Vous êtes sur la page 1sur 44

Les Attaques et les

Mécanismes de defense

Institut des Sciences Appliquées ISA


Option: Génie Informatique
Période: Semestre 5
Plan du cours

Les attaques

Classification des attaques

Types d’attaques informatiques

Mécanisme de défense

Règles d’hygiène SI
Les Attaques
Qu’est-ce qu’une attaque ?
Une « attaque » est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par
l'exploitant du systèmes et généralement préjudiciables.

Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques
par minute sur chaque machine connectée. Ces attaques sont pour la plupart
lancées automatiquement à partir de machines infectées (par des virus, chevaux de
Troie, vers, etc.), à l'insu de leur propriétaire.

Afin de contrer ces attaques il est indispensable de connaître les principaux types
d'attaques afin de mettre en oeuvre des dispositions préventives.
Motivations des attaques
 obtenir un accès au système ;

 voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ;

 glâner des informations personnelles sur un utilisateur ;

 récupérer des données bancaires ;

 s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;

 troubler le bon fonctionnement d'un service ;

 utiliser le système de l'utilisateur comme « rebond » pour une attaque ;

 utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau sur lequel il est
situé possède une bande passante élevée
Classification des attaques informatiques
Attaques visant l ’authentification

Déguisement (Mascarade)

Pour rentrer dans un système on essaye de piéger des


usagers et de se faire passer pour quelqu'un d'autre:

Exemple: simulation d'interface système sur écran,


simulation de terminal à carte bancaire
Attaques visant l ’intégrité des données
 Modification de messages, de données

Une personne non autorisée, un usager ou même un agent autorisé


s'attribuent des avantages illicites en modifiant un fichier, un message
(le plus souvent cette modification est réalisée par programme et entre
dans la catégorie suivante.

Exemple: modification des données sur un serveur Web.


Attaques visant l ’intégrité du flux de données
 Répétition ("replay")

Espionnage d'une interface, d'une voie de communication (téléphonique,

réseau local) pour capter des opérations (même cryptées elles peuvent être

utilisables).

Répétition de l'opération pour obtenir une fraude.

Exemple: Plusieurs fois la même opération de crédit d'un compte bancaire.


Attaques visant l ’intégrité des programmes (1)
 Modification des programmes

Les modifications à caractère frauduleux

Pour s'attribuer par programme des avantages.

Exemple: virement des centimes sur un compte

Les modifications à caractère de sabotage

Pour détruire avec plus ou moins de motivations des systèmes ou des données
Attaques visant l ’intégrité des programmes (2)
 Deux types de modifications
a) Infections informatiques à caractère unique
 Bombe logique ou cheval de Troie
- Dans un programme normal on introduit un comportement illicite mis en action par une condition de
déclenchement ou trappe (la condition, le moment ou l'on bascule d'un comportement normal à
anormal)
Exemple: licenciement de l'auteur du programme
b) Infections auto reproductrices
Il s'agit d'une infection informatique simple (du type précédent) qui contient de plus une partie de
recopie d'elle même afin d'en assurer la propagation
 Virus : à action brutale
 Ver : à action lente (détruisant progressivement les ressources d'un systèmes)
Attaques visant la confidentialité
Les attaques ayant pour but le vol d'information via un réseau par espionnage des
transmissions de données (espion de ligne, accès aux données dans des routeurs et des
serveurs Internet).
 Analyse de trafic
On observe le trafic de messages échangés pour en déduire des informations sur les décisions
de quelqu'un.
Exemples:
Bourse : augmentation des transactions sur une place financière.
Militaire : le début de concentration entraîne un accroissement de trafic important.
 Inférence
On obtient des informations confidentielles à partir d'un faisceaude questions autorisées (et
d'un raisonnement visant à faire ressortir l'information).
Attaques visant la disponibilité (DOS)
 Attaque par violation de protocole

Erreur très rare en fonctionnement normal et non supportées par le


protocole.

