Académique Documents
Professionnel Documents
Culture Documents
sécurité
ULT 2021-2022
CHAPITRE I:
INTRODUCTION À LA SÉCURITÉ
Qu’est ce que la sécurité ?
Sécurité:
Ensemble des techniques qui assurent que les ressources
(matérielles ou logicielles) soient utilisées uniquement dans le cadre
où il est prévu qu'elles le soient.
Sécurité des systèmes d’informations
Système d’information:
Ensemble d’activités consistant à gérer les informations:
acquérir, stocker, transformer, diffuser, exploiter…
Fonctionne souvent grâce à un système informatique
Sécurité du système d’information = sécurité du système informatique
3
Qu’est ce que la sécurité ?
4
Cycle de la sécurité
Prévention:
Processus d’anticipation qui vise à créer un environnement aussi
sécurisé que possible:
Prendre des mesures afin d’empêcher les biens et les actifs d’être attaqués.
Détection:
Processus réactif par lequel on détermine les activités inappropriées
et on alerte les personnes responsables
Prendredes mesures afin de détecter quand, comment, par qui un actif ou un bien a
été endommagé.
Détecter les activités qui sont en violation avec la politique de sécurité.
Réaction:
Processus de réponse à un incident de sécurité
Prendre des mesures afin de pouvoir restaurer les biens et les actifs après un
incident de sécurité.
5
Nécessité de la sécurité
7
Aspects de la sécurité
ATTAQUES
SERVICES MÉCANISM
ES
Fonctionnalités requises pour Moyens utilisés pour assurer
assurer un environnement les services de la sécurité
sécurisé en faisant appel aux en luttant contre les
mécanismes attaques
8
Services de la sécurité
X.800
Une recommandation de l’ITU-T (Secteur de la normalisation des télécommunications de
l’Union Internationale des Télécoms)
Définit l’architecture de sécurité pour l'interconnexion en systèmes ouverts d'applications
c'est l'assurance de l'identité d'un objet de tout type qui peut être une
Authentification
●
c’est l’assurance qu’une information ne soit pas comprise par un tiers qui
Confidentialité
●
c'est l'assurance que l'émetteur d'un message ne puisse pas nier l'avoir
Non répudiation
●
indésirables
Services de la sécurité
La disponibilité :
Définie par X.800 et RFC 2828 comme étant la propriété d’un système ou d’une
ressource du système accessible et utilisable suite à la demande d’une entité
autorisée.
Considérée par X.800 comme étant une propriété associée aux services de
sécurité.
Mais, considérer la disponibilité comme un service, a un sens.
10
Services de sécurité: authentification
11
Services de sécurité: authentification
Types d'authentification
Authentification simple:
Repose sur un seul élément d'authentification
Exemple: login/password
Authentification forte:
Repose sur deux éléments ou plus
Exemple : l'utilisateur insère sa carte à puce et spécifie son code
PIN
12
Services de sécurité: intégrité
13
Services de sécurité: confidentialité
Protection des données transmises contre les attaques passives, et
protection des flux de données contre l’analyse.
Préservationdu secret des données transmises. Seules les entités
communicantes sont capables d’observer les données.
Plusieurs niveaux de confidentialité :
Protection de toutes les données échangées tout au long d’une connexion.
Protection des données contenues au niveau d’un seul bloc de donnée.
Protection de quelques champs des données échangées (pour une connexion
ou un seul bloc de donnée).
Protection de l’information (source, destination, etc.) qui peut être tirée à partir
de l’observation des flux de données échangés.
14
Services de sécurité: non répudiation
Non répudiation
Authentification
Intégrité
15
Services de sécurité: contrôle d’accès
16
Menace: définition
Une violation potentielle de la sécurité, un signe qui laisse prévoir un
danger
Pouvant être une personne, un objet, ou un événement qui peut créer un
danger pour un bien
Plusieurs types
Menace accidentelle: dommage non intentionnel envers le Système
d’Information (SI)
Exemples: catastrophe naturelle, erreur d’exploitation, pannes
17
Attaque: définition
Une attaque de sécurité est la réalisation d’une menace.
Attaques
Vulnérabilité et risque: définitions
Vulnérabilité:
Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une
ressource d’informations ou des privilèges supérieurs à ceux considérés
comme normaux pour cette ressource.
Exemples de vulnérabilités :
Utilisation des mots de passe non robustes. Vulnérabilités
Présence de comptes non protégés par mot de passe.
Une vulnérabilité est exploitée par une menace pour engendrer une attaque.
Risque:
La probabilité qu'une menace exploitera une vulnérabilité du système.
C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme
valeur une probabilité.
