Vous êtes sur la page 1sur 79

Fondements de la

sécurité

Marouen BEN CHAABANE marouen.benchaabane@gmail.com

ULT 2021-2022
CHAPITRE I:
INTRODUCTION À LA SÉCURITÉ
Qu’est ce que la sécurité ?

Sécurité:
Ensemble des techniques qui assurent que les ressources
(matérielles ou logicielles) soient utilisées uniquement dans le cadre
où il est prévu qu'elles le soient.
Sécurité des systèmes d’informations
Système d’information:
Ensemble d’activités consistant à gérer les informations:
acquérir, stocker, transformer, diffuser, exploiter…
Fonctionne souvent grâce à un système informatique
 Sécurité du système d’information = sécurité du système informatique

3
Qu’est ce que la sécurité ?

 Le terme sécurité recouvre 3 domaines:


1. La Disponibilité
2. La Confidentialité
3. L’Intégrité

4
Cycle de la sécurité
 Prévention:
 Processus d’anticipation qui vise à créer un environnement aussi
sécurisé que possible:
 Prendre des mesures afin d’empêcher les biens et les actifs d’être attaqués.
 Détection:
 Processus réactif par lequel on détermine les activités inappropriées
et on alerte les personnes responsables
 Prendredes mesures afin de détecter quand, comment, par qui un actif ou un bien a
été endommagé.
 Détecter les activités qui sont en violation avec la politique de sécurité.
 Réaction:
 Processus de réponse à un incident de sécurité
 Prendre des mesures afin de pouvoir restaurer les biens et les actifs après un
incident de sécurité.

5
Nécessité de la sécurité

Besoin d'une stratégie de sécurité


6
Nécessité de la sécurité

 Les conséquence à retenir:


 Vol d’informations et du savoir faire
 Dans un contexte de haute technologie notamment
 Atteinte à l’image de marque
 e-bay…
 Indisponibilité du service
 e-business, …
 Perte de temps et de moyen humains
 Remise en service, recherche des dégradations
 Pertes financières
 Modification des montants de facture, erreurs de traitement

7
Aspects de la sécurité

Méthodes employées pour casser


les services de la sécurité en
détournant les mécanismes

ATTAQUES

SERVICES MÉCANISM
ES
Fonctionnalités requises pour Moyens utilisés pour assurer
assurer un environnement les services de la sécurité
sécurisé en faisant appel aux en luttant contre les
mécanismes attaques
8
Services de la sécurité
 X.800
 Une recommandation de l’ITU-T (Secteur de la normalisation des télécommunications de
l’Union Internationale des Télécoms)
 Définit l’architecture de sécurité pour l'interconnexion en systèmes ouverts d'applications

 Regroupe les services de sécurité en cinq catégories

c'est l'assurance de l'identité d'un objet de tout type qui peut être une
Authentification

personne, un serveur ou une application.

c'est la garantie qu'un objet (document, fichier, message...) ne soit pas


Intégrité

modifié par un autre tiers que son auteur.

c’est l’assurance qu’une information ne soit pas comprise par un tiers qui
Confidentialité

n’en a pas le droit

c'est l'assurance que l'émetteur d'un message ne puisse pas nier l'avoir
Non répudiation

envoyé et que son récepteur ne puisse pas nier l'avoir reçu.

c’est la protection des ressources contre les accès inappropriés9 ou


Contrôle d’accès

indésirables
Services de la sécurité

 La disponibilité :
 Définie par X.800 et RFC 2828 comme étant la propriété d’un système ou d’une
ressource du système accessible et utilisable suite à la demande d’une entité
autorisée.
 Considérée par X.800 comme étant une propriété associée aux services de
sécurité.
 Mais, considérer la disponibilité comme un service, a un sens.

 Un service de disponibilité protège un système pour assurer sa disponibilité.

Service de disponibilité : assurance que les services ou l'information soient utilisables


et accessibles par les entités autorisées et selon des performances prédéfinies

10
Services de sécurité: authentification

 Identification : Permet de connaître l’identité d’une entité.


  Permet répondre à la question : « Qui êtes vous? »

 Authentification: Permet de vérifier l’identité d’une entité.


 Permet de répondre à la question : «Êtes-vous réellement cette personne ? »

 Éléments ou facteurs d'authentification


 Ce que l'entité connaît :Mot de passe, code PIN, phrase secrète...
 Ce que l'entité détient: Carte magnétique, Carte à puce, Token (physique)...
 Ce que l'entité est: éléments biométrique: Empreinte digitale, empreinte rétinienne...
 Ce que l'entité sait faire ou fait: signature manuscrite, un type de calcul connu de lui
seul, un comportement...

peuvent être combinés

11
Services de sécurité: authentification

 Types d'authentification
 Authentification simple:
Repose sur un seul élément d'authentification
Exemple: login/password
 Authentification forte:
Repose sur deux éléments ou plus
Exemple : l'utilisateur insère sa carte à puce et spécifie son code
PIN

12
Services de sécurité: intégrité

 Le service d’intégrité permet de détecter si les données ont été


modifiées depuis la source vers la destination
 Service orienté connexion: traite un flot de messages, assure que
les messages sont reçus aussitôt qu’envoyés, sans duplication,
insertion, modification, réorganisation ou rejeu...
 Service non orienté connexion: assure la protection contre la
modification uniquement pour un seul message.