 Attaque par saturation

Envoi de messages trop nombreux provoquant un écroulement des


systèmes et réseaux.
Les types d’attaques informatiques
 Les attaques par réseau

 Les attaques de système

 Les attaques de mot de passe

 Les attaques de site Web

 Les attaques d’applications


1- Les attaques par réseau
• Attaque de l’homme du milieu (the man in the middle):

Cette attaque a pour but d’intercepter les communications entre deux


parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de
communication entre elles a été compromis. Le canal le plus courant
est une connexion à Internet de l’internaute lambda. L’attaquant doit
d’abord être capable d’observer et d’intercepter les messages d’une
victime à l’autre.
1- Les attaques par réseau
• Attaque par rebond ():

Les « attaques par rebond » constituent une famille d’attaques de


systèmes informatiques qui consistent à utiliser un ou des systèmes
intermédiaires, participant à leur insu, et permettant à un assaillant de
rester caché. Cette méthode ressemble plus à une stratégie de
protection que d’attaque.
1- Les attaques par réseau
• Attaque par déni de service (denial of service DOS):
Une « attaque par déni de service » est une attaque ayant pour but de rendre indisponible un
service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser, de saturer un routeur ou un
serveur afin de le ”crasher” ou en préambule d’une attaque massive. Il peut s’agir de :

 l’inondation d’un réseau afin d’empêcher son fonctionnement ;

 la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;

 l’obstruction d’accès à un service à une personne en particulier ;

 également le fait d’envoyer des millions de kilooctets à une box wi-fi.


1- Les attaques par réseau
• Attaque par déni de service (denial of service DOS):
L’attaque DOS peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un
serveur web ou empêcher la distribution de courriel dans une entreprise. L’attaquant
hacker n’a pas forcément besoin de matériel sophistiqué. Ainsi, certaines attaques DoS
(attaque par déni de service) peuvent être exécutées avec des ressources limitées contre
un réseau beaucoup plus grand et moderne. On appelle parfois ce type d’attaque « attaque
asymétrique » (en raison de la différence de ressources entre les protagonistes). Un hacker
avec un ordinateur obsolète et un modem lent peut ainsi neutraliser des machines ou des
réseaux beaucoup plus importants.
1- Les attaques par réseau
• Balayage de port (port scanning):
Le « balayage de port » (port scanning en anglais) est une technique servant à rechercher les
ports ouverts sur un serveur de réseau.

Cette technique est utilisée par les administrateurs des systèmes informatiques pour contrôler
la sécurité des serveurs de leurs réseaux. La même technique est aussi utilisée par les pirates
informatiques pour tenter de trouver des failles dans des systèmes informatiques. Un balayage
de port (port scan ou portscan en anglais) effectué sur un système tiers est généralement
considéré comme une tentative d’intrusion, car un balayage de port sert souvent à préparer
une intrusion.
1- Les attaques par réseau
• Usurpation d’adresse IP (IP spoofing):

C’est une technique utilisée en informatique qui consiste à envoyer des


paquets IP en utilisant une adresse IP source qui n’a pas été attribuée à
l’ordinateur qui les émet. Le but peut être de masquer sa propre
identité lors d’une attaque d’un serveur, ou d’usurper en quelque sort
l’identité d’un autre équipement du réseau pour bénéficier des services
auxquels il a accès.
2- Les attaques de système
• L’écran bleu de la mort:
« L’écran bleu de la mort » se réfère à l’écran affiché par le système d’exploitation
Windows lorsqu’il ne peut plus récupérer une erreur système ou lorsqu’il est à un
point critique d’erreur fatale. Il y a deux types d’écrans d’erreur, dont l’un est l’écran
bleu de la mort, qui a une signification d’erreur plus sérieuse que l’autre. En général
la vue de cet écran signifie que l’ordinateur est devenu complètement inutilisable.
Pour certain Black Hats leur but et d’arriver à provoquer cet « écran bleu de la
mort » sur le plus d’ordinateur possible.
2- Les attaques de système
• Fork bomb
Une « fork bomb » fonctionne en créant un grand nombre de processus très rapidement afin de saturer
l’espace disponible dans la liste des processus gardée par le système d’exploitation. Si la table des processus se
met à saturer, aucun nouveau programme ne peut démarrer tant qu’aucun autre ne termine. Même si cela
arrive, il est peu probable qu’un programme utile démarre étant donné que les instances de la bombe
attendent chacune d’occuper cet emplacement libre.

Non seulement les fork bombs utilisent de la place dans la table des processus, mais elles utilisent chacune du
temps processeur et de la mémoire. En conséquence, le système et les programmes tournant à ce moment-là
ralentissent et deviennent même impossibles à utiliser.
2- Les attaques de système
• D’autres attaques de système sous UNIX
 Password Cracking:
 Rhosts ++:
 Login:
 Telnetd:
 Network Services:
 Shared Library:
 System Kernel:
 File System:
 BootBlockan:
3- Les attaques de mot de passe
• Attaques par dictionnaire
C’est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Elle consiste à
tester une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot
de passe utilisé pour le chiffrement soit contenu dans le dictionnaire. Si ce n’est pas le cas, l’attaque
échouera.

