Académique Documents
Professionnel Documents
Culture Documents
2021
|Academy
1/ Préliminaires
|Academy
Plan de la leçon
Table 1: Outline
Une attaque : processus et typologies
Activité Format Duration(min.) Day N°
Quelles sont les étapes
1- Processus PDF,
de déroulement d’une 5 min 1
d’attaque Vidéo
attaque ?
Quelle sont les failles sur
2- Typologies de lesquelles peuvent PDF,
5 min 1
faiblesses s’appuyer les Vidéo
attaquants ?
Attaques actives,
3- Catégories PDF,
passives, directes, 5 min 1
d’attaques Vidéo
indirectes
4- Familles Quelles ont les grandes PDF,
5 min 1
d’attaques familles d’attaques ? Vidéo
Introduction générale
Une fois que les cybercriminels ont identifié des machines vulnérables sur Internet,
ils vont procéder à l’action de nuire à la victime directement. Ils vont procéder à des
tentatives de pénétration directe ou indirecte afin d’atteindre leur cible. Nous
présentons tous les contours d’une attaque : de sa mise en place à son exécution et
des typologies y relatives.
Structure de la leçon
La structure de la leçon est la suivante. La première section présente comment se
déroule une attaque. La deuxième section présente les faiblesses sur lesquelles
s’appuient les pirates. La troisième section met en exergue les catégories d’attaques.
La dernière section illustre les grandes familles d’attaques.
|Academy
1. Processus d’attaque
Une cyber-attaque ou attaque a un objectif spécifique. Cet objectif peut être de voler
les données secrètes d’une entreprise et à les revendre à des personnes non
autorisées. Une attaque est un long processus de plusieurs étapes savamment
orchestrées par le pirate. Comme dans une armée, l’attaquant débute par une
reconnaissance ou un espionnage de la cible. Cette étape consiste à collecter assez
d’informations permettant de repérer les faiblesses de la cible. Ces informations
peuvent être son adresse IP, les services sensibles qui y tournent, les ports ouverts,
les habitudes de visite de site Web, les informations personnelles via les réseaux
sociaux.
Une fois que le soldat ennemi a assis ses agents, il passe par eux pour prendre le
contrôle à distance du système de la victime d’un lieu qu’on appelle centre de
commandement et de contrôle à partir duquel l’ennemi déploie ses commandes de
missile. Après la réussite de la prise de contrôle distante, l’ennemi va réaliser son
objectif qui peut être : détruire ou altérer des données, rendre le système
indisponible, chiffrer les données et demander une rançon ou exfiltrer des données
sensibles.
|Academy
2. Typologies de faiblesses
Comme on l’a dit plus haut, le pirate s’appuient sur les faiblesses (ou failles ou
vulnérabilités) pour lancer un ensemble d’attaques permettant d’influencer le
comportement du réseau ou de récolter des informations importantes. On distingue
plusieurs types de faiblesse :
Les faiblesses des protocoles. Un protocole est un code écrit dans un langage,
donc possiblement faillible. Ces faiblesses sont liés aux protocoles réseau et
systèmes définis sur nos systèmes. Des protocoles tels que Telnet par exemple
sont déjà connus comme faillibles.
Les faiblesses d’authentification. Ces vulnérabilités concernent les lacunes
liées à l’authentification telles que la faiblesse des mots de passe, le manque
d’utilisation des protocoles de sécurité,
Les faiblesses d’implémentation ou bogues : Ces faiblesses sont liées aux codes
écrits. Une mauvaise écriture donne un mauvais sens qui peut permettre
d’injecter un script malicieux.
Les faiblesses de configuration : La plupart des personnes aiment laisser les
configurations par défaut. Ou encore cliquer sur « OK, SUIVANT ». Ces
installations par défaut sont connues de tous et même des pirates. Le fait de
les laisser nous rend vulnérables.
Les faiblesses humaines : Ces faiblesses concernent les traits intrinsèques aux
humains qui font qu’ils soient toujours compassionnels. Ce qui fait qu’ils sont
facilement manipulables.
|Academy
On peut avoir une vulnérabilité, et on peut avoir un exploit, mais sans charge utile,
cela n'a pas vraiment d'importance ; cependant, les charges utiles sont assez
interchangeables. Une fois que vous exploitez quelque chose, vous pouvez charger la
plupart des charges utiles sur un système.
1 Injections SQL : elles incluent les risques d’injection de commande (Système, SQL,
Shellcode, ...)