19
Intrus (hacker)
L’entité responsable d’une attaque de sécurité.
Exemples d’intrus:
Les white hat hackers:
Objectif: aider l'amélioration des systèmes et technologies informatiques
Les black hat hackers(pirates):
Objectif: s'introduire dans les systèmes informatiques dans un but nuisible
Les Script Kiddies (gamins du script, crashers, lamersou packet
monkeys):
Des utilisateurs du réseau utilisant des programmes trouvés sur Internet,
pour vandaliser des systèmes informatiques afin de s'amuser.
Les crackers:
Objectif: créer des outils logiciels permettant d'attaquer des systèmes
informatiques ou de casser les protections contre la copie des logiciels
payants. 20
Classification d’attaques
Attaques
Exécutées par des entités externes au
système victime
Système
Attaque
Attaque externe
interne
Attaques
Ecoute du système (réseau) pour l’analyser
Chiffr
emen
t
Signatu
re
électron
ique
Certi
ficats
Mécanismes Pare-
feu
(firewall
)
….
22
CHAPITRE II:
LES ATTAQUES DE SÉCURITÉ
Attaques
24
Attaques passives
26
Approche commune des attaques
Etape 1: Reconnaissance
Recherche d’informations sur le système cible
Etape 2: Balayage (scan)
Scan des ports, des vulnérabilités, du réseau (topologie)
Balayage de ports: possibilité d’utilisation de Nmap …
Balayage de vulnérabilités: possibilité d’utilisation Nessus, OpenVAS …
Etape 3: Exploit
Exploiter les vulnérabilités des protocoles, des applications, des systèmes
d’exploitation, du réseau …
Etape 4: Maintenir l’accès.
Porte dérobée (Backdoor) …
Etape 5: Effacer les traces d’intrusion
Effacer/modifier les logs 27
Exemples d’attaques
28
Sniffing ou reniflage
Description:
Analyser le trafic réseau
Récupérer les échanges d’information sans introduire de modifications
Simple à mettre en œuvre à condition d’avoir accès au réseau
Exemple d’outils: sniffer comme wireshark
Comment s’en protéger ?
Utiliser de préférence un switch (commutateur) plutôt qu'un hub.
Utiliser
des protocoles chiffrés pour les informations sensibles comme les mots
de passe.
Utiliser un détecteur de sniffer…
29
Attaques des mots de passe
Méthodes d’attaques :
Par dictionnaire : basée sur un dictionnaire de mots de passe
Tous les mots du dictionnaire testés séquentiellement
Brute force : test de toutes les combinaisons de caractères possibles son
testées, en augmentant progressivement la taille de la chaîne
Méthodes hybrides : exploitation des mots d'un dictionnaire de mots de
passe (bruteforce), mais en fabriquant d'autres mots, basés sur celui du
dictionnaire (suppression de caractères, ajout de caractères, substitutions de
caractères …)
Exemples d’outils: John The Ripper, Cain & Abel, Brutus …
Comment s’en protéger ?
Ne pas utiliser de mot de passes significatifs mais utiliser plutôt une
combinaison de chiffres et de lettres.
Changer les mots de passe régulièrement.
30
MAC spoofing
Vulnérabilité: lorsqu’une adresse MAC (source) apparaît sur un autre port, le
commutateur met à jour sa table.
Attaque: inonder le commutateur avec de fausses trames ayant l’adresse MAC
source ciblée
Le commutateur ajoute cette nouvelle paire (MAC, Port) dans sa table et enlève
celle qui était déjà là.
Concurrence critique avec l’ordinateur légitime.
menace: Déni de service et divulgation d’informations sensibles
31
MAC spoofing
Parades:
Assigner des adresses MAC statiques à des ports.
Ces adresses ne seront jamais enlevées.
Les adresses des serveurs ou des équipements importants sont ainsi configurées
dans le commutateur.
Authentification 802.1X
L’accès à un port n’est permis qu’après une authentification
32
MAC flooding
33
Attaque DHCP
Serveur DHCP: responsable de l’attribution des informations de configuration IP d’une
manière dynamique (adresse IP, masque, passerelle par défaut, serveurs DNS …)
1. Insuffisance DHCP
2. Usurpation DHCP
34
Attaque DHCP
Attaque par insuffisance DHCP:
Description: examiner l'intégralité des adresses IP louables et essayer de les louer toutes:
utilisation des messages de découverte DHCP avec des fausses adresses MAC.
Exemple d’outil d’attaque : Gobbler
36
Attaque DHCP
Surveillance DHCP
Permet de filtrer les messages DHCP et limite le trafic DHCP sur les ports non
approuvés.
