Institut Supérieur des Etudes Technologiques de Radès

Mastère professionnel en développement des application mobiles MI-MPDAM

Sécurité des Applications

Mobiles

Sana BELGUITH
Courriel: Belguith.sana@gmail.com
 Chapitre 1

Introduction à la sécurité
informatique
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 Introduction (1)
• Le petit robert définit la sécurité comme étant un état qui résulte de l’absence de
risque
La sécurité informatique est l’ensemble des moyens mis en œuvre pour minimiser
la vulnérabilité d’un système contre des menaces accidentelles ou intentionnelles

• L’objectif de la sécurité est de protéger les éléments sensibles d’un réseau (d’une
architecture) afin d’assurer sa pérennité en cas d’incidents de sécurité

• Sécurité versus sureté

 La sureté (safety) est l’ensemble des moyens mis en oeuvre pour protéger un
système d’informations (SI) contre les accidents dus à l’environnement, les défauts
du système, . . .
 La sécurité (security) est l’ensemble des moyens mis en oeuvre pour protéger un SI
contre des actions malveillantes intentionnelles
 Introduction (2)
• Identifier
Obtenir l’identité d’une personne ou d’une entité
• Authentifier
Vérifier qu’une personne ou une entit´e correspond bien à son identité
déclarée (par exemple par identifiant et mot de passe)
• Autoriser
Vérifier qu’une personne ou une entité a les droits nécessaires pour accéder ou modifier
une ressource
• Confidentialité
Propriété d’une information qui n’est ni disponible, ni divulguée aux personnes ou
entités non autorisées
• Intégrité
Propriété d’une information qui n’a pas été modifiée ou altérée lors d’un échange (par
exemple sur un réseau) ou pendant sa conservation
• Disponibilité
Capacité d’une ressource à être accessible
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 Les types d’incidents (1)

• Le Computer Crime Survey, sondage réalisé par le FBI en 2005 (observation des 12
mois précédents, auprès de 2000 organisations publiques et privées situées aux états
unis présenté à titre d’information pour observation pas nécessairement pour
commentaires (les chiffres ne parlent pas, on en parle . . .

• Les diapositives suivantes se lisent pourcentage d’organisations ayant rencontré. . .

Les types d’incidents (2)
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
Les technologies de protection
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 La gestion des risques et l’évaluation
de la sécurité

• Identification des éléments sensibles

• Déterminer les objectifs de sécurité pour ces ressources
• Analyse des risques qui leur sont attachés
• Définition des exigences de sécurité
• Sélection et implémentation des contrôles de sécurité
 Les éléments sensibles (ou
ressources critiques)
• Matériels (ordinateurs, équipements réseaux, . . . )
• Données (bases de données, sauvegardes, . . . )
• Systèmes (exploitation des matériels)
• Réseaux (échange des données)
• Logiciels (sources des programmes, services démons (DNS, FTP,. . . ), applications
web, . . . )
• Personnes (salariés, personnel en régie, . . . )
 Les objectifs de la sécurité (1)

• Disponibilité garantie l’accès et l’utilisation des ressources (services, bande

passante, données) de manière continue et non altérée

• Intégrité garantie qu’une ressource (données, applications, matériels) n’a pas été
modifiée, altérée ou détruite (transfert sécurisé)

• Confidentialité permet de garder privé des échanges de données (contrôle d’accès,

chiffrement)

• Identification indique qui vous prétendez être (login)

 Les objectifs de la sécurité (2)

• Authentification valide l’identité prétendue (mot de passe)

• Autorisation détermine les actions et ressources auxquelles un utilisateur identifié

est autorisé a accès

• Non-répudiation garantie qu’un message a bien été envoyé par un émetteur

authentifié

• Traçabilité permet de retrouver les opérations réalisées sur les ressources (logs)
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 Notion de politique de sécurité

• L’objectif d’une politique de sécurité est de protéger les éléments sensibles d’une
organisation afin d’assurer sa pérennité en cas d’incidents de sécurité

• Une politique consiste à rédiger des documents qui décrivent :

– à un niveau formel les règles de sécurité dans l’organisation (guide, standard,
recommandation)
– la mise en œuvre opérationnelle et technique de la politique (procédure)

