.4322), se connecter en
tant que :
Nom : Marcel
Mot de passe : P@sswrd1.
2. Double-cliquez sur le fichier .NET Framework version 1.1.4322 pour l’installer.
3. Double-cliquez sur le fichier FirePanelXP.msi pour l’installer.
☺ TP à réaliser.17
===============================================================================
Protéger Windows Firewall avec WatchDog
1. Cliquez sur Démarrer, puis sur Exécuter…, saisir : \\SecNet\TEMP (ce dossier partagé sur la machine du
formateur contient le programme WatchDog-Setup), se connecter en tant que :
Nom : Marcel
Mot de passe : P@sswrd1.
2. Double-cliquez sur le fichier WatchDog-Setup.exe pour l’installer.
3. Une fois installé, dans la boite de dialogue de Watch DOG, cliquez sur Options, puis cocher Start with
Windows et Auto Watch on start, dans language choisir Français.lng, puis OK.
De nombreux virus et chevaux de Troie tentent de neutraliser les suites de sécurité, vous
pouvez essayer de mettre fin aux processus en cours de telles suites à l’aide du logiciel gratuit
Process Explorer (WWW.sysinternals.com/tilities/ProcessExplorer.html). Le résultat est
inquiétant car, si une telle désactivation manuelle est possible, elle doit aussi être à la portée
d’un code nuisible, de manière automatisée…..
===============================================================================
☺ TP à réaliser.18
Ajout de l'exception de port via l’interface graphique de Windows
1. Cliquez sur Démarrer, puis sur Exécuter, tapez Wscui.cpl et cliquez sur Pare-feu Windows pour ouvrir
le Pare-feu Windows.
2. Cliquez sur l'onglet Exceptions puis sur Ajouter un port pour afficher la boîte de dialogue Ajouter un
port.
3. Indiquez le numéro de port utilisé par votre programme : 22.
4. Sélectionnez le protocole TCP pour ce programme.
5. Dans le champ Nom, tapez la désignation du port : SSHv2.
6. Cliquez sur Modifier l'étendue pour afficher ou régler l'étendue de l'exception du port : sélectionner
Uniquement mon réseau (ou sous-réseau) et cliquez sur OK.
7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un port.
8. Vérifier qu’Afficher une notification lorsque le Pare-feu Windows bloque un programme est cochée.
9. Fermer le Centre de sécurité Windows.
===============================================================================
☺ TP à réaliser.19
Identification des ports
1. À l'invite de commande, tapez C:\> Netstat –ano > C:\netstat.txt et appuyez sur ENTRÉE (cette
commande permet de créer le fichier Netstat.txt. Ce fichier répertorie tous les ports d'écoute).
2. À l'invite de commande, tapez C:\> Tasklist /svc > c:\tasklist.txt (pour répertorier les services qui sont
chargés dans chaque processus).
3. Ouvrez le fichier qui est dans C:\Tasklist.txt et recherchez le programme qui pose problème s’il y en a
un !!!! (ici non).
Notez ici par exemple, par écrit l'identificateur du processus SSHv2 : ____________________ et ouvrez le
fichier Netstat.txt. Notez les entrées associées à l'identificateur de processus SSHv2 ainsi que le protocole
utilisé : ________________________________.
4. À l'invite de commande, tapez C:\> Netstat –abnov et appuyez sur ENTRÉE (cette commande liste les
processus qui sont à l’écoute sur le port TCP et UDP).
===============================================================================
☺ TP à réaliser.20
Vérification et configuration du Pare-feu XP via la commande Netsh
Commandes dans ce contexte :
1. Ouvrez une invite de commande.
2. netsh puis Entrée
3. netsh> firewall, puis Entrée.
===============================================================================
1. netsh firewall>set icmpsetting 8 ENABLE : Active en entrée les requêtes de type ICMP Request (Ping)
2. netsh firewall>set icmpsetting 5 ENABLE : Active en entrée les requêtes de type ICMP Redirect
3. netsh firewall> show icmpsetting - Affiche la configuration ICMP du pare-feu.
4. netsh firewall>set icmpsetting 5 DISABLE : Désactive en entrée les requêtes de type ICMP Redirect
5. netsh firewall> show icmpsetting - Affiche la configuration ICMP du pare-feu.
===============================================================================
1. Dans l’Explorer de Windows, désactiver les partages simples (menu Outils, Options des dossiers, onglet
Affichage, la dernière ligne décocher : Utiliser le partage de fichiers simple).
Le filtrage TCP/IP participe à la sécurité car il utilise le mode noyau. À l'inverse, d'autres méthodes de
contrôle d'accès entrant sur les ordinateurs
Windows 2003, telles que l'utilisation du filtre de
stratégie IPSec et du serveur de routage et d'accès
distant, dépendent des processus utilisateur ou des
services activés sur la station de travail et sur le
serveur.
Présentation
Un serveur mandataire ou encore « proxy » est un serveur qui travaille au niveau application. Il est lié à
un protocole précis, comme, par exemple, le protocole http (Protocole utilisé pour le Web).
Cette fonction du proxy consiste à relayer des demandes d’informations d’un réseau vers un autre.
De façon plus générale, le fonction première d’un proxy est le relai des requêtes d’un poste client vers un
poste serveur (le principe-même de la communication).
Le proxy joue un rôle d’intermédiaire entre ces deux entités.
Les dangers
Confidentialité:
Etant donné que vous demandez toutes vos pages au proxy, celui-ci peut savoir tous les sites que vous avez
visités.
Mots de passe:
Certains sites Web nécessitent des mots de passe. Comme vous passez par le proxy, le proxy connaîtra vos
mots de passe (sauf si vous utilisez HTTPS/SSL).
Censure:
Certains proxys peuvent être configurés pour censurer des sites. Il faut donc avoir confiance en
l'administrateur du proxy. A vous de voir si vous voulez faire confiance au serveur proxy de votre
fournisseur d'accès. Pour ceux des entreprises... Les spécialistes estiment que 70% des entreprises
américaines examinent les accès des employés aux proxys.
Comme tout serveur qui se respecte, un proxy génère un fichier journal (log file). On y trouve la trace de
toutes les requêtes effectuées par tous les postes clients dépendant du serveur en question. Contrairement à
ce qui se passe pour les serveurs web, il n'existe pas de format normalisé pour le fichier journal des
serveurs proxy.
Cependant, quelle que soit sa présentation, ce fichier journal contient pratiquement toujours :
• La date et l'heure ;
• L'identification du client, sous une forme qui dépend de la manière dont est géré le réseau local. Il
peut s'agir d'un numéro ou d'un nom de machine, d'un nom d'utilisateur, etc. Les personnes qui
utilisent un ordinateur portable (lequel reçoit un numéro IP à la volée lorsqu'on le branche) peuvent
être difficiles à identifier ;
• L'URL de la ressource demandée ;
• La taille de la ressource ;
• Le temps de téléchargement ;
• Le résultat de l'opération, etc.