Les périphériques sous contrôle administratif (par exemple, les commutateurs, les
routeurs et les serveurs) sont des sources fiables.
Les interfaces sécurisées (par exemple, liaisons de jonction, ports de serveur) doivent
être explicitement configurées comme sécurisées.
Les périphériques en dehors du réseau et tous les ports d'accès sont généralement
traités comme des sources non fiables.
Une table DHCP est créée qui inclut l'adresse MAC source d'un périphérique sur un
port non approuvé et l'adresse IP attribuée par le serveur DHCP à ce périphérique.
L'adresse MAC et l'adresse IP sont liées ensemble.
Par conséquent, cette table est appelée table de liaison d'espionnage DHCP.
37
ARP spoofing
ARP – Rappel
(3) Les données peuvent être transmises à l’adresse MAC maintenant connue
(bb:bb:bb:bb:bb:bb) du host ayant l’@IP 192.168.1.32 et retourner à l’hôte de MAC
aa:aa:aa:aa:aa:aa 38
ARP spoofing
Vulnérabilité : Toute personne peut prétendre être le propriétaire d’une adresse
IP donnée (Gratuitous ARP Reply).
Menace: L’attaquant s’insère entre deux intervenants IP au niveau Ethernet
(Man-in-the-middle)
Risque : Déni de service, confidentialité
Parades:
Authentification 802.1X: l’accès à un port n’est permis
qu’après une authentification
Inspection ARP dynamique.
39
ARP spoofing
Inspection ARP dynamique (DAI)
Nécessite la surveillance DHCP et aide à prévenir les attaques ARP:
Ne pas relayer les réponses ARP invalides ou gratuites vers d'autres ports du même VLAN
Interception de toutes les demandes et réponses ARP sur des ports non approuvés.
Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
Abandon et journalisation des réponses ARP provenant de non valides pour empêcher
l'empoisonnement ARP.
Erreur-désactivation de l'interface si le nombre DAI de paquets ARP configuré est dépassé.
Peut être configuré pour examiner les adresses destination/source MAC et IP :
MAC destination: vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à
l'adresse MAC cible dans le corps ARP.
Source MAC: Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l'expéditeur
Adresse MAC dans le corps ARP.
Adresse IP: Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris
l’adresses 0.0.0.0, 255.255.255.255 et tous les adresses multidiffusion IP.
40
IP spoofing
41
Ingénierie sociale
Désigne l'art de manipuler des personnes afin de contourner des
dispositifs de sécurité.
Représente une technique consistant à obtenir des informations de la
part des utilisateurs par téléphone, courrier électronique, courrier
traditionnel ou contact direct.
Basée sur l'utilisation de la force de persuasion et l'exploitation de la
naïveté des utilisateurs en se faisant passer pour une personne de la
maison, un technicien, un administrateur ...
Le facteur humain est le point central des techniques d’attaque rencontrées
en social engineering.
42
Ingénierie sociale
43
Phishing
Contraction de:
Phreaking: désignant le piratage de lignes téléphoniques
fISHING: en français pêche,
Description: Technique d'ingénierie sociale utilisée par des arnaqueurs
(scammers)
Technique ancienne mais utilisée massivement depuis 2003.
Moyens: Par le biais de courrier électronique, messages instantanés,
site webs …, l’attaquant tente de duper l'utilisateur en le faisant cliquer
sur un lien.
Menace: obtenir des adresses de cartes de crédit, des mots de passe
…
44
Phishing: exemple
www.eBay.com
§
www.attacker.lu
2) Un de ces e-mails a été reçu par Mary. L’e-mail
parle d’un problème de carte bancaire sur eBay et
lui demande de renvoyer ses données à eBay (par 1) Un spammer envoie de nombreux
la page en cliquant sur le lien) spams vers des milliers de destinataires
Spammer
3) Mary clique sur le lien affiché dans le mail. Elle
pense établir une connexion vers eBay. En fait le Internet
lien la redirige vers www.attacker.lu
Attaques DoS (Denial of Service)
46
DDoS
DDoS directe
47
DDoS
DDoS basée sur la réflexion
Utilisationdes réflecteurs: envoient des réponses à des paquets spoofés
(destination : victime)
48
Ping flooding, Smurf
Principe du Smurf
Victime 49
Ping Of Death
Principe:
Consiste à créer un datagramme IP dont la taille totale excède la
taille autorisée (65536 octets). Un tel paquet envoyé à un système
possédant une pile TCP/IP vulnérable, provoquera un plantage.
50
TCP SYN flooding
Consiste à générer une grande quantité de paquets UDP soit à destination d’une
machine soit entre deux machines
entraîne une congestion du réseau ainsi qu'une saturation des ressources des deux
hôtes victimes.