• La politique est l’expression d’un besoin tandis que la procédure est

l’implémentation du besoin
 Les domaines concernés par la
politique de sécurité
• Audits des éléments physiques, techniques et logiques constituants du système
d’informations
• Sensibilisation des responsables et du personnel
• Formation du personnel
• Structuration et protection des locaux et du matériel
• Gestion du système d’informations
• Définition d’un cadre juridique et réglementaire
• Classification des informations selon différents niveaux de confidentialité et de
criticité
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 Le pirate (1)

• On appelle pirate toute personne commettant des actes illégaux li´es à

l’informatique
• Un pirate est un criminel informatique doté de vaste connaissances, dépassant celles
de leurs fabricants capable de défier les systèmes de sécurité les plus performants
• On appelle hacker toute personne apte à modifier astucieusement un objet pour le
destiner à un autre usage que celui prévu initialement
• Le hacking est considéré comme un crime dans un grand nombre de pays car il est
effectué d’une manière volontaire et dans le but de causer des dommages
• La mise en défaut d’un système de sécurité perfectionné implique fréquemment des
jours, des semaines voire des mois de travail acharné
 White hat hacker
 Black hat hacker
 Le pirate (2)

• White hat hacker (hacker éthique ou bon hacker)

– Un consultant, un administrateur
– Une fois infiltré cherche à avertir l’administrateur ou le fabriquant d’un produit de la
faille et propose les solutions ; ne cause pas des dommages ; n’ose pas de chantage avec
ses victimes

• Black hat hacker (mauvais hacker)

– Un créateur de virus, cyber-espion, cyber-terroriste et cyber-escroc
– Il préfère les actions illégales, il est motivé par les dommages qu’il peut causer ;
lorsqu’il n’en cause pas, il ne laisse pas de trace (n’avertit personne)

• Les hackers, généralement, basculent entre les deux catégories

 Le pirate (3)
• Les programmeurs et propagateurs de virus
– Distinction entre programmeurs et propagateurs de virus
– Seul le fait de propager un virus est r´eprimandable par la loi
– En l’absence de lois précises, les fautifs s’en sortent souvent avec une simple éprimande
(le programmateur du virus Melissa inculpé et reconnu coupable, a écopé de 20 mois de
prison et d’une amande de 5000 euro)

• Les script Kiddies

– Des pirates néophytes, faible statut, grande menace
– Les scripts sont développés par des hackers pour automatiser des fonctions répétitives
puis utilisés par des moins compétents aussi déterminés et souvent mal intentionnés
– En février 2000, un certain nombre de sociétés dont CNN, ebay, yahoo, amazon, Dell ont
été victimes d’une vague d’attaques par saturation particulièrement dévastatrice
paralysant leurs systèmes pendant plusieurs heures d’affilié, l’auteur des attaques arreté
était un adolescent de 15 ans
 Motivations du hacker vis-à-vis des
ressources sensibles
• La prise de connaissance d’un certain nombre d’informations
• La modification de données
• L’altération et la destruction de données
• La paralysie d’un service ou d’un réseau
• L’espionnage
• L’exploitation pour des fins personnelles
• L’élimination des traces
 Méthodologie du hacker
• La collecte d’informations et recherche de vulnérabilités
– Calcul d’empreinte en analysant les activités économique d’une entreprise à travers son
site web, son forum d’aide, ou par interrogation de DNS . . .
– Balayage des systèmes pour connaitre les services offerts, les ports ouverts, les systèmes
d’exploitation (OS), la version, . . .
– Enumération intrusive en exploitant les caractéristiques propres à chaque OS, service,
port . . . pour connaitre des noms d’utilisateurs, l’existence de données en partage . . .

• L’attaque
– Réseau
– Système
– Logiciel

• L’approche est cyclique puisque en général une attaque amène à une autre pour une
quête accrue de privilèges et de connaissances
La typologie des attaques
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
Méthodologie générique de stratégie de
sécurité
• Identification des menaces (virus, erreur, . . . )

• Choix d’une stratégie de défense

 Pro-active (prévenir l’attaque)
 Prédiction des dommages possibles (courte indisponibilité, réinstallation, . . . )
 Calcul du degré de vulnérabilité
 Réactive (minimiser les conséquences d’une attaque)
 Identification des origines de l’attaque (fichiers logs, . . . )
 Réparation des dommages causés