Cette méthode repose sur le fait que de nombreuses personnes utilisent des mots de passe
courants (par exemple : un prénom, une couleur ou le nom d’un animal). C’est pour cette raison
qu’il est toujours conseillé de ne pas utiliser de mot de passe comprenant un mot ou un nom.
3- Les attaques de mot de passe
• Attaques par dictionnaire

L’attaque par dictionnaire est une méthode souvent utilisée en

complément de l’ « attaque par force brute » qui consiste à tester, de

manière exhaustive, les différentes possibilités de mots de passe. Cette

dernière est particulièrement efficace pour des mots de passe

n’excédant pas 5 ou 6 caractères.


3- Les attaques de mot de passe
• Attaques par force brute

L’ « attaque par force brute » est une méthode utilisée en cryptanalyse pour trouver un
mot de passe ou une clé. Il s’agit de tester, une à une, toutes les combinaisons possibles.

Cette méthode est en général considérée comme la plus simple concevable. Elle permet de
casser tout mot de passe en un temps fini indépendamment de la protection utilisée, mais
le temps augmente avec la longueur du mot de passe. En théorie la complexité d’une
attaque par force brute est une fonction exponentielle de la longueur du mot de passe, la
rendant virtuellement impossible pour des mots de passe de longueur moyenne.
3- Les attaques de site web
• Défacement

Un défacement (defacing en anglais) est un anglicisme désignant la modification


non sollicitée de la présentation d’un site web, à la suite du piratage de ce site. Il
s’agit donc d’une forme de détournement de site Web par un hacker. En général les
hackers s’en servent pour laisser un message. Les défacements sont provoqués par
l’utilisation de failles présentes sur une page Web ou tout simplement une faille du
système d’exploitation du serveur web. La plupart du temps, les sites défacés le
sont uniquement sur la page d’accueil. Le défacement n’entraîne pas en soi de
perte de données.
3- Les attaques de site web
• Cross-site scripting (XSS)
Le Cross-site scrpiting (abrégé XSS), est un type de faille de sécurité des sites
web permettant d’injecter du contenu dans une page, permettant ainsi de provoquer des
actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges
puisque l’attaquant peut utiliser tous les langages pris en charge par le navigateur
(JavaScript, Java, Flash…) et de nouvelles possibilités sont régulièrement découvertes
notamment avec l’arrivée de nouvelles technologies comme HTML 5. Il est par exemple
possible de rediriger vers un autre site pour du Hameçonnage ou encore de voler la
session en récupérant les cookies.
4- Les attaques d’applications
• Exploit
Un « exploit » est un élément de programme permettant à un individu ou un
logiciel malveillant d’exploiter une faille de sécurité informatique dans un
système d’exploitation ou dans un logiciel que ce soit à distance ou sur la
machine sur laquelle cet exploit est exécuté ; ceci, afin de prendre le contrôle
d’un ordinateur ou d’un réseau, de permettre une augmentation de privilège
d’un logiciel ou d’un utilisateur, ou encore d’effectuer une attaque par déni
de service.
4- Les attaques d’applications
• Dépassement de tampon
Un « dépassement de tampon » est un bug par lequel un processus, lors de l’écriture dans un
tampon, écrit à l’extérieur de l’espace alloué au tampon, écrasant ainsi des informations
nécessaires au processus.

Lorsque le bug se produit non intentionnellement, le comportement de l’ordinateur devient


imprévisible. Il en résulte souvent un blocage du programme, voire de tout le système.

Le bug peut aussi être provoqué intentionnellement et être exploité pour violer la politique de
sécurité d’un système. Cette technique est couramment utilisée par les pirates.
4- Les attaques d’applications
• Shellcode

Un « shellcode » est une chaîne de caractères qui représente un code binaire


exécutable. À l’origine destiné à lancer un « shell » (interface utilisateur d’un
OS), le mot a évolué pour désigner tout code malveillant qui détourne un
programme de son exécution normale. Un shellcode peut être utilisé par
un hacker voulant avoir accès à la ligne de commande.
5- Autres types d’attaques
• Ransomware
Le ransomware (francisé rançongiciel) fréquemment utilisé, il consiste à envoyer via une pièce jointe un
programme malveillant.

Une fois le fichier ouvert, ce programme rend inaccessible les documents de l’entreprise en les chiffrant.
Récupérer les fichiers n’est alors possible qu’en payant une rançon, souvent expressément demandée en
cryptomonnaie.

