Universit Abdel Malek Essaadi

ENSA Ttouan
GSTR

3/8/17
Mohammed EL FOUKI

Scurit des Rseaux

Scurit Des Rseaux

ENSA Ttouan
Anne universitaire 2016/2017 1
 3/8/17
Scurit des systmes informatiques

Rappels sur TCP/IP

Evolution de la mode des attaques
Organigramme typique dune attaque
Statistiques sur les attaques ralises
Evolution du piratage et futur de la scurit sur internet
Les diffrents types dattaques : IP Spoofing, man-in-the-middle, ARP Spoofing,
coutes frauduleuses, hijacking, les dnis de services par consommation de bande

Scurit Des Rseaux

passante ou de ressources
Les technologies de prise demreints : passive et active. Les attaques par dfi de
service distribu.

2
 3/8/17
Pourquoi la scurit
informatique ?

Scurit Des Rseaux

3
 3/8/17
Introduction
42% de la population mondiale soit 3,025 milliards de personnes utilisent le rseau
internet.
Surlensemble du continent africain, le taux de pntration dInternet est estim 16%
en 2014 soit 167 millions dinternautes, contre 110 millions en 2010.
Lenombre des utilisateurs dInternet en Afrique devrait tre multipli par 3.5 dici
2016 pour que le nombre dinternautes atteigne prs de 600 millions.
Chaque minute sur Internet :
2 millions de requtes Google sont effectues

Scurit Des Rseaux

347 nouvelles publications WordPress sont publies
571 nouveaux sites web sont crs
204 millions demails sont envoys

4
 3/8/17
Introduction

Jusqu
91% des internautes niront pas plus loin en cas davertissement au risque
de malware ou de phising.
Plus des 2/3 (77%) des sites Internet propagateurs de malwares sont des sites
lgitimes infects.

Scurit Des Rseaux

5
 3/8/17
Introduction
Entre 2013 et 2014, le nombre des cyberattaques a augment de 120%dans le monde et
le cot estim de la cybercriminalit pour les entreprises slve en moyenne 7,6
millions de dollars par an, soit une augmentation de 10%
1 site Internet sur 500 est infect par de malwares

Scurit Des Rseaux

6
 3/8/17
Introduction

Google bloque 10000 sites Internet par jour.

Les fraudes en ligne par carte bancaire ont reprsent 64,6% du total des fraudes en
2013.
40 % des attaques par injection SQL et 64 % des campagnes de trafic http malveillant
concernent les sites de commerce en ligne.

Scurit Des Rseaux

7
 3/8/17
Introduction
Entrejanvier et juin 2014, le nombre dinfections touchant les terminaux mobiles a
progress de 17%
0,65%des smartphones en circulation sont infects dun malware.Les smartphones
quips dAndroid comptent 60% des quipements mobiles infects contre 40% pour les
PC portables quips de Windows.
Deleur ct, les iPhone, les BlackBerry, les tlphones sous Symbian et sous Windows
Phone totaliseraient moins de 1%.
Lecheval de TroieAndroid.Trojan.Coogos.A!trreprsenterait 35,69% des attaques

Scurit Des Rseaux

ciblant Android.

8
 Rappel Sur TCP/IP

3/8/17
9

Scurit Des Rseaux

 3/8/17
Dfinition
TCP/IP est unprotocole, c'est dire desrgles de communication.
IPsignifieInternet Protocol: littralement "le protocole d'Internet". C'est le
principal protocole utilis sur Internet.
InternetsignifieInter-networks, c'est dire "entre rseaux". Internet est
l'interconnexion des rseauxde la plante.
Le protocole IP permet aux ordinateurs relis ces rseaux de dialoguer entre eux.

Scurit Des Rseaux

10
 3/8/17
Dfinition
TCP est capable:
de faire tout ce que UDP sait faire (ports).
de vrifier que le destinataire est prt recevoir les donnes.
dedcouperles gros paquets de donnes en paquets plus petits pour que IP les
accepte
denumroterles paquets, et la rception devrifierqu'ils sont tous bien
arrivs, deredemanderles paquets manquants et de lesrassembleravant de les
donner aux logiciels. Des accuss de rception sont envoys pour prvenir
l'expditeur que les donnes sont bien arrives.

Scurit Des Rseaux

11
 Type de communication

Scurit Des Rseaux 3/8/17

12
 3/8/17
Protocoles TCP/IP
TCP/IP est utilis pour des tas de choses:
Dans votre navigateur, le protocoleHTTPutilise le protocole TCP/IP pour envoyer
et recevoir des pages HTML, des images GIF, JPG et toutes sortes d'autres donnes.
FTPest un protocole qui permet d'envoyer et recevoir des fichiers. Il utilise
galement TCP/IP.
Votre logiciel de courrier lectronique utilise les protocolesSMTPetPOP3pour
envoyer et recevoir des emails. SMTP et POP3 utilisent eux aussi TCP/IP.
Votre navigateur (et d'autres logiciels) utilisent le protocoleDNSpour trouver
l'adresse IP d'un ordinateur partir de son nom (par exemple, de trouver

Scurit Des Rseaux

216.32.74.52 partir de 'www.yahoo.com'). Le protocole DNS utilise UDP/IP et
TCP/IP en fonction de ses besoins.
Il existe ainsi des centaines de protocoles diffrents qui utilisent TCP/IP ou UDP/IP

13
 3/8/17
Les principes de la
scurit

Scurit Des Rseaux

14
 3/8/17
Introduction

La scurit informatique est un domaine vaste qui peut apprhender dans plusieurs
domaines
Les systmes d'informations
Les rseaux informatiques
Les accs physiques des salles machines

Nous nous concentrerons sur les aspects relatifs aux systmes informatiques et rseaux

Scurit Des Rseaux

15
 3/8/17
Systme informatique et systme
d'information
Un systme informatique est un ensemble de dispositifs (matriels et
logiciels) associs, sur lesquels repose un systme d'information.
Il est constitu gnralement des serveurs, routeurs, pare-feu,
commutateurs, imprimantes, mdias (cbles, air, etc.), points d'accs,
stations de travail, systmes d'exploitation, applications, bases de
donnes, etc.
Un systme d'information est un ensemble de moyens (humains,
matriels, logiciels, etc.) organiss permettant d'laborer, de traiter, de
stocker et/ou de diffuser de l'information grce aux processus ou
services.