13
Services de sécurité: confidentialité
 Protection des données transmises contre les attaques passives, et
protection des flux de données contre l’analyse.
 Préservationdu secret des données transmises. Seules les entités
communicantes sont capables d’observer les données.
 Plusieurs niveaux de confidentialité :
 Protection de toutes les données échangées tout au long d’une connexion.
 Protection des données contenues au niveau d’un seul bloc de donnée.
 Protection de quelques champs des données échangées (pour une connexion
ou un seul bloc de donnée).
 Protection de l’information (source, destination, etc.) qui peut être tirée à partir
de l’observation des flux de données échangés.

14
Services de sécurité: non répudiation

 Empêche l’émetteur ou le receveur de nier avoir transmis ou reçu


un message.
 Lorsqu’un message est envoyé, la destination peut prouver que le
message est envoyé effectivement par la source prétendue.
 Lorsqu’un message est reçu, l’émetteur peut prouver que le message
est reçu effectivement par la destination prétendue.

Non répudiation
Authentification
Intégrité

15
Services de sécurité: contrôle d’accès

 Le contrôle d’accès aux systèmes d’information et aux réseaux


associés:
 Indispensable pour maintenir la confidentialité, l’intégrité et la disponibilité.
 Empêche l’utilisation non autorisée d’une ressource (serveur, application ...)
 Permet de :
 Définir qui a le droit d’accéder aux ressources
 Déterminer sous qu’elles conditions ceci peut avoir lieu
 Définir ce qu’une entité est autorisée de faire lors de l’accès à une ressource

16
Menace: définition
 Une violation potentielle de la sécurité, un signe qui laisse prévoir un
danger
 Pouvant être une personne, un objet, ou un événement qui peut créer un
danger pour un bien
 Plusieurs types
 Menace accidentelle: dommage non intentionnel envers le Système
d’Information (SI)
 Exemples: catastrophe naturelle, erreur d’exploitation, pannes

 Menace intentionnelle ou délibérée


 Menace active: dommage ou altération du SI
 Menace Passive: écoutes, lecture de fichiers, …
 Menace Physique: sabotage, incendie volontaire, vol, …

17
Attaque: définition
 Une attaque de sécurité est la réalisation d’une menace.

Attaques
Vulnérabilité et risque: définitions
 Vulnérabilité:
 Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une
ressource d’informations ou des privilèges supérieurs à ceux considérés
comme normaux pour cette ressource.
 Exemples de vulnérabilités :
 Utilisation des mots de passe non robustes. Vulnérabilités
 Présence de comptes non protégés par mot de passe.

 Une vulnérabilité est exploitée par une menace pour engendrer une attaque.
 Risque:
 La probabilité qu'une menace exploitera une vulnérabilité du système.
 C'est une fonction de deux arguments : menace et vulnérabilité, et donne comme
valeur une probabilité.

19
Intrus (hacker)
 L’entité responsable d’une attaque de sécurité.
 Exemples d’intrus:
 Les white hat hackers:
 Objectif: aider l'amélioration des systèmes et technologies informatiques
 Les black hat hackers(pirates):
 Objectif: s'introduire dans les systèmes informatiques dans un but nuisible
 Les Script Kiddies (gamins du script, crashers, lamersou packet
monkeys):
Des utilisateurs du réseau utilisant des programmes trouvés sur Internet,
pour vandaliser des systèmes informatiques afin de s'amuser.
 Les crackers:
Objectif: créer des outils logiciels permettant d'attaquer des systèmes
informatiques ou de casser les protections contre la copie des logiciels
payants. 20
Classification d’attaques
Attaques
Exécutées par des entités externes au
système victime

Exécutées par des entités internes au


Externes Internes système victime parce qu’ils sont
malveillants ou détenus par des attaquants

Système
Attaque
Attaque externe
interne

Attaques
Ecoute du système (réseau) pour l’analyser

Injection, suppression ou modification de


Passives Actives données
21
Mécanismes

Chiffr
emen
t
Signatu
re
électron
ique

Certi
ficats

Mécanismes Pare-
feu
(firewall
)

….