Loi pour la lutte contre le terrorisme de Nicolas Sarkozy, Loi n°2006-64 du 23 janvier 2006 porte sur des
dispositions diverses relatives à la sécurité et aux contrôles frontaliers. Elle prévoit notamment l’obligation
de conserver les données de connexion des clients, appelées "logs", des opérateurs télécoms, des
fournisseurs d’accès Internet et des entreprises, pendant une durée minimale d’un an. Ces logs
pourront être demandés par requête judiciaire ou par la police et les entreprises, FAI ou administration
seront tenus de les fournir.
En outre, il définit les données de trafic à conserver :
- les informations permettant d’identifier l’utilisateur,
- les données relatives aux équipements terminaux de communication utilisés,
- les caractéristiques techniques, la date, l’horaire et la durée de chaque communication,
- les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs,
- les données permettant d’identifier le ou les destinataires de la communication.
La loi étend aux « personnes qui, au titre d'une activité professionnelle principale ou accessoire,
offrent au public une connexion permettant une communication en ligne par l'intermédiaire d'un
accès au réseau, y compris à titre gratuit », les obligations incombant aux opérateurs de communications
électroniques prévues par l’article L. 34-1 du Code des postes et communications électroniques (CPCE).
Sont visés les « cybercafés ». Pourraient également être concernés les hôtels, les fournisseurs d’accès à des
réseaux de communications électroniques accessibles via une borne Wifi, etc. Par ailleurs, la loi crée un
nouvel article L. 34-1-1 CPCE définissant les conditions dans lesquelles les services de police et de
gendarmerie peuvent exiger des opérateurs mentionnés à l’article L. 34-1 CPCE la communication des
données qu’ils conservent et traitent.
Certains fournisseurs d'accès (comme Wanadoo ou AOL, dans certains cas), regardent quels protocoles
vous utilisez et détournent sans vous le dire les requêtes HTTP vers leurs serveurs proxy. Certains
fournisseurs détournent les requêtes HTTP sur leurs serveurs proxy sans vous le dire.
• http://cgisource.com/cgi-bin/env.cgi
• http://cpcug.org/scripts/env.cgi
• http://www.adresseip.com
• http://www.whatismyip.fr/
• http://www.mon-ip.com/
• http://www.seomoz.org/ip2loc?start (localisation de votre adresse ip sur Google map)
Si vous ne passez pas par une passerelle, comparez le champ REMOTE_ADDR avec votre adresse IP. Si
elles sont différentes, alors c'est que votre fournisseur d'accès utilise probablement un proxy transparent !
(ou bien que vous passez par une passerelle/firewall).
Routeur-détourneur
• utilisation du policy-routing Cisco
• possible avec IOS 11.x
• problème de performance jusqu’en 11.2, fast-switché à partir de 11.3
Exemple de configuration :
interface Ethernet1
ip address 195.220.94.44 255.255.255.224
ip policy route-map proxy-redir
!
access-list 110 deny tcp host 195.220.94.33 any eq www ! pour éviter bouclage
access-list 110 permit tcp any any eq www ! restreindre éventuellement les adresses source
route-map proxy-redir permit 10
match ip address 110
set ip next-hop 195.220.94.33 ! le next hop est le proxy
Le rôle d'anonymiseur
Une autre solution consiste à utiliser un serveur proxy public dénommé "anonymizer" (en français :
anonymiseur -- mais le terme est peu employé). Un tel serveur doit remplir les trois conditions suivantes :
• Ne pas retransmettre l'adresse IP du client ;
• Supprimer tous les cookies ;
• Ne pas enregistrer de fichier journal, ou le détruire dans les délais légaux sans l'avoir utilisé.
Vous avez la possibilité de passer par des services spécialisés comme http://www.anonymizer.com/ ,
http://megaproxy.com/ ou http://surfola.com/.
Certains services ne nécessitent pas reconfigurer le proxy, mais s'utilisent en se connectant directement
dessus avec votre navigateur (ex : Internet Explorter).
Vous trouverez une liste de proxies anonymes régulièrement mis à jour sur :
http://proxy.nikto.net/anon_list.htm et également sur les sites undergrounds suivants :
http://www.proxy4free.com
http://www.publicproxyservers.com
http://www.multiproxy.org
http://www.novelsoft.com/dark/proxy/
http://tools.rosinstrument.com/proxy/proxiesn.htm
Toutefois vous pouvez vous inscrire à la liste « proxies » d’e-groups afin de recevoir une liste de proxies
testés, accompagnée de liens vous permettant de les vérifier.
Pour vous abonner envoyez simplement un e-mail à : mailto:proxies-subscribe@egroups.com
Concernant Firefox, il existe l'extension FoxyProxy qui vous permet de changer aisément de Proxy et
QuickProxy qui permet, d'un clic, d'activer un serveur paramétré.
Géneralment les proxies utilisent par défaut les ports standards 80 (serveur http), 8080 (port de navigation
http) ou 3128 (Active API Server Port). Mais, il est de moins en moins rare de voir l’usage d’autres ports
tels que le 443, 553, 554, 808, 6588, 9377….Si vous disposez d’un routeur, n’oubliez pas de créer des
règles de routage associées pour autoriser les communications des ports concernés.
Pour toutes les questions relatives aux anonymiseurs, consulter la FAQ mise en ligne par
iNetPrivacy Software. Certains sites entretiennent des listes de serveurs proxy publics : AltaVista,
Rosinstrument, Samair, etc.
Vos traces sur le Net (http://www.anonymat.org/vostraces/) : page vous montrant les informations qu'il est
possible de collecter sur vous lorsque vous surfez.
La plupart du temps le serveur proxy est utilisé pour le web, il s'agit alors d'un proxy HTTP
Les autres mouchards : Que vous utilisiez un proxy anonyme ou TOR, sachez néanmoins que pour un
anonymat renforcé, tous les autres mouchards de votre PC doivent être désactivés (plugins notamment java
et flash, cookies ...). L'idéal étant d'avoir un navigateur, vierge de tous plugins, et dédié uniquement au surf
anonyme.
Vous pouvez aussi utiliser les extensions Firefox NoScript et Flashblock.
Google et réseaux sociaux : Ce n'est pas la peine de rechercher l'anonymat si vous passez votre temps à
raconter votre vie sur les réseaux sociaux. Une petite recherche sur Google de "Prénom Nom" et
inversement "Nom Prénom" vous informera sur votre degré d'exhibitionnisme.
Vous pouvez aussi faire une recherche sur Google .... de votre propre adresse IP (si vous avez une IP
fixe) : cela donne parfois des résultats intéressants.
Les Moteurs de Recherche : Certains sont plus respectueux de votre vie privée et ne conservent pas ni
l'historique des recherches ni votre IP :
ixquick
Exalead
yauba : Ce moteur de recherche permet aussi de visiter un site internet, de manière anonyme et sécurisé,
suite à une recherche.
Les reverse-proxy
☺ On appelle reverse-proxy (en français le terme de
relais inverse est parfois employé) un serveur proxy-
cache "monté à l'envers", c'est-à-dire un serveur proxy
permettant non pas aux utilisateurs d'accéder au réseau
internet, mais aux utilisateurs d'internet d'accéder
indirectement à certains serveurs internes.