Exemple: "Chargen Denial of Service Attack”
Un seul paquet spoofé provenant du port echo, envoyé au port chargen boucle infinie
de trafic.
Port Echo: renvoie la même information qu’il a reçu à son émetteur
Port Chargen (Character generator): reprend la caractéristique du port Echo, à la
différence près qu’il va rajouter des données aléatoires
53
Chargen denial of service
Attaque utilisant les ports Chargen (19) et Echo (7)
Il suffit alors au pirate d'envoyer des paquets UDP sur le port 19 ( chargen ) à
une des victimes en spoofant l'adresse IP et le port source de l'autre. Dans ce
cas le port source est le port UDP 7 ( echo ).
54
TCP Hijacking
N° de séquence et
d’acquittement dans TCP
N° Seq:
Numéro du premier octet
dans les données du
segment.
ACKs:
Numéro de séquence du
prochain octet attendu de
l’autre coté.
ACK cumulatif
Connexion full-duplex:
Chaque extrémité de la
connexion enregistre le n°
de séquence pour chaque
direction
55
TCP Hijacking
Principe:
Intercepter une connexion TCP établie
Se faire passer pour l'une des parties (spoofing)
Injecter des données dans le flux de
communication
Le hijacking remet en cause les connexions non chiffrées, par
exemple : TELNET.
Exemple: Un pirate vole une session Telnet (connexion non chiffrée)
établie entre les machines 1 et 2 en effectuant les étapes suivantes:
Il sniffe le traffic Telnet (port TCP 23) entre 1 et 2.
Une fois qu’il estime que 1 a eu le temps de s'authentifier auprès du service
Telnet de la machine 2, il désynchronise la machine 1 par rapport à 2.
Il forge alors un paquet avec, comme adresse IP source, celle de la machine 1
57
Mail bombing, Spamming
Mail bombing
Principe: envoyer un nombre important de courrier électronique à une même
adresse jusqu’à saturation de sa boîte.
Spamming
Principe: envoyer en masse de messages électroniques non-sollicités
généralement publicitaires, mais aussi pour diffuser un logiciel malveillant,
une idée ou idéologie …
58
Vulnérabilités logicielles
Exploiter des vulnérabilités au niveau des logiciels afin
de prendre accès au système
Buffer overflow
Failles de sécurité relatives au code Java, ActiveX.
Les informations sur les failles se propagent plus
rapidement que les remèdes
Les bulletins des hackers
Des outils disponibles pour détecter les vulnérabilités (Nessus
…), mais ils sont utilisés plus par les intrus.
Des outils développés par les intrus, publiés sur Internet (ex :
rootkits, exploits).
59
Dépassement de capacité d’un buffer
(Buffer Overflow)
60
Dépassement de capacité d’un buffer
(Buffer Overflow)
Les instructions et les données d'un programme en cours d'exécution
sont provisoirement stockées en mémoire de manière contigûe dans
une zone appelée pile (en anglais stack).
La pile
Un ensemble de blocs contigus de la mémoire contenant des
données.
Un pointeur SP (Stack Pointer) pointe sur la tête de la pile.
de la fonction.
61
Dépassement de capacité d’un buffer
(Buffer Overflow)
Un exemple en C :
62
Dépassement de capacité d’un buffer
(Buffer Overflow)
La fonction strcpy, utilisée pour la copie de la chaîne ne vérifie pas la taille de la chaîne
en paramètre.
L’exemple montre qu’un dépassement de capacité peut écraser l’adresse de
retour pour une fonction (adresse de l’instruction suivante au niveau de la
mémoire) possibilité d’altération du chemin d’exécution d’un programme.
Un intrus qui tente de lancer un shell(avec les privilèges root) par la réalisation
d’un saut du chemin d’exécution pour le code adéquat (qui correspond au shell).
63
Attaque de saut de VLAN
64
Attaque de double étiquetage VLAN
65
Logiciels malveillants (malware)
66
Virus
Un programme qui en infecte un autre en se dupliquant dans ce programme.
Forme: s’attache à un autre logiciel ou document
Mode d’exécution: exécuté suite à l’exécution du code hôte.
Propagation: transfert du programme/document hôte d’un système à un autre
Reproduction: se reproduit au sein du nœud infecté
Quelques types de virus:
Virus parasite: Le virus s’attaque aux fichiers exécutables comme partie de leurs
code. Il se réplique lorsque le fichier infecté est exécuté, et cherche s’il y a d’autres
fichiers à infecter.
Virus résident en mémoire: hébergé en mémoire comme partie des programmes
principaux du système. Il infecte tout programme qui s’exécute.