22
CHAPITRE II:
LES ATTAQUES DE SÉCURITÉ
Attaques

 X.800 et RFC 2828 classifient les attaques selon deux classes:


 Attaques passives: tentent de collecter ou utiliser des informations
relatives au système, mais elles n’affectent pas les ressources du
système.
 Attaques actives: tentent d’introduire des modifications sur les
ressources du système ou affecter leur fonctionnement normal.

24
Attaques passives

 Interception (écoute) et analyse du trafic réseau


 Interception: l’intrus est capable d’interpréter les données et d’extraire
l’information à partir du trafic échangé
 Exemple: email contenant des informations confidentielles
 Analyse de trafic: même en présence de mécanismes de cryptage des
données transmises, l’intrus peut extraire des informations utiles sur la
communication en observant l’identité des utilisateurs, la fréquence et la
longueur des messages échangés …
 Objectif: trouver des informations susceptibles d'intéresser un attaquant
 Adresses IP importantes, architecture du réseau, emplacement des nœuds,
informations d’authentification, information secrète (en cas de guerre par exemple)

 Attaques difficiles à détecter puisqu’elles n’entraînent aucune altération de


données
 Prévention plutôt que détection
25
Attaques actives

 Les attaques actives sont groupées en quatre catégories :


1. Mascarade (Masquerade): Une entité prétend être une entité différente afin
d’obtenir des privilèges supplémentaires. Généralement ceci fait appel à
d’autres techniques d’attaques actives.
2. Rejeu (Replay): capture passive des données et leurs transmission ultérieure
en vue de réaliser des actions non autorisées.
3. Modification: Altération, destruction, ou reclassement d’une partie des
messages échangés en vue de produire un effet non autorisé.
4. Déni de service: Empêcher ou inhiber l’utilisation normale des moyens de
communication:
 Interruption et suppression des messages en direction d’une destination particulière.
 Perturbationde l’utilisation normale des ressources (réseau ou système) en les
surchargeant de trafic inutile pour dégrader leurs performances.

26
Approche commune des attaques

 Etape 1: Reconnaissance
 Recherche d’informations sur le système cible
 Etape 2: Balayage (scan)
 Scan des ports, des vulnérabilités, du réseau (topologie)
 Balayage de ports: possibilité d’utilisation de Nmap …
 Balayage de vulnérabilités: possibilité d’utilisation Nessus, OpenVAS …
 Etape 3: Exploit
 Exploiter les vulnérabilités des protocoles, des applications, des systèmes
d’exploitation, du réseau …
 Etape 4: Maintenir l’accès.
 Porte dérobée (Backdoor) …
 Etape 5: Effacer les traces d’intrusion
 Effacer/modifier les logs 27
Exemples d’attaques

28
Sniffing ou reniflage

 Description:
 Analyser le trafic réseau
 Récupérer les échanges d’information sans introduire de modifications
 Simple à mettre en œuvre à condition d’avoir accès au réseau
 Exemple d’outils: sniffer comme wireshark
 Comment s’en protéger ?
 Utiliser de préférence un switch (commutateur) plutôt qu'un hub.
 Utiliser
des protocoles chiffrés pour les informations sensibles comme les mots
de passe.
 Utiliser un détecteur de sniffer…

29
Attaques des mots de passe

 Méthodes d’attaques :
 Par dictionnaire : basée sur un dictionnaire de mots de passe
 Tous les mots du dictionnaire testés séquentiellement
 Brute force : test de toutes les combinaisons de caractères possibles son
testées, en augmentant progressivement la taille de la chaîne
 Méthodes hybrides : exploitation des mots d'un dictionnaire de mots de
passe (bruteforce), mais en fabriquant d'autres mots, basés sur celui du
dictionnaire (suppression de caractères, ajout de caractères, substitutions de
caractères …)
 Exemples d’outils: John The Ripper, Cain & Abel, Brutus …
 Comment s’en protéger ?
 Ne pas utiliser de mot de passes significatifs mais utiliser plutôt une
combinaison de chiffres et de lettres.
 Changer les mots de passe régulièrement.
30
MAC spoofing
 Vulnérabilité: lorsqu’une adresse MAC (source) apparaît sur un autre port, le
commutateur met à jour sa table.
 Attaque: inonder le commutateur avec de fausses trames ayant l’adresse MAC
source ciblée
 Le commutateur ajoute cette nouvelle paire (MAC, Port) dans sa table et enlève
celle qui était déjà là.
 Concurrence critique avec l’ordinateur légitime.
 menace: Déni de service et divulgation d’informations sensibles

31
MAC spoofing

 Parades:
 Assigner des adresses MAC statiques à des ports.
 Ces adresses ne seront jamais enlevées.
 Les adresses des serveurs ou des équipements importants sont ainsi configurées
dans le commutateur.

