SÉCURITÉ DES

RÉSEAUX
INFORMATIQUES
SEDDIK ILIAS
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Sécurité réseau
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Principaux concepts d’attaques
Attaque de l’homme du milieu Sniffing
Attaques par force brute

Poisoning Spoofing
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
S N IF F IN G

Le mode Promiscous
Les cartes réseau fonctionnent en deux modes, à savoir le mode normal et le mode promiscuous. Par
défaut, les cartes réseau fonctionnent en mode normal. Ce mode permet à une carte de filtrer les paquets
reçus sur l’adresse destination MAC. Ce type de filtrage est appelé filtrage matériel ou filtrage hardware.
Par contre, le mode promiscuous consiste à accepter tous les paquets circulant dans un réseau, même ceux
qui ne sont pas destinés à la carte. Dans ce cas, un sniffer collecte tout le trafic passant par cette carte.

Le remote Sniffing
Ou l’utilisation d’un sniffer à distance, permet d’obtenir les données circulant sur un autre réseau que celui
sur lequel nous sommes. Considérons cet exemple : Un pirate est sur un réseau nommé A, mais voudrait
sniffer le réseau voisin, appelé B. Admettons qu’il a pris possession d’une machine dans ce réseau B. Le
pirate va donc installer un client sniffer sur la machine du réseau B, qui va passivement récupérer et
enregistrer toutes les données allant et venant sur ce réseau. Il enverra le tout à la machine du pirate dans
le réseau A. Le réseau B qui en principe était impossible à sniffer est devenu donc très accessible.
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
S N IF FIN G
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
P R ÉV E N IR LE S N I F F I N G

• Utiliser un protocole de communication sécurisé comme HTTPS

• Auditer et examiner régulièrement les accès et les requêtes réseau
• Utiliser des logiciels de détection d’intrusions
• Pour les connexion à des sites non sécurisés, il est également possible d’utiliser des VPN (logiciels)
qui forceront le chiffrage des données,
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Les attaques par force brute
• Une attaque par force brute est une tentative visant à craquer un mot de passe, la clé utilisée pour
chiffrer un message, ou une clé WiFi par exemple, via un processus d'essais et d'erreurs pour, au bout
du compte, espérer deviner juste. C'est une vieille méthode d'attaque, mais elle reste efficace et
répandue parmi les pirates.
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Se protéger des attaques par force brute
• Pour qu'il soit plus compliqué de mener à bien des attaques par force brute, les administrateurs système
doivent s'assurer que les mots de passe de leur système sont chiffrés en utilisant les taux de chiffrement
les plus élevés possible, comme le chiffrement à 256 bits. Plus le nombre de bits contenus dans le schéma
de chiffrement est important, plus il est difficile de craquer le mot de passe.
• Limiter le nombre de tentatives permet également de réduire la probabilité de subir des attaques par force
brute.
• Choisir des mots de passe à 10 caractères contenant des symboles ou des chiffres. Ainsi, le nombre de
possibilités s'élève à 171,3 trillions (1,71 x 10 20). En utilisant un processeur graphique qui essaie 10,3
milliards de hachages par seconde, craquer le mot de passe prendrait normalement environ 526 ans…
• Limiter la portée des réseaux sans-fil est également une bonne mesure dans le cas d’attaque sur des clés
de connexion.
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Le spoofing
Derrière le terme « spoofing » se cache une vaste famille d’attaques informatiques. Au sens large, le
spoofing désigne en effet toutes les techniques consistant à usurper une identité électronique, qu’il
s’agisse d’un nom de domaine, d’une adresse email ou d’une adresse IP. Ce type de canular n’a rien
de drôle, et peut avoir un impact catastrophique sur une entreprise.

L’objectif peut être de dérober des données sensibles, comme des numéros de carte bancaires, ou de
récupérer des informations concernant l’accès à des applications, des systèmes ou des réseaux.