• Mise en œuvre de solutions techniques pour minimiser l’impact des dommages

• Elaboration d’un plan de contingence décrivant les actions à réaliser en situation

critique

• Analyse des résultats (de simulation ou d’attaques réelles) et améliorer la stratégie

 Les sources de menaces

• L’ensemble des actions de l’environnement d’un système pouvant entrainer des

pertes financières
 Les menaces relevant de problèmes non spécifiques à l’informatique (au-delà du contenu
de ce cours)
 Les pannes et les erreurs non intentionnelles
 Les menaces intentionnelles
 Les menaces relevant de problèmes
non spécifiques à l’informatique
• Risque matériels accidentels
 Incendie, explosion, inondation, tempête, foudre
 Techniques de protection assez bien maitrisées

• Vol et sabotage de matériels

 Vol d’´equipements matériels
 Destruction d’équipements
 Destructions de supports de sauvegarde

• Autre risques
 Tout ce qui peut entrainer des pertes financières dans une société (pertes plutôt associées
à l’organisation, à la gestion des personnels)
 Départ de personnels stratégiques, grèves, . . .
 Les pannes et les erreurs non
intentionnelles
• Pannes et dysfonctionnement du matériel

• Pannes et dysfonctionnement du logiciel de base

• Erreurs d’exploitation
 Oubli de sauvegarde
 Ecrasement de fichiers

• Erreurs de manipulation des informations

 Erreur de saisie
 Erreur de transmission
 Erreur d’utilisation

• Erreurs de conception des applications

• Erreurs d’implantation
 Les menaces intentionnelles
• Les menaces passives
 Le détournement des données (l’écoute, les indiscrétions)
 Espionnage industriel
 Espionnage commercial
 Violations déontologiques
 Le détournement des logiciels
 Copies illicites
• Les menaces actives
 La modification des informations
 La fraude financière informatique
 Le sabotage des informations
 La modification des logiciels
 Bombes logiques
 Virus, ver, . . .
La typologie des sources de menaces (1)
La typologie des sources de menaces (1)

• Les actions malveillantes (en croissance) 61%

• Les risques accidentels 24%
• Les pannes et erreurs 12%
• Autres 3%
Quelques règles de stratégie de sécurité (1)
• Découpage en périmètre logiques (e.g. réseau étudiant, enseignant, personnel)

• Limitation et différenciation des contrôles d’accès à chaque périmètre (e.g. filtrage

de paquets, relais applicatifs (proxy))

• Mise en place de contrôle d’authentification aux accès

• Identification des besoins en termes de privilèges et mise à disposition de ces

privilèges en fonction des besoins de chaque Utilisateur

• Chiffrement des communication inter-site transitant sur des réseaux publics et

transportant des informations confidentielles
Quelques règles de stratégie de sécurité (2)

• Un responsable pour chaque périmètre

• Définition de contrôles d’accès au sein de chaque périmètre afin de contrôler les
portes dérobées
• Une zone d’administration dédiée et séparée pour chacun des périmètres
• Contrôle de tout vecteur de propagation de virus (e.g. document, média amovible, .
. . ) avant pénétration dans un périmètre
• Lancement de campagnes d’informations et de sensibilisation
• Contrôle régulier de la politique de sécurité appliquée pour validation
Quelques règles de stratégie de sécurité (2)
• La signature numérique (données supplémentaires permettant de
• vérifier l’intégrité et l’origine de l’information)
• La notarisation qui consiste à passer par un tiers de confiance pour assurer certains
services de sécurité
• La journalisation (logs) en enregistrement les activités de chaque acteur.
• La journalisation permet de constater que des attaques ont eu lieu, de les analyser et
potentiellement de faire en sorte qu’elles ne se reproduisent pas
• L’horodatage
• Le contrôle du routage par la sécurisation des chemins (liens et équipements
d’interconnexion)
• Un pare-feu (firewall) ; il n’empeche pas un attaquant d’utiliser une connexion
autorisée pour attaquer le système. Un pare-feu ne protège pas contre une attaque
venant du réseau intérieur
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
L’ingénierie sociale (social engineering)
• L’ingénierie sociale est le fait d’obtenir de l’information par de la supercherie

• Les contre-mesures possibles :