3 Cross-Site Scripting : cette faille correspond au XSS soit l’injection de code HTML
dans une page. Ceci va provoquer des actions non désirées sur une page Web. Les
failles XSS sont particulièrement répandues parmi les failles de sécurités Web.
4 Broken Access Control : Elle correspond aux failles de sécurité sur les droits des
utilisateurs authentifiés. Les attaquants exploitent ces défauts pour accéder à d'autres
utilisateurs.
6 Sensitive Data Exposure : Il s’agit des failles de sécurité exposant des données
sensibles comme les mots de passe, les numéros de carte de paiement ou encore les
données personnelles et la nécessité de chiffrer ces données.
8 Cross-Site Request Forgery (CSRF) : elle se réfère aux failles liées à l’exécution de
requêtes à l’insu de l’utilisateur.
We Strenghen Security of Your Cyber-Health,
Copyright © CyComAITM |Academy, All Rights Reserved
La situation actuelle : nous sommes terriblement en danger ! 2021
|Academy
9 Using Components with Known Vulnerabilities : Elle intègre les failles liées à
l’utilisation de composants tiers vulnérables.
3. Catégories d’attaques
On distingue deux catégories d’attaques. Les attaques passives et les attaques
actives.
Les attaques passives consistent à obtenir des informations qui sont transmises sans
changer l’état de la communication. Une attaque passive tente d'apprendre ou
d'utiliser les informations du système mais n'affecte pas les ressources système. Les
attaques passives ont pour nature d'écouter ou de surveiller la transmission. Le but
de l'attaquant est d'obtenir le contenu des informations transmises. Les types
d'attaques passives sont de deux ordres : la publication du contenu et l’analyse du
trafic.
Analyse du trafic
|Academy
Selon Spacey (2016) dans Simplicable (W9), les attaques passives incluent quatre cas.
Tapping. C’est l’activité effectuée par le dispositif TAP qui surveille passivement les
communications non cryptées telles que les e-mails ou les appels téléphoniques sans
perturber le réseau.
Balayage. Ici l’attaquant questionne des services pour détecter des vulnérabilités
telles que des ports ouverts ou une version de système d'exploitation faible.
Analyse du trafic. L’attaquant scrute les paquets ainsi que les détails sur la
communication pour apprendre des informations sur la cible.
Les attaques passives contre les réseaux sans fil sont extrêmement courantes1, au
point d'être presque omniprésentes. La détection et la génération de rapports sur les
réseaux sans fil sont devenues un passe-temps populaire pour les attaquants. Des
outils tels que NetStumbler2 est utilisé pour le balayage des réseaux sans fil. Ce type
de balayage, recherchant des réseaux sans fil, est connu sous le nom wardriving.
L’outil Dsniff3 est une suite d'outils qui permettent des attaques passives et des
reniflements sur les sessions TCP.
1
https://www.sciencedirect.com/topics/computer-science/passive-attack
2
www.netstumbler.com
3
https://packages.debian.org/fr/sid/dsniff
|Academy
de données ou la création d'une fausse déclaration. Les types d'attaques actives sont
les suivants:
Mascarade: L'attaque par mascarade a lieu lorsqu'une entité prétend être une entité
différente. Une attaque type mascarade implique l'une des autres formes d'attaques
actives.
Figure 3 : Mascarade
Modification des messages : Cette attaque consiste à modifier une partie d'un
message ou à retarder/réorganiser le message pour produire un effet non autorisé.
Par exemple, un message signifiant «Autoriser FRANKLIN à lire le fichier
confidentiel X» est modifié en «Autoriser ALIMA à lire le fichier confidentiel X».
Figure 4 : Modification
|Academy
Figure 5: Rejeu
Déni de service
Ce type d’attaque empêche l'utilisation normale des services. Cette attaque peut
avoir une cible spécifique. Par exemple, une entité peut supprimer tous les messages
dirigés vers une destination particulière. Une autre forme de déni de service est la
perturbation d'un réseau entier en le surchargeant par des messages afin de dégrader
les performances.
Les attaques peuvent être hybrides lorsqu’elles ont incorporent plusieurs étapes,
chacune étant une attaque passive ou active.
La principale différence entre les attaques actives et passives est que dans les
attaques actives, l'attaquant intercepte la connexion et modifie les informations.
Attendu que, dans une attaque passive, l'attaquant intercepte les informations de
|Academy
transit dans le but de lire et d'analyser les informations sans les altérer. Une attaque
passive est donc difficilement détectable par rapport à une attaque active.
