REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Paix-Travail-Patrie Peace-work-fatherland
**** ****

KEYCE INFORMATIQUE & INTELLIGENCE

+
ARTIFICIELLE

UNITE D’ENSEIGNEMENT:

SUPERVISION ET SECURITER DES RESEAUX

FILIERE : GESTION DE SYSTÈME D’INFORMATION

NIVEAU : 2

Année Académique : 2024 / 2025

PARTIE A : SUPERVISION DES
RESEAUX
 INTRODUCTION

Les réseaux sont de partout à l’heure actuelle. Ils sont devenus indispensables au bon fonctionnement
général de nombreuses entreprises et administrations. Tout problème ou panne peut avoir de lourdes conséquences
aussi bien financières qu’organisationnelles. La supervision des réseaux est alors nécessaire et indispensable. Elle
permet entre autre d’avoir une vue globale du fonctionnement et problèmes pouvant survenir sur un réseau mais
aussi d’avoir des indicateurs sur la performance de son architecture. De nombreux logiciels qu’ils soient libres ou
propriétaires existent sur le marché. La plupart s’appuie sur le protocole SNMP. Dans une première partie nous
allons faire une présentation de la supervision et tout ce qui touche au monitoring de réseau. Dans une seconde
partie, nous verrons le fonctionnement du protocole le plus utilisé actuellement : le protocole SNMP. Ensuite nous
ferons une présentation des différents logiciels existants à l’heure actuelle. Enfin nous essaierons d’avoir une

vision sur l’avenir de la supervision.

 CHAPITRE I : LE PROTOCOLE SNMP
I. Présentation
I.1. Objectifs
Il est aujourd’hui de plus en plus difficile d’administrer un réseau. En effet le nombre d’équipements à
gérer est souvent de plus en plus important : stations, serveurs, imprimantes… Le plus grand souci d’un
administrateur est la panne. En effet, il doit pouvoir réagir le plus rapidement possible pour effectuer les
réparations nécessaires. Il faut pouvoir surveiller de manière continu l’état des systèmes d’information afin
d’éviter un arrêt de production de trop longue durée. C’est là où la supervision intervient. Elle doit permettre
d’anticiper les problèmes et de faire remonter des informations sur l’état des équipements. Plus le système est
important et complexe, plus la supervision devient compliquée sans les outils indispensables.

I.2. Principe
Une grande majorité des logiciels de supervision sont basés sur le protocole SNMP qui existe depuis de
nombreuses années. Nous en faisons la description dans la deuxième partie.
La plupart de ces outils permettent de nombreuses fonctions dont voici les principales :
• Surveiller le système d’information
• Visualiser l’architecture du système
• Analyser les problèmes
• Déclencher des alertes en cas de problèmes
• Effectuer des actions en fonction des alertes
La tâche de l’administrateur est alors simplifiée. Il n’a plus qu’à faire une vérification ou réaliser une
action en fonction d’une alerte déclenchée. Chaque outil doit aussi lui donner une vision globale du système
d’information pour localiser les problèmes le plus rapidement possible.

II. Le protocole SNMP

II.1. Présentation
SNMP signifie Simple Network Management Protocol (protocole simple de gestion de réseau en
Français). C'est un protocole qui permet comme son nom l'indique, de gérer les équipements réseaux ainsi que les
machines informatiques. Ce protocole est donc utilisé par les administrateurs réseaux pour détecter à distance les
problèmes qui surviennent sur leur réseau.
Chaque machine, que ce soit sous Windows ou sous Linux possèdent de nombreuses informations
capitales pour l'administrateur réseaux. On retrouve des informations comme la quantité de RAM utilisé,
l'utilisation du CPU, l'espace disque et encore bien d'autre indicateurs. SNMP va permettre de remonter ces
informations à l'administrateur de façon centralisé pour pouvoir réagir au plus vite aux pannes éventuelles.
II.2. Fonctionnement
II.2.1. Les agents
Sur une machine à superviser, pour que SNMP envoie les informations que l'on souhaite il faut qu'un
agent soit installé sur celle-ci. Cet agent écoute sur le port 161 et attend que le serveur lui envoie des requêtes
pour lui répondre. Un port est ici un canal de communication.
L'agent pourra aussi envoyer des alertes lui-même si l'administrateur l'a configuré. Par exemple pour
surveiller l'occupation CPU l'administrateur définira une valeur critique pour laquelle une alerte doit lui être
émise.
Pour finir l'agent pourra aussi agir sur l'environnement local. C'est pourquoi ce protocole est critique car il
peut servir à d'autres personnes mal intentionnées pour prendre le contrôle à distance de certains équipements sur
le réseau.
II.2.2. Les systèmes de management de réseaux
 Généralement, l'administrateur possède un outil permettant de centraliser ce que lui retournent ses agents.
Et c'est donc cet outil qui va interroger les équipements du réseau. Il va donc pouvoir gérer un réseau entier grâce
à cela.

Figure 1 : Exemple de topologie de management d’un réseau

II.2.3. La MIB (Management Information Base)

• Présentation
Pour que SNMP fonctionne, il est nécessaire qu'un protocole d'échange soit définit. Il y a aussi une
standardisation des informations que ce protocole peut transporter. C'est un protocole Internet, il doit être
utilisable sur des plates-formes hétérogènes (matériel, comme système d'exploitation).
C'est pour cette raison que l'on parlera de MIB. En effet, la MIB est une base de données des informations
de gestion maintenue par l'agent. C’est cette base à laquelle on va demander les informations.
• Structure de la MIB

La structure de la MIB est hiérarchique : les informations sont regroupées en arbre. Chaque information a un OID
(Object Identifier), une suite de chiffres séparés par des points, qui l'identifie de façon unique et un nom, indiqué
dans le document qui décrit la MIB.

Par exemple, [Link].[Link].1.2 est l'OID de l’information ifDescr qui est la chaîne de caractères décrivant
une interface réseau (comme eth0 sur Linux ou Ethernet0 sur un routeur Cisco).

Les MIB sont décrites en utilisant ASN (Abstract Syntax Notation). Par exemple, ifDescr est décrite par :
ifDescr OBJECT-TYPE
SYNTAX DisplayString (SIZE (0..255))
ACCESS read-only
STATUS mandatory
DESCRIPTION
"A textual string containing information about the
interface. This string should include the name of the manufacturer,
the product name and the version of the hardware interface."
::= { ifEntry 2 }
 Une des MIB les plus connues est MIB-II, et qui est mise en œuvre dans quasiment tous les équipements TCP/IP.
Elle compte dix groupes : « système », « interfaces », « at », « IP », « ICMP », « TCP », « UDP », « EGP
(Exterior Gateway protocol) », « transmission » et « SNMP ».

Figure 2 : Exemple de structure hiérarchique d’une MIB

II.2.4. Les commandes SNMP
Il existe 4 types de requêtes SNMP :
• get-request : Le Manager SNMP demande une information à un agent SNMP
• get-next-request : Le Manager SNMP demande l'information suivante à l'agent SNMP
• set-request : Le Manager SNMP met à jour une information sur un agent SNMP
• trap : L'agent SNMP envoie une alerte au Manager
Les alertes sont transmises lorsqu’un événement non attendu se produit sur l’agent. Ce dernier informe le
manager via une « trap ». Plusieurs types d’alertes sont alors possibles : ColdStart, WarmStart, LinkDown,
LinkUp, AuthentificationFailure. Pour chaque envoi de message, une réponse est retournée à l’exception de la
commande « trap ». Les réponses sont du type suivant :
• get-response : L’information a bien été transmise.
• NoSuchObject : Aucune variable n’a été trouvée.
• NoAccess : Les droits d’accès ne sont pas bons.
• NoWritable : La variable ne peut être écrite.

II.2.5. Echange de message

Voici un schéma récapitulant les échanges pouvant être effectués entre un agent et le manager :
get-request
Manager get-reponse Agent
Port 162 get-next-request Port 161
get-reponse
set-request
get-reponse
trap

Figure 3 : Exemple d’échange SNMP

 Le protocole SNMP est principalement utilisé avec UDP/IP. (Il peut aussi utiliser TCP). L’utilisation
d’UDP permet un échange de message plus rapide que l’utilisation de TCP. L’inconvénient est qu’il est possible
de perdre des trames lors de l’échange de messages (UDP, mode non connecté). Les ports UDP sont donc le 162
pour le manager et le 161 pour les agents.

II.3. Différentes versions de SNMP

II.3.1 SNMP v1
C'est la première version de SNMP qui a été très utilisée et qui l'est encore mais qui a un défaut majeur :
une sécurisation très faible. La sécurité se base sur la communauté « public » par défaut, il suffit donc de définir
la même communauté pour interroger les agents. Format des messages SNMP :

Version Communauté PDU

Type ID Statut Indice OID OID

PDU request erreur erreur 1 2

• Le champ version contient la version de

SNMP utilisée
• Communauté : le type de communauté
• Type PDU (Protocol Data Unit) : il
s’agit du type de requête
• ID request : permet d’associer les réponses aux requêtes
• Statut erreur : Type d’erreur (0 si aucune)
La principale faiblesse de cette version est qu’elle n’était absolument pas sécurisée. En effet, il n’y a pas de
cryptage des données et aucune authentification. C’est pour cela qu’une version sécurisée de SNMPv1 appelée
SNMPSec a existée mais elle n’a quasiment pas été utilisée.