Virus sur secteur de Boot (Boot Sector Virus): Infecte le secteur de boot du
disque, et se propage lorsque le système d’exploitation démarre
67
Vers
68
Ransomware
69
Cheval de Troie (Trojan Horse)
Forme:
Programme à apparence légitime exécutant une ou plusieurs
fonctions sans l'autorisation de l'utilisateur:
Fonctionnement normal/attendu
Les actions cachées violent la politique de sécurité.
Destruction de fichiers, plantage du système, envoi de certaines
informations du disque, installation de virus, de vers, de spyware
Souvent attaché manuellement au logiciel hôte
Mode d’exécution: exécuté en faisant partie d'un autre
programme
Propagation: téléchargement de logiciels hôtes
Reproduction: ne peut ni se reproduire ni infecter d'autres
logiciels
70
Cheval de Troie
71
Bombe logique
Un programme qui reste à l’état inactif tant qu’il n’est pas réveillé.
Ce réveil peut être provoqué par un événement que le système
d’exploitation peut détecter.
Souvent, une date ou l’absence de certaines données (ex. le nom du
programmeur ne figurant plus dans le fichier de la paie)
Une fois activée, l’exécution d’un programme destructif qui pourrait être
l’effacement de tous les fichiers du système.
Les bombes logiques sont généralement utilisées avec des virus (porteur
de la bombe logique).
Le virus porte le nom de la date à laquelle la bombe logique est activée.
72
Logiciel espion (Spyware)
73
Les Keyloggers
Un keylogger (littéralement enregistreur de touches) est un dispositif chargé
d'enregistrer les frappes de touches du clavier, à l'insu de l'utilisateur. Il s'agit
donc d'un dispositif d'espionnage.
Certains keyloggers sont capables d'enregistrer les URL visitées, les
courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de
créer une vidéo retraçant toute l'activité de l'ordinateur
Ils peuvent servir à des personnes malintentionnées pour récupérer les mots
de passe des utilisateurs du poste de travail
Les keyloggers peuvent être soit logiciels soient matériels
un processus écrivant les informations captées dans un fichier caché
un dispositif (câble) intercalé entre la prise clavier de l'ordinateur et le clavier.
74
Signes d’attaques
Fichiers inhabituels
La présence de fichiers inhabituels, tout spécialement dans les répertoires où
ne se trouvent que des programmes ou des fichiers de configuration.
Possibilité de création des procédures pour comparer la liste courante des
fichiers d’un répertoire avec une liste précédente réputée saine.
Consommation anormale des ressources
Une consommation anormale des ressources d’un système (temps de calcul,
mémoire vive, espace disponible sur le disque...)
Crashes du système
Des crashes du système inexpliqués peuvent être l’indice d’une attaque de
sécurité.
Si le système présente des vulnérabilités, un intrus va essayer différentes
façons de l’exploiter, et ces tâtonnements risquent de provoquer des défauts
de comportement du système d’exploitation résultant très souvent en crashes.
75
Signes d’attaques
Présence de nouveaux comptes utilisateur
Pour accéder aux ressources d’un système, le plus simple pour un intrus est
d’avoir un compte ouvert sur ce système.
Il crée un compte à son usage exclusif afin que ses activités ne semblent pas
suspectes.
Existence de connexions réseaux à des ports inconnus
Des connexions établies utilisant des ports inconnus au niveau de la machine
peuvent être relatives à des backdoors.
Un administrateur doit vérifier les connexions établies au niveau d’une
machine ou un serveur ainsi que les services en exécution sur ces derniers.
Désactivation du service d’enregistrement des événements (log)
Généralement, un intrus cherche à cacher ses actions avant de mener des
actions malveillantes.
Le moyen : désactivation du service d’enregistrement des événements. 76
Les pots de miels / Honeypot
Une machine qui simule des failles de sécurité.
Elle dispose des moyens renforcés de surveillance, la machine peut
servir d'appât afin d’apprendre la stratégie des attaquants et construire
des signatures exactes d'attaques.
Dispose de plusieurs outils de surveillance et d'archivage pour collecter
les informations des activités suspectes.
77
Exercice 1
78
Exercice 2
Soit le réseau câblé suivant où les cercles sont des stations de travail et
les « SW » sont des commutateurs:
1. Quelles sont les trames que la station S2 peut sniffer (écouter) ? Expliquer ?
2. Quelles sont les stations qui peuvent lancer une attaque ARP spoofing sur le
réseau relié à l’interface 1 du routeur1? Expliquer ?
3. S4 peut-il exécuter une attaque TCP syn flooding sur S1?
79