Chap III: Les Menaces

Mr Tolno
 Plan
1 - Définitions
2 - Cookies : drôles de gâteaux
3 - Le spamming
4 - Aperçu des failles de sécurité des protocoles
Internet
5 - Aperçu des principales méthodes d’attaque
6 - Firewalls individuels pour poste de travail

Mr TOLNO 2
 Définitions
• Une menace est une cause potentielle
d'incident, qui peut résulter en un dommage
au système ou à l'organisation.
• Ce sont des adversaires déterminés capables
de monter une attaque exploitant une
vulnérabilité.

Mr TOLNO 3
 Sécurité Internet
Cookies : drôles de gâteaux
• La plupart du temps un serveur vous propose de
placer un cookie, vous ignorez ce terme et cliquez
sur OK sans vous préoccuper de son devenir.
• Ce cookie est en fait un fichier qui est stocké sur
votre disque et qui permettra que le serveur
vous reconnaisse la prochaine fois que vous
revenez sur le site de telle façon à connaître vos
préférence (par exemple les options que vous
aurez coché) pour vous éviter de les ressaisir.

Mr TOLNO 4
 Cookies et sécurité
• Le problème : les cookies contiennent des informations
sur vous.
• En réalité un cookie n'a rien de dangereux en soit car
c'est le navigateur qui les gère en écrivant dans un fichier
des paires clés valeurs.
• Les données stockées dans un cookie sont envoyées par
le serveur, ce qui signifie qu'il ne peut en aucun cas
contenir des informations sur l'utilisateur que celui-ci n'a
pas donné, ou en d'autres termes: le cookie ne peut pas
collecter des informations sur le système de l'utilisateur.

Mr TOLNO 5
 Qu’est ce que le spamming ?
• Bien que le contenu de l'information soit parfois
irréprochable légalement, c'est son utilisation qui peut
parfois être critiquée...
• Le spamming consiste en ce sens à envoyer plusieurs e-
mails identiques (souvent de type publicitaires) à un
grand nombre de personnes sur le réseau. Le mot «
spamming » provient du mot « spam » qui est une
marque de jambonneau fabriquée par la compagnie
Hormel.
• Les personnes pratiquant l'envoi massif de courrier
publicitaire sont appelées « spammers », un mot qui a
désormais une connotation péjorative...
Mr TOLNO 6
 Effets du spamming
• Le principal inconvénient du spamming est l'espace qu'il
occupe sur le réseau, utilisant inutilement une bonne
partie de la bande-passante, rendant Internet moins
rapide.
• Cela induit des coûts supplémentaires pour les
Fournisseurs d'Accès à Internet (FAI) car ils doivent :
– mettre en place une plus grande largeur de bande
– acheter des ordinateurs supplémentaires
– disposer d'un plus grand espace disque
– engager du personnel supplémentaire
Mr TOLNO 7
 Combattre le spamming

La chose la plus importante est de ne pas répondre à ces abus,

cela ne ferait qu'empirer les choses, et rentrer dans le même
jeu que les spammers.
Il ne faut donc pas
– Menacer les spammers (cela ne ferait que les énerver)
– Bombarder les spammers de courrier électronique
– Pirater le site des spammers
– Utiliser le spamming contre les spammers (dépourvu de bon
sens...)
– Utiliser toute attaque.
- mais les supprimer souvent

Mr TOLNO 8
 Aperçu des failles de sécurité
des protocoles Internet

Nous allons présenter un aperçu des points

d’attaque présentés par le protocole TCP/IP
ainsi que leur conséquences sur la sécurité de
votre ordinateur.
Nous allons naturellement nous restreindre aux
attaques les plus courantes.
Mr TOLNO 9
 Failles de sécurité des protocoles Internet
Les chevaux de Troie : la menace cachée 1/2

• Les chevaux de Troie constituent une menace

sérieuse pour les ordinateurs.
• Un parallèle est souvent établi entre les chevaux de
Troie et les virus, car ils sont également transmis lors
d’un téléchargement ou au moment de l’ouverture
d’un fichier joint à un courrier électronique.