Scurit Des Rseaux

Un systme d'information est gnralement dlimit par un primtre
pouvant comprendre des sites, des locaux, des acteurs (partenaires,
clients, employs, etc.), des quipements, des processus, des services,
des applications et des bases de donnes.

16
 3/8/17
Le Monde dans lequel on vit
Linformation est partout. On la retrouve dans divers systmes:
ordinateurs personnels (bureau et maison)
serveurs de donnes (bases de donnes et serveurs web)
systmes tlphoniques (terminaux, interrupteurs, routeurs)
tlphones portables (voix, image, vido, donne)
appareils manuels (ordinateurs portables, lecteur MP4)
cartes puces (identification, autorisation, monnaie lectronique)

Scurit Des Rseaux

systmes incorpors (voiture, appareils domestiques)

bien dautres systmes ...

17
 3/8/17
Le Monde dans lequel on vit
Nous sommes face non seulement une augmentation de la quantit,
mais surtout de l'importance des donnes.
Avec le dveloppement d'Internet, chacun a accs au rseau o de
plus en plus d'informations circulent.
Exemple:
les entreprises communiquent et diffusent des informations, que ce
soit dans leurs liens avec leurs fournisseurs ou leurs partenaires ou
en interne, dans les relations entre les employs eux-mmes.

Scurit Des Rseaux

Le transport des donnes en dehors du domicile d'un particulier ou
d'une entreprise mrite que l'on s'interroge sur la scurit des
transmissions pour ne pas compromettre un systme d'information

18
 3/8/17
Quest-ce que la scurit?
Dun premier point de vue :
sassurer que rien de mauvais arrive
rduire les chances que quelque chose de mauvais se produise
minimiser limpact des mauvaises choses
fournir les lments ncessaires pour se remettre des mauvaises choses

Dun autre point de vue :

autoriser les bonnes choses arriver

Scurit Des Rseaux

gestion du cot du systme
Exemples :
scurit de la maison
scurit de la voiture

19
 3/8/17
Quest-ce que la scurit?
Dfinition de base : La scurit informatique c'est l'ensemble des
moyens mis en uvre pour minimiser la vulnrabilit d'un systme
contre des menaces accidentelles ou intentionnelles.
Scurit = Safety
Protection de systmes informatiques contre les accidents dus
l'environnement, les dfauts du systme.
Scurit = Security
Protection des systmes informatiques contre des actions

Scurit Des Rseaux

malveillantes intentionnelles.
Note : Une vulnrabilit (ou faille) est une faiblesse dans un systme
informatique

20
 3/8/17
Quest-ce que la scurit?
En gnral, Le risque en terme de scurit est caractris par l'quation
suivante :

Scurit Des Rseaux

Note: Les contre-mesures mettre en uvre ne sont pas uniquement des
solutions techniques mais galement des mesures de formation et de
sensibilisation l'intention des utilisateurs, ainsi qu'un ensemble de
rgles clairement dfinies.

21
 3/8/17
Les attaques
Tout ordinateur connect un rseau informatique est
potentiellement vulnrable une attaque.
Une attaque est l'exploitation d'une faille d'un systme informatique
(systme d'exploitation, logiciel ou bien mme de l'utilisateur) des
fins non connues par l'exploitant du systme.

Scurit Des Rseaux

22
 3/8/17
Les attaques
Les motivations des attaques peuvent tre de diffrentes sortes :
obtenir un accs au systme ;
voler des informations, tels que des secrets industriels ou des proprits
intellectuelles ;
avoir des informations personnelles sur un utilisateur ;
rcuprer des donnes bancaires ;
s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;

Scurit Des Rseaux

troubler le bon fonctionnement d'un service ;
utiliser le systme de l'utilisateur comme rebond pour une attaque ;
utiliser les ressources du systme de l'utilisateur, notamment lorsque le
rseau sur lequel il est situ possde une bande passante leve.

23
 3/8/17
Les attaques
Types d attaques
Les systmes informatiques mettent en uvre diffrentes
composantes, allant de l'lectricit pour alimenter les machines au
logiciel excut via le systme d'exploitation et utilisant le rseau.
Les attaques peuvent intervenir chaque maillon de cette chane,
pour peu qu'il existe une vulnrabilit exploitable

Scurit Des Rseaux

24
 3/8/17
Les attaques
Il est possible de catgoriser les risques de la manire suivante :
Accs physique : il s'agit d'un cas o l'attaquant accs aux locaux,
ventuellement mme aux machines :
o Coupure de l'lectricit
o Extinction manuelle de l'ordinateur
o Vandalisme
o Ouverture du botier de l'ordinateur et vol de disque dur
o Ecoute du trafic sur le rseau

Interception de communications :
o Vol de session (session hacking)
o Usurpation d'identit

Scurit Des Rseaux

o Dtournement ou altration de messages

Dnis de service : il s'agit d'attaques visant perturber le bon fonctionnement

d'un service. On distingue habituellement les types de dni de service suivant :
o Exploitation de faiblesses des protocoles TCP/IP
o Exploitation de vulnrabilit des logiciels serveurs

25
 3/8/17
Les attaques
Intrusions :
o Balayage de ports
o Elvation de privilges : ce type d'attaque consiste exploiter une vulnrabilit
d'une application en envoyant une requte spcifique, non prvue par son
concepteur, ayant pour effet un comportement anormal conduisant parfois un
accs au systme avec les droits de l'application. Les attaques par dbordement
de tampon (buffer overflow) utilisent ce principe.
o Maliciels (virus, vers et chevaux de Troie)

Ingnierie sociale : Dans la majeure partie des cas le maillon faible

est l'utilisateur lui-mme! En effet c'est souvent lui qui, par
mconnaissance ou par duperie, va ouvrir une faille dans le systme,

Scurit Des Rseaux

en donnant des informations (mot de passe par exemple) au pirate
informatique ou en excutant une pice jointe.
Trappes : Il s'agit d'une porte drobe (backdoor) dissimule dans
un logiciel, permettant un accs ultrieur son concepteur.

