Académique Documents
Professionnel Documents
Culture Documents
Sécurité Informatique
Les fondamentaux de la sécurité
Younes GUEROUANI
y.guerouani@gmail.com
‣ PLAN
‣ Introduction
‣ Historique
‣ Pourquoi les systèmes sont vulnérables ?
‣ Pourquoi un système ne peut être sûr à 100% ?
‣ Méthodes utilisées pour les attaques.
‣ Objectifs de la sécurité informatique
‣ Quels sont les risques ?
‣ D’où viennent les intrusions et les attaques ?
‣ Services, mécanismes et attaques de sécurité
‣ Les attaques de sécurité
‣ Techniques de recherches de l’information
‣ Sécurité des réseaux
‣ Conclusion
2 © 2013 par Younes GUEROUANI
BIG SOFT
‣ Introduction
Constat:
L'évolution des systèmes informatiques des entreprises
Des services de plus en plus sophistiqués,
Réorganisation de l'entreprise de plus en plus profonde autour de
son système d’information,
Conséquence :
L'entreprise est devenue de plus en plus dépendante de son
Système d’Information
La sécurité de ce système est devenue déterminante pour sa
survie.
‣ Historique
‣ En 1995, Kevin Mitnick, 31 ans, a été arrêté après une longue carrière de délinquant
informatique, comprenant le vol de 20.000 numéros de cartes de crédits, en pénétrant
des ordinateurs de Pacific Bell, Digital Equipment Corporation et en détournant pour
environ 1 million de dollars d'informations volées.
5 © 2013 par Younes GUEROUANI
BIG SOFT
Attaque de sécurité:
‣ Techniques d’attaque/d’intrusion
Une tierce partie non autorisée insère des contrefaçons dans le système.
Attaques passives:
Écoute sur le réseau
Accès en lecture à des informations confidentielles
Attaques actives:
Spoofing (masquerading)
Rejeu
Modification
Déni de service
‣ Les attaques passives sont très difficiles à détecter car elles ne causent
aucune altération des données.
‣ Une mascarade a lieu lorsqu’une entité prétend être une autre entité.
Par exemple, des séquences d’authentification peuvent être capturées
et rejouées, permettant ainsi à une entité autorisée munie de peu de
privilèges d’en obtenir d’autres en usurpant une identité possédant ces
privilèges.
‣ Cette attaque brute reste un des gros problèmes actuels, car elle est
très difficilement évitable.
3 © 2013 par Younes GUEROUANI
BIG SOFT
‣ Confidentiality (Confidentialité)
‣ Integrity (Intégrité)
‣ Availability (Disponibilité)
‣ L’opposé de cette triade est : D.A.D (Disclosure, Alteration, Denial).
‣ Prenons le cas où un hacker arrive à s’introduire sur les comptes bancaires des clients d’une grande banque
‣ On pourrait penser qu’un taux de disponibilité de 99% sur une année serait satisfaisant, mais cela représente quand
même 3 jours et 15 heures d’indisponibilité. C’est pourquoi, nous pouvons commencer à trouver acceptable un taux de
‣ Vous êtes une société de e-commerce et votre chiffre d’affaire découle directement de vos ventes en ligne. Toutes les
minutes vous réalisez 500 000 euro de chiffre d’affaire. Imaginez le manque à gagner lorsque votre site internet devient
‣ Authenticité
‣ Anti-rejeu
‣ Non-répudiation
‣ Authentification
‣ Contrôle d’accès (Autorisation)
‣ Les vulnérabilités
Au niveau de l’utilisateur
1. Exécution arbitraire de programmes de sources non certifiées;
2. Mauvaise connaissance du système;
3. Erreurs de manipulation.
• Défaillance des systèmes
4. Défaut de conception des services et applications;
5. Défaut d’implémentation des programmes;
6. Des erreurs de configuration.
• Défaillance du réseau
7. Architecture matérielle du réseau ( HUB ou Switch ….);
8. Limitations des fonctionnalités des équipements;
9. Faiblesse des protocoles de communication ( exemple de
TCP/IP, CSMA/CD …).