II.3.2 SNMP v2
Cette seconde version est une évolution de la version SNMPv1. SNMPv2 qui a été publiée sous
l’ensemble de propositions de standards Internet. Il s’agit d’un avant-projet de standard. Il rajoute de la sécurité
avec SNMPsec mais aussi de nouvelles opérations. Cette version est toujours restée expérimentale et a laissé
place à la version 3. De nombreuses évolutions ont existés sans jamais être adoptés : SNMPv2p, SNMPv2c,
SNMPv2u…
II.3.3 SNMP v3
La version 3 de SNMP a donc permis essentiellement d’introduire la sécurité des transactions. Elle comprend
l’identification des deux parties qui communiquent mais aussi s’assure que les messages échangées ne puissent
pas être lu par n’importe qui.
La sécurité est basée sur différents concepts :
• USM (User-based Security Model): USM permet d’assurer plusieurs fonctions :
 Authentification
L’authentification permet de s’assurer que le paquet n’est pas modifié pendant la transmission et que le mot de
passe est valide. Elle se fait grâce à HMAC-MD5-96 ou de HMAC-SHA- 96 qui sont des fonctions de hachage.
Grâce à ceci tous les paquets vont être authentifiés, cette authentification ne nous garantit pas encore la
confidentialité des données.
 Le cryptage
Le cryptage permet de s’assurer que personne ne puisse décrypter un message SNMP échangé sur le réseau. La
version 3 de SNMP utilise pour cela le cryptage symétrique DES avec des clés de 64 bits.
 L’estampillage du temps (horodatage)
Lors de l’envoi d’une requête SNMP, le cryptage et l’authentification ne permettent pas d’éviter qu’une
personne récupère cette requête et la retransmette plus tard sur le réseau (Replay Attack).
• VACM (View Access Control Model) : Le VACM permet de contrôler les différents accès au MIB. Il est
alors possible de restreindre l’accès en lecture et en écriture pour un utilisateur ou un groupe d’utilisateur.
Le format d’une trame SNMP v3 est très différent de celle de la version 1 :

Figure 4 : Trame SNMPv3

Les informations contenues dans cette trame sont relativement différentes :

• msgVersion : pour snmpv3, on place 3 dans ce champ. On place 0 pour SNMPv1
• msgID : l’identifiant du message
• msgMaxSize : la taille maximale d’une réponse à une requête ;
• msgFlags : il s’agit de différents types de drapeaux (sur 3 bits): précise si une réponse est attendue o précise
si on a utilisé du cryptage o précise si on a utilisé l’authentification :
• msgSecurityModel : type de sécurité utilisé pour encrypter le reste du paquet
• msgSecurityParameters : paramètres de sécurité. Ce bloc n’est pas défini dans SNMPv3 et a été standardiser
par le module de sécurité DES.
• scopedPDU : message SNMP.
Afin d’exploiter au mieux SNMP, de nombreux logiciels de supervision existent. Nous allons maintenant faire
une rapide présentation de ceux les plus utilisés à l’heure actuelle.
 CHAPITRE II : QUELQUES LOGICIELS DE SUPERVISION

I.1. Quelques logiciels libres

I.1.1 MRTG
MRTG est un outil pour surveiller la charge de la circulation des données qui transitent sur un réseau, un
sous-réseau ou sur certaines machines via SNMP. Il produit des pages HTML contenant des images qui
fournissent une représentation visuelle du trafic désiré.
MRTG est basé sur les langages Perl et C, il fonctionne sous UNIX et Windows NT (New Technologie).
Son succès a été très important et son successeur RRDTool qui est écrit par le même auteur est maintenant
utilisé dans de nombreux logiciel de monitoring.

I.1.2. CACTI

CACTI est un logiciel de supervision qui est un front-end (interface graphique) de RRDTool. Il est basé
sur un serveur web avec une base de données MySQL et PHP. RRDTool permet de stocker toutes les
informations de supervision réseau et de générer des graphiques. MRTG est utilisé pour récupérer ces
informations avec SNMP.

CACTI permet donc de représenter graphiquement divers statuts de périphériques réseau utilisant SNMP
ou encore grâce à des scripts (Bash, PHP, Perl, VBs...) pour avoir par exemple l'espace disque restant ou encore
la mémoire utilisée, la charge processeur ou le ping d'un élément actif.

Figure 5 : Une interface de supervision sous CACTI

I.1.3 Nagios
Nagios est un logiciel qui permet de superviser un système d'information. C'est un logiciel libre, il est
sous licence GPL. Les fonctionnalités de Nagios sont nombreuses.

La première particularité de Nagios est la modularité. En effet des plugins peuvent être ajoutés pour
effectuer des tâches spécifiques. De nombreux plugins sont déjà écrits par la communauté Nagios mais nous
pouvons en écrire nous même pour des taches spécifiques. Nagios va être couplé avec centreon qui va
permettre de faciliter l’administration mais aussi remonter les graphes et effectuer du reporting. Nagios intègre
bien sur une notification par mail ou sms selon le jour et l’heure. Voici les avantages et inconvénients de Nagios
:

Avantage :
• Surveillance des services réseaux (SMTP, POP3, HTTP, PING, etc.).
• Surveillance des ressources des hôtes (charge processeur, utilisation des disques, etc.).
• Système simple de plugins permettant aux utilisateurs de développer facilement leurs propres
vérifications de services.
• Notifications des contacts quand un hôte ou un service a un problème et est résolu (via email, ou par
méthode définie par l’utilisateur).
• Possibilité de définir des gestionnaires d’évènements qui s’exécutent pour des évènements sur des hôtes
ou des services, pour une résolution des problèmes
• Interface web, pour voir l’état actuel du réseau, notification et historique des problèmes, fichiers log, etc.
• Plugins existant pour utiliser MRTG ou RRDTool

Inconvénients :
• Configuration compliquée qui oblige une très bonne connaissance de Nagios.
• Graphes pas assez clairs.
• Administration compliquée.
Configuration :
• La configuration est assez complexe et nous allons donc détailler les principaux points à connaître pour
la compréhension du bon fonctionnement de Nagios.
• Définition des Hôtes :
Un hôte pour Nagios représente un serveur "physique", une station de travail, un périphérique, un équipement,
qui se trouve sur le réseau.
• Définition des Services :
La définition d'un service identifie un service tournant sur un hôte. Le terme "service" est très générique. Il
peut s'appliquer à un service (tel que POP, SMTP, HTTP, etc.) ou bien tout autre type de mesures associées à
l'hôte (temps de réponse à un ping, nombre d'utilisateurs connectés, usage des disques).

Figure 6 :Interface graphique de Nagios

I.1.4 Centreon
Centreon consiste à inclure dans une solution complète l’ensemble des services de Nagios existants, ainsi
que des modules d’installation et de configuration du serveur Nagios. Centreon est en perpétuelle évolution
grâce au monde open source très actif autour de ce projet, ce qui permet une aide en cas de problème à travers
les différents forums et des évolutions logicielles permettant une efficacité accrue et la correction de bug
logicielle rapide.
Avantages :

• Une installation complète et automatique des packages nécessaires à l’utilisation de NAGIOS.

• Facilite la configuration de Nagios.
• Une découverte automatique du réseau et une configuration des ressources découvertes (serveurs,
équipements réseaux...) au niveau du serveur de supervision. L’utilisateur n’aurait plus qu’à sélectionner la
ressource à superviser et lui indiquer quel type d’alerte qu’il souhaite remonter.
• Graphe le résultat des alertes, système de reporting.

Inconvénients :

• Requiert plus de ressources matérielles

Architecture logique de l’application :
Sur le schéma suivant on peut voir qu’il y a deux façons pour superviser notre réseau. En effet Nagios
permet de faire une supervision passive et active grâce aux plugins NRPE et NSCA.

Envoi mail en cas d’alerte critique ou warning

Client
Vérifie espace
disque
Alerte
Utilisateur centreon Nagios Vérifie
Affichage Client
Envoi
sous forme Alerte
résultat
de graphe
Alerte
passive
Client

Figure 6 : Interaction entre Nagios et centreon

 Figure 7: Interface graphique de centreon

Cette page est une des plus importantes car avec un simple coup d’œil on repère très rapidement les
problèmes. Cette page s’actualise toutes les 60s ce qui permet de la laisser toujours ouverte pour pouvoir
détecter rapidement un problème.

