SALLOUH Said

contexte

Avant : on parle de l’informatique centralisée, des réseaux

locaux de petites tailles isolés (rarement interconnectés)
⚫ Pas d’accès Distants
2
⚫ Une meilleure maîtrise du contrôle d’accès (relativement
simple)
moins de risque de perte de données ou de
l’information
 Contexte
Aujourd’hui :
⚫ Des solutions informatiques et réseaux distribuées
⚫ siège, filiale, commerciaux, télétravailleurs
⚫ Extra entreprise
⚫ Intra entreprise
⚫ Accès Distants 3 mobiles, télétravailleurs,
(utilisateurs
…)
⚫ Internet comme élément indispensable et incontournable
pour l ’activité et les relations de l ’entreprise
⚫ Multiplication des partenaires commerciaux
⚫ Dispersion et couverture géographique plus large des
données (interconnexion des réseaux)
⚫ Architectures réseaux plus complexes
⚫ Exploration des réseaux sans fils
Augmentation des risques et
des problèmes

Les systèmes informatiques sont devenus de plus

en plus exposés aux risques et menaces

4
 Terminologies

⚫ Vulnérabilité : Une faiblesse ou une faille dans un système

qui pourrait être exploitée pour causer préjudice (perte ou
dommage)

Vulnérabilité « Vulnerability »: Faiblesse qui compromet la

sécurité ou le fonctionnement d'un système

Exploit « Exploit » : mécanisme utilisé pour exploiter « tirer parti »

d’une vulnérabilité pour compromettre un système

5
 Terminologie

⚫ Menace: n’importe quelle action qui compromet la

sécurité des informations.

Une vulnérabilité présente une menace

Un exploit présente une menace
C’est un terme général

Menace « Threat » : Circonstance ou événement susceptible de

causer des dommages à un bien ou à un actif.

6
 Terminologie

⚫ Risque : Cependant, même si un système a une

vulnérabilité, la probabilité que quelqu’un exploite cette
vulnérabilité pour causer des dommages varie. Cette
probabilité est nommée risque. Par exemple, un centre de
calcul peut être vulnérable à un incendie dans le bâtiment.
Cependant , si le centre à un système anti-incendie très
développé et un site de backup dans une autre zone
géographique le risque devient minime.

Risque « Risk » : Probabilité qu'une menace particulière utilisant

une attaque spécifique exploite une vulnérabilité particulière
d'un actif

7
 Terminologie

⚫ Mécanismes de Sécurité : un mécanisme qui est

conçu pour détecter, prévenir et lutter contre une
attaque de sécurité.
⚫ Service de Sécurité : un service qui augmente la
sécurité des traitements et des échanges de
données d’un système. Un service de sécurité utilise
un ou plusieurs mécanismes
 La sécurité s’impose

⚫La sécurité informatique c’est l’ensemble des moyens mis

en œuvre pour réduire la vulnérabilité d’un système
contre les menaces accidentelles ou intentionnelles.

⚫ Maîtriser les biens supports

⚫ Réseaux : réseaux informatiques, relais et supports de
communication, protocoles …
⚫ Matériels : ordinateurs fixes et mobiles, périphériques et supports
électroniques …
⚫ Logiciels : applications, systèmes de gestion de base de données, systèmes
d’exploitation …
⚫ Sites : locaux, installations électriques, climatisation…

9
 La sécurité informatique
La sécurité informatique a pour but de protéger le patrimoine
informatique de l'organisme. Celui-ci permet son bon
fonctionnement et l'atteinte de ses objectifs.

⚫La valeur de ce patrimoine, dit informatique, peut en effet

être appréciée au regard :
⚫Desopportunités qu'il offre quand on l'utilise
correctement.
⚫Des conséquences négatives dans le cas contraire.

⚫sécurité de l'information
protection de la confidentialité, de l’intégrité et de la
disponibilité de l’information; en outre, d’autres propriétés,
telles que l’authenticité, la non-répudiation et la fiabilité,
peuvent également être concernées 10
 Objectifs et services de la sécurité
informatique
Les solutions de sécurité qui seront mises en place doivent
contribuer à satisfaire les critères suivants:

⚫ L’intégrité
⚫ La confidentialité
⚫ La disponibilité

À ces trois critères s’ajoutent ceux qui permettent de prouver

l’identité des entités (notion d’authentification) et ceux qui
indiquent que des actions ou événements ont bien eu lieu
(notions de non-répudiation, d’imputabilité voire de
traçabilité):
⚫ L’authentification
⚫ Le contrôle d’accès
⚫ Non-répudiation

10
 L’intégrité
L’intégrité : Est relative au fait que des ressources, données,
traitements, transactions ou services n’ont pas été modifiés,
altérés ou détruits.
Modification :
⚫ Ecriture, changement, suppression, création

La solution d’intégrité peut exiger une authentification à

l’origine pour vérifier que le trafic reçu est envoyé par la
bonne source.
Exemples de violation de l’intégrité :
⚫Modification de l’apparence des sites Web;
⚫Interception et altération des transactions commerciales
(e-commerce);
⚫Modification des enregistrements et des rapports
financiers qui sont stockés électroniquement.
12
 Confidentialité