26
 3/8/17
Les attaques
Les erreurs de programmation contenues dans les programmes sont
habituellement corriges assez rapidement par leur concepteur ds
lors que la vulnrabilit a t publie.
Il appartient aux administrateurs de se tenir inform des mises
jour des programmes qu'ils utilisent afin de limiter les risques
d'attaques.
Note: Il existe un certain nombre de dispositifs (pare-feu, systmes
de dtection d'intrusions, antivirus) permettant d'ajouter un niveau
de scurisation supplmentaire.

Scurit Des Rseaux

La scurisation d'un systme informatique est gnralement dite
asymtrique, dans la mesure o le pirate n'a qu' trouver une
seule vulnrabilit pour compromette le systme, tandis que
l'administrateur se doit de corriger toutes les failles.

27
 3/8/17
Les attaques
Attaques par rebond
Lors d'une attaque, le pirate garde toujours l'esprit le risque de se
faire reprer.
C'est la raison pour laquelle les pirates privilgient habituellement les
attaques par rebond (par opposition aux attaques directes), consistant
attaquer une machine par l'intermdiaire d'une autre machine.
Lobjectif est de masquer les traces permettant de remonter lui (telle
que son adresse IP) et dans le but d'utiliser les ressources de la
machine servant de rebond.

Scurit Des Rseaux

Avec le dveloppement des rseaux sans fils, ce type de scnario risque
de devenir de plus en plus courant car lorsque le rseau sans fil est mal
scuris, un pirate situ proximit peut l'utiliser pour lancer des
attaques.

28
 3/8/17
Les pirates
Hacker/pirate
Le terme hacker est souvent utilis pour dsigner un pirate
informatique.
A l'origine ce nom dsignait les programmeurs expriments.
Il servit au cours des annes 70 dcrire les rvolutionnaires de
l'informatique, qui pour la plupart sont devenus les fondateurs des plus
grandes entreprises informatiques.
C'est au cours des annes 80 que ce mot a t utilis pour catgoriser les
personnes impliques dans le piratage de jeux vidos, en dsamorant les

Scurit Des Rseaux

protections de ces derniers, puis en en revendant des copies.
Aujourd'hui ce mot est souvent utilis tort pour dsigner les personnes
s'introduisant dans les systmes informatiques.

29
 3/8/17
Les pirates
Les diffrents types de pirates
En ralit il existe de nombreux types d attaquants catgoriss selon
leur exprience et selon leurs motivations :
Les white hat hackers, hackers au sens noble du terme, dont le
but est d'aider l'amlioration des systmes et technologies
informatiques, sont gnralement l'origine des principaux
protocoles et outils informatiques que nous utilisons aujourd'hui; Le
courrier lectronique est un des meilleurs exemples;
Les hacktivistes (cybermilitant ou cyberrsistant), sont des

Scurit Des Rseaux

hackers dont la motivation est principalement idologique.

30
 3/8/17
Les pirates
Les black hat hackers, plus couramment appels pirates, c'est-
-dire des personnes s'introduisant dans les systmes informatiques
dans un but nuisible ;
o Les script kiddies (traduisez gamins du script) sont de jeunes utilisateurs du
rseau utilisant des programmes trouvs sur Internet, gnralement de faon
maladroite, pour vandaliser des systmes informatiques afin de s'amuser.
o Les phreakers sont des pirates s'intressant au rseau tlphonique commut
(RTC) afin de tlphoner gratuitement grce des circuits lectroniques
connects la ligne tlphonique dans le but d'en falsifier le fonctionnement.
o Les carders s'attaquent principalement aux systmes de cartes puces (en
particulier les cartes bancaires) pour en comprendre le fonctionnement et en
exploiter les failles.

Scurit Des Rseaux

o Les crackers sont des personnes dont le but est de crer des outils logiciels
permettant d'attaquer des systmes informatiques ou de casser les protections
contre la copie des logiciels payants. Un crack est ainsi un programme cr
excutable charg de modifier (patcher) le logiciel original afin d'en supprimer
les protections

31
 3/8/17
Mthodologie dune intrusion
Prsentation gnral dune intrusion

Les hackers recherchent dans un premier temps des failles, dans les
protocoles, les systmes d'exploitations, les applications ou mme le
personnel d'une organisation!
Note: vulnrabilit = trou de scurit (security hole).
Pour pouvoir mettre en uvre un exploit (exploiter une
vulnrabilit), la premire tape du hacker consiste rcuprer le

Scurit Des Rseaux

maximum d'informations sur l'architecture du rseau et sur les
systmes d'exploitations et applications fonctionnant sur celui-ci.

32
 3/8/17
Mthodologie dune intrusion
Une fois que le hacker a tabli une cartographie du systme, il est en
mesure de mettre en application des exploits relatifs aux versions
des applications qu'il a recenses. Un premier accs une machine
lui permettra d'tendre son action afin de rcuprer d'autres
informations, et ventuellement d'tendre ses privilges sur la
machine.
Lorsqu'un accs administrateur (root) est obtenu, on parle alors de
compromission de la machine (ou plus exactement en anglais root
compromise). Le hacker possde alors le plus haut niveau de droit
sur la machine.

Scurit Des Rseaux

La dernire tape consiste effacer ses traces.

33
 3/8/17
Mthodologie dune intrusion

Scurit Des Rseaux

34
 3/8/17
Mthodologie dune intrusion
Droulement dune intrusion
La rcupration d'informations sur le systme: L'obtention d'informations sur
l'adressage du rseau vis, gnralement qualifie de prise d'empreinte, est un
pralable toute attaque. Elle consiste rassembler le maximum d'informations:
o Adressage IP
o Noms de domaine,
o Protocoles de rseau et services activs,
o Architecture des serveurs, etc.

Consultation de bases publiques: En connaissant l'adresse IP publique d'une des

machines du rseau (ou le nom de domaine de l'organisation), un pirate est
potentiellement capable de connatre l'adressage du rseau tout entier. Il suffit de
consulter les bases publiques d'attribution des adresses IP et des noms de domaine:

Scurit Des Rseaux

o http://www.iana.net
o http://www.ripe.net pour l'Europe
o http://www.arin.net pour les Etats-Unis

Note: La simple consultation des moteurs de recherche permet parfois de

rassembler des informations sur la structure d'une entreprise.