I.2. Les logiciels propriétaires

I.2.1. IBM Tivoli Netview
Ce logiciel est né du rachat de l’entreprise Tivoli par IBM. C’est un des logiciels commercial le plus
utilisée. Il s’agit d’une suite de logiciels comprenant notamment Tivoli Monitoring essentiellement dédié à la
supervision de machines ou d’applications. L’architecture repose sur le protocole SNMP. Des agents sont en
places sur chaque matériel et une application centrale permet d’effectuer divers opérations :
• Définir les différentes règles de supervision.
• Stocker les informations et les présenter sous la forme de pages web.
• Générer différents graphiques sur l’état du réseau.
Chaque machine qui est supervisée doit posséder un environnement d’exécution JAVA. Tivoli Monitoring
s’occupe de récupérer les informations sur les machines : occupation processeur, système de fichier.
Afin de compléter les fonctions de cet outil, il est possible de le compléter avec une suite logicielle : Tivoli
Business Systems Manager qui permet alors de disposer d’un ensemble de gestion de système d’information
relativement complet :

• Découverte des réseaux TCP/IP

• Affichage des topologies réseaux
• Gestion des différents événements
• Affichage de la santé et de l’état du réseau
• Détection et prévention de problèmes
Il est également possible d’analyser des différents flux échangés dans un réseau. Les principaux avantages de
cette solution est que c’est sans aucun doute une des plus répandue sur le marché. Elle est s’adapte facilement à
notre besoin et est relativement complètes. Un des inconvénients est qu’il faut posséder une grande partie de la
gamme afin de pouvoir superviser le mieux possible un réseau.
I.2.2. HP OpenView
HP OpenView est aussi un des logiciels majeur de la supervision . Il permet le management d’équipements
réseau. Une interface graphique permet un affichage de l’état courant des équipements. Un système d’alarme
permet de synchroniser le tout. Il est basé sur SNMP pour dialoguer avec les différentes machines.
• Système de MAP
Tous les équipements sont affiché à l’aide d’une interface appelé MAP :
 Figure 8 : Exemple de topologie sur HP OpenView
Les couleurs permettent de préciser l’état des différents périphériques.
• Système d’alarme
HP OpenView intègre un système d’alarme. En effet des requêtes SNMP sont régulièrement effectuées
vers les agents. Si un état change ou une machine devient injoignable, une alarme est directement déclenchée et
une action peut-être déclenchée. (Lancement d’un programme, envoie d’un mail…)
Ses principaux atouts sont les suivants :
• Une vue globale du système d’information
• Une vision des différents incidents
• Un contrôle homogène des différents matériels

II. Avenir de la supervision

II.1. Avenir de SNMP
La version 3 de SNMP existe maintenant depuis 2002. Cependant, beaucoup en sont resté à la version 1.
Dans les années à venir, la dernière version devrait de plus en plus être adoptée surtout qu’elle apporte des
avantages non négligeables tels que la sécurité qui devient un des éléments critiques des systèmes d’information
à l’heure actuelle.
A noter que cette version de SNMP est entièrement compatible avec IPV6.

II.2. Autres standards

Plusieurs autres solutions de supervision semblent se tourner vers Internet. En effet, plusieurs standards
existent déjà :
 IPMI (Intelligent Platform Management Interface)
IPMI est une spécification commune à la plupart des constructeurs, consistant en un ensemble d’interfaces
permettant de superviser une machine, indépendamment de son système d’exploitation, y compris si elle est
éteinte mais connectée à une prise électrique. Les informations peuvent être accessibles via une interface système
directe, un lien série ou une connexion ethernet. La norme IPMI est propriétaire. On peut trouver des
informations détaillées sur le site d’Intel.
Le cœur d’IPMI est un contrôleur appelé BMC (Baseboard Management Controller). Il surveille les
différents capteurs intégrés à la carte mère (température, vitesse de rotation des ventilateurs, état du système
d’exploitation et permet certaines actions sur la machine comme l’extinction ou le démarrage. Les valeurs des
capteurs sont appelées SDR (Sensor Data
Record). Les divers éléments de la machine appelés FRU (Field Remplaceable Unit).
OpenIPMI fournit les pilotes de périphériques IPMI pour Linux. ipmitool permet d’interagir avec un
serveur équipé d’IPMI localement ou à distance.

 SYSLOG
Syslog est un protocole de transmission d’événements systèmes. On peut en trouver une spécification
exhaustive dans la RFC 3164, améliorée par la RFC 5424. Il permet de centraliser les événements systèmes de
chaque serveur ou équipement réseau sur une seule machine pour des fins d’analyse statistique, d’archivage ou
production d’alertes. Attention ! Pour centraliser efficacement des journaux systèmes, il faut une source de temps
(NTP) commune.
Le protocole syslog utilise des datagrammes UDP à destination du port 514. Chaque événement système
est accompagné :
 son type de service (facility),
 sa gravité (severity),
 la date et l’heure (timestamp),
 la machine sur laquelle l’événement s’est produit (host).
BSD syslogd est l’implémentation histoire du protocole. Deux projets concurrents apportent des améliorations
substancielles au protocole initial :
 syslog-ng (support de TCP, TLS, IPv6, filtrage par contenu, stockage dans une base de données,. . . )
 rsyslog (idem plus support de RELP et BEEP, SNMP traps,. . . )
Les journaux systèmes sont extrêmement nombreux. Outre le filtrage introduit dans syslog-ng et rsyslog, il est
nécessaire d’utiliser une application d’analyse.
logwatch est un analyseur écrit en Perl. Il est facilement configurable, permet de produire des rapports par
service, par jour, par fichier de log et d’envoyer le rapport à une adresse donnée.
swatch est une application qui suit en direct un journal système, y recherche des expressions régulières et
lance les actions appropriées logcheck.
• WEBMEN qui spécifie un modèle de données pour l’administration. De nombreuses organisations
supportent à l’heure actuelle ce standard tel que HP, Microsoft
• Le protocole d’administration HMMP. (Hypermedia Management Protocol), une sorte de SNMP sur
Internet. Il s'agit d'un protocole de communication au dessus de HTTP qui achemine les requêtes HMOM
(commandes associées au protocole) jusqu'à un serveur Web.
• JMAPI (Java Management Application Programming Interface), une interface de programmation qui
permet d’écrire des agents Java et des applications d’administration. Il s'agit d'un ensemble d’objets
permettant de créer très facilement des applications d’administration de réseaux et de services. Il contient
une interface homme machine d’administration des ressources, des interfaces de notification
d’événements, de demande d’actions sur une ou plusieurs ressources, des interfaces de gestion des
données en base de données, des interfaces SNMP.
• WS-Management (Web Services Management) est une spécification qui permet de simplifier
l’administration des services web. Elle décrit notamment la façon de programmer un firmware ou un
logiciel afin de permettre à un administrateur système d'éteindre ou d'allumer à distance un matériel ou un
logiciel et de diagnostiquer un dysfonctionnement, quel que soit l'endroit où il se trouve. Ce protocole
pourrait aussi être utilisé pour administrer des modems ADSL, des télévisions, des lecteurs de DVD... Ce
protocole devrait être intégré dans les prochaines versions de Microsoft Windows Server.
PARTIE B : SECURITE DES
RESEAUX
CHAPITRE 1 : INTRODUCTION A LASECURITE INFORMATIQUE

1. L'architecture de sécurité OSI (X.800)

Le marché de la sécurité informatique a connu une croissance significative. L'entreprise
Gartner1 s'attend à ce que le marché de la cybersécurité dépasse les 100 milliards de dollars en
2019 contre 76 milliards de dollars en 2015.
Pour évaluer efficacement les besoins de sécurité d'une organisation et choisir divers
produits et politiques de sécurité, le responsable de la sécurité a besoin d'un moyen
systématique lui permettant de définir les exigences en matière de sécurité. L'architecture de
sécurité OSI est utile aux gestionnaires pour organiser la tâche de sécurité. Elle a été
développée en tant que norme internationale. Les fournisseurs d'ordinateurs et de
communications ont développé des fonctionnalités de sécurité pour leurs produits et services
qui se rapportent à cette définition structurée de services et de mécanismes.
L'architecture de sécurité OSI X.800 se concentre sur les attaques de sécurité, les
mécanismes et les services. Ceux‐ci peuvent être définis brièvement comme suit :
 Attaque de sécurité : toute action qui compromet la sécurité des informations
appartenant à une organisation.
 Mécanisme de sécurité : un processus (ou un périphérique incorporant un tel
processus) conçu pour détecter, prévenir ou récupérer une attaque de sécurité.
 Service de sécurité : un service de traitement ou de communication qui améliore la
sécurité des systèmes de traitement de données et les transferts d'informations d'une
organisation. Les services sont destinés à contrer les attaques de sécurité, et ils
utilisent un ou plusieurs mécanismes de sécurité pour fournir le service.

2. Les services de sécurité

X.800 définit un service de sécurité comme un service fourni par une couche de protocoles de
systèmes ouverts communicants, qui assure une sécurité adéquate des systèmes ou des
transferts de données. X.800 divise ces services en cinq catégories et quatorze services
spécifiques, comme présenté dans le Tableau 1.1.
Service de Description Service spécifique de Description
Sécurité sécurité
Authentification L’assurance que l'entité Authentification par Utilisé en association avec une connexion
communicante est celle entité intermédiaire logique pour donner confiance à l'identité des
qu'elle prétend être. entités connectées.
Authentification Dans un transfert sans connexion, il fournit
d'origine de données l'assurance que la source des données reçues
est tel que revendiqué.
Contrôle d’accès La prévention de N/A N/A
l'utilisation non autorisée
d'une ressource (c.‐à‐d., Ce
service contrôle qui peut
avoir accès à une ressource,
dans quelles conditions
l'accès peut se produire et
ce que les personnes qui ont
accès à la ressource
peuvent faire).