⚫ Confidentialité : la confidentialité est le maintien

des
informations…(le petit Robert)
⚫ réseaux,
Transposée la confidentialité peut deêtre
dans le contexte vue comme etla
l’informatique
protection
des «
autorisée ». des données contre une divulgation
⚫ Il existe deuxnon actions complémentaires permettant
d’assurer la confidentialité des données:
⚫ Limiter leur accès par un mécanisme de contrôle d’accès;
⚫ Transformer les données par des procédures de
chiffrement afin qu’elles deviennent inintelligibles aux
personnes ne possédant pas les moyens de les déchiffrer
(voir cours cyptographie)
⚫ Types d’accès : lecture, impression, visualisation ou
simplement connaître l’existence

13
 Confidentialité(suite)

C’est la conservation des données privées. Ce qui peut entraîner une

restriction d’accès physique et/ou logique aux données sensibles
mémorisées ou aux données transmises via le réseau.
Ainsi un réseau prétendantla confidentialité doit au moins :

⚫ Utiliser les mécanismes de sécurité réseau (par exemple : par-

feu et ACL : Access Control Lists pour empêcher les accès non
autorisés;
⚫ Exiger l’identification appropriée (exemple : login et mot de
passe) pour accéder aux ressources spécifiques du réseau.
⚫ Crypter le flux pour empêcher un pirate de lire ou déchiffrer les
données captées à partir du réseau.

14
 La disponibilité
La disponibilité : propriété d'accessibilité au moment voulu des
biens essentiels par les personnes autorisées, demande que
l'information sur le système soit disponible aux personnes
autorisées dans les conditions d’accès et d’usage (notamment de
performances) normales;
La disponibilité des données est mesurée a travers l’accessibilité
aux données. Par exemple, si un serveur est tombé en panne
seulement cinq minutes par année, il a une disponibilité de
99.999%.
Exemple de la non disponibilité :
Un pirate peut envoyer un trafic excessif de requêtes, qui peut
consommer les ressources processeur du système et empêche ce
dernier de répondre aux requêtes légitimes (DOS)

15
 Authentification
⚫L’authentification :
Assurer que les éléments du système (logiciels, données,
équipements, personnes) sont bien ce qu’on pense qu’ils sont

⚫De l’origine d’un message : assurer que les données reçues

proviennent bien de la source prétendue et non pas d’une source
douteuse
⚫Du correspondant : permet d’éviter qu’une entité se fasse passer
pour une autre, obtenant ainsi les privilèges auxquels elle n’a pas
droit

16
 Le contrôle d’accès

⚫Le contrôle d’accès : une ressource n’est accessible que par les
personnes autorisés.
⚫Protège les ressources d’utilisation non autorisées
⚫Limite l’accès via les systèmes de communication aux
machines et aux applications
⚫Représente plutôt une restriction qu’un service

17
 Non-répudiation

⚫Non-répudiation: est le fait de ne pouvoir nier ou rejeter qu’un

événement(action, transaction) a eu lieu. À ce critère de sécurité
sont associées les notions d’imputabilité, de traçabilité …

L’imputabilité se définit par l’attribution d’une action (un

événement) à une entité déterminée (ressource, personne).
L’imputabilité est liée à la notion de responsabilité. Elle peut être
réalisée par un ensemble de mesures garantissant
l’enregistrement fiable d’information pertinentes par rapport à
une entité et à un événement.

18
 Non-répudiation(suite)

⚫ La traçabilité permet de suivre la trace numérique laissée par la

réalisation d’un événement (message électronique, transaction
commerciale, transfert de données…). Cette fonction comprend
l’enregistrement des événements et la date de leur réalisation. Elle
permet, par exemple, de retrouver l’adresse IP d’un système à partir
duquel des données ont pu être envoyées.

19
◦ Attaques de connaissance
◦ Attaques d’accès
◦ Attaques DoS (Denial of Service) déni de service et
DDoS (Distributed Denial of Service) déni de service
distribué

1
 Spoofing Attack
Spoofing : usurpation : Injecter du trafic qui semble provenir
d'un système autre que le système attaquant lui-même
Ce n’est pas une attaque en elle-même, mais c’est une technique
qui peut être utiliser dans différentes types d’attaques.
Plusieurs types de spoofing :
• IP Address spoofing
• MAC adress spoofing
• Application or service spoofing : DHCP, DNS, routing
protocols, Email,etc.

