Security

Notion de base Architecture de sécurité

Aspect Humain : Formation, compétence,
Ensemble organisé de ressources : matériel, logiciel, surveillance
personnel, données, procédures permettant Aspect organisationnel et économique
Responsabilités, gestion, budget
informations (sous forme de données, textes,
images, sons, . . .) dans les organisations. Aspect Réglementaire
Normes, législation, autorisation de
Système informatique chiffrement

Ensemble des moyens informatiques et de Aspect Technique et Opérationnel

télécommunication ayant pour Sécurité Physique, sécurité
traiter, stocker, acheminer, présenter ou détruire environnementale, sécurité télécom
des données. Objectifs de la sécurité informatique
Confidentialité

organisationnels, juridiques et humains nécessaires personnes que les seuls acteurs de la

et mis en place pour conserver, rétablir, et garantir transaction.
la sécurité S

La sécurité informatique (Chiffrer/déchiffrer)

Intégrité
des outils, des techniques et méthodes
pour garantir que seules les personnes ou autres
modifiée, ni
systèmes autorisés interviennent sur le système et
détruite sans autorisation (fonctions de
ont accès aux données, sensibles ou non.
hachage)
Sécuriser un SI Accès/disponibilité
Les services et matériels doivent être
Analyser les risques et protéger les biens contre les accessible et disponible aux utilisateurs en
menaces et les vulnérabilités temps voulu.
Non répudiation
Menace

Une circonstance qui a le potentiel de causer des correspondants ne pourra nier la

dommages ou de perte (Internes, externes, transaction (origine :
programmes malveillants, sinistres) accusé de réception)
Authentification
Vulnérabilité -à-dire
de garantir à chacun des correspondants
Une faiblesse du système informatique qui peut être
utilisé pour causer des dommages. (Physique,
être afin
organisationnels, technologiques)
des ressources (systèmes, réseaux,
Risque applications...)

La
à une attaque sur
Attaques : notion de base par désir de se faire remarquer, en utilisant des
programmes codés par
Attaque : Les hacktivistes : agissant afin de défendre une
E cause, ils à transgresser la loi pour
inconnues par la victime et généralement attaquer des organisations afin de les paralyser ou
préjudiciables
:
Méthodologie des attaques
modifient pas le comportement du
1. La reconnaissance/collectes
système, et peuvent ainsi passer
:
inaperçues.
Connaitre le système cible en rassemblant
=> obtention
le maximum concernant les
un utilisateur ou un projet (Ecoute, Injection de
s de
infrastructures de communication du
droits) réseau cible (Social engineering,
Interrogation des services)
modifient le contenu des informations du 2. Le balayage réseau/repérage des
système ou le comportement du système. vulnérabilités :
Elles sont en général plus critiques que les Scanner le réseau pour identifier quelles
passives. sont les adresses IP actives sur le réseau, les
=> modification ou destruction de données ou ports ouverts correspondant à des services
de configurations, accessibles, et le système
utilisé par ces serveurs.
service. 3.
S
Attaques : Attaqueurs
valides sur les
Hacker : un spécialiste dans la maîtrise de la sécurité ( , Consultation de
informatique et donc des moyens de déjouer cette )
sécurité. 4. ès
Les chapeaux blancs ou white hat : professionnels backdoor (porte dérobée) :
de la sécurité informatique effectuant des tests Un petit bout de code introduit en général
et la par le pirate pour pouvoir ouvrir un accès
législation en vigueur afin de qualifier le niveau de dérobé sur un système informatique et ainsi
sécurité de systèmes. prendre le contrôle de celui-ci quand il le
Les chapeaux bleus ou blue hat : consultants en désire.
sécurité 5. Couvrir/nettoyage des traces :
de bogues et de corriger Dissimulation de processus informatiques
exploitation sur le des
marché (Microsoft). logiciels malveillants et éviter de se faire
Les chapeaux noirs ou black hat : créateurs de virus, repérer.
cyber-espions, cyber-terroristes ou cyber-escrocs,
agissant la plupart du temps hors-la-loi dans le but

informations.
Les chapeaux gris ou grey hat
pénétrer dans les systèmes sans y être autorisés, ils

exploit informatique» qui les motive, une façon de

faire la preuve de leur agilité.
Les script kiddies « gamins qui utilisent des scripts »
: sans grande compétence, ceux-ci piratent surtout
La base des attaques réseau
Man In The Middle MITM (Homme du milieu)
Se placer entre deux acteurs (client/serveur) en se faisant passer pour un des deux.
Lire/modifier les données échangés
Ex :
o Détournement du flux entre le client et le serveur. La méthode la plus
(répondre
à un trame arp qui ask who s the host that has this IP address => receive all the frames that were
supposed to achieve that address)
o plus éloboré avec Ettercap.

