ATTAQUES ET

CLASSIFICATION
Aspects de la sécurité : services

Authentification

Intégrité Non répudiation

Confidentialité Disponibilité

04/01/2023
Aspects de la sécurité : services
Authentification

Assurer l’identité d’un objet quelque soit son type : personne,

serveur, application ou tout système informatique

04/01/2023
 Envoi de la requête + vérification de la Succès de la vérification + entité
légitimité de l’entité authentifiée + envoi de la réponse
Identifiant login Mot de
Nom et Identifiant login Mot de
unique passe
prénom unique passe
179 harryUp A256G_
Harry 179 harryUp A256G_
Potter 184 Hermione JH567

Hermione 184 Hermione JH567 4 3

6 206 Ron LOPM
Granger
Ronald 206 Ron LOPM 025 Dragon NHG67
Weasley
025 Dragon NHG67
1 011 DoDo MP97G
Drago
Malefoy
Dolores 011 DoDo MP97G 5
Ombrage Base de
données
….. ….. ….. …
Serveur d’Authentification
2
 Authentification + Autorisation

Nom et Identifiant login Mot de Autorisatio

prénom unique passe n du groupe

Harry 179 harryUp A256G_ Gryffondor Serveur d’Authentification

Potter
Hermione 184 Hermione JH567 Gryffondor
Granger
Ronald 206 Ron LOPM Gryffondor
Weasley
Drago 025 Dragon NHG67 Serpenta
Malefoy Serveur d’autorisation
Dolores 011 DoDo MP97G Serpenta
Ombrage Après authentification, Harry n’est
….. ….. ….. … autorisé qu’à accéder au groupe
Gryffondor
Aspects de la sécurité : services
Non répudiation

Impossibilité pour une personne ou pour toute autre entité

engagée dans une communication par voie informatique, de nier
avoir reçu ou émis un message.
Aspects de la sécurité : services
Non répudiation

Bonjour Harry, peux-tu m’envoyer le cours de

maths

Bonjour Ron, d’accord.

Aspects de la sécurité : services
Répudiation

Tu es toujours nul Harry

Pourquoi tu me dis ça Ron ?

Dis quoi exactement ?

Tu viens de me dire que je suis nul!

Jamais, je n’ai pas envoyé de

message
Aspects de la sécurité : services
Disponibilité Confidentialité Intégrité

Assurer que les

services ou Assurer qu’une Garantir qu’un objet
l’information soient information ne soit (document, fichier,
utilisable et pas compromise par message) ne soit
accessible par les un tiers qui n ’est modifié durant la
utilisateurs pas autorisé communication
autorisés

04/01/2023
Classification des attaques : standard X.800

On distingue deux types d’attaques :

Les attaques passives et les attaques actives

04/01/2023
Classification des attaques : standard X.800
Attaques passives

- Espionnage : L’adversaire écoute l’information transmise.

- Analyse de trafic : L’adversaire observe qui transmet à qui et la quantité

d’information transmise.

04/01/2023
Classification des attaques : standard X.800
Attaques passives

- L’attaquant cherche :

- Des adresses IP importantes But : Collecte et

- Architecture du réseau reconnaissance des
- Emplacement des nœuds informations pour

- Informations d’authentification exploitation

- Information secrète

04/01/2023
Attaques passives : outils et techniques

Détecter le mot de passe avec renifleur du réseau Wireshark

04/01/2023
Attaques passives : outils et techniques

Exploiter les résolutions DNS nslookup

permet d’interroger les serveurs

DNS et d’obtenir des
enregistrements sur les différents
hôtes qu’ils connaissent.

04/01/2023
Attaques passives : outils et techniques

Scans : ping

Ping : tester la présence d’une

machine sur le réseau en envoyant
des paquets de type ICMP Echo.

04/01/2023
Attaques passives : outils et techniques

Scans de ports : nmap, Netcat, SolarWinds Port Scanner

identifier les ports ouverts et

déterminer les services actifs sur le
système cible.

04/01/2023
Attaques passives : outils et techniques

Scans de ports : nmap, Netcat, SolarWinds Port Scanner

Identifier les ports ouverts et

déterminer les services actifs sur le
système cible.

Un port est un emplacement virtuel

au niveau duquel les communications
commencent et se terminent.

04/01/2023
Attaques passives : outils et techniques

Scans de ports : nmap, Netcat, SolarWinds Port Scanner

Les ports TCP et UDP

•En envoyant un paquet à une adresse IP, la machine sait vers quel port l’acheminer en
fonction de l’application utilisée ou du contenu du paquet. Chaque service s’exécutant sur la
machine doit « écouter » un port spécifique. Les 1 023 premiers ports TCP sont dédiés aux
applications les plus connues comme FTP (21), HTTP (80) ou encore SSH (22). Les
ports TCP 1024 à 49151 peuvent être utilisés par des services ou applications. Les
ports 49152 et suivants sont totalement libres.

