Académique Documents
Professionnel Documents
Culture Documents
ENSA Ttouan
GSTR
3/8/17
Mohammed EL FOUKI
2
3/8/17
Pourquoi la scurit
informatique ?
4
3/8/17
Introduction
Jusqu
91% des internautes niront pas plus loin en cas davertissement au risque
de malware ou de phising.
Plus des 2/3 (77%) des sites Internet propagateurs de malwares sont des sites
lgitimes infects.
8
Rappel Sur TCP/IP
3/8/17
9
13
3/8/17
Les principes de la
scurit
La scurit informatique est un domaine vaste qui peut apprhender dans plusieurs
domaines
Les systmes d'informations
Les rseaux informatiques
Les accs physiques des salles machines
Nous nous concentrerons sur les aspects relatifs aux systmes informatiques et rseaux
16
3/8/17
Le Monde dans lequel on vit
Linformation est partout. On la retrouve dans divers systmes:
ordinateurs personnels (bureau et maison)
serveurs de donnes (bases de donnes et serveurs web)
systmes tlphoniques (terminaux, interrupteurs, routeurs)
tlphones portables (voix, image, vido, donne)
appareils manuels (ordinateurs portables, lecteur MP4)
cartes puces (identification, autorisation, monnaie lectronique)
17
3/8/17
Le Monde dans lequel on vit
Nous sommes face non seulement une augmentation de la quantit,
mais surtout de l'importance des donnes.
Avec le dveloppement d'Internet, chacun a accs au rseau o de
plus en plus d'informations circulent.
Exemple:
les entreprises communiquent et diffusent des informations, que ce
soit dans leurs liens avec leurs fournisseurs ou leurs partenaires ou
en interne, dans les relations entre les employs eux-mmes.
18
3/8/17
Quest-ce que la scurit?
Dun premier point de vue :
sassurer que rien de mauvais arrive
rduire les chances que quelque chose de mauvais se produise
minimiser limpact des mauvaises choses
fournir les lments ncessaires pour se remettre des mauvaises choses
19
3/8/17
Quest-ce que la scurit?
Dfinition de base : La scurit informatique c'est l'ensemble des
moyens mis en uvre pour minimiser la vulnrabilit d'un systme
contre des menaces accidentelles ou intentionnelles.
Scurit = Safety
Protection de systmes informatiques contre les accidents dus
l'environnement, les dfauts du systme.
Scurit = Security
Protection des systmes informatiques contre des actions
20
3/8/17
Quest-ce que la scurit?
En gnral, Le risque en terme de scurit est caractris par l'quation
suivante :
21
3/8/17
Les attaques
Tout ordinateur connect un rseau informatique est
potentiellement vulnrable une attaque.
Une attaque est l'exploitation d'une faille d'un systme informatique
(systme d'exploitation, logiciel ou bien mme de l'utilisateur) des
fins non connues par l'exploitant du systme.
23
3/8/17
Les attaques
Types d attaques
Les systmes informatiques mettent en uvre diffrentes
composantes, allant de l'lectricit pour alimenter les machines au
logiciel excut via le systme d'exploitation et utilisant le rseau.
Les attaques peuvent intervenir chaque maillon de cette chane,
pour peu qu'il existe une vulnrabilit exploitable
Interception de communications :
o Vol de session (session hacking)
o Usurpation d'identit
25
3/8/17
Les attaques
Intrusions :
o Balayage de ports
o Elvation de privilges : ce type d'attaque consiste exploiter une vulnrabilit
d'une application en envoyant une requte spcifique, non prvue par son
concepteur, ayant pour effet un comportement anormal conduisant parfois un
accs au systme avec les droits de l'application. Les attaques par dbordement
de tampon (buffer overflow) utilisent ce principe.
o Maliciels (virus, vers et chevaux de Troie)
26
3/8/17
Les attaques
Les erreurs de programmation contenues dans les programmes sont
habituellement corriges assez rapidement par leur concepteur ds
lors que la vulnrabilit a t publie.
Il appartient aux administrateurs de se tenir inform des mises
jour des programmes qu'ils utilisent afin de limiter les risques
d'attaques.
Note: Il existe un certain nombre de dispositifs (pare-feu, systmes
de dtection d'intrusions, antivirus) permettant d'ajouter un niveau
de scurisation supplmentaire.
27
3/8/17
Les attaques
Attaques par rebond
Lors d'une attaque, le pirate garde toujours l'esprit le risque de se
faire reprer.
C'est la raison pour laquelle les pirates privilgient habituellement les
attaques par rebond (par opposition aux attaques directes), consistant
attaquer une machine par l'intermdiaire d'une autre machine.