Détournement de flux
Des techniques permettant de rediriger le flux réseau vers un client, vers un serveur, ou vers une autre machine.
Ex :
o ARP-Poisoning (same as ARP spoffing)
o TCP Hijacking: the TCP protocol works with the three way handshake to establish the connection, so
this attack consist on sending lots of packets with SYN FLAG = 1 (establish he connection).. The victim
host receive a lot of packets and try to answer them all (SYN = 1 & ACK = 1) and wait for the last packet
to open the connection (SYN = 0 & ACK = 1) but instead of it, it receives other packets to establish the
connection (SYN = 1) => the host is blocked cuz it has a capacity of simultaneous connection :p
o UDP Hijacking: this attack consist of finding the sequence number so it can stole the traffic and
communicate in the name of the victim host. You have two choices, either use a sniffer and get the
sequence number expected by the server or try a lot of sequence until you find the right one (ofc the
first one is better and faster)
Encapsulation (P51 explain it well)
Déni de service
Rendre une machine indisponible
SYN flooding (like tcp hijacking) : send a lots of packet in order to establish the connection
UDP flooding: sends a lot of UDP packets in one machine
Smurfing: Une attaque par réflexion consiste à envoyer des paquets à des serveur broadcast en
victime comme adresse IP source : on
Les réponses de ces serveurs à la victime
de cette dernière.
 Security : Part II
Crypto : Notion de base
Cryptographie :
techniques qui permettent de rendre un message
inintelligible.
Cryptanalyse : la science qui consiste à tenter de
déchiffrer un message ayant été chiffré sans
posséder la clé de chiffrement
Chiffrement : Ensemble de procédés et ensemble de
symboles (lettres, nombres, signes, etc.) employés
pour remplacer les lettres du message à chiffrer.
Déchiffrement : le procédé consistant à retrouver le
texte original en possédant la clé de (dé)chiffrement
Décryptage : consiste à retrouver le texte original à
message chiffré sans posséder la clé de
(dé)chiffrement
Service de la cryptographie
La confidentialité des données :
droit de lire les données.
personne ne pourra modifier les
données.
personne ne pourra contrefaire
Firewall
Un système pare-feu (firewall) : un dispositif conçu
pour examiner et éventuellement bloquer les
échanges de données entre réseaux.
Objectif d un firewall
Contrôler : Gérer les connexions sortantes
à partir du réseau local.
Sécuriser : Protéger le réseau interne des
intrusions venant d
Surveiller : tracer le trafic entre le réseau
local et internet.
Journalisation des événements
Un système pare-feu contient un ensemble de règles
prédéfinies permettant
la connexion (allow) ;
De bloquer la connexion (deny) ;
De rejeter la demande de connexion sans
Politique de sécurité d un firewall
Politique restrictive : Elle consiste à
spécifier les actions qui sont autorisées.
est alors interdit.
Politique permissive :
restrictive, elle décrit les actions interdites.
est alors autorisé.
Politique combinatoire : Contrairement aux
deux premières, une politique combinatoire
consiste à définir aussi bien les actions
autorisées que celles interdites.
Méthode de filtrage
Filtrage simple de paquets (Stateless) :
o Niveau de la couche réseau du modèle
OSI.
o Analyse les entêtes de chaque paquet de
données échangé entre une machine du
réseau interne et une machine extérieure
[adresse IP src/dest, type de paquet (TCP,
UDP, ICMP), numéro de port (le service ou
].
o Examine chaque paquet indépendamment
des autres et le compare à une liste de
règles préconçues
o Limites :
des utilisateurs ni le filtrage des
applications + type de filtrage ne résiste
pas à certaines attaques de type IP
Spoofing..SMI6 28 /
Filtrage dynamique (filtrage de paquet avec
état) (Stateful)
o Fait le suivi des paquets sortants dont il a
autorisé la transmission et
le retour des paquets de réponse
correspondants.
o Inspecte les données des couches 3 et 4 :
Conserve la trace des sessions dans
Vérifie que chaque paquet est
paquet / la réponse à un paquet
Prend alors ses décisions en
fonction des états de connexions,
et peut réagir dans le cas de
situations protocolaires anormales
 o limites :
des failles applicatives, liées aux
vulnérabilités des applications.
Non prise en compte des protocoles
supérieures à la couche transport
(telnet, FTP, ...)
Filtrage applicatif (P30)
Limites de Firewall
Les firewalls ne protègent que des
communications passant à travers eux.
Ainsi, les accès au réseau extérieur non
réalisés au travers le firewall sont des failles
de sécurité (cas des connexions effectuées à
ll doit donc se
faire en accord avec une véritable politique
de sécurité.
DMZ
Un sous-réseau séparé du réseau local et isolé de
celui- autre réseau) par un
pare-feu. Ce sous-réseau contient les machines
. utilisé et sans reconfiguration
Comporte des machines du réseau interne
accessibles de
Possède un niveau de sécurité
intermédiaire,
On ne peut y stocker des données critiques
Les connexions à partir de la DMZ ne sont
ieur
DMZ : Politique de sécurité
Généralement :
Trafic du réseau externe vers la DMZ autorisé ;
Trafic du réseau externe vers le réseau interne
interdit ;
Trafic du réseau interne vers la DMZ autorisé ;
Trafic du réseau interne vers le réseau externe
autorisé ;
Trafic de la DMZ vers le réseau interne interdit ;
Trafic de la DMZ vers le réseau externe autorisé.
Système de détection (IDS)
Mécanisme écoutant le trafic réseau de manière
furtive afin de repérer des activités anormales ou
.
On distingue 3 grandes familles :
Les N-IDS (Network Intrusion Detection
System), ils assurent la sécurité au niveau
du réseau.
Les H-IDS (Host Intrusion Detection
System), ils assurent la sécurité au niveau
des hôtes.
IDS Hybrides : NIDS + HIDS
(P 38-40)
Un Système de Prévention/Protection contre les
intrusions
Différence entre un IDS et un IPS :
(seulement en écoute) comme un sniffer
sur le réseau.
IPS a la possibilité de bloquer
immédiatement les intrusions et ce quel
que soit le type de protocole de transport
équipement tierce.
de filtrage de paquets et de moyens de
bloquage :
o Drop connection,
o Drop offending packets,
o Dlock intruder, . . .
(read the rest of the course P43-47)
A.