Système d’information et sécurité financière

13 décembre 2021
 LES GRANDES CATÉGORIES D’ATTAQUES ET LES DISPOSITIFS
DE SÉCURITÉ ASSOCIÉS

1. Attaques par dénis de services

1. Réalisation d’une attaque par dénis de service

2. Usage des proxys et reverses proxys

3. Virtualisation des environnements : risques et avantages

2. Attaques par injection

1. Architecture client-serveur

2. Gestion des contextes : données et instructions

3. Mise en œuvre des contrôles applicatifs

4. Rupture protocolaire

Système d’information et sécurité

2
financière
C1 - Interne
 ALGORITHME DE CHIFFREMENT ET ALGORITHME DE HACHAGE

Client Serveur
1. le client initie une requête en envoyant un message de type ClientHello,
contenant notamment les suites cryptographiques qu’il prend en charge ;

2. le serveur répond par un ServerHello qui contient la suite retenue ;

3. le serveur envoie un message Certificate, qui contient en particulier sa clé

publique au sein d’un certificat numérique ;

4. le serveur transmet dans un ServerKeyExchange une valeur éphémère qu’il

signe à l’aide de la clé privée associée à la clé publique précédente ;

5. le serveur manifeste sa mise en attente avec un ServerHelloDone ;

6. après validation du certificat et vérification de la signature précédente, le client

poursuit l’échange de clés en choisissant à son tour une valeur éphé- mère et
en la transmettant dans un ClientKeyExchange ;

7. le client signale l’adoption de la suite négociée avec un ChangeCipherSpec ;

8. le client envoie un Finished, premier message protégé selon la suite

cryptographique avec les secrets issus de l’échange de clés éphémères
précédent ;

9. le serveur signale l’adoption de la même suite avec un ChangeCipherSpec ;

10. le serveur envoie à son tour un Finished, son premier message sécurisé.

Système d’information et sécurité

3
financière
C1 - Interne
 ATTAQUES PAR DÉNIS DE SERVICE DISTRIBUÉES

Etapes de réalisation :

- Colonisation de machines en vu de constituer un botnet

- Déclenchement de l’attaque par le centre de commande

- Demande de rançons ou autres

Attaque DynDNS du 21 octobre 2016

Système d’information et sécurité

4
financière
C1 - Interne
 ATTAQUES PAR DÉNIS DE SERVICE

Attaque par dénis de service :

- Génération d’un trafic ICMP Internet Contrôle Message Protocol : Erreur

ou incompatibilité sur les flag ICMP ; packet de taille supérieur à 65 535
octets

- Syn Flood : allocation de ressources serveurs via le protocole TCP

- UDP Flooding : saturation de la bande passante par des packet

prioritaire UDP.

- Packet Fragment : UDP and ICMP fragmentation attacks ; TCP

fragmentation attacks Teardrop

- Smurfing : envoi d’une requete ICMP en broadcast

Système d’information et sécurité

5
financière
C1 - Interne
Système d’information et sécurité
6
financière
C1 - Interne
 RAPPEL : ARCHITECTURE DU SYSTÈME D’INFORMATION
Les composants informatiques : infrastructure, application et base de données

Clients Serveurs

Système d’information et sécurité

7
financière
C1 - Interne
USAGE DES PROXYS ET REVERSES PROXYS

Google.com

Proxy

Internet
Paris1.fr

Cache

Facebook.com

Système d’information et sécurité

8
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Fonctionnement des réseaux IP : modèle OSI

Application Application Proxy Application

Présentation Présentation Présentation

Session Session Session

Transport Transport Transport

réseau réseau réseau réseau réseau

Liaison de Liaison de Liaison de Liaison de Liaison de

données données données données données

Physique Physique Physique Physique Physique

Système d’information et sécurité
9
financière
C1 - Interne
USAGE DES PROXYS ET REVERSES PROXYS

Google.com
Cache

Reverse Proxy
Internet

Facebook.com Paris1.fr
Système d’information et sécurité
10
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Fonctionnement des réseaux IP : modèle OSI

Application Reverse proxy Application Application

Présentation Présentation Présentation

Session Session Session

Transport Transport Transport

réseau réseau réseau réseau réseau

Liaison de Liaison de Liaison de Liaison de Liaison de

données données données données données

Physique Physique Physique Physique Physique

Système d’information et sécurité
11
financière
C1 - Interne
USAGE DES PROXYS ET REVERSES PROXYS

Google.com

Internet

Facebook.com Paris1.fr
Système d’information et sécurité
12
financière
C1 - Interne
 LES GRANDES CATÉGORIES D’ATTAQUES ET LES DISPOSITIFS
DE SÉCURITÉ ASSOCIÉS

1. Attaques par dénis de services

1. Réalisation d’une attaque par dénis de service

2. Usage des proxys et reverses proxys

3. Virtualisation des environnements : risques et avantages

2. Attaques par injection

1. Architecture client-serveur

2. Gestion des contextes : données et instructions

3. Mise en œuvre des contrôles applicatifs

4. Rupture protocolaire

Système d’information et sécurité

13
financière
C1 - Interne
 ARCHITECTURE DU SYSTÈME D’INFORMATION
Les composants informatiques : infrastructure, application et base de données

Clients Serveurs

Système d’information et sécurité

02/04/2018 14
financière
C1 - Interne
EXÉCUTION D’UNE REQUÊTE SQL

1 2

4 3

GET http://www.google.fr/search.php?r=paris

SELECT resultat FROM liste.sites where r=‘paris’