1
Le site officiel de l’entreprise Gartner Inc. [Link]

DR. M. A. FERRAG 2018 7

 Sécurité Informatique

La confidentialité La protection des données Confidentialité de la La protection de toutes les données de

des données contre la divulgation non connexion l’utilisateur sur une connexion.
autorisée. Confidentialité sans La protection de toutes les données de
connexion l’utilisateur dans un seul bloc de données.
Confidentialité de La confidentialité des champs sélectionnés dans
champ sélectif les données de l’utilisateur sur une connexion
ou dans un seul bloc de données.
Confidentialité du La protection de l'information pourrait être
flux de trafic dérivée depuis l'observation des flux de trafic.
L’intégrité des L'assurance que les données Intégrité de connexion Fournit l'intégrité de toutes les données
données reçues sont exactement avec récupération utilisateur sur une connexion et détecte toute
comme modification, insertion, suppression ou
envoyées par une entité réponse.
autorisée (c'est‐à‐dire ne Intégrité de la Comme ci‐dessus, mais ne fournit qu'une
contiennent aucune connexion sans détection sans récupération.
modification, insertion, récupération
suppression ou Intégrité de connexion Fournit l'intégrité des champs sélectionnés dans
reproduction). du champ sélectif les données utilisateur d'un bloc de données
transféré sur une connexion et prend la forme
de déterminer si les champs sélectionnés ont été
modifiés, insérés, supprimés ou reproduits.
Intégrité sans Fournit l'intégrité des champs sélectionnés dans
connexion du champ un seul bloc de données sans connexion ; Prend
sélectif la forme de déterminer si les champs
sélectionnés ont été modifiés.
Non répudiation Fournit une protection Non répudiation ‐ Preuve que le message a été envoyé par la

‐
contre le déni par l'une des Origine partie spécifiée.
entités impliquées dans une Non répudiation Preuve que le message a été reçu par la partie
communication d'avoir Destination spécifiée.
participé à tout ou partie de
la communication.
Tableau 1.1 Les services de sécurité définit par X.800

2.1. L’authentification
Le service d'authentification est chargé d'assurer qu'une communication est authentique. Dans
le cas d'un seul message, tel qu'un signal d'avertissement ou d'alarme, la fonction du service
d'authentification est d'assurer au destinataire que le message provient de la source qu'il
prétend être. Dans le cas d'une interaction continue, comme la connexion d'un terminal à un
hôte, deux aspects sont impliqués. Tout d'abord, au moment de l'initiation de la connexion, le
service garantit que les deux entités sont authentiques, c'est‐à‐dire que chacune est l'entité
qu'elle prétend être. Deuxièmement, le service doit s'assurer que la connexion n'est pas
entravée de telle sorte qu'un tiers peut se faire passer comme l'une des deux parties légitimes
aux fins d'une transmission ou d'une réception non autorisée.
Deux services d'authentification spécifiques sont définis dans X.800:
 Authentification par entité intermédiaire
 Authentification d'origine de données

2.2. Contrôle d'accès

Dans le contexte de la sécurité du réseau, le contrôle d'accès permet de limiter et de contrôler
l'accès aux systèmes hôtes et aux applications via les liaisons de communication. Pour ce
faire, chaque entité qui tente d'accéder doit d'abord être identifiée ou authentifiée, de sorte que
les droits d'accès peuvent être adaptés à l'individu.
 2.3. Confidentialité des données
La confidentialité est la protection des données transmises contre les attaques passives. En ce
qui concerne le contenu d'une transmission de données, plusieurs niveaux de protection
peuvent être identifiés. Le service le plus large protège toutes les données transmises entre
deux utilisateurs sur une période de temps. Par exemple, lorsqu'une connexion TCP est
configurée entre deux systèmes, cette protection large empêche la sortie de toute donnée
utilisateur transmise sur la connexion TCP. Des formes plus étroites de ce service peuvent
également être définies, y compris la protection d'un seul message ou même des champs
spécifiques dans un message. Ces améliorations sont moins utiles que l'approche générale et
peuvent même être plus complexes et coûteuses à mettre en œuvre.
Il y’a un autre aspect de la confidentialité, qui est la protection des flux de trafic liés à
l'analyse. Cela nécessite qu'un attaquant ne puisse pas observer la source, la destination, la
fréquence, la longueur ou d'autres caractéristiques du trafic dans une installation de
communication.

2.4. Intégrité des données

Comme pour la confidentialité, l'intégrité peut s'appliquer à un flux de messages, un seul
message ou des champs sélectionnés dans un message. Encore une fois, l'approche la plus
utile et la plus simple est la protection totale des flux.
Un service d'intégrité axé sur la connexion, qui traite d'un flux de messages, assure
que les messages sont reçus comme envoyés, sans : duplication, insertion, modification,
réorganisation ou répétition.

2.5. Non répudiation

La non répudiation empêche l'émetteur ou le récepteur de refuser un message transmis. Ainsi,
lorsqu'un message est envoyé, le destinataire peut prouver que l'expéditeur présumé a en effet
envoyé le message. De même, lorsqu'un message est reçu, l'expéditeur peut prouver que le
prétendu séquestre a effectivement reçu le message.

2.6. Service de disponibilité

Les deux X.800 et RFC 2828 définissent la disponibilité pour être la propriété d'un système
ou une ressource système accessible et utilisable à la demande par une entité système autorisé,
selon les spécifications de performance du système. Une variété d'attaques peut entraîner la
perte ou la réduction de la disponibilité. Certaines de ces attaques sont soumises à des contre‐
mesures automatises, telles que l'authentification et le cryptage, tandis que d'autres nécessitent
une sorte d'action physique pour éviter ou se remettre de la perte de disponibilité des éléments
d'un système distribué.
X.800 traite en outre la disponibilité en tant que propriété d'être associée à divers services de
sécurité. Un service de disponibilité est celui qui protège un système pour assurer sa
disponibilité. Ce service répond aux problèmes de sécurité soulevés par les attaques de déni
de service.

DR. M. A. FERRAG 2018 9

 3. Les mécanismes de sécurité
Le tableau 1.2 énumère les mécanismes de sécurité définis dans X.800. Les mécanismes sont
divisés en ceux implémentés dans une couche de protocole spécifique et ceux qui ne sont pas
spécifiques à une couche de protocole ou à un service de sécurité particulier.
 Mécanismes de sécurité spécifiques : Peuvent être incorporé dans la couche de
protocole appropriée afin de fournir certains des services de sécurité OSI.
 Mécanismes de sécurité omniprésents : Mécanismes qui ne sont pas spécifiques à un
service de sécurité OSI ou à une couche de protocole particulier.
Mécanisme Description
Le chiffrement L'utilisation d'algorithmes mathématiques pour transformer les
Mécanismes De Sécurité Spécifiques

données en une forme qui n'est pas facilement intelligible. La

transformation et la récupération ultérieure des données
dépendent d'un algorithme et de clés de cryptage.
Signature Les données sont ajoutées, ou une transformation
numérique cryptographique d'une unité de données.
Contrôle d'accès Divers mécanismes qui imposent les droits d'accès aux
ressources.
Intégrité des Divers mécanismes utilisés pour assurer l'intégrité d'une unité
données de données ou d'un flux d'unités de données.
Echange Un mécanisme destiné à assurer l'identité d'une entité au
d'authentification moyen d'un échange d'informations.
Remplissage du L'insertion de bits dans des intervalles dans un flux de données
trafic pour éviter les tentatives d'analyse de trafic.

Contrôle de Permet de sélectionner des routes physiquement sécurisées

routage particulières pour certaines données et permet des
modifications de routage, en particulier lorsqu'une violation de
sécurité est suspectée.
Notarisation L'utilisation d'un tiers de confiance pour assurer certaines
propriétés d'un échange de données.
Fonctionnalité de Ce qui est perçu comme correct par rapport à certains critères
Mécanismes de sécurité omniprésents

confiance (par exemple, tel qu'établi par une politique de sécurité).

Étiquette de Le marquage lié à une ressource (qui peut être une unité de
sécurité données) qui nomme ou désigne les attributs de sécurité de
cette ressource.
Détection Détection des événements liés à la sécurité.
d'événement
Sentier d'audit de Les données recueillies et utilisées pour faciliter une
sécurité vérification de la sécurité, qui est un examen et un examen
indépendants
des dossiers et des activités du système.
Récupération de Aborde les demandes de mécanismes, telles que la gestion des
sécurité événements et prend des mesures de récupération.

Tableau 1.2 Les mécanismes de sécurité définit par X.800

DR. M. A. FERRAG 2018 10

 Sécurité Informatique

Le tableau 1.3 présente la relation entre les services de sécurité et les mécanismes de
sécurité.
Mécanisme

Service Chiffrement Signature Contrôle Intégrité Echange Remplissage Routage Contrôle de la

numérique d'accès des d'authentif du trafic notarisation
données ication
Authentification X X X
Authentification X X
d'origine des
Données
Contrôle d’accès X
Confidentialité X X
Confidentialité X X X
des flux de trafic
Intégrité des X X X
Données
Non répudiation X X X
Disponibilité X X

Tableau 1.3 Relation entre les services et les mécanismes de sécurité

Figure 1.1 Un modèle pour la sécurité réseau

4. Un modèle pour la sécurité réseau

La figure 1.1 présente un modèle de sécurité réseau. Un message doit être transféré d'une
partie à une autre à travers l'Internet. Les deux parties, qui sont les principaux de cette
transaction, doivent coopérer pour que l'échange se produise. Un canal d'information logique
est établi en définissant un itinéraire via Internet entre la source et la destination et par
l'utilisation coopérative de protocoles de communication (par exemple, TCP / IP).

