Académique Documents
Professionnel Documents
Culture Documents
Cours de Master I
Réseau et Système distribué (RSD)
Département d’informatique
Université de Batna 2
Plan du cours
Introduction et motivation
Rappel sur les couches réseaux OSI et TCP/IP
Concepts liés à la sécurité
Vulnérabilités et attaques
Catégorie des attaquants
Buts des attaques
Etapes d’une attaque
Typologie des attaques
Les attaques réseaux
Solutions de sécurité
Firewall et DMS
HTTPS, SSL et TLS
IDS et IPS
VPN et IPSec
Ces systèmes et les réseaux informatiques sont constamment menacés par des attaques. Le taux de
réussite de ces attaques ne cesse de s'accroître, ce qui en fait une menace sérieuse pour la sécurité
et la confidentialité des données.
Problématique : afin que ce RÔLE soit satisfait, il est nécessaire de prendre en compte les
différences matérielles et logicielles entre les machines.
Solution: pour permettre une communication efficace entre tous les nœuds du réseau, il est
important de respecter des normes d'interconnexion. le modèle OSI (Open System
Interconnexion)
Le modèle OSI n’est pas une véritable architecture de réseau, car il ne précise
pas réellement les services et les protocoles à utiliser pour chaque couche.
Créer des connexions logiques entre applications s’exécutant sur des hôtes distants.
Fragmentation et réassemblage des messages:
Unité de données de protocole (PDU) appelé segment(TCP) ou datagramme(UDP)
Multiplexage des données issues de différentes applications sur une connexion de
niveau réseau avec démultiplexage au moyen de paramètres dans l’en-tête des segments
(n°de ports).
La couche transport du modèle contient deux protocoles principaux qui permettent aux
applications de communiquer indépendamment des réseaux sous-jacents : TCP
(Transmission Control Protocol) et UDP (User Datagram Protocol).
Dans la couche transport, les ports sont utilisés pour identifier les applications qui
échangent des données via un protocole de transport, tel que TCP ou UDP.
Chaque application s'exécutant sur un ordinateur peut avoir une ou plusieurs connexions
réseau actives, et chaque connexion est identifiée par une paire d'adresses IP et de ports.
Il existe 3 catégories de ports:
1) Ports well-known : de 0 à 1023
Alloués par l’IANA (Internet Assigned Numbers Authority), Sur la plupart des
systèmes, ne peuvent être utilisés que par des processus système (ou root) ou des
programmes exécutés par des utilisateurs privilégiés.
Listés par l’IANA, sur la plupart des systèmes, peuvent être utilisés par des processus
utilisateur ordinaires ou des programmes exécutés par des utilisateurs ordinaires.
Datagramme IP
Une adresse IP (appelé aussi adresse logique) est une étiquette numérique unique qui
identifie un périphérique (nœud) sur un réseau. Elle permet à ce nœud de communiquer avec
d'autres périphériques sur le réseau.
Sécurité des réseaux : pratique consistant à sécuriser un réseau informatique contre les intrus, qu'il
s'agisse d'attaquants ciblés ou de logiciels malveillants opportunistes.
Cela implique la protection des données stockées sur les réseaux, la prévention des attaques
malveillantes et la garantie de la confidentialité, de l'intégrité et de la disponibilité des informations
transmises à travers les réseaux.
Une approche systématique est essentielle pour garantir que tous les aspects de la sécurité sont
pris en compte. Cette approche repose sur trois éléments clés :
Objectifs
Mécanismes Services
Obstacles
Attaques
2. Mécanismes de sécurité : les procédures logicielles ou matérielles mises en place pour assurer les
services de sécurité et faire face aux attaques. Les mécanismes de sécurité incluent des mesures
de détection, de prévention et d'élimination des attaques.
3. Attaques : les actions qui constituent un obstacle pour assurer les services de sécurité. Les
attaques peuvent être menées par des individus malveillants, des logiciels malveillants, des
erreurs humaines ou des catastrophes naturelles.
3. La disponibilité signifie que les utilisateurs autorisés peuvent accéder aux systèmes et aux données
quand et où ils en ont besoin, tandis que ceux qui ne répondent pas aux conditions établies ne le sont
pas. La maintenance des équipements, la réparation du matériel, la mise à jour des systèmes
d’exploitation et des logiciels, et la création de sauvegardes permettent de garantir la
disponibilité du réseau et des données pour les utilisateurs autorisés.
5. La non-répudiation est la capacité de prouver que l'auteur d'une action ne peut pas nier avoir
effectué cette action. En d'autres termes, la non-répudiation garantit qu'une personne ne peut pas
nier avoir envoyé un message, effectué une transaction financière ou signé un document électronique.
Pour atteindre la non-répudiation, plusieurs techniques de sécurité peuvent être utilisées,
telles que : la signature numérique, l’intégrité des données, les logs ou les
horodatages.
VPN : (réseau privé virtuel) permet de créer un tunnel sécurisé entre deux réseaux distants,
permettant ainsi aux utilisateurs d'accéder au réseau à distance de manière sécurisée. Les VPN
utilisent des protocoles de cryptage pour sécuriser les communications entre les réseaux.
Mise à jour régulière des logiciels et des systèmes permettent de combler les failles de
sécurité et de protéger les réseaux contre les nouvelles menaces de sécurité.
Surveillance du réseau permet de détecter les activités suspectes et les tentatives d'intrusion.