Enfin, grâce à des algorithmes perfectionnés, le reverse-proxy peut servir à répartir la charge en redirigeant
les requêtes vers différents serveurs équivalents; on parle alors de "répartition de charge", ou en anglais
"load balancing".
Proxy SOCK
SOCK est un protocole réseau ; il permet à des applications client/serveur d’employer de manière
transparente les services d’un pare-feu.
SOCKS est l’abréviation de « socket » et est une sorte de proxy pour les « sockets ».
En soit, les proxys SOCKS ne savent rien du protocole utilisé au-dessus (que ce soit du http, ftp, …)
Certains l’auront peut-être compris, SOCKS est une couche intermédiaire entre la couche applicative et la
couche transport (d’après le modèle OSI).
Ces proxys diffèrent du proxy traditionnel qui ne supporte que certains protocoles.
Ils sont plus modulables et sont ainsi aptes à répondre à des besoins variés.
Le serveur SOCKS est mis en oeuvre au niveau de la couche application
DynDNS
DynDNS permet d'associer un nom d'hôte à votre adresse
IP. Commencer par créer un compte sur le site de DynDNS
(http://www.dyndns.com). Cliquez sur Sign Up Now en haut
à droite:
OpenDNS
OpenDNS propose d'utiliser (gratuitement) leurs serveurs
DNS à la place de ceux de votre FAI.
Caractéristiques:
• Généralement plus rapide que votre fournisseur d'accès (ils possèdent
plusieurs gros serveurs, avec un cache DNS important)
• Plus fiable (OpenDNS a plusieurs "pieds" dans internet, et leurs serveurs ont une disponibilité de
100%)
• Auto-correction des petites erreurs de frappe (google.cmo → google.com)
• Permet d'accéder à un site même quand les serveurs DNS de ce site sont morts (option SmartCache
activée par défaut).
• Propositions automatiques (Moteur de recherche) si le domaine n'existe pas.
• Plus sûr:
o Protection anti-phishing (OpenDNS est lié en direct à PhishTank.com)
o Protection contre diverses attaques DNS (DNS Rebinding, faille de Kaminsky, blocage des
domaines utilisés par certains virus pour se mettre à jour)
o Protection contre le virus Conficker (OpenDNS ne résoud pas les adresses internet
nécessaires au fonctionnement de Conficker)
• Le service est gratuit
• Aucun logiciel à installer (Juste l'adresse des DNS à configurer).
• Vous pouvez à tout moment cesser d'utiliser OpenDNS.
DÉTECTION D’INTRUSION
Même si l’intrus parvient à franchir les barrières de protection (coupe-feu, système d'authentification, etc.),
il est encore possible de l’arrêter avant qu'il n’attaque. Placés sur le réseau de l’entreprise, les outils de
détection d'intrusion décèlent tout comportement anormal ou trafic suspect.
Il existe deux catégories d’outils sur le marché : la première analyse le trafic réseau, la seconde étudie
le comportement des utilisateurs au niveau d’un système ou d’une application.
L’efficacité reste à démontrer, il semblerait que ce soit suffisant pour se protéger des amateurs (les plus
nombreux !).
Remarque : Vous pouvez aussi simuler un faux point d’accès Wi-fi avec Karmetasploit (voir distribution
Backtrack Linux : subtiliser des mots de passe et autres cookies…).
La notion d’intrusion sous-entend qu’une personne, ou un système outre passe les droits ou privilèges qui
lui sont normalement accordés.
Il faut distinguer la notion d’attaque de la notion d’intrusion proprement dite.
L’attaque est une tentative d’intrusion alors que l’intrusion est évoquée lorsque l’attaque a abouti,
permettant ainsi la compromission du système.
Les IDS sont des outils logiciels et matériels qui automatisent la collecte et le traitement des informations
dans le but de détecter des intrusions.
Les IDS actifs vont se placer dans la position d’agresseur pour déterminer les vulnérabilités d’un système
et générer les rapports d’alerte.
Par opposition les IDS passifs vont se baser uniquement sur la collecte d’informations pour obtenir ces
vulnérabilités et ces alertes de sécurité.
Leur comportement proactif est caractérisé par la possibilité de stopper un trafic réseau dans le cas d’un
NIDS (Network IDS), ou des actions effectuées par un utilisateur ou un processus jugés « non conformes »
à la politique de sécurité dans le cas des HIPS (Host IPS). Un IPS ne remplace pas un firewall
Remarque :
IDS (Intrusion Detection System)
☺ Mode Passif
HIDS (Host IDS), NIDS (Network IDS)
IPS (Intrusion Prevention System)
☺ Mode Actif
HIPS (Host IPS), NIPS (Network IPS)
INTRODUCTION A LA CRYPTOGRAPHIE
Définitions et problèmes
Chiffrer : transformer à l’aide d’une convention secrète (clé) des
informations claires en informations inintelligibles par des tiers n’ayant
pas connaissance du secret
Déchiffrer : retrouver les informations claires, à partir des informations
chiffrés en utilisant la convention secrète de chiffrement
Décrypter : retrouver l’information intelligible, à partir partir de l’information chiffrée sans utiliser la
convention secrète de chiffrement
Crypter, Encrypter : pas de sens clair
Assurer la confidentialité des données : « La confidentialité est la propriété qu’une information n’est ni
disponible ni divulguée aux personnes, entités ou processus non autorisés » [d’après la norme ISO 7498-
2 (ISO90)]. En général, l’information n’est disponible et partagée qu’entre les deux parties de confiance
que sont l’émetteur et le récepteur définis dans le cadre d’un échange. La confidentialité est historiquement
le premier problème posé à la cryptographie. Il se résout par la notion de chiffrement.
Assurer l’intégrité des données : « L’intégrité est la prévention d’une modification non autorisée de
l’information » [toujours d’après la norme ISO 7498-2 (ISO90)].
Assurer l’authentification : consiste à vérifier l’identité des différentes parties impliquées dans le
dialogue. L’authentification préserve de l’usurpation d’identité et participe de la confidentialité dans le sens
où elle assure que celui qui émet est bien l’entité attendue.
Assurer la non-répudiation : permet de prouver qu’un message a bien été émis par son initiateur. Le
message ne peut donc plus ensuite être dénié par celui qui l’a émis.
Cryptographie symétrique
Texte clair : P
Texte chiffré : C
Clé de chiffrement : E_K
Clé de déchiffrement : D_K
déchiffrer des blocs de données (mille fois plus rapide Utilisateur J Utilisateur B
☺ Avantages :
-Chiffrement / déchiffrement rapide
-Nombreux algorithmes existants
• DES ;TripleDES ;AES
• RC2 ;RC4 ;RC5
-Fiabilité : fonction de la longueur de la clé
☺ Inconvénients :
-Nombreux utilisateurs => nombreuses clé à gérer
-Changement fréquent des clés à prévoir
-Plus la clé est utilisée, plus la clé est exposée
☺ Avec les algorithmes asymétriques, les clés de chiffrement et de déchiffrement sont distinctes et ne
peuvent se déduire l’une de l’autre. On peut donc rendre l’une des deux publique tandis que l’autre reste
privée (ce trousseau comprend une clé privée et une clé publique). Si la clé publique sert au chiffrement,
tout le monde peut chiffrer un message, que seul le propriétaire de la clef privée pourra déchiffrer.