5. Documents recommandés
[RChp11] fournit les bases de la compréhension de la sécurité matérielle et de la confiance,
qui sont devenues des préoccupations majeures pour la sécurité nationale au cours de la

DR. M. A. FERRAG 2018 11

 Sécurité Informatique

dernière décennie. La couverture comprend les problèmes de sécurité et de confiance dans

tous les types de dispositifs et systèmes électroniques tels que ASIC, COTS, FPGA,
microprocesseurs / DSP et systèmes embarqués. Cela constitue une référence inestimable à la
recherche de pointe qui revêt une importance cruciale pour la sécurité et la confiance dans les
infrastructures soutenues par la microélectronique de la société moderne.
[RChp12] est intéressant si vous êtes impliqué dans n'importe quel aspect du cloud
computing.
[RChp13] présente des concepts modernes de sécurité informatique. Il introduit l'arrière‐
plan mathématique de base nécessaire pour suivre les concepts de sécurité informatique. Les
développements modernes en cryptographie sont examinés, à partir du cryptage de clé privée
et de clé publique, en passant par le hachage, les signatures numériques, l'authentification, le
partage secret, la cryptographie axée sur le groupe, la pseudo‐émanation, les protocoles clés
d'établissement, les protocoles de connaissance zéro et l'identification.

la plupart des personnes rencontrent d'abord des réseaux informatiques ‐ à travers

[RChp14] vous guide dans les principes fondamentaux, en commençant par la façon dont

l'architecture Internet. La partie 1 couvre les applications Internet les plus importantes et les
méthodes utilisées pour les développer. La partie 2 traite du bord du réseau, composé d'hôtes,
de réseaux d'accès, de réseaux locaux et de médias physiques utilisés avec les couches
physiques et de liaison. La partie 3 explore le noyau du réseau, y compris les commutateurs de
paquets / circuits, les routeurs et le backbone Internet, et la partie 4 examine le transport fiable
et la gestion de la congestion du réseau.
 CHAPITRE 2 : LES ATTAQUES INFORMATIQUES

2.1. Définitions
En informatique, une attaque est une tentative d'exposer, de modifier, de désactiver, de
détruire, de voler ou d'obtenir un accès non autorisé.

 Internet Engineering Task Force définit l'attaque dans RFC 2828 [23] comme :

« Un assaut sur la sécurité du système qui découle d'une menace intelligente, c'est‐à‐dire d'un
acte intelligent qui est une tentative délibérée (en particulier dans le sens d'une méthode ou
d'une technique) pour échapper aux services de sécurité et violer la politique de sécurité d'un
système. »

 Le gouvernement des États‐Unis, selon l'instruction CNSS n°4009 du 26 avril 2010

par le Comité des systèmes de sécurité nationale des États‐Unis d'Amérique [24]
définit une attaque comme suit :

ressources du système d'information ou l'information elle‐même. »

« Toute activité malveillante qui tente de collecter, perturber, nier, dégrader ou détruire les

Attaque active
Basé sur le
comprtement
de l'attaque Attaque
passive
Type d'attaque
Attaque
interne
Basé sur la
position de
l'attaquant Attaque
externe

Figure 2.1 Les types d’attaques

2.2. Les types d’attaques

Comme présenté dans la Figure 2.1, une attaque peut être classée par son comportement ou
par la position de l’attaquant.
Une attaque peut être active ou passive.
 Une «attaque active» tente de modifier les ressources du système ou d'affecter leur
fonctionnement.
 Une «attaque passive» tente d'apprendre ou d'utiliser des informations du système
mais n'affecte pas les ressources du système. (P. Ex., Écoutes téléphoniques).

Une attaque peut être perpétrée de l’intérieur ou de l'extérieur de l’organisation.

 Sécurité Informatique

 Une «attaque interne» est une attaque initiée par une entité dans le périmètre de
sécurité, c'est‐à‐dire une entité autorisée à accéder aux ressources du système mais qui
les utilise d'une manière non approuvée par ceux qui ont accordé l'autorisation.
 Une «attaque extérieure» est initiée depuis l'extérieur du périmètre, par un utilisateur
non autorisé ou illégitime du système.

2.3. Les attaques réseaux

Les attaques réseaux contre 802.11 et 802.1X, peuvent être classées selon le type de menace,
et mises en correspondance avec des méthodes et des outils de piratage associés, à savoir, les
attaques contre le contrôle d’accès, les attaques contre la confidentialité, les attaques contre
l’intégrité, les attaques contre l’authentification, et les attaques contre la disponibilité, comme
présenté dans la Figure 2.1.
Les attaques
réseaux

Attaques contre le
controle d'accès Attaques contre la Attaques contre Attaques contre Attaques contre la
confidentialité l'integrité l'authentification diponibilité

War Driving 802.11

Shared Key
Eavesdropping Frame AP Theft
Guessing
Injection
Rogue
Access WEP 802.11 Data PSK Queensland
Points Key Replay DoS
Cracking
Cracking
Ad Hoc 802.11
Associations 802.1X EAP Application Beacon
Evil Twin AP Replay Login Theft Flood

MAC
802.1X Domain 802.11 Associate /
Spoofing RADIU Login Authenticate
AP Phishing Cracking
S Flood
Replay

802.1X
RADIUS Man in the VPN 802.11 TKIP
Middle Login MIC Exploit
Cracking Cracking

802.1X 802.1X EAP-

Identity Start Flood
Theft

802.1X Password
Guessing 802.1X EAP-
Failure

802.1X LEAP
802.1X EAP-
Cracking
of-Death

802.1X EAP
802.1X EAP
Downgrade
Length Attacks

Figure 2.1 Les attaques réseaux

2.3.1. Attaques contre le contrôle d'accès
Ces attaques tentent de pénétrer dans un réseau en utilisant des mesures de contrôle d'accès
WLAN sans fil, comme les filtres AP MAC et les contrôles d'accès au port 802.1X.
 Sécurité Informatique

Type d'attaque Description Méthodes et outils

War Driving Découvrir les réseaux locaux sans fil en écoutant des Airmon‐ng, DStumbler,
balises ou en envoyant des requêtes de sonde, fournissant KisMAC, MacStumbler,
ainsi un point de lancement pour d'autres attaques. NetStumbler, Wellenreiter,
WiFiFoFum
Rogue Acces Installation d'un point d’accès non sécurisé dans un pare‐ Tout point d'accès matériel
Points feu, création d'une porte dérobée ouverte dans un réseau ou logiciel
de confiance.
Ad Hoc Connexion directe à une station non sécurisée pour Toute carte sans fil ou
Associations contourner la sécurité de l'AP ou la station d'attaque. adaptateur USB
MAC Spoofing Reconfiguration de l'adresse MAC d'un attaquant pour se MacChanger,
présenter comme un AP ou une station autorisée. SirMACsAlot, SMAC,
Wellenreiter,
wicontrol
802.1X RADIUS Récupération du secret RADIUS par la force brute à Outil de capture de paquets
Cracking partir de la demande d'accès 802.1X. sur LAN ou chemin réseau
entre le serveur AP et
RADIUS

Tableau 2.2 les attaques contre le contrôle d'accès

 L’attaque « War Driving» : La conduite de guerre, également appelée cartographie

des points d'accès, consiste à localiser et éventuellement exploiter des connexions aux
réseaux locaux sans fil tout en conduisant autour d'une ville ou ailleurs, comme
présenté dans la Figure 2.2. Pour faire une conduite de guerre, vous avez besoin d'un
véhicule, d'un ordinateur (qui peut être un ordinateur portable), d'une carte Ethernet
sans fil configurée en mode promiscuous et d'une sorte d'antenne qui peut être montée
au‐dessus ou positionnée à l'intérieur de la voiture. Étant donné qu'un réseau local sans
fil peut avoir une portée qui s'étend au‐delà d'un immeuble de bureaux, un utilisateur
extérieur peut pénétrer le réseau, obtenir une connexion Internet gratuite et accéder
éventuellement aux enregistrements de l'entreprise et à d'autres ressources.

Figure 2.2 L’attaque War Driving

 Sécurité Informatique

Avec une antenne omnidirectionnelle et un système de positionnement géophysique

(GPS), le conducteur de guerre peut systématiquement localiser les emplacements des points
d'accès sans fil 802.11b. Les entreprises qui ont un réseau local sans fil sont entrain d'ajouter
des garanties de sécurité qui assureront uniquement les utilisateurs visés. Les garanties
comprennent l'utilisation de la norme de chiffrement WEP (Wired Equivalent Privacy), IPsec
ou Wi‐Fi Protected Access (WPA), avec un pare‐feu ou DMZ.

Figure 2.4 L’attaque « Rogue Access Points »

 L’attaque « Rogue Access Points » : Cette attaque se base sur l'installation d'un point
d’accès non sécurisé dans un pare‐feu, puis la création d'une porte dérobée ouverte
dans un réseau de confiance, comme présenté dans la Figure 2.4. Les grandes
entreprises investissent souvent dans des systèmes de prévention des intrusions sans fil
(WIPS) qui utilisent des capteurs distribués pour surveiller à plein temps le trafic sans
fil.
 L’attaque « Ad Hoc Associations » : Les réseaux ad hoc ne sont pas sans risques.
Probablement le plus grand risque associé à la mise en réseau ad hoc a toujours été
l'écoute électronique. Traditionnellement, les connexions ad hoc ont manqué les
différents mécanismes de cryptage qui sont habituellement utilisés avec des points
d'accès sans fil tels que WEP et WPA.