 Authentification 802.1X
 L’accès à un port n’est permis qu’après une authentification

32
MAC flooding

Attaque par inondation d'adresses MAC


 Vulnérabilité: limitation de la taille des tables MAC
 Attaque:
 Bombardement du commutateur avec de fausses adresses sources MAC
 Le commutateur traite la trame comme une monodiffusion inconnue et commence à
inonder tout le trafic entrant sur les ports du même VLAN sans référencer la table MAC.
 Menace: l’attaquant peut capturer toutes les trames envoyées d'un hôte à un
autre sur le LAN local ou le VLAN local.
 Remarque: Le trafic n'est inondé que dans le LAN local ou le VLAN.
 Parade: implémentation de la sécurité des ports.
 La sécurité des ports ne permettra d'apprendre qu'un nombre spécifié d'adresses MAC
sources sur le port.

33
Attaque DHCP
 Serveur DHCP: responsable de l’attribution des informations de configuration IP d’une
manière dynamique (adresse IP, masque, passerelle par défaut, serveurs DNS …)

 Deux types d'attaques:

1. Insuffisance DHCP
2. Usurpation DHCP

34
Attaque DHCP
Attaque par insuffisance DHCP:
 Description: examiner l'intégralité des adresses IP louables et essayer de les louer toutes:
utilisation des messages de découverte DHCP avec des fausses adresses MAC.
 Exemple d’outil d’attaque : Gobbler

 Menace: . un déni de service (DoS) pour connecter les clients.

 Parade: sécurité des ports

Attaque d'usurpation DHCP


 Un serveur DHCP non autorisé (rogue) se connecte au réseau et fournit des paramètres de
configuration IP incorrects aux clients légitimes:
 Passerelle par défaut incorrecte   une attaque d'homme au milieu: l'intrus intercepte le flux de
données via le réseau.
 Serveur DNS incorrect  Le serveur non autorisé fournit une adresse de serveur DNS
incorrecte pointant l'utilisateur vers un site Web néfaste.
 Adresse IP incorrecte: Le serveur non autorisé fournit une adresse IP invalide créant
efficacement une attaque DoS sur le client DHCP.
 Parade: la surveillance DHCP
35
Attaque DHCP

36
Attaque DHCP
Surveillance DHCP
 Permet de filtrer les messages DHCP et limite le trafic DHCP sur les ports non
approuvés.
 Les périphériques sous contrôle administratif (par exemple, les commutateurs, les
routeurs et les serveurs) sont des sources fiables.
 Les interfaces sécurisées (par exemple, liaisons de jonction, ports de serveur) doivent
être explicitement configurées comme sécurisées.
 Les périphériques en dehors du réseau et tous les ports d'accès sont généralement
traités comme des sources non fiables.

 Une table DHCP est créée qui inclut l'adresse MAC source d'un périphérique sur un
port non approuvé et l'adresse IP attribuée par le serveur DHCP à ce périphérique.
 L'adresse MAC et l'adresse IP sont liées ensemble.
 Par conséquent, cette table est appelée table de liaison d'espionnage DHCP.

37
ARP spoofing

 ARP – Rappel

(3) Les données peuvent être transmises à l’adresse MAC maintenant connue
(bb:bb:bb:bb:bb:bb) du host ayant l’@IP 192.168.1.32 et retourner à l’hôte de MAC
aa:aa:aa:aa:aa:aa 38
ARP spoofing
 Vulnérabilité : Toute personne peut prétendre être le propriétaire d’une adresse
IP donnée (Gratuitous ARP Reply).
 Menace: L’attaquant s’insère entre deux intervenants IP au niveau Ethernet
(Man-in-the-middle)
 Risque : Déni de service, confidentialité
 Parades:
 Authentification 802.1X: l’accès à un port n’est permis
qu’après une authentification
 Inspection ARP dynamique.

39
ARP spoofing
Inspection ARP dynamique (DAI)
 Nécessite la surveillance DHCP et aide à prévenir les attaques ARP:
 Ne pas relayer les réponses ARP invalides ou gratuites vers d'autres ports du même VLAN
 Interception de toutes les demandes et réponses ARP sur des ports non approuvés.
 Vérification de chaque paquet intercepté pour une liaison IP-MAC valide.
 Abandon et journalisation des réponses ARP provenant de non valides pour empêcher
l'empoisonnement ARP.
 Erreur-désactivation de l'interface si le nombre DAI de paquets ARP configuré est dépassé.
 Peut être configuré pour examiner les adresses destination/source MAC et IP :
 MAC destination: vérifie l'adresse MAC de destination dans l'en-tête Ethernet par rapport à
l'adresse MAC cible dans le corps ARP.
 Source MAC: Vérifie la source Adresse MAC dans l’en-tête Ethernet contre l'expéditeur
Adresse MAC dans le corps ARP.
 Adresse IP: Vérifie le corps ARP pour incorrecte et inattendues adresse IP y compris
l’adresses 0.0.0.0, 255.255.255.255 et tous les adresses multidiffusion IP.