5 © 2013 par Younes GUEROUANI
BIG SOFT
‣ Défense en couches
Exemple : Hôtes
Données
‣ CIA triangle
CIA Triad :
o Confidentiality
o Integrity
o Availability
‣ Confidentialité
Une information confidentielle
peut être :
✓ accédée, utilisée, copiée ou divulguée
uniquement par:
✓ des personnes autorisées,
✓ des systèmes qui ont reçus les droits pour le faire
‣ Atteinte à la confidentialité
Exemples :
✓ Divulgation d'adresse mail, de numéro de téléphone
✓ Publication du salaire d'un employé
✓ Publication sur le Web des coordonnées personnelles
des étudiants, des profs...
✓ Divulgation de secrets
o Médical, Industriels, Militaires...
✓ Espionnage du comportement d'un internaute
o Site visités,
o Contenu des mails
✓ Keylogging
‣ Protection de la confidentialité
Accès physiques restreints
o Sécurité des bâtiments
o Badge
o Utilisation de la biométrie
Cryptographie
o Science du secret
o Portail Wikipedia
o http://fr.wikipedia.org/wiki/wikipedia:portail cryptologie
‣ Intégrité
Les informations
o Peuvent être
o Uniquement par:
pour le faire
‣ Atteinte à l'intégrité
Origine humaine :
o Malversations:
✓ Virus
o Mauvaises manipulations:
‣ Atteinte à l'intégrité
Origine matérielle :
o Pannes
Disque dur
Perturbations électromagnétiques
Coupure de courant
Pendant une mise à jour de données
o Sinistres
Inondation
Incendie
Vol
Gobelet de café renversé
‣ Protection de l'intégrité
o Signature
md5 (Message Digest 5)
CRC (Cycle Redundancy Check – Contrôle de redondance cyclique)
ECC (Error-Correcting Code – Code correcteur)
FCS (Frame Check Sequence – Contrôle de Trame)
o Duplication, sauvegarde
o Protections physiques
Locaux protégés
Coffre-fort
‣ Disponibilité
Accès garanti à :
o Un service,
o Des ressources
o Des informations
Il faut s’assurer du bon fonctionnement du système, de l’accès à un service
et aux ressources à n’importe quel moment. La disponibilité d’un équipement se
mesure en divisant la durée durant
laquelle cet équipement est opérationnel par la durée durant laquelle il aurait dû être
opérationnel.
‣ Atteinte à la disponibilité
DoS : Denial of Service
o Par saturation
✓ flooding (inondation d’un réseau afin d'empêcher son
fonctionnement
✓ mail bombing
✓ nombre de requêtes hors norme
L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre
impossible l'accès à un serveur web ou empêcher la distribution de courriel
o Par exploitation de vulnérabilité
Une faiblesse dans un système informatique, permettant à un
attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire
à son fonctionnement normal, à la confidentialité et l'intégrité des
données qu'il contient.
6 © 2013 par Younes GUEROUANI
BIG SOFT
2. Autres extensions :
Responsabilité (Accountability)
Non-Repudiation
‣ Possession
o Exemple :
‣ Une personne s'étant fait voler une serviette, avec une enveloppe
scellée contenant sa carte de crédit et le code confidetiel (PIN)
correspondant, a perdu le contrôle de l'information correspondante.
‣ Authenticité
Vérification de l'identité
d'une personne,
d'une machine,
d'un programme
Exemple :
Une personne peut envoyer un message en se faisant passer pour
quelqu'un d'autre
‣ Utilité
Exemple :
Des données cryptées dont la clé de déchiffrement a été perdue
satisfont aux cinq autres critères de sécurité mais ne sont plus
d'aucune utilité.
‣ Responsabilité
‣ Non répudiation
Exemple : Signature
1. Firewalls
2. DMZ
3. Proxy
5. Iptables
7. Translation d’adresses
• NAT Statique
‣ Pourquoi un Firewall ?
‣ Définition
‣ Programme, ou un matériel, chargé de vous protéger du monde
extérieur en contrôlant tout ce qui passe, et surtout tout ce qui ne
doit pas passer entre Internet et le réseau local
‣ Pourquoi un firewall?
‣ Contrôle : Gérer les connexions sortantes à partir du réseau local.
‣ Sécurité : Protéger le réseau interne des intrusions venant de
l’extérieur.
‣ Pourquoi un Firewall ?