Figure 2.5 L’attaque « MAC Spoofing »

 L’attaque « MAC Spoofing »: La falsification MAC est une technique permettant de

modifier une adresse de contrôle d'accès aux médias (MAC) attribuée à une interface
 Sécurité Informatique

réseau sur un périphérique en réseau. L'adresse MAC codée sur un contrôleur

d'interface réseau (NIC) ne peut pas être modifiée. Cependant, de nombreux pilotes
permettent de modifier l'adresse MAC. De plus, il existe des outils qui permettent à un
système d'exploitation de croire que la NIC a l'adresse MAC du choix d'un utilisateur.
Le processus de masquage d'une adresse MAC est connu sous le nom de spoofing
MAC. Essentiellement, la spoofing MAC implique de changer l'identité d'un
ordinateur, pour quelque raison que ce soit, et c'est relativement facile.
Comme présenté dans la Figure 2.5, le changement de l'adresse MAC assignée
peut permettre de contourner les listes de contrôle d'accès sur les serveurs ou les
routeurs, soit en cachant un ordinateur sur un réseau, soit en la permettant d'imiter un
autre périphérique réseau. La falsification MAC est effectuée à des fins légitimes et
illicites.
 L’attaque « 802.1X RADIUS Cracking » : Cette attaque se base sur la récupération
du secret RADIUS par la force brute à partir de la demande d'accès 802.1X. De plus,
cette attaque peut être lancée par un Outil de capture de paquets sur LAN ou chemin
réseau entre le serveur AP et RADIUS

2.3.2. Attaques contre la confidentialité : Ces attaques tentent d'intercepter des informations
privées envoyées sur des associations sans fil, soit envoyé en clair ou chiffré par 802.11 ou
des protocoles de couche supérieure. (Voir la liste des attaques dans le Tableau 2.2)

Type d'attaque Description Méthodes et outils

Eavesdropping Capture et décodage du trafic d'application non bsd‐airtools, Ettercap,
(Ecoute) protégé pour obtenir des informations potentiellement Kismet, Wireshark
sensibles.
WEP Key Cracking Capture de données pour récupérer une clé WEP en Aircrack‐ng, airoway,
utilisant des méthodes passives ou actives. AirSnort, chopchop,
dwepcrack, WepAttack,
WepDecrypt, WepLab,
wesside
Evil Twin AP Masquage en tant qu'appareil autorisé en balayant cqureAP, D‐Link G200,
l'identificateur du WLAN (SSID) pour attirer les HermesAP, Rogue
utilisateurs. Squadron, WifiBSD
AP Phishing Exécution d'un faux portail ou d'un serveur Web sur Airpwn, Airsnarf,
un AP double mal à "phish" pour les connexions Hotspotter,
d'utilisateurs, les numéros de carte de crédit.
Karma, RGlueAP
Man in the Middle Exécuter des outils traditionnels d'attaque de l'homme dsniff, Ettercap‐
(d'attaque de dans le milieu pour intercepter des sessions TCP ou NG, sshmitm
l'homme dans le des tunnels SSL / SSH.
milieu)
Tableau 2.2 les attaques contre la confidentialité

DR. M. A. FERRAG 2018 23

 Sécurité Informatique

Figure 2.6 L’attaque Eavesdropping

 L’attaque « Eavesdropping ‐ Ecoute» : présenté dans la Figure 2.6, se base sur

l'interception non autorisée en temps réel d'une communication privée, comme un
appel téléphonique, un message instantané, une vidéoconférence ou une transmission
de télécopie. Le terme «écoute» dérive de la pratique de se tenir debout sous les avant‐
toits d'une maison, en écoutant des conversations à l'intérieur.
 L’attaque « WEP Key Cracking » : se base sur la capture de données pour récupérer
une clé WEP en utilisant des méthodes passives ou actives. Nous citons les outils
suivants pour lancer cette attaque : aircrack‐ng, airoway, AirSnort, chopchop,
dwepcrack, WepAttack, WepDecrypt, WepLab, wesside.
 L’attaque «Evil Twin AP» : Un Evil Twin est un faux point d'accès sans fil qui
prétend être un AP légitime en annonçant le nom du WLAN (c'est‐à‐dire
l'identificateur de service étendu, SSID). Un Evil Twin peut utiliser KARMA, un outil
d'attaque qui surveille les sondes de la station, surveille les SSID couramment utilisés
et adopte l'un comme son propre. Ou un Evil Twin peut être configuré avec un SSID
résidentiel commun (par exemple, linksys), SSID de point d'accès (par exemple,
Wayport_Access) ou le SSID d'un WLAN d'une entreprise spécifique. Même les AP
qui n'émettent pas de SSID dans les balises peuvent être ciblés, pourvu que les
utilisateurs légitimes puissent être surveillés avec Wireshark, Kismet ou un autre
analyseur WLAN.
 L’attaque « AP Phishing » : se base sur l'exécution d'un faux portail ou d'un serveur
Web pour les connexions d'utilisateurs, les numéros de carte de crédit. Les outils
suivants peuvent être utilisés pour lancer cette attaque : Airpwn, Airsnarf, Hotspotter,
Karma, RGlueAP.

Figure 2.7 L’attaque Man in the Middle4

  L’attaque « Man in the Middle» : est celle dans laquelle l'attaquant intercepte et
relève secrètement les messages entre deux parties qui croient communiquer
directement entre elles, comme présenté dans la Figure 2.7.

2.3.3. Attaques contre l’intégrité : les attaques contre l’intégrité se basent sur l’envoi des
contrôles forgés, de la gestion ou des trames de données sur un réseau sans fil pour induire le
destinataire ou faciliter un autre type d'attaque (par exemple, l'attaque DoS). (Voir la liste des
attaques dans le Tableau 2.4)
Type d'attaque Description Méthodes et outils
802.11 Frame Création et envoi des trames forgées 802.11. Airpwn, File2air, libradiate,
Injection void11, WEPWedgie, wnet
dinject/reinject
802.11 Data Capture des trames de données 802.11 pour une Capture + Outils d'injection
Replay relecture ultérieure (modifiée).
802.1X EAP Capture des protocoles d'authentification Capture sans fil +
Replay extensible 802.1X pour une relecture ultérieure. Outils d'injection
entre une station et
l'AP
802.1X RADIUS Capture d'accès RADIUS: accepter ou rejeter Ethernet Capture + Injection
Replay les messages pour une nouvelle version Tools between AP and
ultérieure. authentication server
Tableau 2.3 les attaques contre l’intégrité

2.3.4. Attaques contre l’authentification :

Les attaquants contre l’authentification utilisent ces attaques pour voler les identités et les
informations d'identification des utilisateurs légitimes pour accéder aux réseaux et services
privés. (Voir la liste des attaques dans le Tableau 2.4)

Type d'attaque Description Méthodes et outils

Shared Key Guessing Tentative d'authentification de clé partagée 802.11 avec des clés WEP WEP Cracking Tools
supposées et craquées.
PSK Cracking Récupération d'un PSPA / WPA2 PSK à partir de trames clés de coWPAtty, genpmk,
handshake capturés en utilisant un outil d'attaque de dictionnaire. KisMAC, wpa_crack
Application Login Theft Capture des informations d'identification des utilisateurs (par exemple, Ace Password Sniffer,
adresse e‐mail et mot de passe) à partir des protocoles d'application en Dsniff,
clair.
PHoss, WinSniffer
Domain Login Cracking Récupération des informations d'identification des utilisateurs (par John the Ripper,
exemple, connexion et mot de passe du Windows) en crachant les L0phtCrack, Cain
hachages de mot de passe NetBIOS en utilisant un outil d'attaque de
force brute ou de dictionnaire.
VPN Login Cracking Récupération des informations d'identification des utilisateurs (par ike_scan et ike_crack
exemple, le mot de passe PPTP ou la clé Secret pré‐partagé IPsec) en (IPsec), anger et
exécutant des attaques de force brute sur les protocoles THC‐ pptp‐bruter
d'authentification VPN. (PPTP)
802.1X Identity Theft Capture d'identité des utilisateurs à partir de paquets de réponse Capture Tools
d'identité 802.1X en clair.

802.1X Password Utilisation d'une identité capturée, tentative répétée Password Dictionary
Guessing d'authentification 802.1X pour deviner le mot de passe de l'utilisateur.
802.1X LEAP Cracking Récupération des informations d'identification des utilisateurs à partir Anwrap, Asleap,
des paquets légers EAP (LEAP) 802.1X capturés à l'aide d'un outil THC‐ LEAPcracker
d'attaque de dictionnaire pour déchiffrer le hash du mot de passe NT.
802.1X EAP Downgrade Forcer un serveur 802.1X à offrir un type d'authentification plus faible File2air, libradiate
en utilisant des paquets forés EAP.
 Tableau 2.4 les attaques contre l’authentification

2.3.5. Attaques contre la disponibilité :

Ces attaques empêchent la livraison de services sans fil à des utilisateurs légitimes, soit en
leur refusant l'accès aux ressources WLAN, soit en paralysant ces ressources. (Voir la liste
des attaques dans le Tableau 2.5)
Attaque Description Outils
AP Theft Suppression physique d'un AP d'un espace public. "Five finger discount"
Queensland DoS Exploiter le mécanisme d'évaluation des canaux clairs (CCA) CSMA / Un adaptateur prenant en
CA pour que le canal apparaisse occupé. charge le mode CW Tx,
avec un utilitaire de bas
niveau pour invoquer une
transmission continue
802.11 Beacon Générer des milliers de balises contrefaites 802.11 pour rendre difficile FakeAP
Flood aux stations de trouver un AP légitime.
802.11 Associate / Remplir le tableau d'association d'AP cible. FATA‐Jack, Macfld
Authenticate
Flood
802.11 TKIP MIC Générer des données TKIP non valides pour dépasser le seuil d'erreur File2air, wnet dinject,
Exploit MIC cible AP pour suspendre le service WLAN. LORCON
802.1X EAP‐Start Inondant un AP pour consommer des ressources ou bloquer la cible. QACafe, File2air,
Flood libradiate
802.1X EAP‐ En observant un échange EAP 802.1X valide, puis en envoyant à la QACafe, File2air,
Failure station un message falsifié. libradiate
802.1X EAP‐of‐ Envoi d'une réponse d'identité EAP 802.1X mal formée connue pour QACafe, File2air,
Death provoquer une panne de certains points d'accès. libradiate
802.1X EAP Envoi de messages spécifiques au type EAP avec des champs de QACafe, File2air,
Length Attacks longueur incorrecte pour tenter de bloquer un serveur AP ou RADIUS. libradiate
Tableau 2.5 les attaques contre la disponibilité

2.4. Documents recommandés

La référence [Chp2] fournit une étude approfondie sur les attaques dans les réseaux ad hoc ainsi les
contres mesures pour détecter et prévenir ces
attaques.