Les outils de surveillance réseau peuvent alerter les administrateurs de réseau en cas d'activité
malveillante et permettent d'agir rapidement pour contrer les menaces.
aucun système aussi perfectionné soit-il n’est totalement protégé face aux
cyberattaques
Une attaque ne peut donc avoir lieu (et réussir) que si le bien est affecté par une vulnérabilité
Attaquants
Les attaquants au chapeau blanc (pirate éthique) s'introduisent dans les réseaux ou les
systèmes informatiques pour identifier les faiblesses afin d'améliorer la sécurité d'un système
ou d'un réseau. Ils effectuent ces intrusions sur autorisation et tous les résultats sont
signalés au propriétaire.
Les chapeaux noirs (pirate informatique/ Cracker): ils profitent de toute vulnérabilité à des fins illégales,
financières ou politiques.
Les hacktivistes effectuent des déclarations politiques pour sensibiliser sur les questions qui
leur sont importantes. Le groupe « Anonymous » est un groupe hacktiviste.
Exercice:
À quelle catégorie de pirate informatique est-ce que j’appartiens ?
1) J'ai transféré 10 millions de dollars sur mon compte bancaire à l'aide des informations
d'identification de compte client et du code PIN recueillis à partir d'enregistrements.
2) Après avoir piraté à distance des distributeurs automatiques de billets à l'aide d'un ordinateur
portable, j'ai travaillé avec des fabricants de distributeurs automatiques pour résoudre les
vulnérabilités trouvées.
3) Mon travail consiste à identifier les faiblesses du système informatique d'une entreprise.
Atteinte à l’image
Espionnage
Sabotage
Atteinte à l’image
Espionnage
Sabotage
visent à intercepter des informations ou des données sans altérer leur contenu. Cela peut inclure
des activités telles que l'écoute de conversations sur un réseau, la surveillance des connexions
réseau, la collecte d'informations d'identification ou la recherche de vulnérabilités dans les systèmes
cibles.
Elles sont souvent difficiles à détecter, car elles ne perturbent pas les opérations normales du
système cible.
Les attaques actives sont généralement plus faciles à détecter que les attaques passives, car elles
ont un impact direct sur le système cible.
Il est important de noter que certaines attaques peuvent être à la fois actives et passives,
en fonction de la manière dont elles sont menées. Par exemple, une attaque de type MITM
peut être considérée comme passive dans la mesure où elle consiste à intercepter des
données, mais elle peut également être considérée comme active si elle est utilisée pour
modifier les données qui circulent sur le réseau.
Ce réseau peut être utilisé pour mener des attaques DDoS (déni de service distribué), pour voler des
données ou pour toute autre activité malveillante.
Ces attaques sont appelées APT pour « Advanced Persistent Threat » qui se traduit littéralement
par « menace persistante avancée » ou « attaque avancée ».
Principes de fonctionnement d’une attaque avancée:
1. l’attaquant va utiliser l’ensemble des informations de l’entreprise visée trouvées sur Internet pour en
faire une cartographie précise.
2. Par la suite, l’attaquant va infecter le réseau de l’entreprise, via un email envoyé à un employé qui
contient une pièce jointe malveillante par exemple.
3. L’attaquant prenant ainsi le contrôle du poste de l’employé, pourra se connecter au réseau interne
de l’entreprise, puis contaminer l’ensemble du réseau jusqu’à trouver l’ordinateur qui contient
l’information à protéger.
4. Dans ce cas, on dit que le collaborateur a servi de « tête de pont » à l’attaquant pour commettre son
attaque.
Sécurité des réseaux 50 MasterI RSD 2022/2023
Exemple de déroulement d’une attaque ciblée
La reconnaissance (footprinting) :est une étape cruciale pour un attaquant car elle lui permet de
recueillir des informations précieuses sur sa cible et d’évaluer les vulnérabilités potentielles mieux
planifier son attaque. La phase de reconnaissance peut être active ou passive :
Reconnaissance Active : se déroule hors ligne et implique des actions concrètes de la part de
l'attaquant, telles que l'interception de communications ou l'observation directe. L’attaquant
entre en interaction directe sa cible.
1) Le ping scanning: permet à l'attaquant de découvrir les adresses IP actives sur le réseau
ciblé, en envoyant des paquets ICMP (Internet Control Message Protocol) pour vérifier si les
adresses sont accessibles. Il peut également être utilisé pour identifier les machines les plus
actives ou celles qui ont une réponse plus rapide aux paquets ICMP.
Certaines organisations peuvent bloquer les requêtes ICMP, rendant cette méthode inutile.
Attention :la phase de balayage (scan) et non autorisée (illégale), vous n’avez pas le droit de
scanner des systèmes qui ne vous appartiennent pas
L'objectif de cette phase est d'obtenir un accès privilégié au système ciblé afin de pouvoir
y exécuter des actions malveillantes.
Le maintien d'accès (phase de persistance) : dans cette phase l'attaquant cherche à
conserver un accès furtif et permanent au système compromis en installant des portes dérobées
(backdoors) et en masquant ses activités. Il peut également tenter de propager son contrôle sur
d'autres systèmes du réseau pour maintenir une présence durable.
Suppression des fichiers logs : l'attaquant peut supprimer les fichiers logs qui
enregistrent toutes les actions sur le système ciblé pour empêcher toute trace de son
activité d'être enregistrée.
Désinstallation des outils : l'attaquant peut désinstaller les outils qu'il a utilisés pour
accéder au système pour éviter qu'ils soient détectés lors d'une enquête ultérieure.