35
 3/8/17
Mthodologie dune intrusion
Balayage du rseau: Lorsque la topologie du rseau est connue par le
pirate, il peut le scanner, c'est--dire dterminer l'aide d'un outil logiciel
quelles sont les adresses IP actives sur le rseau, les ports ouverts
correspondant des services accessibles, et le systme d'exploitation
utilis par ces serveurs.
L'un des outils les plus connus pour scanner un rseau est Nmap. Cet outil
agit en envoyant des paquets TCP et/ou UDP un ensemble de machines
sur un rseau, puis il analyse les rponses.
Le reprage des failles: Il existe des scanneurs de vulnrabilit
permettant aux administrateurs de soumettre leur rseau des tests

Scurit Des Rseaux

d'intrusion afin de constater si certaines applications possdent des failles
de scurit.
Les deux principaux scanneurs de failles sont :
o Nessus (http://www.tenable.com/)
o SAINT (http://www.saintcorporation.com/)

36
 3/8/17
Mthodologie dune intrusion
Intrusion: Pour pouvoir s'introduire dans le rseau, le pirate
a besoin d'accder des comptes valides sur les machines
qu'il a recenses. Pour ce faire, plusieurs mthodes sont
utilises par les pirates :
o L'ingnierie sociale, c'est--dire en contactant directement certains
utilisateurs du rseau (par mail ou par tlphone) afin de leur soutirer
des informations concernant leur identifiant de connexion et leur mot de
passe. Ceci est gnralement fait en se faisant passer pour
l'administrateur rseau.
o La consultation de l'annuaire ou bien des services de messagerie ou de

Scurit Des Rseaux

partage de fichiers, permettant de trouver des noms d'utilisateurs
valides.
o Les attaques par force brute (brute force cracking), consistant essayer
de faon automatique diffrents mots de passe sur une liste de compte
(par exemple l'identifiant, ventuellement suivi d'un chiffre, ou bien le
mot de passe password, ou passwd, etc).

37
 3/8/17
Mthodologie dune intrusion
Extension de privilges: Lorsque le pirate a obtenu un ou plusieurs accs sur
le rseau en se logeant sur un ou plusieurs comptes peu protgs, celui-ci va
chercher augmenter ses privilges en obtenant l'accs root .
Ds qu'un accs root a t obtenu sur une machine, l'attaquant a la possibilit
d'examiner le rseau la recherche d'informations supplmentaires.
Il lui est ainsi possible d'installer un sniffeur, c'est--dire un logiciel capable
d'couter le trafic rseau en provenance ou destination des machines situes
sur le mme brin.
Grce cette technique, le pirate peut esprer rcuprer les couples
identifiants/mots de passe lui permettant d'accder des comptes possdant

Scurit Des Rseaux

des privilges tendus sur d'autres machines du rseau afin d'tre mme de
contrler une plus grande partie du rseau.
Les serveurs NIS (Network Information Service) prsents sur un rseau sont
galement des cibles de choix pour les pirates car ils regorgent d'informations
sur le rseau et ses utilisateurs.

38
 3/8/17
Mthodologie dune intrusion
Compromission : Grce aux tapes prcdentes, le pirate a pu
dresser une cartographie complte du rseau, des machines s'y
trouvant, de leurs failles et possde un accs root sur au moins l'une
d'entre-elles. Il lui est alors possible d'tendre encore son action en
exploitant les relations d'approbation existant entre les diffrentes
machines.
Cette technique d'usurpation d'identit, appele spoofing, permet au
pirate de pntrer des rseaux privilgis auxquels la machine
compromise a accs.

Scurit Des Rseaux

Porte drobe: Lorsqu'un pirate a russi infiltrer un rseau
d'entreprise et compromettre une machine, il peut arriver qu'il
souhaite pouvoir revenir. Pour ce faire celui-ci va installer une
application afin de crer artificiellement une faille de scurit, on
parle alors de porte drobe.

39
 3/8/17
Mthodologie dune intrusion
Nettoyage des traces : Lorsque l'intrus a obtenu un niveau de
matrise suffisant sur le rseau, il lui reste effacer les traces de son
passage en supprimant les fichiers qu'il a crs et en nettoyant les
fichiers de logs des machines dans lesquelles il s'est introduit.
Il existe des logiciels, appels kits racine (rootkits) permettant de
remplacer les outils d'administration du systme par des versions
modifies afin de masquer la prsence du pirate sur le systme.
En effet, si l'administrateur se connecte en mme temps que le
pirate, il est susceptible de remarquer les services que le pirate a

Scurit Des Rseaux

lanc ou tout simplement qu'une autre personne que lui est
connecte simultanment. L'objectif d'un rootkit est donc de tromper
l'administrateur en lui masquant la ralit.

40
 3/8/17
Les diffrentes attaques possibles
Attaques sur les systmes
Intgrit du systme,
Excution de processus non autorise,
Cheval de Troie,
Etc.

Attaques sur les protocoles de communication

Intrusion,
Attaques du noyau (IP snoofing, TCP flooding, etc.),
Exploiter les failles des protocoles (ICMP, UDP, etc.),
Etc.

Scurit Des Rseaux

41
 3/8/17
Les diffrentes attaques possibles
Attaques sur l'information
Propagation d'un virus dans l'entreprise,
coute des donnes changes sur le rseau,
Modification des donnes pendant leur transport,
Etc.

Attaques sur les applications

Applications risque (DNS, SNMP, HTTP, NFS, FTP, SMTP, etc.),
Attaquer des applications connues (Oracle, Office),
Etc.

Scurit Des Rseaux

42
 3/8/17
Mthodes les plus rpandues
Systme D ou "ingnierie sociale"
Terme utilis par les hackers pour une technique dintrusion sur un systme qui
repose sur les points faibles des personnes qui sont en relation avec un systme
informatique.
Piger les gens en leur faisant rvler leur mot de passe ou toute autre information qui
pourrait compromettre la scurit du systme informatique.
Deviner le mot de passe dun utilisateur. Les gens qui peuvent trouver des informations sur
un utilisateur, peuvent utiliser ces informations pour deviner le mot de passe de ce dernier
(le prnom de ses enfants, leur date de naissance ou bien encore la plaque dimmatriculation
de sa voiture sont tout fait candidats tre des mots de passe).