Lobjectif est de masquer les traces permettant de remonter lui (telle
que son adresse IP) et dans le but d'utiliser les ressources de la
machine servant de rebond.
28
3/8/17
Les pirates
Hacker/pirate
Le terme hacker est souvent utilis pour dsigner un pirate
informatique.
A l'origine ce nom dsignait les programmeurs expriments.
Il servit au cours des annes 70 dcrire les rvolutionnaires de
l'informatique, qui pour la plupart sont devenus les fondateurs des plus
grandes entreprises informatiques.
C'est au cours des annes 80 que ce mot a t utilis pour catgoriser les
personnes impliques dans le piratage de jeux vidos, en dsamorant les
29
3/8/17
Les pirates
Les diffrents types de pirates
En ralit il existe de nombreux types d attaquants catgoriss selon
leur exprience et selon leurs motivations :
Les white hat hackers, hackers au sens noble du terme, dont le
but est d'aider l'amlioration des systmes et technologies
informatiques, sont gnralement l'origine des principaux
protocoles et outils informatiques que nous utilisons aujourd'hui; Le
courrier lectronique est un des meilleurs exemples;
Les hacktivistes (cybermilitant ou cyberrsistant), sont des
30
3/8/17
Les pirates
Les black hat hackers, plus couramment appels pirates, c'est-
-dire des personnes s'introduisant dans les systmes informatiques
dans un but nuisible ;
o Les script kiddies (traduisez gamins du script) sont de jeunes utilisateurs du
rseau utilisant des programmes trouvs sur Internet, gnralement de faon
maladroite, pour vandaliser des systmes informatiques afin de s'amuser.
o Les phreakers sont des pirates s'intressant au rseau tlphonique commut
(RTC) afin de tlphoner gratuitement grce des circuits lectroniques
connects la ligne tlphonique dans le but d'en falsifier le fonctionnement.
o Les carders s'attaquent principalement aux systmes de cartes puces (en
particulier les cartes bancaires) pour en comprendre le fonctionnement et en
exploiter les failles.
31
3/8/17
Mthodologie dune intrusion
Prsentation gnral dune intrusion
Les hackers recherchent dans un premier temps des failles, dans les
protocoles, les systmes d'exploitations, les applications ou mme le
personnel d'une organisation!
Note: vulnrabilit = trou de scurit (security hole).
Pour pouvoir mettre en uvre un exploit (exploiter une
vulnrabilit), la premire tape du hacker consiste rcuprer le
32
3/8/17
Mthodologie dune intrusion
Une fois que le hacker a tabli une cartographie du systme, il est en
mesure de mettre en application des exploits relatifs aux versions
des applications qu'il a recenses. Un premier accs une machine
lui permettra d'tendre son action afin de rcuprer d'autres
informations, et ventuellement d'tendre ses privilges sur la
machine.
Lorsqu'un accs administrateur (root) est obtenu, on parle alors de
compromission de la machine (ou plus exactement en anglais root
compromise). Le hacker possde alors le plus haut niveau de droit
sur la machine.
33
3/8/17
Mthodologie dune intrusion
35
3/8/17
Mthodologie dune intrusion
Balayage du rseau: Lorsque la topologie du rseau est connue par le
pirate, il peut le scanner, c'est--dire dterminer l'aide d'un outil logiciel
quelles sont les adresses IP actives sur le rseau, les ports ouverts
correspondant des services accessibles, et le systme d'exploitation
utilis par ces serveurs.
L'un des outils les plus connus pour scanner un rseau est Nmap. Cet outil
agit en envoyant des paquets TCP et/ou UDP un ensemble de machines
sur un rseau, puis il analyse les rponses.
Le reprage des failles: Il existe des scanneurs de vulnrabilit
permettant aux administrateurs de soumettre leur rseau des tests
36
3/8/17
Mthodologie dune intrusion
Intrusion: Pour pouvoir s'introduire dans le rseau, le pirate
a besoin d'accder des comptes valides sur les machines
qu'il a recenses. Pour ce faire, plusieurs mthodes sont
utilises par les pirates :
o L'ingnierie sociale, c'est--dire en contactant directement certains
utilisateurs du rseau (par mail ou par tlphone) afin de leur soutirer
des informations concernant leur identifiant de connexion et leur mot de
passe. Ceci est gnralement fait en se faisant passer pour
l'administrateur rseau.
o La consultation de l'annuaire ou bien des services de messagerie ou de
37
3/8/17
Mthodologie dune intrusion
Extension de privilges: Lorsque le pirate a obtenu un ou plusieurs accs sur
le rseau en se logeant sur un ou plusieurs comptes peu protgs, celui-ci va
chercher augmenter ses privilges en obtenant l'accs root .