[Chp2] Ferrag, M. A., Maglaras, L., & Ahmim, A. (2017). Privacy‐preserving schemes for
Networks:
Ad Hoc Social
A survey. IEEE Communications Surveys & Tutorials. Doi: 10.1109/COMST.2017.2718178

C H A P I T R E 3 : L E S P R O T O C O L E S ET L E S C E R T I F I C A T S DE S E C U R I T E

3.1. Quelques concepts de la cryptographie

La définition formelle de la cryptographie pourrait être notée de diverses manières. La cryptographie est
essentiellement la science qui utilise une logique mathématique pour maintenir l'information sécurisée. Elle
permet à quelqu'un de stocker de manière sécurisée des informations sensibles ou de transmettre des informations
 de manière sécurisée à travers des réseaux peu sûrs pour éviter qu'ils ne soit piraté, masqué ou modifié.
Il existe diverses terminologies qui sont souvent associés aux champs de la cryptographie. Ci‐après
apprenez dans ce chapitre les définitions de base des terminologies principales qui peuvent être fréquemment
utilisées dans les domaines pertinents.
 Plaintext (Texte en clair) : c'est l'information qu'un expéditeur veut transmettre à un récepteur.
 Encryption (Cryptage) : le cryptage est la procédure d'encodage de messages (ou d'informations) de telle sorte
que les écoutes ou les pirates ne peuvent pas le lire, mais les parties autorisées peuvent. Dans un schéma de
cryptage, le message ou l'information (c'est‐à‐dire le texte en clair) est crypté à l'aide d'un algorithme de cryptage,
ce qui le transforme en un texte chiffré illisible.
 Ciphertext (Texte chiffré) : le texte chiffré est le résultat du cryptage effectué en texte clair à l'aide d'un

Cipher (chiffrement) : un chiffrement est un algorithme pour l'exécution du cryptage ou du décryptage ‐ une
algorithme appelé un chiffrement.

série d'étapes bien définies qui peuvent être suivies comme une procédure.
 Decryption (Décryptage) : il s'agit du processus de décodage du texte chiffré et de le récupérer dans le format en
texte clair.
 Cryptographic key (Clé cryptographique): Généralement, une clé ou un ensemble de clés est impliqué dans le
cryptage d'un message. Une clé identique ou un ensemble de clés identiques est utilisé par la partie légitime pour
décrypter le message. Une clé est une information (ou un paramètre) qui détermine la sortie fonctionnelle d'un
algorithme ou d'un chiffrement cryptographique.

 Block cipher (Chiffre de bloc) : Un chiffrement de bloc est une méthode de cryptage
de texte (pour produire un texte chiffré) dans lequel une clé et un algorithme
cryptographique sont appliqués à un bloc de données (par exemple, 64 bits) à la fois
en tant que groupe plutôt qu'un bit à un temps. Un schéma pour une opération de
chiffrement de bloc est illustré dans la Figure 3.2.
 Cryptanalyse : Cryptanalyse se réfère à l'étude des codes, du texte chiffré ou des
crypto systèmes (c'est‐à‐dire des systèmes de code secret) dans le but de trouver des

DR. M. A. FERRAG 2018 41

 Sécurité Informatique

faiblesses qui permettraient de récupérer le texte clair du texte chiffré, sans nécessairement connaître la
clé ou l'algorithme utilisé durant le chiffrement.
 Signature numérique : une signature numérique est une signature électronique qui peut être utilisée
pour authentifier l'identité de l'expéditeur d'un message ou le signataire d'un document, en outre pour
s'assurer que le contenu original du message ou du document qui a été envoyé est inchangé. Les
signatures numériques sont généralement facilement transportables, ne peuvent être imitées par
quelqu'un d'autre et peuvent être automatiquement horodatées.
 Certificat numérique : il existe une différence entre la signature numérique et le certificat numérique.
Un certificat numérique fournit un moyen de prouver l'identité de quelqu'un dans les transactions
électroniques. La fonction de celui‐ci pourrait être considérée comme un passeport ou un permis de
conduire dans les interactions en face à face. Par exemple, un certificat numérique peut être une «carte
de crédit» électronique qui établit les informations d'identification de quelqu'un lors de transactions
commerciales ou autres via le Web. Il est délivré par une autorité de certification (CA). En règle
générale, une telle carte contient le nom de l'utilisateur, un numéro de série, des dates d'expiration, une
copie de la clé publique du titulaire du certificat (utilisé pour chiffrer des messages et des signatures
numériques) et la signature numérique de l'autorité émettrice de certificat afin qu'un destinataire puisse
vérifier que le certificat est réel.
 Autorité de certification (CA) : une autorité de certification est une autorité dans un réseau qui émet et
gère les informations de sécurité et les clés publiques pour le chiffrement des messages.
Comme présenté dans la Figure 3.3, les primitives cryptographiques peut être classées en trois
catégories, à savoir, primitives à clé symétrique, primitives à clé publique, et primitives sans clés. Dans
ce chapitre, nous allons voir une méthode cryptographique récente pour chaque type de primitive.

1. La cryptographie symétrique
La cryptographie symétrique (ou le cryptage des clés symétriques) est une classe
d'algorithmes de cryptographie qui utilisent les mêmes clés cryptographiques pour le cryptage
du texte clair et le décryptage du texte chiffré. Figure 3.4 montre l'aperçu des étapes de la
cryptographie symétrique.

Figure 3.4 Modèle opérationnel de la cryptographie symétrique

 3.2. La cryptographie asymétrique
La cryptographie à clé publique (PKC), également appelée cryptographie asymétrique, se
réfère à un algorithme cryptographique qui nécessite deux clés distinctes, dont l'une est
secrète (ou privée) et l'autre public. Bien que différentes, les deux parties de cette paire de clés
sont liées mathématiquement. La Figure 3.20 montre une vue d'ensemble des opérations PKC.

Figure 3.20 Modèle opérationnel de la cryptographie asymétrique (PKC)

La cryptographie à clé publique permet le cryptage et décryptage. Ces deux
opérations permettent à deux parties communicantes de déguiser les données qu'elles se
transmettent. L'expéditeur crypte les données avant de les envoyer via un support de
communication . Le récepteur décrypte ou déchiffre les données après leur réception. Tandis
que pendant la transmission, les données cryptées ne sont pas comprises par un tiers
illégitime.
a) Le chiffrement RSA
Le chiffrement RSA est un algorithme de cryptographie asymétrique, qui est très utilisé dans
le commerce électronique, et plus généralement pour échanger des données confidentielles sur
Internet. Cet algorithme a été décrit en 1977 par Ronald Rivest, Adi Shamir et Leonard
Adleman.
 Le chiffrement RSA utilise une paire de clés (des nombres entiers) composée d'une
clé publique pour chiffrer et d'une clé privée pour déchiffrer des données
confidentielles.
 Les deux clés sont créées par une personne, souvent nommée par convention
Alice, qui souhaite que lui soient envoyées des données confidentielles.
 Alice rend la clé publique accessible. Cette clé est utilisée par ses correspondants
(Bob, etc.) pour chiffrer les données qui lui sont envoyées. La clé privée est quant
à elle réservée à Alice, et lui permet de déchiffrer ces données. La clé privée peut
aussi être utilisée par Alice pour signer une donnée qu'elle envoie, la clé publique
permettant à n'importe lequel de ses correspondants de vérifier la signature.

A. Fonctionnement RSA
L’algorithme RSA se base sur trois étapes, à savoir, 1) création des clés, 2) Chiffrement du
message, et 3) Déchiffrement du message.
A.1. Création des clés
L'étape de création des clés est à la charge d'Alice. Elle n'intervient pas à chaque chiffrement
car les clés peuvent être réutilisées, la difficulté première, que ne règle pas le chiffrement, est

DR. M. A. FERRAG 2018 51

 Sécurité Informatique

que Bob soit bien certain que la clé publique qu'il détient est celle d'Alice. Le renouvellement des clés n'intervient
que si la clé privée est compromise, ou par précaution au bout d'un certain temps.