Scurit Des Rseaux

43
 3/8/17
Mthodes les plus rpandues
Spoofing : usurpation d'adresse IP
Cible : serveur(s) de l'entreprise mme protg(s) par un pare-feu
But : tromper la machine cible pour obtenir un droit d'accs
Mthode :
L'@ IP de l'agresseur sera un client certifi par le serveur
Construction d'une route source jusqu'au serveur
Riposte :
Chiffrer les sessions avec ssh
Lire les avis du CERT 95-01 CERT 96-21

Scurit Des Rseaux

44
 3/8/17
Mthodes les plus rpandues
Ping de la mort (Ping Of Death)
Cible : serveurs et routeurs
But :
Paniquer la machine et la bloquant en dclenchant une srie de refus de connexion (deny of
service)
Affaiblir l'adversaire, l'empcher d'agir
Mthode :
Envoyer un paquet 1 octet plus gros que le datagramme du ping
Fragmentation du ping et l'arrive le serveur se bloque en tentant de recoller les
fragments. L'cho rpond dans le vide
Variante du flooding.

Scurit Des Rseaux

Riposte :
La plupart des systmes sont protgs contre cette attaque : les outils de ping sont limits
65500 octets

45
 3/8/17
Mthodes les plus rpandues
Attaque frontale
Cible : toute machine connecte Internet protge par un identifiant et un mot de
passe
But : obtenir les droits sur cette machine pour remonter vers le serveur
Mthode :
Tentative par telnet (mme scuris) ou ftp
Gnrateur de mot de passe
Dictionnaire
Riposte
Mot de passe dynamique
Calculette du type Secure ID

Scurit Des Rseaux

Questions bloquantes poses durant la session d'identification

46
 3/8/17
Mthodes les plus rpandues
Cheval de Troie (Trojan)
Cible : systme d'exploitation de la machine dj attaque
But : rcuprer les donnes
Mthode :
C'est un programme p de petite taille cach dans un autre programme P.
Lorsque P est lanc, p se lance galement et ouvre les ports.
p verrouille alors tous les programmes de protection et d'identification
Riposte :
Les Antivirus
Les patchs

Scurit Des Rseaux

47
 3/8/17
Mthodes les plus rpandues
Mail Bomber
Cible : machine recevant des e-mails
But : planter la machine car un systme plant est vulnrable
Mthode : bombarder de mails une machine
Il existe des programmes (UpYours) qui permettent de lancer depuis n'importe quelle
machine sur Internet, une multitude (certains gnrent 1000 e-mails/min) de mails vers une
personne sans qu'elle sache l'expditeur.
Riposte :
Mettre en place une partition pour le rpertoire de mails
Mettre un quota disque par personne

Scurit Des Rseaux

48
 3/8/17
valuer sa scurit : outils
SATAN
Security Analysis Tool for Auditing Networks
Package logiciel comprenant
Pages HTML pour l'interface et la documentation,
Scripts Perl pour la collecte d'informations et l'analyse,
Programmes C de tests.
Dtection de machines et de rseaux,
Dtection des services disponibles,
Dtection de bugs connus,
Analyse des rsultats
Par machine,

Scurit Des Rseaux

Par rseau,
Par service,
Par application vulnrable (bug).

49
 3/8/17
valuer sa scurit : outils
COPS
Computer Oracle and Password System
Ensemble de programmes qui vrifient ou dtectent :
Les permissions de certains fichiers, rpertoires,
Les mots de passe,
Le contenu des fichiers passwd et group,
Les programmes lancs dans etc/rc et cron,
Les fichiers SUID root,
L'accs certains fichiers (.profile,.cshrc),
L'installation correcte de ftp anonyme,
Certains trous de scurit (montage NFS).

Scurit Des Rseaux

Audit de scurit sur une machine UNIX
Peut tre excut sans tre root

50
 3/8/17
valuer sa scurit : outils
Internet Scanner Safesuite
Suite logicielle d'audit pour tester la scurit rseau,
Test de 140 vulnrabilits,
Scan des sites Web, firewalls, routeurs, serveurs NT et Unix, priphriques TCP/IP,
Recommandation des corrections appropries,
Configurable et automatisable,
Planification priodique des scans,
Priorit de niveaux de vulnrabilit,
Etc.

Scurit Des Rseaux

51
 3/8/17
valuer sa scurit
Audit en temps rel :
Systme de dtection et de rponse aux attaques en temps rel (en surveillant le
rseau),
Ex : Agent RealSecure de Firewall-1
Caractristiques :
Reconnaissance des modles dattaques,
Dtection et rponse automatique,
Reporting dtaill,
Mise jour frquente des reconnaissances de modles dattaques,
Capture des intrus en temps rel,
Surveillance du trafic rseau.

Scurit Des Rseaux

52
 3/8/17
Les critres fondamentaux

Les solutions de scurit doivent contribuer satisfaire au moins les critres

suivant:
la disponibilit: la probabilit de pouvoir mener correctement terme une session de
travail
l'intgrit
la confidentialit

Scurit Des Rseaux

53
 3/8/17
La disponibilit

La disponibilit est de pair avec son accessibilit

Une ressource doit tre accessible, avec un temps de rponse acceptable

La disponibilit des services, systmes et donnes est obtenue

par un dimensionnement appropri
par une gestion oprationnelle des ressources et des services

Ce paramtre est mesur par une monte en charge du systme afin de

s'assurer de la totale disponibilit du service
Un service doit aussi tre assur avec le minimum d'interruption en respect
avec l'engagement tabli

Scurit Des Rseaux

De plus des pertes de donnes sont possibles si l'enregistrement et le
stockage ne sont pas grs correctement, d'o l'importance d'une haute
disponibilit d'un systme et de la mise en place d'une politique de
sauvegarde

54
 3/8/17
L'intgrit
L'intgrit permet de certifier que les donnes, les traitements ou les
services n'ont pas t modifis, altrs ou dtruits tant de faon
intentionnelle qu'accidentelle
L'altration est principalement occasionne par le mdia de transmission
mais peut provenir du systme d'informations
Il faut galement veiller garantir la protection des donnes d'une coutes
actives sur le rseau