04/01/2023
Attaques passives : outils et techniques

Scans de ports : nmap, Netcat, SolarWinds Port Scanner

Un scanner de ports envoie un paquet

réseau TCP ou UDP demandant à un port
quel est son statut. Trois réponses sont
possibles :

1.Ouvert, accepté : l’ordinateur répond

et demande s’il peut faire quelque chose
pour vous.

2.Fermé, n’écoute pas : l’ordinateur

répond que le port est en cours
d’utilisation et indisponible pour le
moment.

3.Filtré, ignoré, bloqué : l’ordinateur ne

répond pas du tout.
04/01/2023
Classification des attaques : standard X.800
Attaques actives

Sont plus faciles à détecter, mais difficiles à éviter. ;

- Usurpation d’identité
- Rejeu
- Modification des messages
- Interruption du service (déni de service)

04/01/2023
Classification des attaques : standard X.800
Attaques actives – usurpation d’identité

- Une entité prétend être légitime.

- Elle est l’origine des attaques actives : elle inclut les autres formes
d'attaques actives (rejeu, modification et déni de service).

04/01/2023
Attaque ARP spoofing
Rappel : Principe du protocole ARP
Le protocole ARP (Address Resolution Protocol)
permet à la couche liaison de données de trouver
l’adresse MAC à partir de l’adresse IP grâce à la
table ARP.
Pour trouver l’adresse MAC correspondante à
l’adresse IP « 192.168.52.2 », ARP de la machine
« 192.168.52.1 » envoie à toutes les machines un
message (broadcast/diffusion) de type :

Quelle est l’adresse MAC de 192.168.52.2 ?

Répondre à 192.168.52.1

La machine «192.168.52.2 » répond par un

message (unicast) du type :
192.168.52.2 à l’adresse MAC 03-CA-4B-2C-13-
8A  04/01/2023
Attaque ARP spoofing
Attaque ARP spoofing

Cette attaque intervient lorsqu’une machine pirate communique une fausse information à une
machine victime.

- Machine A (IP_A, MAC_A) communique avec la machine B (IP_B, MAC_B), en présence

d’une machine pirate P.

04/01/2023
Attaque ARP spoofing
Attaque ARP spoofing

La machine « P » envoie une réponse ARP à la machine « A » lui demandant de mettre à jour
sa table ARP avec «  IP_B  MAC P ».

04/01/2023
Attaque ARP spoofing
Attaque ARP spoofing

Lorsque la machine « A » envoie un message à l’adresse IP_B, ce dernier sera envoyé vers
l’adresse MAC_P (et pas à MAC_B).
La machine pirate « P » peut faire la même chose avec la machine « B » en lui envoyant une
fausse information ARP.

04/01/2023
Attaque ARP spoofing
Attaque ARP spoofing

Les tables ARP des machines « A » et « B » étant erronées, les messages entre « A » et
« B » seront reçus par la machine « P ».

04/01/2023
Classification des attaques : standard X.800
Attaques actives – Rejeu (Replay)
- Réalisée en deux phases :
- 1- la capture passive d’un message
- 2- la retransmission ultérieure de ce message pour produire un effet non
autorisé
- Exemple : Rejeu d’une transaction bancaire

04/01/2023
Classification des attaques : standard X.800
Attaques actives – modification des messages

Implique la modification du contenu du message original ou que les

messages sont réordonnés pour produire un effet non autorisé

04/01/2023
Attaque SQL injection

Cette attaque insère un code

SQL dans les requêtes réalisées
entre le serveur web et la base
de données.
elle peut contourner les
formulaires d’authentification ou
même détruire toute la base de
données.

04/01/2023
Attaque SQL injection

L’attaquant peut fournir les informations suivantes :

- Nom d’utilisateur : « Ali’;-- »

- Mot de passe : n’importe quelle valeur

- La requête sera exécutée comme indiquée dans la figure ci-dessous.

04/01/2023
Attaque SQL injection

Les caractères « -- » marquent le début d’un commentaire en langage SQL, la requête est
équivalente à :

Résultat : l’attaquant peut se connecter avec n’importe quel mot de passe.

04/01/2023
Attaque SQL injection

La construction de la requête par concaténation de chaînes. On peut injecter le mot de passe

malveillant pour contourner la connexion dans la requête. Une fois la concaténation de chaînes
effectuée,
La clause WHERE de la requête devient :

04/01/2023
Attaque SQL injection
Si l'on considère ce qui suit :
•AND a la priorité sur OR (vrai pour la plupart des implémentations SQL)
• password = 'idontknow ’ est FALSE pour l'e-mail donné
•1=1 est toujours TRUE
on peut réduire la clause WHERE comme suit :

04/01/2023
Classification des attaques : standard X.800
Attaques actives – déni de service

-interrompre ou dégrader le service d’un réseau.