On assure ainsi la confidentialité, certains algorithmes permettent d’utiliser la clé privée pour chiffrer. Dans
ce cas, n’importe qui pourra déchiffrer, mais seul le possesseur de la clé privée peut chiffrer. Cela permet
donc la signature des messages.
Tous les algorithmes actuels présentent l’inconvénient d’être bien plus lents que les algorithmes à clé
secrète symétrique : de ce fait, ils sont utilisés non pour chiffrer directement des données, mais pour
chiffrer une clé de session secrète (La cryptographie asymétrique répond à un besoin majeur de la
cryptographie symétrique : le partage sécurisé d'une clé entre deux correspondants, afin de prévenir
l'interception de cette clé par une personne tierce non autorisée, et donc la lecture des données chiffrées
sans autorisation). Certains algorithmes ne sont adaptés qu’au chiffrement, tandis que
d’autres ne permettent que la signature. Seuls trois algorithmes sont utilisables à la fois
pour le chiffrement et pour la signature : RSA, ELGamal et Rabin.
Cryptographie asymétrique : chiffrement d’un document avec la clé publique du partenaire => Confidentialité
Cryptographie asymétrique : signature d’un document (clé privé d’Alice) : authentification + non répudiation
☺ Algorithmes (confidentialité)
Diffie-Hellman – 1976
Basé sur la difficulté du calcul du logarithme discret dans un corps fini
RSA – 1978 (jusqu’ à 2048 bits)
Basé sur la difficulté de décomposer un grand nombre en ses facteurs premiers
Autres : ex. El Gamal
☺ Algorithmes (signature numérique standardisé)
DSA
RSA, ElGamal, Rabin (confidentialité/signature) : 100 à 1000 fois plus lent que 3DES
☺ Inconvénients :
Beaucoup plus lent que la cryptographie symétrique
• De 100 fois à 1000 fois plus lent, non utilisable pour le chiffrement de trafics importants
• Exemples : Diffie-Helleman (protocole d’échange de cléfs) ; RSA (Rivest Shamir Adelman) :
chiffrement et authentification
☺ La signature numérique est utilisée afin de garantir l’identité de l’émetteur ainsi que l’intégrité
des données, la méthode employée afin d’assurer l’authenticité du document ainsi que son intégrité,
est la fonction de hashage à sens unique.
D’autre part, seule l’intégrité du document est vérifiée (les plus utilisés sont MD5, SHA-1, SHA-2 et
HMAC (ou MAC)). C’est pourquoi l’émétteur va chiffrer l’empreinte à l’aide de sa clé privée (le
destinataire pourra la déchiffrer graçe à la clé publique associée). Cela va alors garantir à la fois
l’intégrité du message, mais aussi l’authentification de l’emetteur. La signature numérique assure donc
l’authentification de l’origine des données, l’intégrité et la non-répudiation. Voici les algorithmes utilisés :
DSS (combinaison de SHA avec El-Gamal) et RSA (combinaison MD5 ou SHA avec RSA).
Signature électronique
☺ Bien que triviaux, il est bon de rappeler que les objectifs d’une signature électronique sont les suivants :
• Vérifier l’intégrité d’un message : détecter toute modification éventuelle.
• Authentifier de manière certaine la provenance du message.
Contrairement au chiffrement qui est utilisé à des fins de confidentialité, les signatures électroniques sont,
en quelque sorte, annexées aux données et laissent le texte qui vient d’être signé totalement en clair.
Il est important à ce stade de bien comprendre que la signature numérique apporte uniquement une sécurité
sur l’émetteur du message ainsi que sur son intégrité. Par contre le message est envoyé en clair sur le
réseau. Pour assurer la confidentialité du message, il faut en plus utiliser un cryptage du message comme
nous l’avons vu au début de ce chapitre.
Concrètement, ce qu’il faut retenir sur le mécanisme des signatures, c’est que les algorithmes mis en œuvre
sont lents et que souvent la signature se fait en réalité sur un petit nombre de données représentatives.
Enfin, il reste à prendre en compte le problème de la non-répudiation.
Le cryptage asymétriques, par la signature numérique, ajoute la notion de non-répudiation d’un message.
La non-répudiation est le fait qu’une personne ayant émis un message ne peut pas nier l’avoir envoyé.
Certificats
L'utilisation de la cryptographie à clef publique à grande échelle nécessite de pouvoir gérer des listes
importantes de clefs publiques, pour des entités souvent réparties dans un réseau.
Les certificats permettent de distribuer les clés de manière sécurisée et de les stocker de façon sûre
(signature, chiffrement, non répudiation, etc…).
Un certificat numérique (aussi appelé certificat électronique) est un fichier permettant de certifier l'identité
du propriétaire d'une clé publique, un peu à la manière d'une carte d'identité.
☺ Un certificat :
• prouve l’identité d’une personne au même titre qu’une carte d’identité, dans le cadre fixé par l’autorité
de certification qui l’a validé ;
• pour une application, il assure que celle-ci n’a pas été détournée de ses fonctions ;
• pour un site, il offre la garantie lors d’un accès vers celui-ci que l’on est bien sur le site auquel on veut
accéder.
☺ Un certificat est généré dans une infrastructure à clés publiques (aussi appelé PKI pour Public Key
Infrastructure) par une autorité de certification (Certification Authority, CA : agit en tiers de
confiance en se portant garant de l’identité du titulaire du certificat) qui a donc la capacité de générer des
certificats numériques contenant la clé publique en question. Les certificats ainsi utilisés sont du type X.509
v3 (1996) et permettent donc d’être utilisés avec des solutions autres que les services fournis dans
Windows 2003.
_ Problèmes à résoudre
_Distribuer les clefs de façon authentifiée et intègre
_Stocker les clefs de façon sûre (protection en intégrité)
_ Limiter le nombre de clefs à stocker
_ Solution => certificats et hiérarchies de certification PKI
Une autorité de confiance (CA) signe avec sa clé privée un document contenant :
• L’identité d’une entité possédant un couple de clé
• La clé publique
• Des informations décrivant l’usage de cette clé
•…
=> Le résultat est un certificat
=> L’autorité de confiance est appelée « Autorité de Certification », utilisée dans : messagerie avec
signature et/ou chiffrement, contrôle d’accès et confidentialité (accès distant, vpn, poste de travail), etc….
Autorité de Certification
L'utilisateur peut demander des certificats à partir de l'adresse http://nomserveur/certsrv où nom serveur
représente un serveur sur lequel les Services de certificats sont installés.
Voici, en deux mots, la situation de la cryptographie en France d'un point de vue légal, vue du côté de
l'utilisateur final.
La crypto à clé publique n'entre pas en ligne de compte, il n'y a pas de contrôle envisagé lié aux tailles de
clés (le chiffrement à clé publique utilisé ne cache pas de vraie information, seulement la clé symétrique
aléatoire qui sert, elle, à chiffrer les données).