40
IP spoofing

 Vulnérabilité: L’adresse IP source est contrôlé par la source

 Attaque: Un attaquant peut envoyer des attaques tout en personnifiant


n’importe quelle source pour ne pas être retracé.
 Risque: Utiliser les privilèges de l’adresse usurpée.

 Contre mesure: Authentification (Ipsec, SSL…)

41
Ingénierie sociale
 Désigne l'art de manipuler des personnes afin de contourner des
dispositifs de sécurité.
 Représente une technique consistant à obtenir des informations de la
part des utilisateurs par téléphone, courrier électronique, courrier
traditionnel ou contact direct.
 Basée sur l'utilisation de la force de persuasion et l'exploitation de la
naïveté des utilisateurs en se faisant passer pour une personne de la
maison, un technicien, un administrateur ...
 Le facteur humain est le point central des techniques d’attaque rencontrées
en social engineering.

42
Ingénierie sociale

 Se déroule selon le schéma suivant :


 Une phase d'approche permettant de mettre l'utilisateur en confiance, en
se faisant passer pour une personne de sa hiérarchie, de l'entreprise, de
son entourage ou pour un client, un fournisseur …
 Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité de
sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou d'une
situation d'urgence 
 Une diversion, c'est-à-dire une phrase ou une situation permettant de
rassurer l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par
exemple d'un remerciement annonçant que tout est rentré dans l'ordre,
d'une phrase anodine ou dans le cas d'un courrier électronique ou d'un
site web, d'une redirection vers le site web de l'entreprise.

43
Phishing

 Contraction de:
 Phreaking: désignant le piratage de lignes téléphoniques
 fISHING: en français pêche,
 Description: Technique d'ingénierie sociale utilisée par des arnaqueurs
(scammers)
 Technique ancienne mais utilisée massivement depuis 2003.
 Moyens: Par le biais de courrier électronique, messages instantanés,
site webs …, l’attaquant tente de duper l'utilisateur en le faisant cliquer
sur un lien.
 Menace: obtenir des adresses de cartes de crédit, des mots de passe

44
Phishing: exemple

www.eBay.com

§
www.attacker.lu
2) Un de ces e-mails a été reçu par Mary. L’e-mail
parle d’un problème de carte bancaire sur eBay et
lui demande de renvoyer ses données à eBay (par 1) Un spammer envoie de nombreux
la page en cliquant sur le lien) spams vers des milliers de destinataires

Spammer
3) Mary clique sur le lien affiché dans le mail. Elle
pense établir une connexion vers eBay. En fait le Internet
lien la redirige vers www.attacker.lu
Attaques DoS (Denial of Service)

 Parmi les attaques les plus populaires.


 Objectif: créer une situation où la victime est incapable de fournir un service à
ses clients.
 Réalisées généralement suite à l’épuisement physique ou logique des
ressources au niveau des serveurs ou des réseaux de la victime ou à travers
le lien de communication liant la victime au fournisseur d'accès
à Internet (FAI)  .
 Attaque de Déni de Service Distribué DDoS (Distributed Denial of Service)
 Fait intervenir un réseau de machines (souvent compromises) afin d’interrompre
le ou les services visés
 Machines zombies faisant partie d’un «Botnet»

46
DDoS
 DDoS directe

47
DDoS
 DDoS basée sur la réflexion
 Utilisationdes réflecteurs: envoient des réponses à des paquets spoofés
(destination : victime)

48
Ping flooding, Smurf

 Une variante du ping flooding


 Ping (echo request, echo reply)

 Principe : Inonder la cible avec un flux maximal de ping


 Parades
 Interdire la réponse aux trames ICMP sur les adresses de diffusion: au niveau
routeur et machine Tous les hôtes du
réseau répondent à
l’adresse réelle

L’attaquant envoie une requête ICMP echo :


@adresse source= @l’hôte victime, @destination = @ broadcast

Principe du Smurf
Victime 49
Ping Of Death

 Principe:
 Consiste à créer un datagramme IP dont la taille totale excède la
taille autorisée (65536 octets). Un tel paquet envoyé à un système
possédant une pile TCP/IP vulnérable, provoquera un plantage.

50
TCP SYN flooding

 Etablissement d’une connexion TCP en 3 phases :


 SYN, SYN-ACK, ACK

 Les numéros de séquence initiaux x et y sont choisis “aléatoirement”


 Un temporisateur est déclenché après l’envoi d’un SYN.
51

 Si une réponse tarde trop à arriver (>75s), la connexion est abandonnée.