L’attaque peut être directe. Dans ce cas, le pirate attaque directement l’équipement
de sa victime et expose donc son identité. L’attaque peut être indirecte. Dans ce cas,
elle est lancée indirectement par l’intermédiaire d’un système rebond afin de
masquer l’identité (adresse IP) du pirate et d’utiliser les ressources du système
intermédiaire. Dans un second cas, au lieu d’envoyer l’attaque au système intermédiaire
pour qu’il la répercute, l’attaquant lui envoie une requête, et c’est la réponse à cette
requête qui est envoyée au système cible.
3.6 Illustrations
|Academy
dossier de l'employé pour confirmer l'action. L'employé est en mesure d'intercepter
le message et de le retarder suffisamment longtemps pour avoir un accès final au
serveur pour récupérer des informations sensibles. Le message est ensuite transmis,
l'action effectuée et la confirmation publiée. L'action de l'employé peut passer
inaperçue pendant un temps considérable.
4. Familles d’attaques
Nous présentons dans le tableau 1 (CISCO 2021) les grands types d’attaques ainsi
que leur description. Dans les packages de formation suivants, nous vous
apprendrons à déployer ces attaques.
|Academy
Attaque Phishing ou L'hameçonnage est la pratique consistant à envoyer des
Hameçonnage communications frauduleuses qui semblent provenir
d'une source fiable, généralement par courrier
électronique. L'objectif est de voler des données
sensibles telles que les informations de carte de crédit et
de connexion ou d'installer des logiciels malveillants sur
la machine de la victime. Le phishing est une
cybermenace de plus en plus courante.
Attaque Man-in-the- Les attaques Man-in-the-middle (MitM), également
middle (MitM) connues sous le nom d'attaques d'écoute clandestine, se
produisent lorsque des attaquants s'insèrent dans une
transaction à deux parties. Une fois que les attaquants
interrompent le trafic, ils peuvent filtrer et voler des
données. Deux points d'entrée courants pour les
attaques MitM :
|Academy
la vulnérabilité révélée pendant cette fenêtre de temps.
La détection des menaces de vulnérabilité zero-day
nécessite une vigilance constante.
Attaque tunnelage DNS Le tunnelage DNS utilise le protocole DNS pour
communiquer le trafic non DNS via le port 53. Il envoie
le trafic HTTP et d'autres protocoles via DNS. Il existe
diverses raisons légitimes d'utiliser le tunneling DNS.
Cependant, il existe également des raisons malveillantes
d'utiliser les services VPN de tunneling DNS. Ils peuvent
être utilisés pour déguiser le trafic sortant en DNS,
cachant des données qui sont généralement partagées
via une connexion Internet. Pour une utilisation
malveillante, les requêtes DNS sont manipulées pour
exfiltrer les données d'un système compromis vers
l'infrastructure de l'attaquant. Il peut également être
utilisé pour les rappels de commande et de contrôle de
l'infrastructure de l'attaquant vers un système
compromis.
Conclusion et Recommandations
Cette leçon avait pour objectif de faire comprendre aux apprenants tous les contours
autour de la réalisation d’une attaque et de décrire des exemples d’attaques. Cela a
été fait de manière synthétique.
Exercices d’apprentissage
1) Donner et expliquer 03 certifications internationales qui couvrent les domaines
de la sécurité.
2) Expliquer les différences fondamentales entre le cybersécurité et la sécurité
des systèmes d’information.
3) Une menace vient-elle avant la découverte d’une vulnérabilité ? Justifier.
4) Peut-on menacer sans exploiter une vulnérabilité ?
|Academy
5) Considérant le système de banque à guichet automatique. Lequel des services
de sécurité est le plus prioritaire ? Justifier.
6) Même question que 5) dans le cas d’un serveur Web.
7) Pour chaque type d’attaque dans le tableau 1, faire une description étape par
étape selon les processus d’une attaque.
8) Pour chaque attaque dans le tableau 1, illustrer un scénario réel.
Bibliographie
Biographie de l’auteur
|Academy
participé en tant que membres (senior) à ACM et UWB. Il se consacre à être un leader
de la cybersécurité en Afrique, où il entretient plusieurs collaborations en Afrique du
Nord, en Afrique du Sud, en Afrique de l'Ouest et en Afrique centrale et où il fournit
diverses expertises en ligne et sur site.