– Choix judicieux du mot de passe (long, n’appartenant à aucun dictionnaire)
– Secret du mot de passe (ne jamais donner son mot de passe à quiconque, même pas à un autre
employé, . . . )
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 La cartographie du réseau
• Centre d’information sur Internet (NIC – Network Information Center), informant sur
adresse IP et nom de domaine
• En France, l’AFNIC - Association Française pour le Nommage Internet en
Coopération se charge de la gestion administrative et technique des noms de
domaine en .fr (France) et .re (Ile de la Réunion)
• Les variantes possibles :
– Site web de l’entreprise
– Nslookup
– Ping
– Traceroute
L’usurpation d’identité (IP spoofing) (1)
• L’usurpation d’identité est le fait de falsifier son adresse IP.
L’objectif est d’acquérir des privilèges d’une machine pour accéder à un certain
nombre de service
 C souhaite usurper l’identité de A auprès de B
 C apprend l’algorithme d’incrémentation des numéros de séquence (SN- Sequence Number) de
B en lui envoyant des paquets et en analysant les réponses
 C rend inopérant A
 C forge un paquet en falsifiant son IP avec celle de A et demande une connexion à B (SYN)
 B envoie à A un paquet SYN/ACK, que ce dernier ne peut valider car rendu inopérant
 C acquitte alors la connexion (ACK) avec le NS prévu. La connexion est établie en toute
impunité
 L’usurpation d’identité (2)
• Difficile à mettre en œuvre

• Les variantes possibles :

– Attaque de routage
– Man-in-the-middle
– ARP spoofing (plus aisé sur un réseau local)

• Les contre-mesures possibles

– Interdire l’accès par confiance aux machines externes
– Refuser toutes requêtes externes d’une machine interne
– Améliorer la génération des NS (chiffrement)
 Le déni de service (DOS - Denial of
Service)
• Le déni de service (DoS) est une attaque qui vise à rendre indisponible un service,
un système, un réseau
• Le DoS est une attaque par inondation
– Une ou plusieurs (DDoS - Distributed DoS) machines inondent le réseau de paquets
• Les variantes possibles
– Ping of Death
 Envoi d’une requête ICMP (ICMP request) sans précision d’un délai d’attente
 La machine victime répond aussi vite qu’elle peut (ICMP rely) ping -l 65510
victim@organisation.com
– Smurf and Fraggle
 Envoi d’une requête ICMP avec une fausse adresse IP vers une adresse de diffusion
 Toutes les stations du domaine de diffusion répondent ensuite `a la victime surchargeant sa
connexion
– Inondation SYN
 Demande d’´etablissement de connexion sans jamais la terminer. Le serveur réserve alors de
plus en plus de ressources (ports, mémoires, . . . )
 Plan du cours
• Introduction
• Les types d’incidents
• Les technologies de protection
• La sécurité des systèmes d’information
– La gestion des risques et l’évaluation de la sécurité
– Notion de politique de sécurité
• Les principaux acteurs
– Le pirate
– L’administrateur
• Quelques attaques
– L’ingénierie sociale
– Les attaques réseaux
– Les attaques du système
 Le cassage de mots de passe

• Principe simple consistant à faire des essais répétitifs jusqu’à trouver

• le bon mot de passe
• Les variantes possibles :
– Attaque par dictionnaire
• Mot de passe testé à partir d’une liste prédéfinie
• La liste contient les mots de passe les plus courants avec des variantes de
• ceux-ci (mot à l’envers, avec un chiffre à la fin, . . . )
– Attaque par force brute
• Toutes les possibilités sont examinées dans l’ordre jusqu’à trouver la bonne solution
• Par exemple de aaaaaa à ZZZZZZ pour un mot de passe composé strictement de six caractères
alphabétiques
 Le dépassement de tampon (Buffer
overflow)
• Le principe est simple et consiste à profiter des faiblesses de certaines fonctions de
langages de programmation qui ne contrôlent pas la taille de la chaine de caractères
à enregistrer dans un tampon pour écraser la mémoire du processeur et faire
exécuter du code pernicieux

• En langage C, les fonctions telles que scanf() (analyse de chaine de caractères) ou

strcpy() (copie de chaine de caractères) ne contrôlent pas la taille de la chaine à
enregistrer dans un tampon