Objectifs : cacher l’identité ou profiter d’une relation de

confiance

2
 DoS&DDoS Attack
Attaque DoS : « DoS Attack » : Tenter de rendre un ordinateur ou une
ressource réseau indisponible pour l'utilisation prévue.
• Consommation des ressources critiques
• Arrêt ou une plantation du système
• Considérer comme risque majeur et parmi les attaques les plus
utilisées
• Rompre des transactions commerciales
• Relativement facile à mener ou à réaliser et généralement difficile à
détecter ou à bloquer (pas de solution efficace ou très efficace » rt
nécessite un grand budget
Exemples :
TCP Syn flood
Ping of death (exemple ping x.y.z.w –t –l 5000)
Arp flooding
Buffer overflow
….
• source unique (à partir d’une seule machine)

2
TCP SYN flood
 DoS&DDoS Attack
Attaque « DDos » : « DDos Attack » : implication de plusieurs
machines ou systèmes pour une attaque DoS.
Typiquement utilise des « botnets »
Un groupe de machines « Zombie » qui exécute des robots
« bots »
Un mécanisme de contrôle principal qui gère des « zombies »
Exemples :
Smurf attack
Botnet attack

2
ICMP attacks
(Smurf atack)
◦ Attaques de connaissance

2
C’est une application (logiciel) qui utilise la
carte réseau dans le mode (promiscuous : lire
tout le trafic) pour capturer tous les paquets du
réseau
Pakets sniffers (capture de paquets) :
◦ Exploite les informations circulant en clair. Les
protocoles qui passent ou envoient l’information en
clair sont : Telnet, FTP, SNMP, POP et HTTP.
◦ Doivent être dans le même domaine de collision.
◦ Utilisation légitime, mais aussi pour attaque.

3
Cryptographie (même si le pirate arrive à capturer
les paquets ça sera du texte chiffré)
Utilitaires anti-sniffer
Infrastructure « switch ou commutateur » (en effet
le paquet-sniffer ne fonctionne que dans le
même domaine de collision, cependant chaque
port du switch est un domaine de collision à part)

4
PORT SCAN ET PING SWEEP tentent
d’identifier :

◦ Les services
◦ Les machines (les adresses IP actives)
◦ Les systèmes d’exploitation et logiciels (via les
ports ouverts)
◦ Les vulnérabilités

5
 Ces techniques ne peuvent pas être détectées facilement
Cependant, les dégâts peuvent être évités en utilisant des systèmes
de détection.
Exemple : IDS/IPS et (HIPS pour cisco par exemple).
Pings sweeps peut être stopper si ICMP- echo et ICMP-reply sont
désactivés au niveau du routeur de périmètre . Cependant on peut
pas faire de diagnostic réseaux.

6
 Social engineering Attack

Ingénierie sociale : «  Social engineering Attack » : Manipuler les

gens et capitaliser sur les comportements attendus (habituels)
Directe ou indirecte (Active ou passive)
Exemples :
Phone scams (Escroqueries par téléphone)
• Demande CV, Tel, des questions,…l’infrastructure de la
société, les derniers projets,…les logiciels,…
• Phishing (les cartes bancaires et les transactions
commerciales)
• Tailgating
• « Lost » USB memory key
• Visual hacking (shoulder surfing)

2
 Social engineering Attack
Evolution du « phising »
Hameçonnage : le Phishing qui vise un individu ou un groupe
d’individus
Whaling : Pêche à la baleine : qui vise les VIP (des personnalités
de haut niveau)
Pharming : attire les victimes en compromettant le DNS
Vishing : utilise le système voix ou téléphone comme moyen à
la place d’email
Smishing : utilise les SMS

2
 Des outils Internet comme « WHOIS »
peuvent être utilisés par un hacker.
DNS queries peut révéler des informations
comme à quel propriétaire appartient un
nom de domaine et quelles adresses IP sont
associées à ce dernier.
IP address queries
…
Contres mesures : une bonne configuration
DNS, masquer les adresses IP,…

7
8
Les attaques d’accès et les
contres mesures

9
Les motivations d’un intrus pour un réseau ou un
système sont:
Vol des données
Prise de control d’accès
Escalade des privilèges d’accès

Les attaques d’accès se basent sur :

Craquage des mots de passe
Exploitation d’une relation de confiance
Redirection de port
Attaque par un tiers au milieu (man-in-the-middle)
Buffer overflow

10
Est possible par plusieurs méthodes,
notamment : brute force attacks (logiciel
permettant de tenter toutes les combinaisons
possibles), dictionnary attacks (logicel avec
une base de données des noms les plus
connus), cheval de troie et packets sniffers.

11
L0phtCrack permet
de générer le mot
de passe en clair à
partir de son code
haché.
Un mot de passe
peut être
compromis en
utilisant : un
dictionnaire ou
attaque par force.

12
Les techniques de défense pour ce type
d’attaque consiste à :

◦ Empêcher les utilisateurs d’utiliser le même mot de

passe pour différents système
◦ Désactiver le compte après un certain nombre de
tentatives
◦ Ne pas utiliser les mots de passe en clair (OTP
ou
mot de passe crypté)
◦ Utiliser des grands et complexes mots de passe
◦ Authentification forte (exemple Token et PIN)

13
Le hacker exploite
l’existence d’une
relation de
confiance
Existe plusieurs
méthodes:
◦ Windows :
Domaines, Active
Doirectory

14
Augmenter et varier les contraintes au niveau
de la relation de confiance

15
La redirection de port
est un type d’attaque
par l’exploitation
d’une relation de
confiance qui utilise
la machine
compromise pour
faire passer le trafic
censé être filtré par
le pare-feu

Exemple : Netcat

16
◦ Attaques par Malware

Worm
Virus
Trojan
spam
….

Solution: Antivirus, Antispam,…