1 2

4 3 site1.fr
site2.com
site3.fr

15
C1 - Interne
 ATTAQUE PAR INJECTION D’UNE REQUÊTE SQL

Requête SQL exécuté par le serveur lorsque la valeur saisie est X :

- SELECT first_name, last_name FROM users WHERE user_id = ‘X’

- Résultat obtenu : Jean, Legrand

X  X’ OR user_id > 0 X ‘ OR user_id > 0

Donnée 1 Changement de Instruction 1 Donnée 2
contexte

Requête SQL exécuté par le serveur lorsque la valeur saisie est : X’ OR user_id > 0

- SELECT first_name, last_name FROM users WHERE user_id = ‘X’ OR user_id > 0’

- Résultat obtenu : Jean, Legrand / Marc, Leblond / Jacques, Petit / etc.

TEST :

- 1’ or ‘0’=‘0

- ‘union select null, @@version #

Système d’information et sécurité

16
financière
C1 - Interne
 LES GRANDES CATÉGORIES D’ATTAQUES ET LES DISPOSITIFS
DE SÉCURITÉ ASSOCIÉS

3. Gestion de l’authentification
1. Authentifiant

2. Gestion des certificats : algorithme de chiffrement et de hachage

3. Authentification forte et règles de jurisprudence : exemple de la monétique

4. Authentification centralisée

4. Autres attaques
1. Cross Site Scripting

2. Cross Site Request Fordery

3. Référence objet direct

4. Mauvaise configuration de sécurité

5. Ingénierie sociale

Système d’information et sécurité

17
financière
C1 - Interne
ALGORITHME DE CHIFFREMENT ET ALGORITHME DE HACHAGE

Algorithme de chiffrement symétrique : DES, 3DES, AES, RC4, RC5…

Algorithme de chiffrement asymétrique : RSA, Courbes elliptiques

Algorithme de hachage : MD5, SHA-1, SHA-2

Système d’information et sécurité

18
financière
C1 - Interne
 IDENTIFIER ET AUTHENTIFIER

Authentification forte : ce que je possède, ce que je connais et ce que je suis.

Ce que je
connais

Ce que
Ce que
je
je suis
possède

Système d’information et sécurité

19
financière
C1 - Interne
 ATTAQUE PAR BRUTE FORCE

Réalisation d’une attaque par brute force :

- Mot de passe les plus probables : utilisation d’un dictionnaire de

données, balayage de toutes les dates de naissance ou autre, utilisation
du login…

- Nom et prénom présent dans l’annuaire

- Calcul de variantes d’un mot de passe connu

Récupération d’un hash de mot de passe :

- Calcul du hash : utilisation de rainbow table

Système d’information et sécurité

20
financière
C1 - Interne
 ATTAQUE PAR BRUTE FORCE

Génération automatique de requêtes GET ou POST automatique :

- On vérifie si la taille de la réponse est identique à une réponse en échec

- On réitère jusqu’à obtenir une autre taille.

TEST :

- Localhost/[…]/?username=identifiant1&password=motdepasse1&login=l
ogin#

- Localhost/[…]/?username=identifiant1&password=motdepasse2&login=l
ogin#

Système d’information et sécurité

21
financière
C1 - Interne
 ATTAQUE PAR BRUTE FORCE
Dispositif de protection

Temporiser les exécutions de requêtes :

- Vérifier le login testé et suite à X échecs invalider le compte ou

temporiser les réponses

- Augmenter le nombre de combinaisons possibles (entropie des mots de

passe)

Système d’information et sécurité

22
financière
C1 - Interne
 UTILISATION DES ALGORITHME DE HACHAGE

Sécurisation des mots de passe dans les bases de données :

Mot de passe simplement haché Mot de passe haché avec un salage

password ID ID password

Hache (ID+password) ID Hache (ID+password)

TEST :

- Echo –n password | md5sum

- Echo –n password | sha1sum

- Echo –n password | sha256sum

Système d’information et sécurité

23
financière
C1 - Interne
 LES GRANDES CATÉGORIES D’ATTAQUES ET LES DISPOSITIFS
DE SÉCURITÉ ASSOCIÉS

3. Gestion de l’authentification
1. Authentifiant

2. Gestion des certificats : algorithme de chiffrement et de hachage

3. Authentification forte et règles de jurisprudence : exemple de la monétique

4. Authentification centralisée

4. Autres attaques
1. Cross Site Scripting

2. Cross Site Request Forgery

3. Ingénierie sociale

Système d’information et sécurité

24
financière
C1 - Interne
 ATTAQUE CROSS SITE SCRIPTING

1. Un utilisateur se connecte au
site. Le serveur lui attribut le
3 numéro de session 1.
2. L’utilisateur exécute contre sa
volonté le script injecté.
2
3. Le script envoi au pirate les
4 informations de session
4. Le pirate se connecte avec la
1 session volée.

TEST :
<script>alert(document.cookie)</script>
<iframe
src=« http://www.lemonde.fr »></iframe>

Système d’information et sécurité

25
financière
C1 - Interne
ATTAQUE CROSS-SITE REQUEST FORGERY

1. Un utilisateur se connecte au
site.
2 2. Le pirate lui envoi un lien afin
de faire exécuter une requête
pas l’utilisateur.
3. L’utilisateur clique et exécute
la requête.

1
3

TEST :
http://localhost/[...]/?password_new=pwd1
&password_conf=pwd1&Change=Change#

Système d’information et sécurité

26
financière
C1 - Interne