1. Dès que la fourniture du produit est autorisée (c'est le cas de PGP), il n'y a aucune
formalité ni aucune restriction quant à l'utilisation, 128-bits ou pas, usage privé ou pas.
Référence : le décret no 98-101 du 24 février 1998, article 20, paragraphe II.
Conséquence : PGP version 6, qui intègre le 3DES (à 168 bits, 3 clés en mode EDE), est
légal depuis fin 1999, suite à l'autorisation demandée par (et accordée à) NAI.
2. Un produit ne dépassant pas une taille de clé de 128 bits est librement utilisable
pour "l'usage privé d'une personne physique", sans autorisation ni déclaration. Pour les
Conséquences : début 1999, la v5 de PGP était légale (taille de clé ne dépassant pas 128
bits). Le SSL 128 bits est également légal en France pour l'utilisateur final (l'idée était
de promouvoir le "e-commerce").
***Enfin, la Loi du 21 juin 2004 pour la confiance dans l'économie numérique a totalement libéralisé
l'utilisation des moyens de cryptologie ; cependant la fourniture de clés de chiffrement est soumise à
déclaration ou autorisation.***
☺ TP à réaliser.25
===============================================================================
Dans les TP qui suivent vous allez travailler avec le Formateur
Dans cet exercice, le Formateur va installer le serveur Web de Microsoft, IIS 6.0 sur un Windows
Serveur 2003 sans Active Directory
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur hébergeant l'Autorité de
certification racine (machine du Formateur)***.
Les étapes suivantes vous indiquent comment installer IIS.
Pour installer IIS
1. Cliquez sur Démarrer, Panneau de configuration, Ajout/Suppression de programmes.
2. Cliquez sur le bouton Ajouter/Supprimer des composants Windows pour démarrer l'Assistant.
3. Dans la liste Composants, activez la case à cocher en regard de Serveur d'applications et cliquez sur Détails.
4. Dans la boîte de dialogue Serveur d'applications, remarquez les éléments installés par défaut. Dans la zone Sous-
composants de Serveur d'applications, sélectionnez Services Internet (IIS) et cliquez sur Détails.
5. Dans la boîte de dialogue Services Internet (IIS), remarquez les éléments installés par défaut. Dans la liste Sous-
composants de Services Internet (IIS), sélectionnez Service World Wide Web et cliquez sur Détails.
6. Dans la boîte de dialogue Service World Wide Web, remarquez les éléments installés par défaut.
7. Pour ajouter d'autres composants, activez leur case à cocher, vérifiez donc que Service World Wide Web et Active
Server Page (ASP) sont cochés.
9. Cliquez sur OK jusqu'à ce que la fenêtre de l'Assistant Composants de Windows apparaisse de nouveau.
10. Cliquez sur Suivant, puis sur Terminer.
11. Pour activer les pages ASP (normalement déjà activé), dans le Gestionnaire des services Internet (IIS),
développez l'ordinateur local, puis cliquez sur Extensions du service Web, puis cliquez sur Active Server Pages
(ASP), puis Autoriser.
12. Dans le volet d'informations, cliquez sur Active Server Pages (ASP), puis sur Autoriser.
13. Vous pouvez modifier la source du fichier iisstart.htm situé dans C:\Inetpub\wwwroot, afin d’afficher un
message différtent de En chantier.
-----------------------------------------------------------------------------------------------------------------------------------------------
Serveur IIS en http (port 80)
14. Ouvrez la page http://127.0.0.1/à l'aide d'Internet Explorer. La page devrait être marquée : « En chantier » si
IIS fonctionne correctement.
15. Fermer Internet Explorer.
===============================================================================
☺ TP à réaliser.26a
===============================================================================
Dans cet exercice, vous allez créer une Autorité de certification racine autonome (CA) sur un
Windows Serveur 2003 sans Active Directory.
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur hébergeant l'Autorité de
certification racine (machine du Formateur)***.
Remarque : Un message s’affiche indiquant qu’après l’installation de ce service l’ordinateur ne pourra plus ni être
renommé ni être joint ou disjoint d’un domaine (sauf si vous supprimer ensuite le service).
Remarque : Si votre serveur de certificat possède IIS sans que les pages ASP soient activées, un message
d’avertissement vous indique qu’ASP est utilisé pour la prise en charge des demandes de certificats par le Web, mais
qu’ASP représente un risque potentiel pour la sécurité de votre serveur Web. En cliquant sur le bouton Oui, vous
activez les pages ASP sur IIS.
e. Dans le message Services de certificats Microsoft, cliquez sur Oui, puis sur Suivant.
f. Dans la page Type d'Autorité de certification, vérifiez que l'option Autorité racine autonome est sélectionnée,
puis cliquez sur Suivant.
g. Dans la page Information d'identification de l'Autorité de certification, entrez les informations ci-dessous.
Nom de l'autorité de certification : Bourges CA
Suffixe du nom unique : CN=Certif
Durée de validité : 2 ans
h. Cliquez sur Suivant.
i. Dans la page Emplacement du stockage de données, cliquez sur Suivant.
j. Dans la boîte de dialogue Services de certificats Microsoft, cliquez sur Oui pour arrêter les Services Internet
(IIS).
k. Dans la boîte de dialogue Fichiers nécessaires, tapez le chemin des fichiers sources (CD ROM) et cliquez sur OK.
l. Une fois le processus de configuration achevé, cliquez sur Terminer.
m. Fermez toutes les fenêtres.
===============================================================================
☺ TP à réaliser.26b
===============================================================================
Dans cet exercice, vous allez demander un certificat pour votre ordinateur Windows XP.
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur client qui est sous Windows XP
Pro (Machine Stagiaire)***.
***Vérifier que l’heure sur votre machine soit la même que celle de la machine du
Formateur***
Exécutez la procédure ci-dessous sur les deux ordinateurs des stagiaires.
a. Cliquez sur Démarrer, puis sur Exécuter.
b. Dans la zone Ouvrir, tapez http://serveur/certsrv (où serveur représente le nom de l’ordinateur du formateur, vous
pouvez aussi utiliser son adresse IP), puis cliquez sur OK.
c. Si l'Assistant Connexion Internet s'affiche, renseignez-le en indiquant que vous souhaitez vous connecter par
l'intermédiaire d'un réseau local. Acceptez les paramètres par défaut de la connexion de réseau local, et ne configurez
pas de compte de messagerie Internet.
d. Dans Internet Explorer, dans la page Bienvenue, cliquez sur Demander un certificat.
Remarque : Vous pouvez aussi choisir Certificat de protection de courrier électronique, pour un certificat d’un autre
usage, cliquez sur demande de certificat avancée. Si vous choisissez cette dernière option, vous pourrez choisir dans
type de certificat, différents certificats selon les besoins comme : Certifications d’authentification de client, Certificat
de protection de courrier électronique, Certificat d’authentification de serveur, Certificat de signature de code,
Certificat horodateur, Certificat IPSec.
e. Dans la page Demander un certificat, cliquez sur Certificat de navigateur Web, cliquez ensuite sur Options
supplémentaires >> et enfin sur Utilisez le formulaire de Demande de certificat avancée.
f. Dans la page Demande de certificat avancée, entrez les informations ci-dessous.