Mr TOLNO 10
 Les chevaux de Troie : la menace cachée 1/2

• En réalité, les chevaux de Troie ne sont pas des virus qui

se diffusent de manière non ciblée, mais des programmes
cachés permettant d’assurer la transmission de données
ou, pire encore, de réaliser une prise de contrôle à
distance d’un ordinateur particulier.
• Les chevaux de Troie sont mis en place à dessein par un
agresseur, pour provoquer des dégâts ou espionner des
données.
• Le programme est parfois transmis de manière ciblée en
étant caché dans un téléchargement, ou mis en place à
travers un port déterminé lors d’une connexion à Internet.
Mr TOLNO 11
 Failles de sécurité des protocoles Internet
Blocage d’un ordinateur à l’aide de paquets défectueux

Établissement d’une connexion TCP

• Elle ouvre la porte à quelques attaques dirigées vers
l’ordinateur et vers la pile IP.
• Elle consomme de la mémoire et du temps CPU et
mobilise ainsi des ressources qui devraient être à la
disposition des autres utilisateurs.
• Dans les cas les plus graves ces attaques peuvent
même provoquer un blocage (plantage) de
l’ordinateur. Il s’agit alors d’une attaque de type
Denial-of-Service.
Mr TOLNO 12
Une protection totale est-elle possible ?1/3

• La diversité des types d’attaque rend difficile la

mise en place d’une protection complète par
des modifications manuelles de votre
ordinateur et l’installation de mises à jour sur
votre ordinateur personnel. ? La plupart des
firewalls individuels (desktop firewall) offrent
une protection de base de bon niveau capable
d’identifier et de contrer la plupart des
attaques connues.
Mr TOLNO 13
Une protection totale est-elle possible ?2/3

• Dans le cas d’un réseau, la protection de plusieurs

ordinateurs est totalement impossible sans la mise
en place d’un firewall, car il faut ici protéger
plusieurs ordinateurs. Il est impératif que le routeur
ou le firewall exécutent les fonctions de protection.
• Cependant, même si vous possédez un firewall
parfaitement configuré, il est vraisemblable que les
failles de sécurité soient identifiées tôt ou tard, ce
qui cantonne une protection totale dans le domaine
de l’utopie.
Mr TOLNO 14
Une protection totale est-elle possible ?3/3

Il est évident que vous serez dans de meilleures

conditions avec une protection à 98% qu’avec
une protection à 50%, ce qui doit vous amener
à combattre les problèmes connus par des
mesures appropriées, à l’aide d’un routeur,
d’un firewall et d’un proxy.

Mr TOLNO 15
 Failles de sécurité des protocoles Internet
Attaques SYN
Qu’est ce qu’un SYN
• Pour pouvoir établir une connexion TCP/IP,
l’ordinateur demandeur transmet un signal SYN
(synchronisation) à son interlocuteur.
• Ce dernier répond par un message d’acquittement
ACK (acknowledge), auquel l’émetteur répond à son
tour par un message SYNACK.
• En l’absence de cette confirmation, le système cible
attend très longtemps, théoriquement pendant une
durée de deux minutes.
Mr TOLNO 16
 Principe
• Si le nombre de requêtes SYN transmises
simultanément est trop important, l’ordinateur
cible utilise trop de ressources pour assurer la
surveillance des connexions en cours
d’établissement et ne réagit plus à des
demandes de connexion « normales ».
• Le comportement de nombreux systèmes
d’exploitation présente ainsi une lacune dans
la gestion des temps d’attente (timeout).
Mr TOLNO 17
 Solution

• Une bonne solution pour éviter ce problème

consiste à mettre en place un firewall ou un routeur
qui ne transmet les demandes de connexion TCP à
un ordinateur cible que lorsqu’une connexion a été
établie correctement avec le routeur utilisé comme
proxy pour cet ordinateur cible.