Ds qu'un accs root a t obtenu sur une machine, l'attaquant a la possibilit
d'examiner le rseau la recherche d'informations supplmentaires.
Il lui est ainsi possible d'installer un sniffeur, c'est--dire un logiciel capable
d'couter le trafic rseau en provenance ou destination des machines situes
sur le mme brin.
Grce cette technique, le pirate peut esprer rcuprer les couples
identifiants/mots de passe lui permettant d'accder des comptes possdant
38
3/8/17
Mthodologie dune intrusion
Compromission : Grce aux tapes prcdentes, le pirate a pu
dresser une cartographie complte du rseau, des machines s'y
trouvant, de leurs failles et possde un accs root sur au moins l'une
d'entre-elles. Il lui est alors possible d'tendre encore son action en
exploitant les relations d'approbation existant entre les diffrentes
machines.
Cette technique d'usurpation d'identit, appele spoofing, permet au
pirate de pntrer des rseaux privilgis auxquels la machine
compromise a accs.
39
3/8/17
Mthodologie dune intrusion
Nettoyage des traces : Lorsque l'intrus a obtenu un niveau de
matrise suffisant sur le rseau, il lui reste effacer les traces de son
passage en supprimant les fichiers qu'il a crs et en nettoyant les
fichiers de logs des machines dans lesquelles il s'est introduit.
Il existe des logiciels, appels kits racine (rootkits) permettant de
remplacer les outils d'administration du systme par des versions
modifies afin de masquer la prsence du pirate sur le systme.
En effet, si l'administrateur se connecte en mme temps que le
pirate, il est susceptible de remarquer les services que le pirate a
40
3/8/17
Les diffrentes attaques possibles
Attaques sur les systmes
Intgrit du systme,
Excution de processus non autorise,
Cheval de Troie,
Etc.
45
3/8/17
Mthodes les plus rpandues
Attaque frontale
Cible : toute machine connecte Internet protge par un identifiant et un mot de
passe
But : obtenir les droits sur cette machine pour remonter vers le serveur
Mthode :
Tentative par telnet (mme scuris) ou ftp
Gnrateur de mot de passe
Dictionnaire
Riposte
Mot de passe dynamique
Calculette du type Secure ID
46
3/8/17
Mthodes les plus rpandues
Cheval de Troie (Trojan)
Cible : systme d'exploitation de la machine dj attaque
But : rcuprer les donnes
Mthode :
C'est un programme p de petite taille cach dans un autre programme P.
Lorsque P est lanc, p se lance galement et ouvre les ports.
p verrouille alors tous les programmes de protection et d'identification
Riposte :
Les Antivirus
Les patchs
49
3/8/17
valuer sa scurit : outils
COPS
Computer Oracle and Password System
Ensemble de programmes qui vrifient ou dtectent :
Les permissions de certains fichiers, rpertoires,
Les mots de passe,
Le contenu des fichiers passwd et group,
Les programmes lancs dans etc/rc et cron,
Les fichiers SUID root,
L'accs certains fichiers (.profile,.cshrc),
L'installation correcte de ftp anonyme,
Certains trous de scurit (montage NFS).
50
3/8/17
valuer sa scurit : outils
Internet Scanner Safesuite
Suite logicielle d'audit pour tester la scurit rseau,
Test de 140 vulnrabilits,
Scan des sites Web, firewalls, routeurs, serveurs NT et Unix, priphriques TCP/IP,
Recommandation des corrections appropries,
Configurable et automatisable,
Planification priodique des scans,
Priorit de niveaux de vulnrabilit,
Etc.
54
3/8/17
L'intgrit
L'intgrit permet de certifier que les donnes, les traitements ou les
services n'ont pas t modifis, altrs ou dtruits tant de faon
intentionnelle qu'accidentelle
L'altration est principalement occasionne par le mdia de transmission
mais peut provenir du systme d'informations
Il faut galement veiller garantir la protection des donnes d'une coutes
actives sur le rseau
57
3/8/17
La non-rpudiation
La non-rpudiation est le fait de ne pouvoir nier ou rejeter qu'un vnement
a eu lieu
A cette notion sont associes
L'imputabilit: une action a eu lieu et automatiquement un enregistrement, preuve
de l'action, est effectu
La tracabilit: mmorisation de l'origine du message
L'auditabilit: capacit d'un systme garantir la prsence d'informations
Par exemple, un serveur de messagerie utilise le port 25, un serveur Web le port
80... Lorsquun service est en coute sur un port, on dit que le numro de port
associ ce service est ouvert.
61
3/8/17
Exemple avec Nmap
Utilisons Nmap pour connatre les services en coute sur la machine
dadresse IP 192.168.1.1 :
[root@nowhere.net /root]# nmap 192.168.1.1
67
3/8/17
Quel est lintret dutiliser Nmap ?