Dans Nom : votre nom
Dans Adresse de messagerie : stagiaire@wanadoo.fr
Dans Société : gefi
Dans Service : stagiaire
Dans Ville : Bourges
Dans Etat : Cher
Dans Pays/région : FR
Dans Type de certificat nécessaire, choisissez : Certificat d’authentification de client.
Dans option de la clé, cochez : Créer un nouveau jeu de clés
Dans Fournisseur de services, choisissez : Microsoft Enhanced Cryptographic Provider v1.0
Dans Utilisation de la clé, choisissez : Les deux
Dans Taille de la clé, choisissez : 1024, cochez également : Nom de conteneur de la clé automatique
Cochez également : Marquer les cles comme étant exportables, aussi Activer la protection renforcée par clé
privée.
☺ TP à réaliser.26c
===============================================================================
Ordinateur Windows 2003 Serveur
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur hébergeant l'Autorité de
certification racine (Machine du Formateur)***.
Utilisez l'Autorité de certification pour délivrer le certificat que vous avez demandé.
a. Restaurez la console Autorité de certification.
b. Dans l'arborescence de la console, développez si nécessaire Bourges CA, puis cliquez sur Demandes en attente.
c. Dans le menu Action, cliquez sur Actualiser.
d. Dans le volet de détails, cliquez avec le bouton droit sur votre demande de certificat, pointez sur Toutes les tâches,
puis cliquez sur Délivrer.
e. Dans l'arborescence de la console, cliquez sur Certificats délivrés, puis vérifiez que le certificat de votre ordinateur
a bien été délivré.
f. Fermez la console Autorité de certification.
===============================================================================
☺ TP à réaliser.26d
===============================================================================
Ordinateur Windows XP du stagiaire
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur client qui est sous Windows XP
Pro (Machine Stagiaire)***.
Utilisez Internet Explorer pour installer le certificat que vous avez délivré.
a. Restaurez Internet Explorer.
b. Dans la zone Adresse, tapez http://serveur/certsrv (où serveur représente le nom de l’ordinateur du formateur),
puis appuyez sur ENTRÉE.
c. Dans la page Bienvenue, cliquez sur Afficher le statut d’une requête ce certificat en attente.
d. Dans la page Afficher le statut d’une requête ce certificat en attente, vérifiez que la demande de certificat que
vous avez envoyée est répertoriée, puis cliquez dessus.
e. Dans la page Certificat émis, cliquez sur Installer le certificat, un message vous indique une violation de script
potentiel, cliquez sur Oui.
===============================================================================
☺ TP à réaliser.26e
===============================================================================
Ordinateur Windows XP du stagiaire, vérifier la connexion en http via un certificat
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur client qui est sous Windows XP
Pro (Machine Stagiaire)***.
Créez une console MMC qui contient le composant logiciel enfichable Certificats destiné à votre ordinateur,
puis confirmez que le certificat IPSec a été délivré à votre ordinateur.
a. Cliquez sur Démarrer, puis sur Exécuter.
b. Dans la zone Ouvrir, tapez mmc puis, cliquez sur OK.
c. Agrandissez la fenêtre Racine de la console.
d. Dans la fenêtre Racine de la console, dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant
logiciel enfichable.
e. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur Ajouter.
f. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Certificats, puis sur
Ajouter.
g. Dans la boîte de dialogue Composant logiciel enfichable Certificats, cliquez sur Mon compte d’utilisateur, puis
sur Terminer.
h. Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d'un composant logiciel enfichable autonome.
i. Cliquez sur OK pour fermer la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable.
Remarque :
Normalement on peut aussi demander un certificat à l’autorité de certification via la MMC Certificats, bouton droit
sur Certificat, Toutes les tâches, Demander un nouveau certificat…, sauf qu’ici cela ne fonctionnera pas car il faut
un domaine Active Directory.
===============================================================================
☺ TP à réaliser.26f
===============================================================================
Sécuriser IIS à l'aide du protocole SSL, machine Windows 2003 Serveur
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur
hébergeant l'Autorité de certification racine (Machine du
Formateur)***.
Il est possible de sécuriser les pages Web du serveur IIS à l'aide du protocole SSL
(Secure Sockets Layer). Lors de l'utilisation du SSL, les données qui transiteront entre
le demandeur d'un certificat et l'autorité de certification seront cryptées, dans notre cas,
cela permettra de sécuriser tous les échanges avec l'autorité de certification.
1. Pour activer SSL sur le serveur IIS, bouton Démarrer, puis Outils
d’administration, puis Gestionnaire des services Internet (IIS), sélectionnez
l'ordinateur local, puis « Sites Web ».
2. Effectuez un click droit sur le « Site Web par défaut » (qui contient le répertoire
virtuel CertSrv) et choisissez « Propriétés ».
Remarque : Si votre serveur appartient à un domaine, il est possible de transmettre directement la demande à
l'autorité de certification en cliquant sur « Envoyer immédiatement la demande à une autorité de certification en
ligne ».
10. Vous avez choisi de préparer une demande, il vous faudra l'enregistrer avant
de pouvoir générer le certificat, démarrer Internet Explorer, puis saisir
l’adresse suivante : http://127.0.0.1/certsrv.
11. Sélectionner « Demander un certificat », puis soumettre un « demande de
certificat avancée » et enfin « Soumettre une demande de certificat en
utilisant un fichier CMC ou PCK#10 ».
Dans la zone de texte « Demande enregistrée », collez-le contenu du fichier
enregistré précédemment (qui se trouve par défaut dans c:\certreq.txt), puis
cliquez sur le bouton « Envoyer ».
12. Dans le cas d'une autorité de certification autonome (CA), vous devrez autoriser manuellement la génération de ce
certificat, bouton Démarrer, puis Outils d’administration, puis, Autorité de certification, puis« Demandes en
attente », effectuer un clique droit sur la demande que vous venez d'émettre, puis Toutes les tâches, puis « Délivrer »
ce certificat.
13. Une fois votre autorisation accordée, retournez à l'accueil de la page Web : http://127.0.0.1/certsrv puis
« Afficher le statut d'une requête de certificat en attente ». Sélectionnez votre demande puis coche l’option Codé
DER, puis « Télécharger le certificat » enregistrer le sur votre disque dur : C:\.(le nom par défaut est certnew.cer)
Fermez alors le navigateur Internet.
-----------------------------------------------------------------------------------------------------------------------------------------------
Serveur IIS en HTTPS
14. Revenez dans les propriétés du Site Web d'IIS, dans l'onglet « Sécurité du répertoire », puis Certificat de
serveur, puis Suivant, puis cocher « Traitez la demande en attente », puis Suivant, dans chemin et nom de fichier,
mettre : c:\certnew.cer, puis Suivant, dans Port SSL que ce site Web devait
utiliser, mettre : 443, puis Suivant, puis Suivant et Terminer.