- Perturber le réseau ou toute entité en les submergeant avec des
messages inutiles de manière à dégrader leur performance.

04/01/2023
Attaques DOS et DDOS
Attaque DOS

 
Cette attaque est réalisée par une seule machine afin d’exploiter une
vulnérabilité logicielle ou inonder une cible par de fausses requêtes,
généralement dans le but d'épuiser les ressources du serveur. 
Attaques DOS et DDOS
Attaque DDOS

 
Une attaque provenant de plusieurs sources à la fois. L’attaquant peut
communiquer avec d'autres machines pour coopérer ensemble et lancer une
attaque sur le serveur.
Attaques DOS et DDOS
Attaque DDOS

 
Cette attaque provoque l’inondation du serveur par des requêtes qu’il ne peut
plus les traiter. Par conséquent, les ressources du serveur sont épuisées
(RAM, CPU, bande passante du réseau)
Attaques DOS et DDOS
Comment l’attaquant peut impliquer les autres machines ?

L'attaquant développe un
programme malveillant
(malware) et le distribue
sur Internet en le
plaçant dans des sites
Web, des e-mails avec
pièces jointes
  malveillantes.
Attaques DOS et DDOS
Comment l’attaquant peut impliquer les autres machines ?

Lorsque’ une machine

vulnérable accède à ces
sites Web infectés ou
ouvre ces pièces jointes
malveillantes, le malware
sera installé sans même
que le propriétaire sache
que son ordinateur a été
 
infecté.
Attaques DOS et DDOS
Comment l’attaquant peut impliquer les autres machines ?

Maintenant, les machines infectées

sont recrutées dans une armée pour
effectuer une attaque DDOS. Cette
armée s'appelle botnet ou réseau
zombie.
Ce botnet n'est pas seulement limité à
quelques ordinateurs, ils peuvent être
des centaines ou même des milliers
d'ordinateurs dispersés dans le monde
entier.
l'attaquant contrôle ce botnet et
envoie des commandes à tous les bots
 
en choisissant la date et l’heure de
l’attaque.
L'attaque DDOS peut durer des
heures ou des jours
Type d’attaque DDOS : Attaque de la couche application : HTTP flood

L’attaquant exploite des requêtes

HTTP GET ou POST apparemment
légitimes pour attaquer un serveur
Web ou une application.

Cette attaque peut être comparée à

une situation où l'on actualisera d’une
façon constante un navigateur web sur
de nombreux ordinateurs différents à
la fois. Cela donne lieu à un grand
  nombre de requêtes HTTP qui
submergent le serveur, provoquant un
déni de service.
Type d’attaque DDOS : Attaque de la couche réseau : SYN flood
Processus d’établissement de liaison d’une
connexion TCP

1. le client envoie un paquet SYN au serveur afin

d’établir la connexion.

2.Le serveur répond à ce paquet initial avec un

paquet SYN/ACK, afin d’accuser réception de la
communication.

3.Enfin, le client renvoie un paquet ACK pour

accuser réception du paquet provenant du
serveur.
 
4.Après avoir terminé cette séquence d’envoi et
de réception de paquets, la connexion TCP est
ouverte et capable d’envoyer et de recevoir des
données.
Type d’attaque DDOS : Attaque de la couche réseau : SYN flood

Pour créer un déni de service, un pirate exploite

le fait qu’après réception d’un paquet SYN initial,
le serveur répond avec un ou plusieurs paquets
SYN/ACK et attend l’étape finale du handshake.

1.Le pirate envoie un volume élevé de paquets

SYN au serveur ciblé, souvent avec des adresses
IP usurpées.

2.Le serveur répond ensuite à chacune des

  demandes de connexion et laisse un port ouvert
prêt à recevoir la réponse.
Type d’attaque DDOS : Attaque de la couche réseau : SYN flood

3. Pendant que le serveur attend le dernier

paquet ACK, qui n’arrive jamais, le pirate
continue d’envoyer plus de paquets SYN.
L’arrivée de chaque nouveau paquet SYN
oblige le serveur à maintenir temporairement
une nouvelle connexion de port ouverte
pendant un certain temps, et une fois que
tous les ports disponibles ont été utilisés, le
serveur ne peut plus fonctionner
  normalement.
Comparaison entre attaque passive et attaque active

04/01/2023
Comparaison entre attaque passive et attaque active

04/01/2023