Le spoofing peut avoir différents champs de batail: spoofing d’adresses email, de Cookies, spoofing
DNS, IP, ou ARP en ce qui concerne son utilisation dans des attaques réseau.
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Le spoofing
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Le poisoning
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Le poisoning réseau
Souvent appelé « Cache Poisoning », car il consiste la plupart du temps à modifier des informations
stockées dans un cache.
Ses variantes les plus connues sont:
• L’ARP poisoning: qui consiste à modifier les enregistrement ARP (MAC/IP) pour permettre à la
carte réseau d’un Hacker, d’accéder à un réseau filtré.
• Le DNS poisoning: dont l’objectif sera de changer un cache DNS, afin de rediriger la victime
vers le mauvais serveur lors d’une redirection, la plupart du temps pour lui injecter un malware
ou lui faire envoyer des informations privées.

 L’utilisation et la configuration correcte des pare-feu permet de limiter les risques de poisoning,
qui suppose que l’attaquant à déjà une forme d’accès au réseau.
 Une bonne architecture d’administration réseau limite aussi les risques (serveurs centralisés
gérant les caches)
 Un audit régulier des systèmes et du réseau permettra d’augmenter les chances de détection d’un
poisoning.
 SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
Les dangers réseau
SÉCURITÉ DES SYSTÈMES ET DES RÉSEAUX
RISQUES SUR LA SÉCURITÉ PHYSIQUE
• Branchement d’un intrus sur le réseau
• Accès au réseau sans-fil par des personnes non autorisées
• Manipulation du matériel réseau de l’entreprise par des Hackers

Mesures à prendre
• Bien vérifier le câblage après sa mise en place
• Exiger une authentification forte pour se connecter
• Limiter la portée des réseau sans-fil
• Empêcher l’accès physique au matériel réseau (Routeurs,
Switch….)
• Acheter du matériel sécurisé
• Procéder régulièrement au scan du réseau
 Sécurité Réseau
Protocole ARP

Le protocole ARP, pour Address Resolution Protocol (protocole de

résolution d'adresse), est utilisé pour établir une correspondance entre
adresses IPv4 et adresses MAC. Les cartes réseau raisonnent par
adresses MAC, et donc il faut leur dire à quelle adresse MAC
correspond telle IP.
 Sécurité Réseau
Faiblesse du protocole ARP

Normalement, seule la machine dont l'adresse est demandée doit répondre à une requête.
Mais en pratique, n'importe quelle machine peut le faire.
ARP spoofing consiste pour un attaquant à manipuler les tables ARP des machines
présentes sur le réseau et ainsi détourner le trafic ce qui peut donner par exemple une
attaque de l'homme du milieu.
 Sécurité Réseau
Attaque MITM
 Sécurité Réseau
Attaque MITM
 Sécurité Réseau
Problèmes rencontrés lors du routage

• Boucles de routage : les protocoles de routage ont des mécanismes pour assurer le
cheminement sans boucles. Mais les mesures donnent des évidences que ces
boucles existent parfois dans le transfert des paquets inter-domaine. La cause
exacte de cet effet est peu claire. Il croit que le délai de propagation des messages
de routage cause des moments où il y a des contradictions de routage entre les
routeurs.
• Croissance de la table de routage : surcharge dans la table de routage. Cela cause
l’instabilité, rejeter les nouveaux chemins, interrompre les sessions d’échanges de
route, ou redémarrer le routeur.
• Mauvaises configurations : les erreurs de configuration de routage peut perturber
ou interrompre la connectivité d’Internet, ces dernières sont nombreuses. La
mauvaise configuration est effectivement dangereuse car elle permet aux
attaquants de causer à la fois le déni d’accès (blackholing) dans un réseau et le
déni de service (DoS) dans un autre réseau
 Sécurité Réseau
Problèmes rencontrés lors du routage
• Listes de contrôle d’accès
• Contrôler le flux de trafic. Les ACL peuvent limiter l’arrivée des mises à jour de routage. Si aucune
mise à jour n’est requise en raison des conditions du réseau, la bande passante est préservée.
• Fournir un niveau de sécurité d’accès réseau de base. Les listes de contrôle d’accès permettent à un
hôte d’accéder à une section du réseau tout en empêchant un autre hôte d’avoir accès à la même
section.
• Déterminer le type de trafic qui sera acheminé ou bloqué au niveau des interfaces de routeur.
• Autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau.
• Accorder ou refuser aux utilisateurs la permission d’accéder à certains types de fichiers, tels que FTP
ou HTTP.
 Sécurité Réseau
Principales mesures à prendre