‣ DMZ
‣ Définition (DMZ)
‣ Une zone démilitarisée (DMZ) est un sous-réseau se trouvant entre le
réseau local et le réseau extérieur
‣ Propriétés
‣ Les connexions à la DMZ sont autorisées de n’importe où.
‣ Les connexions à partir de la DMZ ne sont autorisées que vers
l’extérieur
‣ Intérêt
‣ Rendre des machines accessible à partir de l’extérieur (possibilité de
mettre en place des serveurs (DNS, SMTP, . . . )
‣ Proxy ou mandataire
‣ Définition (Proxy)
‣ Un proxy est un intermédiaire dans une connexion entre le client et le
serveur
‣ Le client s’adresse toujours au proxy
‣ Le proxy est spécifique à une application donnée (HTTP, FTP, . . . )
‣ Outils de diagnostic
‣ Traces iptables. Possibilité de tracer certaines actions iptables
‣ Tracer toutes les actions iptables :
‣ iptables -A OUTPUT -j LOG
‣ iptables -A INPUT -j LOG
‣ iptables -A FORWARD -j LOG
‣ nmap, nessus,. . . .
‣ Logiciels permettant de diagnostiquer l’état d’un firewall (trouver
les ports ouverts, détecter les services utilisant les ports, . . . )
‣ NAT Statique
‣ Association entre une adresse publique et une adresse privée
‣ NAT Dynamique
‣ Association entre m adresses publiques et n adresses privée (m < n)
6. …
‣ Comment se protéger ?
Agir sur les équipements réseaux.
Architecture segmentée (DMZ, VLAN, NAT …)
Restriction d’accès, cloisonnement, filtrage réseau.
Suivi, gestion quotidienne, formation adaptée.
Agir sur les systèmes.
Restriction d’accès, filtrage au niveau des systèmes.
Configuration correcte des services réseaux
Gestion appropriée des comptes et des permissions.
Suivi, gestion quotidienne et formation sur les produits.
Agir au niveau de l’utilisateur final.
Sensibilisation
Formation
Responsabilisation
8 © 2013 par Younes GUEROUANI
BIG SOFT
‣ Il est vrai que la question de sécurité sur internet est devenu au fil des 10
dernières années une question essentielle pour de nombreuses entreprises.
‣ Une hausse importante du nombre de fraudes commises par des fraudeurs qui
arrivent régulièrement à trouver des nouveaux moyens pour intercepter des
informations personnelles sur internet allant des mots de passes des adresses
mail jusqu’aux identités bancaires, notamment lors des paiements bancaires.
‣ Pour enrayer cette progression de failles dans la sécurité sur internet, des
mesures de prévention sont effectuées ainsi que d’autres services développés
par des sociétés.
8 © 2013 par Younes GUEROUANI
BIG SOFT
‣ Parmi les services proposés, il y a tout d’abord les certificats de sécurité qui
sont utilisé de plus en plus par les professionnels comme les particuliers pour
être certain de la sûreté des sites. Ces certificats de sécurité sont visibles grâce à
des logos sur les sites sécurisé, le plus connu étant surement le logo vert de
Verisign.
‣ Concernant les paiements en ligne sur internet, source principal des failles de
sécurité sur internet, la plupart des sites de paiements font désormais appel à
des Certificat SSL pour prouver la sûreté de leurs sites lors d’un paiement en
rendant impossible le cryptage des données bancaires par une personne
extérieure.
‣ Ces certificats sont délivrés par des entreprises extérieures et sont visibles sur
les sites par la présence d’un petit cadenas dans la barre de recherche.
Fragmentation et ré-assemblage
Routage à la source
ICMP
ARP
UDP
TCP
o Faiblesse d’authentification
pinger http://www.nmrc.org/files/snt/
fping http://www.fping.com
hping2 http://www.hping.org
Enregistrement HINFO.
Liste des maps de zone (nslookup, digg).
Récupération de la version de BIND utilisé (logiciel très critique)
Répertoires récursifs
…
TCP Flooding
Le pirate inonde le serveur de demande de connexion avec une
adresse source non valide
Le serveur répond (ACK, SYN) et réserve des buffers : il n’aura
jamais de réponse
Les vrais clients risquent le deni de service (DoS)
LAND Attack
TCP Flooding avec @IP,N° port source =@IP,N° port dest
‣ Conclusion