Scurit Des Rseaux

55
 3/8/17
La confidentialit
La confidentialit est le maintien du secret des informations (Le
Petit Robert)
Dans le cadre d'un systme d'information, cela peut tre vu comme une
protection des donnes contre une divulgation non autorise
2 actions complmentaires permettant d'assurer la confidentialit des
donnes
Limiter leur accs par un mcanisme de contrle d'accs
Transformer les donnes par des procdures de chiffrement

Scurit Des Rseaux

56
 3/8/17
L'identification et l'authentification
L'identification de l'auteur d'un document peut tre ais par contre tre en
mesure d'assurer l'authenticit du document est chose plus dlicate
Ces mesures doivent tre mises en place afin d'assurer
La confidentialit et l'intgrit des donnes d'une personne
La non rpudiation, c'est dire qu'une personne identifie et authentifie ne peut
nier une action
L'identification peut tre vu comme un simple login de connexion sur un
systme
L'authentification peut tre un mot de passe connu seulement par

Scurit Des Rseaux

l'utilisateur

57
 3/8/17
La non-rpudiation
La non-rpudiation est le fait de ne pouvoir nier ou rejeter qu'un vnement
a eu lieu
A cette notion sont associes
L'imputabilit: une action a eu lieu et automatiquement un enregistrement, preuve
de l'action, est effectu
La tracabilit: mmorisation de l'origine du message
L'auditabilit: capacit d'un systme garantir la prsence d'informations

ncessaires une analyse ultrieure d'un vnement. L'existence de fichiers

journal permet de garantir l'imputation et l'auditabilit

Scurit Des Rseaux

58
 3/8/17
La collecte dinformations

Scurit Des Rseaux

59
 3/8/17
Le Scanner
Lobjectif du pirate est de reprer les serveurs offrant des services
particuliers et de les identifier.
Pour obtenir ces informations, le pirate va utiliser un scanner. Le but de ce
section est de prsenter des mthodes de protections contre le scan (en
utilisant des rgles de firewalling sous iptables/ipchains par exemple) et de
savoir utiliser un scanner pour anticiper les futures attaques.

Scurit Des Rseaux

60
 3/8/17
Quest ce quun scanner ?
Cest trs simple : lorsquun serveur offre un service particulier (Web,
messagerie, mail), il excute un programme assurant ce service.
Ce programme est en attente de connexions. Les clients devant accder ce
service doivent connatre ladresse IP du serveur et le numro de port
associ au service. Ce numro de port a t attribu suivant le document
standard RFC1010
Sur les systmes
Linux la liste de ces numros est disponible dans le fichier /etc/services.

La plupart des services ont un numro de port bien dfini.

Scurit Des Rseaux

Par exemple, un serveur de messagerie utilise le port 25, un serveur Web le port
80... Lorsquun service est en coute sur un port, on dit que le numro de port
associ ce service est ouvert.

61
 3/8/17
Exemple avec Nmap
Utilisons Nmap pour connatre les services en coute sur la machine
dadresse IP 192.168.1.1 :
[root@nowhere.net /root]# nmap 192.168.1.1

Scurit Des Rseaux

62
 3/8/17
Comment marche Nmap ?
Je prsenterai de manire trs succinte Nmap et me focaliserai
principalement sur les fonctions les plus utilises.
Pour connatre les ports ouverts sur une machine, Nmap procde lenvoi de
paquets sur tous les ports de cette machine et analyse les rponses. Bien sr,
il y a diffrents types de scans, donc diffrents types denvois et donc,
diffrents types de rponses.
Nous nous intresserons aux scans utilisant le protocole TCP (les scans UDP
et ICMP tant possibles eux aussi).

Scurit Des Rseaux

63
 3/8/17
Le scan vanilla TCP connect
Nmap procde lappel de la fonction connect() sur tous les ports de la
machine. Ce type de scan est facilement reprable.
Le scan en vanilla TCP connect est le scan par dfaut avec Nmap, la
commande est :
[root@nowhere.net /root]# nmap [ip de la machine cible]
ou
[root@nowhere.net /root]# nmap -sT [ip de la machine cible]

Scurit Des Rseaux

64
 3/8/17
Les scans furtifs
Nous rentrons maintenant dans une classe de scans plus difficiles
dtecter :
Le scan en connexion demi-ouverte ou "Syn-scan"
Nmap envoie sur chaque port un paquet TCP avec le flag SYN arm ; si un
port est ouvert, il renverra un paquet avec les flags SYN et ACK arms.
Illustration :
La commande se fait par lappel de nmap avec loption -sS :
[root@nowhere.net /root]# nmap -sS [adresse IP de la machine cible]

Scurit Des Rseaux

65
 3/8/17
La dtermination du systme
dexploitation avec Nmap
Si on lance Nmap avec loption -O :
[root@nowhere.net /root]# nmap -O 192.168.0.1
Running: Linux 2.4.X (1)
OS details: Linux 2.4.20 - 2.4.21 w/grsecurity.org patch
Uptime 76.872 days (since Tue Sep 2 15:20:23 2003)
Nmap run completed -- 1 IP address (1 host up) scanned in 7.030 seconds

Scurit Des Rseaux

66
 3/8/17
La dtermination du systme
dexploitation avec Nmap
Nmap parvient dterminer le systme dexploitation tournant sur la
machine cible. La machine cible utilise un noyau Linux 2.4.21-grsec. Nmap
ne sest pas tromp.
Il faut savoir que chaque systme dexploitation construit ses paquets dune
manire bien particulire. Certains champs au niveau de la couche IP ou
TCP sont propres chaque systme dexploitation. Nmap contient une base
de donnes dun grand nombre de systmes.
Nmap envoie donc des paquets tests la machine cible et compare les
paquets reus en rponse ceux de sa base de donnes et en dduit le type

Scurit Des Rseaux

de systme.
Cette base de donnes est mise jour en fonction des diffrentes version de
Nmap.