Nmap permet de pouvoir prvoir les futures attaques, et aussi de pouvoir
connatre quels services tournent sur une machine. Une installation faite un
peu trop vite peut laisser des services en coute (donc des ports ouverts sans
que cela ne soit ncessaire) et donc vulnrables une attaque.
Nhsitez pas utiliser Nmap contre vos serveurs pour savoir quels ports
sont en coute.
Nmap est un logiciel trs complet et trs volutif, et il est une rfrence dans
le domaine du scanning.
71
3/8/17
Identifier les versions des logiciels en
coute
Mme si le port telnet est ferm, le pirate peut glaner dautres informations sur les
autres services.
Pour cela, il peut procder une connexion telnet sur le port associ un autre service
en coute.
Exemple de connexion telnet sur le port FTP (port 21) :
[root@nowhere.net /root]# telnet 192.168.1.1 21
Trying 192.168.1.1...
72
3/8/17
Identifier les versions des logiciels en
coute
Retirer les bannires donnant les versions de logiciel et les messages daide ou de
bienvenue dun service rseau en coute qui peuvent donner des informations sur votre
systme.
Utilisez netcat contre vos serveurs pour reprer les services trop bavards.
78
3/8/17
Des dnis de services applicatifs
Pour exploiter ces bogues, le pirate fait appel des exploits. Ces exploits sont en fait
de petits programmes permettant dexploiter une faille dans un but prcis (obtenir un
interprteur de commandes, accder certains fichiers, augmenter ses droits...).
Les exploits peuvent aussi fonctionner distance, pour lobtention dun shell (parfois
avec les droits administrateur) sans mot de passe, ni nom dutilisateur.
Le rseau des Computer Emergency Response Teams publie des rapports sur
toute nouvelle faille de scurit. Ces quipes peuvent aussi fournir une
assistance ne cas de piratage.
A la tte de lInternet, on trouve le CERT (http://www.cert.org) de luniversit de
Carnegie Mellon.
Sur un plan moins officiel, les Archives Bugtraq
(http://citadelle.intrinsec.com/mailing/current/HTML/ml_bugtraq/) (en anglais)
font partie des meilleures sources sur les nouvelles vulnrabilits. Ces archives
donnent des descriptions trs prcises sur des nouvelles failles de scurit.
Certains sites comme .:[packet storm security]:. (http://packetstormsecurity.nl/)
84
3/8/17
La dtection dintrusion rseau
Il existe plusieurs outils complmentaires au noyau Linux qui permettent de limiter les
possibilits dexcution dexploits utilisant les bogues de dpassement de mmoire (pile
et/ou tas). OpenWall (http://www.openwall.com/) et grsecurity
(http://www.grsecurity.org/) sont deux exemples caractristiques.
Il est toujours bon de reprer les programmes sexcutant avec les droits
administrateur.
Ainsi, vous pouvez changer leurs droits pour quils ne deviennent pas un point critique
pour la vulnrabilit du systme. Sous linux, la simple commande : # find / -perm
+6000
vous permettra de lister tous les programmes sexcutant avec les droits administrateur
Essayez de limiter laccs votre rseau des utilisateurs connus utilisant une adresse
IP statique. Vous pourrez ainsi rejeter toutes les autres requtes venant dutilisateurs
utilisant une adresse IP non autorise. Vous effectuez de la sorte un filtrage au niveau
IP.
Fermez tous les ports en coute sur les diffrents serveurs et ouvrez seulement ceux
dont vous avez besoin.
Filtrez ces ports, cest dire rejetez toutes les autres requtes sur les autres ports que
ceux en coute.
90
3/8/17
Les attaques contre les firewalls
Avec le scanner
Le firewalking
TTL
Traceroute
92
3/8/17
Les systmes de dtection
dintrusion (HIDS/NIDS)
Un NIDS travaille de la mme manire, mais sur les donnes transitant sur
le rseau. Il peut dtecter en temps rel une attaque seffectuant sur lune
des vos machines. Il contient une base de donnes avec tous les codes
malicieux et peut dtecter leurs envois sur une des machines. Le NIDS
travaille comme un sniffer (voir section FIXIT sniffer), sauf quil analyse
automatiquement les flux de donnes pour dtecter une attaque.
Cette section prsentera deux systmes de dtection dintrusion : un NIDS
appel Snort et IDS hybride Prelude. Il est noter que ces outils sont
distribus comme logiciel libre. Je ne rappellerai pas que le logiciel libre a
une avance considrable dans le domaine de la scurit par rapport ses
concurrents propritaires.