3.1/-.Le protocole IPSec

Le problème le plus connu avec le protocole Internet d'origine (IPv4) est l'épuisement en
cours de son espace d'adressage et l'absence de moyens définitifs d'assurer la sécurité sur les
inter‐ réseaux IP. La technologie qui apporte des communications sécurisées au protocole
Internet est appelée IP Security. IPsec (Internet Protocol Security) ; est une suite de protocoles
qui est proposé afin d’assurer la sécurité des communications Internet à la couche IP, comme
présenté dans la Figure 4.1. L'utilisation actuelle la plus courante d'IPsec consiste à fournir un
réseau privé virtuel (VPN), soit entre deux emplacements (passerelle vers passerelle), soit
entre un utilisateur distant et un réseau d'entreprise (hôte vers une passerelle). De plus, Il peut
également fournir une sécurité de bout en bout ou d'hôte à hôte. IPsec est également utilisé par
d'autres protocoles Internet (par exemple, Mobile IP version 6 (MIPv6)) pour protéger
certains ou tout leur trafic.
IKE (Internet Key Exchange) est le principal protocole de négociation et de gestion
qui est le plus couramment utilisé pour fournir des documents de saisie dynamiques négociés
et mis à jour pour IPsec. IPsec et IKE peuvent être utilisés simultanément avec IPv4 et IPv6.
Liste des RFC relatives à IPsec est présenté dans le tableau [Link] Transport
Réseau (

) Liaiso

Figure 4.1. Positionnement du protocole IPsec dans le modèle OSI

RFC Description
RFC 6071 [1] Feuille de route du document du IPsec et IKE
RFC 4835 [2] Exigences de mise en œuvre de l'algorithme de cryptographie pour
l'encapsulation de la charge utile de sécurité (ESP) et l'en‐tête
d'authentification (AH)
RFC 4308 [3] Suites cryptographiques pour IPsec
RFC 4305 [4] Extensions de protocole de statut de certificat en ligne (OCSP) sur IKEv2
Tableau 4.1. Liste des RFC relatives à IPsec
Les protections IPsec sont fournies par deux en‐têtes spéciaux : l'en‐tête Encapsulating
Security Payload (ESP) et l'en‐tête d'authentification (AH). Dans IPv4, ces en‐têtes prennent
la forme d'en‐têtes de protocole ; Dans IPv6, ils sont classés comme des en‐têtes d'extension.
L’IPsec se base sur les quatre composantes suivantes :
Sécurité Informatique

 SA (association de sécurité) : un accord à sens unique (entrant ou sortant)

entre deux pairs communicants qui spécifient les protections IPsec à fournir à
leurs communications. Cela inclut les protections de sécurité spécifiques, les
algorithmes cryptographiques et les clés secrètes à appliquer, ainsi que les
types spécifiques de trafic à protéger.
 SPI (indice des paramètres de sécurité) : une valeur qui, conjointement avec
l'adresse de destination et le protocole de sécurité (AH ou ESP), identifie de
manière unique une seule SA.
 SAD (base de données de l'association de sécurité) : le dépôt SA de chaque
partenaire. Les SAs peuvent être établis en mode transport ou en mode tunnel.
 SPD (base de données sur les politiques de sécurité) : une base de données
ordonnée qui exprime les protections de sécurité pour les différents types et
classes de trafic. Les trois classes générales de trafic sont le trafic à rejeter, le
trafic autorisé sans protection IPsec et le trafic nécessitant une protection IPsec.

3.1.1. IPSec Modes: Transport and Tunnel

Le protocole IPSec utilise deux modes, à savoir, le mode transport et le mode tunnel, comme
présenté dans la figure 4.2.

Figure 4.2. Les modes IPSec

 En mode transport, le protocole protège le message transmis à IP depuis la couche de
transport. Le message est traité par AH / ESP et les en‐têtes appropriés sont ajoutés
devant l'en‐tête de transport (UDP ou TCP). L'en‐tête IP est ensuite ajouté devant par
IP.
 En mode tunnel, IPSec est utilisé pour protéger un datagramme IP encapsulé complet
après l'application de l'en‐tête IP. Les en‐têtes IPSec apparaissent devant l'en‐tête IP
d'origine, puis un nouvel en‐tête IP est ajouté devant l'en‐tête IPSec. C'est‐à‐dire que
tout le datagramme IP original est sécurisé puis encapsulé dans un autre datagramme
IP. De plus, le mode tunnel protège le datagramme IP d'origine en entier, l'en‐tête et
tout, alors que le mode de transport ne le fait pas. Ainsi, en termes généraux, l'ordre
des en‐têtes est présenté dans la figure 4.3 :
 Mode Transport
• - IP header

- c header

- .Figure 4.3. L'ordre des en‐têtes dans le protocole IPSec

3.1.2. En‐tête d'authentification IPSec (AH)

L'un des deux protocoles de sécurité de base dans IPSec est l'en‐tête d'authentification (AH).
AH est un protocole qui fournit l'authentification de tout ou partie du contenu d'un
datagramme en ajoutant un en‐tête qui est calculé en fonction des valeurs dans le
datagramme. Quelles parties du datagramme sont utilisées pour le calcul et le placement de
l'en‐tête dépend du mode (tunnel ou transport) et de la version IP (IPv4 ou IPv6). Le
fonctionnement du protocole AH est simple, un émetteur utilise un algorithme standard pour
calculer une somme de contrôle ou un code CRC en fonction du contenu d'un message. Ce
résultat calculé est transmis avec les données d'origine à la destination, qui répète le calcul et
se défausse du message si un écart se trouve entre son calcul et celui effectué par la source.
L'en‐tête d'authentification IPSec (AH) fournit des services d'authentification
d'intégrité à des périphériques compatibles IPSec, afin qu'ils puissent vérifier que les messages
sont reçus intacts à partir d'autres périphériques. Pour de nombreuses applications, cependant,
ce n'est qu'une pièce du puzzle. Nous voulons non seulement protéger contre les dispositifs
intermédiaires qui changent nos datagrammes, mais nous voulons nous protéger contre eux
aussi en examinant leur contenu. Pour ce niveau de communication privée, AH ne suffit pas;
Nous devons utiliser le protocole Encapsulating Security Payload (ESP).
3.1.3. IPSec Encapsulating Security Payload (ESP)
Le travail principal de ESP est de fournir la confidentialité en utilisant un algorithme de
cryptage qui combine les données dans le datagramme avec une clé pour la transformer en
une forme cryptée. Ceci est ensuite reconditionné à l'aide d'un format spécial et transmis à la
destination, ce qui le déchiffre en utilisant le même algorithme. ESP supporte également son
propre système d'authentification comme celui utilisé dans AH, ou peut être utilisé
conjointement avec AH. La figure 4.4 présente la différence entre AH et ESP.
 Sécurité Informatique

Figure 4.4. Les différences entre AH et ESP11

3.1.4. Echange de clés IPSec (IKE)

IKE est défini dans RFC 2409 [6]. L'objectif d'IKE est de permettre aux
périphériques d'échanger les informations requises pour une communication
sécurisée. Il inclut les clés cryptographiques utilisées pour coder les informations
d'authentification et effectuer le cryptage de la charge utile. IKE fonctionne en
permettant aux périphériques compatibles IPSec d'échanger des associations de
sécurité (SA), de remplir leurs bases de données d'association de sécurité (SAD).
Ceux‐ci sont ensuite utilisés pour l'échange réel de datagrammes sécurisés avec les
protocoles AH et ESP.
IKE est considéré comme un protocole «hybride» car il combine les
fonctions de trois autres protocoles. La première est l'Internet Security Association
et le Key Management Protocol (ISAKMP). ISAKMP est un protocole générique
qui prend en charge plusieurs méthodes d'échange de clés différentes. Dans IKE, le
cadre ISAKMP sert de base à une méthode d'échange de clé spécifique qui
combine des fonctionnalités à partir de deux protocoles d'échange de clés :
[Link]. OAKLEY: décrit un mécanisme spécifique pour l'échange de clés à travers
la définition de différents «modes» d'échange de clés. La plupart des processus
d'échange de clé IKE sont basés sur OAKLEY.
[Link]. SKEME: décrit un mécanisme d'échange de clé différent de
celui de OAKLEY. IKE utilise certaines fonctionnalités de SKEME, y compris
sa méthode de cryptage de clé publique et sa fonction de reconfiguration
rapide.
4. Qu'est ce que SSL/TLS?
Le protocole TLS (Transport Layer Security), le protocole SSL (Secure Sockets Layer), le
protocole PCT (Private Communications Transport) sont basés sur la cryptographie de clé
publique. La suite de protocole d'authentification de la chaîne de sécurité (Schannel17) fournit
ces protocoles. Tous les protocoles Schannel utilisent un modèle client / serveur.
Dans le processus d'authentification, un client TLS / SSL envoie un message à un serveur
TLS / SSL et le serveur répond avec l'information que le serveur doit authentifier lui‐ même.
Le client et le serveur effectuent un échange supplémentaire de clés de session et la boîte de
dialogue d'authentification se termine. Lorsque l'authentification est terminée, une
communication sécurisée par SSL peut commencer entre le serveur et le client en utilisant les
clés de cryptage symétriques qui sont établies pendant le processus d'authentification
PARTIE C : TRAVAUX PRATIQUES

TP No 1 : Utilisation des commandes « snmpwalk » et «snmpwalk » sous Linux

(Debian)
TP No 2 : Installation de NAGIOS sur Debian Squeeze
TP No 3: Configuration de l’agent NSclient sur windows XP