67
 3/8/17
Quel est lintret dutiliser Nmap ?
Nmap permet de pouvoir prvoir les futures attaques, et aussi de pouvoir
connatre quels services tournent sur une machine. Une installation faite un
peu trop vite peut laisser des services en coute (donc des ports ouverts sans
que cela ne soit ncessaire) et donc vulnrables une attaque.
Nhsitez pas utiliser Nmap contre vos serveurs pour savoir quels ports
sont en coute.
Nmap est un logiciel trs complet et trs volutif, et il est une rfrence dans
le domaine du scanning.

Scurit Des Rseaux

68
 3/8/17
Comment sen protger ?
Configurer votre pare-feu pour empcher les scans :
[root@nowhere /root]# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST
RST -m limit --limit 1/s

Cette commande permet de dtecter lenvoi un grand nombre de paquets

TCP avec les flags FINet/ou SYN et/ou ACK et/ou RST arm(s).
Vrifiez que votre pare-feu (si ce nest pas iptables) supporte la dtection de scans.

Scurit Des Rseaux

69
 3/8/17
Identifier les versions des logiciels en
coute
Maintenant que notre pirate connat les diffrents services en coute, son objectif va
tre de dcouvrir les noms et les versions des logiciels utiliss pour assurer ces services.
Le pirate peut dj essayer de se connecter sur diffrents ports grce aux programmes
clients associs pour glaner des informations. Rien que telnet donne beaucoup
dinformations .

Scurit Des Rseaux

70
 3/8/17
Identifier les versions des logiciels en
coute
[root@nowhere.net /root]# telnet 192.168.1.1
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is "CTRL-C".
Welcome to muetdhiver
Linux Mandrake release 7.2 (Odyssey) for i586

Scurit Des Rseaux

Kernel 2.2.17-21mdk on an i586
login :

71
 3/8/17
Identifier les versions des logiciels en
coute
Mme si le port telnet est ferm, le pirate peut glaner dautres informations sur les
autres services.
Pour cela, il peut procder une connexion telnet sur le port associ un autre service
en coute.
Exemple de connexion telnet sur le port FTP (port 21) :
[root@nowhere.net /root]# telnet 192.168.1.1 21
Trying 192.168.1.1...

Scurit Des Rseaux

Connected to 192.168.1.1.
Escape character is CTRL-C.
220 ProFTPD 1.2.5rc1 Server (ProFTPD Default Installation) [neuromancer]

72
 3/8/17
Identifier les versions des logiciels en
coute

Cependant, sur certains services, le client telnet sera inefficace.

Le pirate peut alors utiliser un programme conu pour crire et lire de donnes sur
machine cible et sur le port voulu. Ces programmes permettent denvoyer des scripts
directement sur le logiciel souhait sans se soucier des limites protocolaires.
Le plus rput de ces programmes est sans doute Netcat.

Scurit Des Rseaux

73
 3/8/17
Netcat
Netcat permet dtablir une connexion (TCP ou UDP) sur un port souhait et
dy envoyer ou dy recevoir des donnes.
Voici un exemple :
[root@nowhere.net /root]# nc 192.168.1.1 21
220 ProFTPD 1.2.5rc1 Server (ProFTPD Default Installation) [neuromancer]

On obtient directement la version du logiciel utilis.

Netcat (http://packetstormsecurity.nl/UNIX/netcat/) comporte plein dautres
fonctionnalits (comme lenvoi de scripts ...). Le pirate na plus qu trouver une faille
applicative sur le logiciel correspondant.

Scurit Des Rseaux

74
 3/8/17
Comment sen protger ?

Retirer les bannires donnant les versions de logiciel et les messages daide ou de
bienvenue dun service rseau en coute qui peuvent donner des informations sur votre
systme.
Utilisez netcat contre vos serveurs pour reprer les services trop bavards.

Scurit Des Rseaux

75
 3/8/17
Les failles applicatives

Scurit Des Rseaux

76
 3/8/17
Les installations par dfaut
Lors dune installation, beaucoup de services peuvent tre installs par dfaut (un
serveur Web, FTP ...). Ces services peuvent contenir les diffrents types de failles
introduites auparavant.
Limportant est de bien contrler lors de linstallation, les services qui seront installs
sur le systme. Pour tre bien sr de soi, il est aussi recommand de scanner la
machine pour voir ce qui y tourne.
Mme si certains logiciels ne comportent pas de failles connues, ils peuvent quand
mme donner des informations aux pirates

Scurit Des Rseaux

77
 3/8/17
Les mauvaises configurations
Lorsquune application est mal paramtre, elle peut laisser laccs libre certaines
bases de donnes sensibles (fichiers de mots de passe, dutilisateurs) ou de permettre
dexcuter des commandes ou des scripts malveillants.
Il est important de bien lire le manuel avant dactiver un service (RTFM !) et de bien
dfinir qui fait quoi.
Ce principe est simple : il suffit de bien dfinir les utilisateurs et les groupes et de
limiter leurs droits sur certains types de fichiers et certaines oprations dexcution de
commandes systme.

Scurit Des Rseaux

Le plus important est de restreindre au maximun les accs certains fichiers sensibles
et aux commandes systmes.

78
 3/8/17
Des dnis de services applicatifs

Ce type de faille empche le logiciel de fonctionner et ainsi de rpondre aux requtes

demandes (do lappellation dni de service).
La technique est simple, il suffit dutiliser un bogue connu qui va faire planter le
logiciel assurant un service.

Scurit Des Rseaux

79
 3/8/17
Outre passement de droits
Les bogues de type dpassement de buffer ou dexploitation de bogues de
format posent de gros problmes de scurit.
Ils visent majoritairement des applications fonctionnant avec les accs
administrateur (setuid root) pour permettre un attaquant dobtenir un
interprteur de commande au niveau administrateur (uid root) sans aucune
authentification.

Scurit Des Rseaux

80
 3/8/17
Les scripts

Malheureusement, une mauvaise programmation de scripts ou lutilisation de fonctions

bogues peut tre source de failles de scurit.
Il convient dtre trs attentif au niveau du dveloppement dun script.