Remarque : Votre serveur IIS dispose donc maintenant de son propre certificat
garantissant aux yeux des utilisateurs son identité et il ne reste plus qu'à activer
le protocole SSL sur ce site Web.
15. Pour cela, toujours dans l'onglet « Sécurité du répertoire », cliquez sur le
bouton « Modifier » et cochez « Requérir un canal sécurisé (SSL) » ainsi
qu' « Exiger le cryptage 128 bits », dans Certificats clients cocher l’option
Exiger les certificats client, puis OK, puis Appliquer et OK. Enregistrez la
configuration et fermez le Gestionnaire des services Internet.
☺ TP à réaliser.26g
===============================================================================
Ordinateur Windows XP du stagiaire, vérifier la connexion en HTTPS via un certificat
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur client qui est sous Windows XP
Pro (Machine Stagiaire)***.
1. Démarrer Internet Explorer, puis saisir l’adresse suivante : http://192.168.x.y (machine du formateur), quel
message apparaît : ___________________________________________
2. Essayez maintenant l’adresse suivante : https:// 192.168.x.y (machine du formateur), dans la boîte d’avertissement
d’Alerte de sécurité cliquez sur OUI, puis de nouveau sur OUI pour télécharger le certificat sur votre machine, quel
message apparaît : ___________________________________________. Dans la boite de dialogue Choisir un
certificat numérique, choisir votre certificat, puis OK.
☺ TP à réaliser.26h
===============================================================================
Machine Windows 2003 Serveur
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur hébergeant l'Autorité de
certification racine (Machine du Formateur)***.
1. Dans Démarrer, puis Outils d’administration, puis, Autorité de certification, puis Certificats délivrés,
sélectionner les certificats Attribués antérieurement (sauf celui de la machine formateur), puis bouton droit, Toutes les
tâches, puis Révoquer un certificat, dans Code de raison choisir Clé compromise, puis Oui.
2. Dans Certificats révoqués, vous pouvez visualiser le certificat révoqué.
3. Bouton droit sur Certificats révoqués, puis Publier, puis choisir Nouvelle liste de révocation à publier, puis OK.
☺ TP à réaliser.26i
===============================================================================
Ordinateur Windows XP du stagiaire
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur client qui est sous Windows XP
Pro (Machine Stagiaire)***.
Vérifier la révocation d'un certificat SSL
Remarque : Cette option n'est pas activée dans les versions antécédentes à Microsoft Windows 2003.
L'activation de cette option permet de s'assurer auprès de l'autorité de certification qui a délivré le certificat SSL s'il
n'a pas été révoqué depuis. Ouvrez Internet Explorer 6, dans le menu "Outils", choisir "Options Internet", cliquez sur
l'onglet, avancé", recherchez et cochez dans la liste, dans la rubrique "Sécurité", l'option "Vérifier la révocation des
certificats (redémarrage nécessaire)" Redémarrez Internet Explorer 6
1. Saisir l’adresse suivante : https:// 192.168.x.y, dans la boîte d’avertissement d’Alerte de sécurité cliquez sur OUI,
puis OUI, puis de nouveau OUI pour utiliser le certificat, choisir votre certificat, puis OK.
Normalement cela ne devrait pas fonctionner car le certificat étant révoqué, celui-ci n’est plus utilisable.
Si cela fonctionne toujours, pensez à vider les cookies ainsi que les fichiers temporaires d’Internet explorer
2. Lancer Internet explorer, menu Outils puis options d’Internet, onglet Contenu, cliquez sur Certificats, double-
cliquez sur votre certificat, onglet Détails, indiquez ici le N° de série votre certificat :
____________________________
Remarque : Les certificats révoqués sont déclarés dans, \\192.168.x.y/CertEnroll du serveur de certification (sur le
serveur faisant office d’autorité de certification : machine du formateur).
-----------------------------------------------------------------------------------------------------------------------------------------------
Attendre que le formateur ait réalisé la procédure décrite ci-dessous :
**A faire sur la Machine Windows 2003 Serveur par le formateur avant de continuer le TP**
***Exécutez la procédure ci-dessous uniquement sur l'ordinateur hébergeant l'Autorité de
certification racine (Machine du Formateur)***.
Pour cela, toujours dans l'onglet « Sécurité du répertoire », cliquez sur le bouton « Modifier » et décochez
« Requérir un canal sécurisé (SSL) » ainsi qu' « Exiger le cryptage 128 bits », dans Certificats clients décocher
l’option Exiger les certificats client. Enregistrez la configuration et fermez le Gestionnaire des services Internet
-----------------------------------------------------------------------------------------------------------------------------------------------
1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration et sélectionnez Système.
2. Dans l’onglet Nom de l’ordinateur, cliquez sur le bouton Modifier, ajouter le suffixe au nom de votre
machine : Bourges.eds
3. Dans l’encadré Membre de, cliquez sur domaine, saisissez Bourges.eds dans le champ approprié, puis
cliquez sur le bouton OK.
4. Saisissez les informations d’identification (login/password) du compte Administrateur/ P@ssw0rd du
serveur, puis cliquez sur le bouton OK.
5. Redémarrez impérativement votre ordinateur lorsque l’on vous le demande.
========================================================================================
e). Vérifiez que le service Routage et accès distant est désactivé [XP et
SERVEUR]
Installation du serveur VPN et configuration des options générales
1. Ouvrez le menu Démarrer, pointez sur Outils d’administration puis cliquez sur Routage et Accès distant.
2. Dans la console MMC, cliquez sur Etat du serveur.
3. Si le serveur est dans l’état Démarré, faites un clic droit sur nom_ordinateur, puis cliquez sur Désactiver le
routage et l’accès distant. Cliquez ensuite sur le bouton Oui pour confirmer.
4. Quittez la console Routage et accès distant.
========================================================================================
f). Créez une connexion au réseau privé virtuel pour tester le bon
fonctionnement du serveur VPN de votre partenaire [XP]
1. Ouvrez le menu Démarrer, pointez sur Panneau de configuration. Faites ensuite un clic droit sur
Connexions réseau, puis choisissez Ouvrir.
2. Dans la fenêtre Connexions réseau, cliquez sur le menu Fichier, puis sur Nouvelle connexion.
3. Cliquez sur Suivant, sélectionnez Connexion au réseau d’entreprise et cliquez sur Suivant.
4. Dans la fenêtre Connexion réseau, choisissez Connexion au réseau privé virtuel, puis cliquez sur le bouton
Suivant.
5. Saisissez Connexion de test au serveur VPN dans la zone de texte Nom de la société, puis cliquez sur le
bouton Suivant.
6. Entrez 192.168.x.200 dans le champ Nom d’hôte ou adresse IP, puis validez ce choix en cliquant sur le
bouton Suivant.
7. Dans la page Disponibilité de connexion, sélectionnez Tous les utilisateurs, puis cliquez sur le bouton
Suivant, puis sur le bouton Terminer pour quitter l’assistant.