Mr TOLNO 18
 Failles de sécurité des protocoles Internet
Attaques par fragmentation
• Le protocole IP prévoit que l’expéditeur ou le
routeur découpe les paquets de trop grande
longueur en fragments qui sont alors
rassemblés par les signataires. Ce processus
est appelé « fragmentation ». Cependant, de
nombreux ordinateurs présentent des
problèmes lorsqu’ils doivent rassembler des
paquets de plus de 64 kilo-octets et réagissent
par un débordement de la mémoire.
Mr TOLNO 19
 Principe
• Les attaques de type Ping-of-death ou
Teardrop en sont des exemples très connus.
• D’autres attaques par fragmentation
s’appuient sur des numéros de fragments
erronés ou manquants, qui peuvent
également être dangereux pour certains
ordinateurs.

Mr TOLNO 20
 Solution

• Un firewall ou un routeur qui identifie ce type

d’attaque et qui interrompt la connexion avant
que le paquet de données ne soit transmis à
l’ordinateur cible constitue une bonne
protection.

Mr TOLNO 21
 Failles de sécurité des protocoles Internet
IP-Spoofing
Lors des attaques de type IP-Spoofing, l’adresse
de l’expéditeur du paquet de données IP est
falsifié. L’agresseur peut ainsi tromper certains
filtres de firewall, dès lors que les accès sont
possibles de l’extérieur à partir de certaines
adresses IP.
• Ces adresses sont faciles à identifier si
l’agresseur surveille le flux de données
transitant à travers un firewall.
Mr TOLNO 22
 Protection
• La protection contre ce type de connexion illicite n’est
possible qu’à l’aide de mécanismes d’authentification
demandant à chaque accès un nom d’utilisateur et un
mot de passe, qui ne doivent naturellement pas être
transmis en clair. Une autre solution consiste à
convertir la connexion en VPN (Virtual Private
Network).
Mr TOLNO 23
 Failles de sécurité des protocoles Internet
Autres attaques
• DoS
• Ddos
• Smurf…

Mr TOLNO 24
 Failles de Sécurité Internet
Dangers présentés par les ports en écoute
• D’une part, les attaques de type IP-Spoofing ou
Denial-of-Service ne peuvent être dirigées que
vers les ports ouverts.
• Par ailleurs, les attaques ne peuvent être
dirigées que vers des programmes installés sur
un port et qui sont en attente de connexion.
L’utilisation des failles de sécurité de ces
programmes est désignée par le terme exploit,
dérivé du terme exploitation.
Mr TOLNO 25
 Quand un port est-il ouvert ?
• Un port est ouvert lorsqu’un programme ou un
service qui attend une connexion sur ce port a
été démarré.
• Dans le cas contraire, le port est considéré
comme fermé.
• Certains firewalls n’autorisent pas le scanning
de l’état des ports interdits, qui sont alors
désignés comme étant cachés ou stealth, c’est à
dire invisibles.
Mr TOLNO 26
 Protection contre les dangers liés
aux ports en écoute
• Si vous avez besoin d’un serveur Web, il faut
naturellement laisser les ports concernés ouverts, comme
pour les serveurs de messagerie ou les serveurs FTP.
• Il est cependant recommandé de désactiver tous les
services superflus sur les serveurs exposés aux attaques
provenant d’Internet.
• Par ailleurs, il faut n’utiliser que des logiciels à jour et
mettre en œuvre tous les patchs de sécurité. Vérifiez
régulièrement s’il existe de nouveaux patchs ou abonnez-
vous à la lettre de nouvelles (newsletter) correspondante.

Mr TOLNO 27
Sécurité Internet Port Scanner
• Commande « netstat –a »
Vous pouvez utiliser la commande « netstat –a » sur un PC sous Windows
pour obtenir des informations concernant les ports ouverts et les
connexions établies avec votre ordinateur.
• SuperScan, dans sa version 3.0 actuellement 4.0, est un freeware sorti
en novembre 2000 et fonctionnant sous Windows 95/98/NT/2000/XP…
• SuperScan est un puissant scanner de port TCP, un pinger ainsi qu’un
séparateur de noms d’hôte. Cet outil est destiné aux administrateurs de
réseau.
• Où trouver SuperScan :
– http://www.calogiciel.com rubrique
• Téléchargement > Windows > Utilitaires > Réseau

Mr TOLNO 28
Mr TOLNO 29
Mr TOLNO 30
Mr TOLNO 31
Mr TOLNO 32
Mr TOLNO 33
End

Mr TOLNO 34