Scurit Des Rseaux

81
 3/8/17
Les exploits

Pour exploiter ces bogues, le pirate fait appel des exploits. Ces exploits sont en fait
de petits programmes permettant dexploiter une faille dans un but prcis (obtenir un
interprteur de commandes, accder certains fichiers, augmenter ses droits...).
Les exploits peuvent aussi fonctionner distance, pour lobtention dun shell (parfois
avec les droits administrateur) sans mot de passe, ni nom dutilisateur.

Scurit Des Rseaux

82
 3/8/17
Comment sen proteger ?
Face aux multiples failles de scurit des systmes dinformation, seule la
veille permet de rpondre aux objectifs de continuit de service. Pour
assurer cette veille, les responsables systme et rseau disposent de
diffrentes sources di informations :
Les sites dinformations ddies sur Internet
La dtection dintrusion rseau
Les correctifs anti-dbordement mmoire pour le noyau
La limitation du nombre de programmes sexcutant avec les droits administrateur

Scurit Des Rseaux

83
 3/8/17
Les sites dinformations ddies sur Internet

Le rseau des Computer Emergency Response Teams publie des rapports sur
toute nouvelle faille de scurit. Ces quipes peuvent aussi fournir une
assistance ne cas de piratage.
A la tte de lInternet, on trouve le CERT (http://www.cert.org) de luniversit de
Carnegie Mellon.
Sur un plan moins officiel, les Archives Bugtraq
(http://citadelle.intrinsec.com/mailing/current/HTML/ml_bugtraq/) (en anglais)
font partie des meilleures sources sur les nouvelles vulnrabilits. Ces archives
donnent des descriptions trs prcises sur des nouvelles failles de scurit.
Certains sites comme .:[packet storm security]:. (http://packetstormsecurity.nl/)

Scurit Des Rseaux

ou SecurityFocus (http://www.securityfocus.com/) contiennent aussi de
nombreuses informations. Le site SecurityFocus (http://www.securityfocus.com/)
fournit un moteur de recherches thmatique pratique pour lister les
vulnrabilits lies un logiciel.

84
 3/8/17
La dtection dintrusion rseau

La dtection dintrusion rseau

Les systmes de dtection dintrusion rseau (Network Intrusion Detection
Systems ou NIDS) peuvent permettre de reprer les attaques exploitant des
failles connues sur certains types de logiciels.

Scurit Des Rseaux

85
 3/8/17
Les correctifs anti-dbordement mmoire pour le noyau

Il existe plusieurs outils complmentaires au noyau Linux qui permettent de limiter les
possibilits dexcution dexploits utilisant les bogues de dpassement de mmoire (pile
et/ou tas). OpenWall (http://www.openwall.com/) et grsecurity
(http://www.grsecurity.org/) sont deux exemples caractristiques.

Scurit Des Rseaux

86
 3/8/17
La limitation du nombre de programmes sexcutant avec
les droits administrateur

Il est toujours bon de reprer les programmes sexcutant avec les droits
administrateur.
Ainsi, vous pouvez changer leurs droits pour quils ne deviennent pas un point critique
pour la vulnrabilit du systme. Sous linux, la simple commande : # find / -perm
+6000
vous permettra de lister tous les programmes sexcutant avec les droits administrateur

Scurit Des Rseaux

87
 3/8/17
Les outils indispensables pour la
protection

Scurit Des Rseaux

88
 3/8/17
Le pare-feu firewall (Voir Partie Parfeu)
Les systmes de dtection dintrusion (HIDS/NIDS)
Le tunneling (Voir Partie VPN)

Scurit Des Rseaux

89
 3/8/17
Le pare-feu firewall

Essayez de limiter laccs votre rseau des utilisateurs connus utilisant une adresse
IP statique. Vous pourrez ainsi rejeter toutes les autres requtes venant dutilisateurs
utilisant une adresse IP non autorise. Vous effectuez de la sorte un filtrage au niveau
IP.
Fermez tous les ports en coute sur les diffrents serveurs et ouvrez seulement ceux
dont vous avez besoin.
Filtrez ces ports, cest dire rejetez toutes les autres requtes sur les autres ports que
ceux en coute.

Scurit Des Rseaux

Empchez toutes les connexions sortantes sur des services non autoriss. Pour cela, il
suffit de dfinir un nombre limit de services auxquels les serveurs et les clients
peuvent accder (mail, ftp, web...). Ensuite, il faut configurer le firewall pour rejeter les
connexions depuis lintrieur vers lextrieur sur des services diffrant de ceux dfinis.

90
 3/8/17
Les attaques contre les firewalls

Avec le scanner
Le firewalking
TTL
Traceroute

Scurit Des Rseaux

91
 3/8/17
Le firewalking repose sur cette technique pour dterminer les rgles actives
sur un pare-feu.
firewalk (http://www.packetfactory.net/firewalk/), le programme
implmentant le firewalking, dtermine le nombre de routeurs entre la
machine source et la machine cible (situe derrire le firewall). Ensuite, il
envoie des paquets tests avec un TTL gal ce nombre de routeurs + 1. Si le
paquet est accept, il traverse le firewall et on obtient une rponse ; sinon il
ny a aucune rponse.
firewalk (http://www.packetfactory.net/firewalk/) envoie diffrents types de

Scurit Des Rseaux

paquets (TCP, UDP) pour dterminer les rgles de firewalling. Nanmoins,
de nombreux paramtres comme la congestion du rseau, le nombre de
routeurs sparant la cible et lmetteur peuvent fausser lanalyse.

92
 3/8/17
Les systmes de dtection
dintrusion (HIDS/NIDS)
Un NIDS travaille de la mme manire, mais sur les donnes transitant sur
le rseau. Il peut dtecter en temps rel une attaque seffectuant sur lune
des vos machines. Il contient une base de donnes avec tous les codes
malicieux et peut dtecter leurs envois sur une des machines. Le NIDS
travaille comme un sniffer (voir section FIXIT sniffer), sauf quil analyse
automatiquement les flux de donnes pour dtecter une attaque.
Cette section prsentera deux systmes de dtection dintrusion : un NIDS
appel Snort et IDS hybride Prelude. Il est noter que ces outils sont
distribus comme logiciel libre. Je ne rappellerai pas que le logiciel libre a
une avance considrable dans le domaine de la scurit par rapport ses
concurrents propritaires.

Scurit Des Rseaux

93