Cette technique a été utilisée en 2017, lors de l’épidémie WannaCry à l’origine d’une cyberattaque
mondiale. Des organismes comme le service national de santé du Royaume-Uni ou des entreprises
(Renault, Honda, la Deutsche Bahn) ont été victimes de cette attaque.
5- Autres types d’attaques
• Phishing (hameçonnage)
Également connu sous le nom d’hameçonnage, le phishing utilise le principe de
l’ingénierie sociale pour fonctionner. Ce type d’attaque informatique se sert de la
crédulité de l’être humain pour porter ses fruits. Les cybercriminels rédigent des e-
mails en se faisant passer pour une administration ou une entreprise.

Leur but : soutirer des informations confidentielles comme des mots de passe. Reprise
du logo officiel de l’organisme, pression psychologique en menaçant d’une amende la
non-transmission des informations.
5- Autres types d’attaques
• Ingénierie sociale
Dans la majeure partie des cas le maillon faible est l'utilisateur lui-même ! En effet
c'est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une brêche dans le
système, en donnant des informations (mot de passe par exemple) au pirate
informatique ou en exécutant une pièce jointe. Ainsi, aucun dispositif de protection
ne peut protéger l'utilisateur contre les arnaques, seuls bon sens, raison et un peu
d'information sur les différentes pratiques peuvent lui éviter de tomber dans le piège.
Mécanisme de defense
Les mécanismes de défense
 Chiffrement : algorithme généralement basé sur des clefs et transformant les
données. Sa sécurité est dépendante du niveau de sécurité des clefs. • Signature
numérique: données ajoutées pour vérifier l'intégrité ou l'origine des données.

 Bourrage de trafic : données ajoutées pour assurer la confidentialité, notamment au


niveau du volume du trafic.

 Notarisation : utilisation d’un tiers de confiance pour assurer certains services de


sécurité.

 Contrôle d’accès : vérifie les droits d’accès d'un acteur aux données. N'empêche pas
l'exploitation d'une vulnérabilité.
Les mécanismes de défense
 Antivirus : logiciel censé protéger ordinateur contre les logiciels (ou fichiers potentiellement
exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel légitime, ou
contre un utilisateur légitime qui accède à une ressource alors qu'il n'est pas autorisé à le
faire.

 Le pare-feu : un élément (logiciel ou matériel) du réseau informatique contrôlant les


communications qui le traversent. Il a pour fonction de faire respecter la politique de
sécurité du réseau, celle-ci définissant quels sont les communications autorisés ou interdits.
N'empêche pas un attaquant d'utiliser une connexion autorisée pour attaquer le système.
Ne protège pas contre une attaque venant du réseau intérieur (qui ne le traverse pas).
Les mécanismes de défense
 Détection d'intrusion : repère les activités anormales ou suspectes sur le réseau
surveillé. Ne détecte pas les accès incorrects mais autorisés par un utilisateur
légitime. Mauvaise détection : taux de faux positifs, faux négatifs.

 Journalisation ("logs") : Enregistrement des activités de chaque acteurs. Permet de


constater que des attaques ont eu lieu, de les analyser et potentiellement de faire
en sorte qu'elles ne se reproduisent pas.

 Analyse des vulnérabilité ("securityaudit") : identification des points de


vulnérabilité du système. Ne détecte pas les attaques ayant déjà eu lieu, ou
lorsqu'elles auront lieu.
Les mécanismes de defense: quelques
techniques et outils
• VLAN : Réseau local virtuel

• VPN : Réseau virtuel privé

• IDS/IPS : Système de détection d’intrusions

• Honey-pot : « pot de miel ou leurre » est une méthode de défense active qui
consiste à attirer, sur des ressources (serveur, programme, service), des adversaires
déclarés ou potentiels afin de les identifier et éventuellement de les neutraliser.

• Proxy filtrant : une machine qui fait l’intermédiaire entre votre matériel (ordinateur,
smartphone, tablette…) et internet.
Règles d’hygiène SSI
Les règles d’hygiene SSI
 Il convient d’utiliser un compte ne possédant pas les privilèges
«administrateur »

 Éviter de se connecter à des sites suspects.

 Éviter de télécharger des logiciels dont l’innocuité n’est pas garantie

 Changer de mot de passe régulièrement


Mot de passe
• Attention à la longueur
• Bien choisir
• Pas dans le dictionnaire
• Mot de passe différent du login
• Pas de memo sur le clavier
• Utiliser des caractères spéciaux: exemple: +;()!&*@#

• Changer régulièrement de mot de passe


Intérité assurée
 Logiciel antivirus avec mise à jour automatique

 Sauvegardes régulières des données

 Clonage du système

 Utilisation de clés USB personnelles

Vous aimerez peut-être aussi