• Bien vérifier le câblage après sa mise en place

• Exiger une authentification forte pour se connecter

• Empêcher l’accès physique au matériel réseau et limiter leur portée

• Acheter du matériel de qualité et sécurisé  

• Procéder régulièrement au scan du réseau

• Utiliser des protocoles sécurisés (chiffrement des données)

• Déployer des pare-feu

• Mettre en place et vérifier régulièrement les journaux d’évènements réseau

• Utiliser des logiciels de détection d’intrusions

 SÉCURITÉ RÉSEAU
Pare-feu:
 Pare-feu proxy
Sert de passerelle entre deux réseaux pour une application spécifique. Les serveurs
proxy peuvent offrir des fonctionnalités supplémentaires, comme la mise en cache
du contenu ou la protection, en empêchant toute connexion directe provenant de
l'extérieur du réseau. Ils peuvent toutefois avoir un impact sur le débit.

 Pare-feu à inspection « stateful »

Le pare-feu à inspection « stateful » autorise ou bloque le trafic en fonction de
l'état, du port et du protocole. Il surveille toute l'activité entre le début et la fin d'une
connexion. Les décisions de filtrage sont prises en fonction de règles définies par
l'administrateur ainsi que du contexte.

 Pare-feu de gestion unifiée des risques liés à la sécurité

Un pare-feu de gestion unifiée des risques liés à la sécurité conjugue partiellement
les fonctions d'un pare-feu à inspection « stateful » avec celles de prévention des
intrusions et d'antivirus. Il peut également prendre en charge des services
supplémentaires et intègre souvent la gestion du cloud. Ce type de pare-feu favorise
la simplicité et la facilité d'utilisation.
 SÉCURITÉ RÉSEAU
Pare-feu:
 Pare-feu de nouvelle génération axés sur les menaces
Ces pare-feu offrent toutes les fonctionnalités des pare-feu de nouvelle génération classiques, tout en
proposant des fonctions avancées de détection et d'élimination des attaques:
• Savoir quelles ressources présentent le plus de risques grâce à une connaissance complète du
contexte
• Réagir rapidement aux attaques avec une automatisation intelligente des systèmes de protection qui
définit des politiques et renforce vos défenses de manière dynamique
• Mieux détecter les activités furtives ou suspectes grâce à une mise en corrélation des événements
au niveau du réseau et des terminaux
• Réduire fortement les délais entre la détection et le nettoyage avec des fonctions de sécurité
rétrospective qui surveillent en continu l'activité et les comportements, même après l'inspection
initiale
• Simplifier l'administration et réduire la complexité avec des politiques unifiées qui vous protègent
pendant tout le cycle de l'attaque
SYSTÈMES D’EXPLOITATION
Pare-feu:

ZoneAlarm GlassWire
 SYSTÈMES D’EXPLOITATION
Une zone démilitarisée (DMZ) :
Un segment de réseau sur lequel des ressources internes sont publiées pour des
clients externes.
Exemple : Serveur Web hébergeant un site Internet d'une entreprise. Le serveur
Web est alors publié pour le public externe dans la zone démilitarisée.
Un serveur Web hébergeant un site Intranet serait par contre sur un segment du
réseau privé.
 RESSOURCES COMPLÉMENTAIRES

• Quelques concepts de sécurité réseau