TCP SYN flooding
 Une entité malveillante A peut
supprimer la dernière étape et ne
pas répondre avec le message
ACK.
 La victime attend un certain temps
avant de libérer les ressources
 L’établissement de plusieurs
connexions successives semi-
ouvertes (avec adresses IP
fausses) peut de saturer la pile
TCP de la victime
 Possibilité du spoofing des
adresses IP par l’attaquant
 Risque: DoS, perte de
connectivité
52
UDP Flooding

 UDP : un protocole en mode non connecté


 Pas de demande de connexion avant d’envoyer les données

 L’attaque UDP Flooding:


 Exploite le mode non connecté de l’UDP.

 Consiste à générer une grande quantité de paquets UDP soit à destination d’une
machine soit entre deux machines
  entraîne une congestion du réseau ainsi qu'une saturation des ressources des deux
hôtes victimes.
 Exemple: "Chargen Denial of Service Attack”
 Un seul paquet spoofé provenant du port echo, envoyé au port chargen  boucle infinie
de trafic.
 Port Echo: renvoie la même information qu’il a reçu à son émetteur
 Port Chargen (Character generator): reprend la caractéristique du port Echo, à la
différence près qu’il va rajouter des données aléatoires
53
Chargen denial of service
 Attaque utilisant les ports Chargen (19) et Echo (7)
 Il suffit alors au pirate d'envoyer des paquets UDP sur le port 19 ( chargen ) à
une des victimes en spoofant l'adresse IP et le port source de l'autre. Dans ce
cas le port source est le port UDP 7 ( echo ).

54
TCP Hijacking

N° de séquence et
d’acquittement dans TCP
 N° Seq:
 Numéro du premier octet
dans les données du
segment.
 ACKs:
 Numéro de séquence du
prochain octet attendu de
l’autre coté.
 ACK cumulatif
 Connexion full-duplex:
 Chaque extrémité de la
connexion enregistre le n°
de séquence pour chaque
direction
55
TCP Hijacking

 Principe:
 Intercepter une connexion TCP établie
 Se faire passer pour l'une des parties (spoofing)
 Injecter des données dans le flux de 
communication
 Le hijacking remet en cause les connexions non chiffrées, par
exemple : TELNET. 
 Exemple: Un pirate vole une session Telnet (connexion non chiffrée)
établie entre les machines 1 et 2 en effectuant les étapes suivantes:
 Il sniffe le traffic Telnet (port TCP 23) entre 1 et 2.
 Une fois qu’il estime que 1 a eu le temps de s'authentifier auprès du service
Telnet de la machine 2, il désynchronise la machine 1 par rapport à 2.
 Il forge alors un paquet avec, comme adresse IP source, celle de la machine 1

et le numéro d'acquittement TCP attendu par 2.


 La machine 2 accepte donc ce paquet. Ce paquet permet au pirate d'injecter

une commande via la session Telnet préalablement établie par 1.


56
TCP Hijacking

57
Mail bombing, Spamming

 Mail bombing
 Principe: envoyer un nombre important de courrier électronique à une même
adresse jusqu’à saturation de sa boîte.
 Spamming
 Principe: envoyer en masse de messages électroniques non-sollicités
généralement publicitaires, mais aussi pour diffuser un logiciel malveillant,
une idée ou idéologie …

58
Vulnérabilités logicielles
 Exploiter des vulnérabilités au niveau des logiciels afin
de prendre accès au système
 Buffer overflow
 Failles de sécurité relatives au code Java, ActiveX.
 Les informations sur les failles se propagent plus
rapidement que les remèdes
 Les bulletins des hackers
 Des outils disponibles pour détecter les vulnérabilités (Nessus
…), mais ils sont utilisés plus par les intrus.
 Des outils développés par les intrus, publiés sur Internet (ex :
rootkits, exploits).

59
Dépassement de capacité d’un buffer
(Buffer Overflow)

 Principe : Un programme tente de placer d’avantage de données dans


une zone de mémoire qu’elle ne peut en contenir, écrasant ainsi des
informations nécessaires au programme
 Provoque un plantage de l'application pouvant aboutir à l'exécution du code
arbitraire et à un accès au système.
 Un attaquant peut détourner le programme bugué en lui faisant exécuter des
instructions qu'il a introduites dans le processus

 Une des principales causes de cette attaque découle de l’emploi des


bibliothèques système qui ne contrôlent pas suffisamment la portée de
leurs actions.
 Ex: La bibliothèque libc du langage C (les routines chargées de manipuler des
chaînes de caractères).

60
Dépassement de capacité d’un buffer
(Buffer Overflow)
 Les instructions et les données d'un programme en cours d'exécution
sont provisoirement stockées en mémoire de manière contigûe dans
une zone appelée pile (en anglais stack).
 La pile
 Un ensemble de blocs contigus de la mémoire contenant des

données.
 Un pointeur SP (Stack Pointer) pointe sur la tête de la pile.

 Lorsqu’un appel de fonction est réalisé, les paramètres de la fonction

sont insérés au niveau de la pile.