========================================================================================
i). Configurer le serveur VPN pour attribuer des adresses IP aux clients parmi
une plage d’adresses IP statiques. [SERVEUR]
1. Dans la console Routage et accès distant, faites un clic droit sur SECNET, puis sélectionnez Propriétés.
2. Dans la section Attribution d’adresses IP de l’onglet IP, sélectionnez Pool d’adresses statiques, puis
cliquez sur le bouton Ajouter…
3. Saisissez 192.168.x.50 dans le champ Adresse IP de début et 192.168.x.80 dans le champ Adresse IP de
fin, puis OK.
4. Cocher Activer le routage IP, ainsi que Autoriser l’accès distant utilisant les adresses IP et les
connexions d’accès à la demande, dans Carte laissez la valeur par défaut : Autoriser le RAS à sélectionner
la carte.
5. Dans l’onglet Général, vérifiez que Routeur, Routage réseau local et de numérotation à la demande, ainsi
que Serveur d’accès distant sont cochés.
6. Cliquez deux fois sur le bouton OK pour valider la modification.
========================================================================================
1. Ouvrez le menu Démarrer, pointez sur Outils d’administration, puis cliquez sur Utilisateurs et ordinateurs
Active Directory.
2. Développez Bourges.eds dans la console Utilisateurs et ordinateurs Active Directory.
3. Faites un clic droit sur le conteneur Users, sélectionnez Nouveau, puis Utilisateur.
4. Dans la fenêtre Nouvel objet – Utilisateur, saisissez la chaîne de caractère usr_vpn dans la zone de texte
Prénom et dans la zone de texte Nom d’ouverture de session de l’utilisateur. Cliquez ensuite sur Suivant.
5. Décochez la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session, puis
entrez P@ssw0rd dans les champs Mot de passe et Confirmer le mot de passe.
6. Cliquez sur les boutons Suivant, puis Terminer pour valider la création de l’utilisateur (n’incluez pas cet
utilisateur dans le groupe Administrateur, laissez-le dans le groupe Utilisateurs du domaine).
7. Faites un clic droit sur l’utilisateur nommé usr_vpn à l’intérieur du conteneur Users, puis sélectionnez
Propriétés.
l). Installez le serveur Web Internet Information Service (IIS) 6.0 sur le
contrôleur de domaine [SERVEUR]
(Normalement déjà réalisé, voir TP antérieur)
1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression
de programmes.
2. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows.
3. Dans la fenêtre Assistant de Composants Windows, côchez la case serveur d’applications, puis cliquez
sur le bouton Suivant >.
4. Lorsque le programme vous le demande, insérez le CD-ROM de Windows Server 2003.
5. Une fois l’installation arrivée à son terme, cliquez sur le bouton Terminer.
========================================================================================
1. Cliquez sur le menu Démarrer, pointez sur Panneau de configuration, puis cliquez sur Ajout/Suppression
de programmes.
2. Cliquez ensuite sur le bouton Ajouter ou supprimer des composants Windows.
3. Dans la fenêtre Assistant de Composants Windows, côchez la case services de certificats.
4. Si une fenêtre vous avertissant qu’une modification de l’appartenance au domaine entraînera l’invalidité des
certificats, cliquez sur le bouton Oui.
5. Cliquez sur le bouton Suivant >, vérifiez que l’option Autorité racine d’entreprise est côchée, puis cliquez de
nouveau sur le bouton Suivant >.
6. Entrez CA monentreprise dans le champ Nom commun de cette autorité de certification et 2 dans le champ
Période de validité, puis cliquez deux fois sur le bouton Suivant.
7. Si un message vous demande de remplacer une clé qui existe déjà, cliquez sur Oui.
8. Si un message vous averti que le service IIS va être temporairement arrêté, cliquez sur le bouton Oui.
9. Lorsque le programme vous le demande, insérez l’image ISO ou le CD-ROM de Windows Server 2003.
10. Si une boite de dialogue vous demande d’activer le support de l’ASP sur le serveur Web, cliquez sur le
bouton Oui.
11. Cliquez sur le bouton Terminer pour quitter l’assistant Composants de Windows.
========================================================================================
p). Liez et appliquez (option Ne pas passer outre) les deux GPOs
précédemment crées au niveau du domaine à l’aide de la console GPMC
[SERVEUR]
1. Dans la console GPMC, faites un clic droit sur Bourges.eds, puis sélectionnez Lier un objet de stratégie de
groupe existant…
2. Dans la liste des GPOs de votre domaine, sélectionnez GPO_ Configuration CA, puis cliquez sur le bouton
OK.
3. Faites un clic droit sur le lien qui vient d’apparaître à côté de Default Domain Policy, puis sélectionnez
Appliqué, et OK.
4. Répétez l’opération pour la stratégie de groupe GPO_ Allocation de certificat ordinateur.
5. Quittez la console GPMC.
========================================================================================
Remarque : Cette option Contrôler l’accès via la stratégie d’accès distant est uniquement disponible si votre
domaine est en mode natif, elle indique que l’autorisation de connexion de l’utilisateur ne dépend pas des
propriétés de son compte utilisateur, mais des autorisations définies dans la stratégie elle-même.
========================================================================================
Remarque :
La stratégie d’accès distant Accès VPN sécurisé autorise uniquement les clients respectant certains
paramètres à se connecter au réseau de l’entreprise. Voici les conditions que doivent remplir les clients
pour pouvoir se connecter :
• Utilisation du protocole d’authentification MS-CHAP V2
• Utilisation du protocole de tunneling L2TP/IPSec
• Appartenance au groupeUtilisateurs VPN
Toutes les demandes ne correspondant pas à ces critères seront rejetées !
========================================================================================
Il s’agit d’un protocole client/serveur fonctionnant sur UDP, 2 ports sont donc utilisés lors de processus
d’authentification d’un client RADIUS vers un serveur RADIUS. Les ports 1812 (authentification des
messages) et 1813 (accounting des messages) sont sollicités lors de la phase d’authentification.
De plus, les normes RADIUS prennent en charge l'utilisation de proxy RADIUS. Un proxy RADIUS est un
ordinateur qui transfère des messages RADIUS entre des ordinateurs compatibles avec le protocole
RADIUS.
Sous Linux
• freeradius’ serveur Radius
• radiusclient’
Sous Windows 2003 serveur
• IAS (Service d’Authentification Internet)
Remarque : Si l’attribut Ignore-User-Dialin-Properties défini dans le profil de la stratégie d’accès distant est
positionné à la valeur Vrai, alors les autorisations définies dans les propriétés du compte utilisateur (ainsi que
l’onglet Appel entrant) ne seront pas consultées, et seules les autorisations définies dans la stratégie d’accès
distant feront foi.
10. la console Service d’authentification Internet (local), faire un clic droit sur Service d’authentification
Internet (local) puis sélectionnez Inscrire le serveur dans Active Directory. Si vous recevez le message disant
que votre serveur est déjà inscrit dans AD, ne pas tenir compte de celui-ci.
========================================================================================
y). Manipulations à réaliser sur le client Radius (c'est-à-dire sur le serveur VPN)
[SERVEUR].
1. Ouvrez la console Routage et accès distant.
Remarque : Le service Telnet doit au préalable être démarré sur la machine faisant office de serveur VPN, et
aucun firewall ne doit bloquer cette requête.