 Puis, l’adresse de retour (adresse qui sera exécutée après le retour

de fonction), suivi par un Frame Pointer (FP) sont insérés au niveau


de la pile.
 FP est utilisé pour référencer les variables locales et les paramètres

de la fonction.
61
Dépassement de capacité d’un buffer
(Buffer Overflow)
 Un exemple en C :

void function (char *str) {


char buffer[16];
strcpy (buffer, str);
}
int main () {
char *str = « Chaîne supérieur à 16 bytes"; // taille de str = 27 bytes
function (str);
} Tête de
*str ret Code de P la pile
Programme P: exec( “/bin/sh” )

62
Dépassement de capacité d’un buffer
(Buffer Overflow)

 Le programme se comporte de façon inattendu, car:


 La chaîne str de 27 octets a été copiée dans une zone (buffer) qui est allouée
uniquement pour 16 octets.
 Les octets en plus écrasent l’espace alloué à FP, l’adresse de retour de la fonction …

 La fonction strcpy, utilisée pour la copie de la chaîne ne vérifie pas la taille de la chaîne
en paramètre.
 L’exemple montre qu’un dépassement de capacité peut écraser l’adresse de
retour pour une fonction (adresse de l’instruction suivante au niveau de la
mémoire)  possibilité d’altération du chemin d’exécution d’un programme.
 Un intrus qui tente de lancer un shell(avec les privilèges root) par la réalisation
d’un saut du chemin d’exécution pour le code adéquat (qui correspond au shell).

63
Attaque de saut de VLAN

64
Attaque de double étiquetage VLAN

65
Logiciels malveillants (malware)

 Développés pour des fins malveillantes sous diverses formes


 Virus, Ver, Cheval de Troie, Spywares…
 Exploitent:
 Les vulnérabilités logicielles: l’intervalle de temps entre la découverte d’une
vulnérabilité et la disponibilité du remède.
 La naïveté des usagers.
 Varient selon
 Le mode d’exécution
 Le mode de propagation
 L’effet malveillant

66
Virus
 Un programme qui en infecte un autre en se dupliquant dans ce programme.
 Forme: s’attache à un autre logiciel ou document
 Mode d’exécution: exécuté suite à l’exécution du code hôte.
 Propagation: transfert du programme/document hôte d’un système à un autre
 Reproduction: se reproduit au sein du nœud infecté
 Quelques types de virus:
 Virus parasite: Le virus s’attaque aux fichiers exécutables comme partie de leurs
code. Il se réplique lorsque le fichier infecté est exécuté, et cherche s’il y a d’autres
fichiers à infecter.
 Virus résident en mémoire: hébergé en mémoire comme partie des programmes
principaux du système. Il infecte tout programme qui s’exécute.
 Virus sur secteur de Boot (Boot Sector Virus): Infecte le secteur de boot du
disque, et se propage lorsque le système d’exploitation démarre

67
Vers

 Il s’agit de programmes possédant la faculté de s’autoreproduire


(duplication) et de se déplacer à travers un réseau en utilisant des
mécanismes de communication classiques,
 comme les RPC (Remote Procedure Call, procédure d’appel à distance)
 le rlogin (connexion à distance)
 Forme: autonome
 Mode d’exécution: automatique ou par l’intervention de l’usager, peut
modifier l’OS hôte pour être lancé automatiquement
 Propagation: par le réseau vers d’autres ordinateurs vulnérables.
 Reproduction: par lui-même

68
Ransomware

69
Cheval de Troie (Trojan Horse)

 Forme:
 Programme à apparence légitime exécutant une ou plusieurs
fonctions sans l'autorisation de l'utilisateur:
 Fonctionnement normal/attendu
 Les actions cachées violent la politique de sécurité.
 Destruction de fichiers, plantage du système, envoi de certaines
informations du disque, installation de virus, de vers, de spyware
 Souvent attaché manuellement au logiciel hôte
 Mode d’exécution: exécuté en faisant partie d'un autre
programme
 Propagation: téléchargement de logiciels hôtes
 Reproduction: ne peut ni se reproduire ni infecter d'autres
logiciels
70
Cheval de Troie

 Un cheval de Troie permet de préparer une attaque ultérieure de la


machine infectée.
 Exemple 1: login modifié
 Le programme login d’ouverture de session est modifié afin qu’il ouvre une
session mais il enregistre au niveau d’un fichier le nom utilisateur et le mot de
passe entrés.
 Possibilité
d’envoi par email des informations collectées à un intrus (collecte
des informations).
 Exemple 2: un cheval de Troie agit en laissant ouverts des ports de
communication qui peuvent être ensuite utilisés par des programmes
d’attaque.

71
Bombe logique

 Un programme qui reste à l’état inactif tant qu’il n’est pas réveillé.
 Ce réveil peut être provoqué par un événement que le système
d’exploitation peut détecter.
 Souvent, une date ou l’absence de certaines données (ex. le nom du
programmeur ne figurant plus dans le fichier de la paie)
 Une fois activée, l’exécution d’un programme destructif qui pourrait être
l’effacement de tous les fichiers du système.
 Les bombes logiques sont généralement utilisées avec des virus (porteur
de la bombe logique).
 Le virus porte le nom de la date à laquelle la bombe logique est activée.

72
Logiciel espion (Spyware)

 Forme: souvent attaché manuellement au logiciel hôte


 Mode d’exécution: installé avec un logiciel populaire, un faux
antispyware…
 Propagation: ne se propage pas automatiquement
 Reproduction: ne se reproduit pas et ne nécessite pas de programme
hôte à infecter

73
Les Keyloggers
 Un keylogger (littéralement enregistreur de touches) est un dispositif chargé
d'enregistrer les frappes de touches du clavier, à l'insu de l'utilisateur. Il s'agit
donc d'un dispositif d'espionnage.
 Certains keyloggers sont capables d'enregistrer les URL visitées, les
courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de
créer une vidéo retraçant toute l'activité de l'ordinateur
 Ils peuvent servir à des personnes malintentionnées pour récupérer les mots
de passe des utilisateurs du poste de travail
 Les keyloggers peuvent être soit logiciels soient matériels
 un processus écrivant les informations captées dans un fichier caché
 un dispositif (câble) intercalé entre la prise clavier de l'ordinateur et le clavier.

74
Signes d’attaques

 Fichiers inhabituels
 La présence de fichiers inhabituels, tout spécialement dans les répertoires où
ne se trouvent que des programmes ou des fichiers de configuration.
 Possibilité de création des procédures pour comparer la liste courante des
fichiers d’un répertoire avec une liste précédente réputée saine.
 Consommation anormale des ressources
 Une consommation anormale des ressources d’un système (temps de calcul,
mémoire vive, espace disponible sur le disque...)
 Crashes du système
 Des crashes du système inexpliqués peuvent être l’indice d’une attaque de
sécurité.
 Si le système présente des vulnérabilités, un intrus va essayer différentes
façons de l’exploiter, et ces tâtonnements risquent de provoquer des défauts
de comportement du système d’exploitation résultant très souvent en crashes.
75
Signes d’attaques
 Présence de nouveaux comptes utilisateur
 Pour accéder aux ressources d’un système, le plus simple pour un intrus est
d’avoir un compte ouvert sur ce système.
 Il crée un compte à son usage exclusif afin que ses activités ne semblent pas
suspectes.
 Existence de connexions réseaux à des ports inconnus
 Des connexions établies utilisant des ports inconnus au niveau de la machine
peuvent être relatives à des backdoors.
 Un administrateur doit vérifier les connexions établies au niveau d’une
machine ou un serveur ainsi que les services en exécution sur ces derniers.
 Désactivation du service d’enregistrement des événements (log)
 Généralement, un intrus cherche à cacher ses actions avant de mener des
actions malveillantes.
 Le moyen : désactivation du service d’enregistrement des événements. 76
Les pots de miels / Honeypot
 Une machine qui simule des failles de sécurité.
 Elle dispose des moyens renforcés de surveillance, la machine peut
servir d'appât afin d’apprendre la stratégie des attaquants et construire
des signatures exactes d'attaques.
 Dispose de plusieurs outils de surveillance et d'archivage pour collecter
les informations des activités suspectes.

77
Exercice 1

Soit le réseau câblé suivant:

1. Expliquer comment se fait l’apprentissage par les commutateurs de l’appartenance d’une


station à un réseau local (relié à un port du commutateur) afin de faire correctement
l’acheminement des trames.
2. Expliquer le rôle des temporisateurs au niveau des entrées des tables de commutation ?
3. Supposons que la table de commutation (CAM) de SW2 contient les entrées S2, D2 et
S5. Si S5 envoie une trame en spécifiant comme adresse MAC source celle de S2, quel
problème peut surgir ?
4. Sachant qu’il est possible d’envoyer un ARP Reply sans sollicitation au préalable
(Gratuious ARP Reply), expliquer comment S5 peut récupérer tous les messages
échangés entre S2 et D2?

78
Exercice 2
Soit le réseau câblé suivant où les cercles sont des stations de travail et
les « SW » sont des commutateurs:

1. Quelles sont les trames que la station S2 peut sniffer (écouter) ? Expliquer ?
2. Quelles sont les stations qui peuvent lancer une attaque ARP spoofing sur le
réseau relié à l’interface 1 du routeur1? Expliquer ?
3. S4 peut-il exécuter une attaque TCP syn flooding sur S1?

79

Vous aimerez peut-être aussi