1. Réseaux & Protocoles
Sécurité des réseaux Slide 1
Sécurité des réseaux
Youness IDRISSI KHAMLICHI
(ykhamlichi@gmail.com)
2012/2013
ENSA-Khouribga Y. I. KHAMLICHI
2. Réseaux & Protocoles
Sécurité des réseaux Slide 2
Sommaire
Partie II: Sécurité des réseaux
Connaître les ennemis
Les attaques réseaux
La cryptographie
ENSA-Khouribga Y. I. KHAMLICHI
3. Réseaux & Protocoles
Sécurité des réseaux Slide 3
Problématique
La vulnérabilité de réseau (Internet):
Ordinateurs constamment connectés à Internet par modems,
câbles ou lignes d’abonnés numériques
Vulnérables puisqu’ils utilisent une adresse Internet permanente
qui permet de les repérer facilement
La voix sur IP, très souvent non cryptée, peut être écoutée par
toute personne reliée au réseau
L’usage accru du courriel pouvant comporter des virus en pièce
jointe et de la messagerie instantanée (MI) dont les messages
texte sont non sécurisés, augmentent la vulnérabilité
ENSA-Khouribga Y. I. KHAMLICHI
4. Réseaux & Protocoles
Sécurité des réseaux Slide 4
Introduction à la sécurité
La sécurité d'un réseau est un niveau de garantie que
l'ensemble des machines du réseau fonctionnent de façon
optimale et que les utilisateurs possèdent uniquement les
droits qui leur ont été octroyés
Il peut s'agir :
d'empêcher des personnes non autorisées d'agir sur le
système de façon malveillante
d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système
de sécuriser les données en prévoyant les pannes
de garantir la non-interruption d'un service
ENSA-Khouribga Y. I. KHAMLICHI
5. Réseaux & Protocoles
Sécurité des réseaux Slide 5
Les causes d’insécurité
On distingue généralement deux types d'insécurité :
l'état actif d'insécurité: la non-connaissance par
l'utilisateur des fonctionnalités du système, dont certaines
pouvant lui être nuisibles (ex: la non-désactivation de
services réseaux non nécessaires à l'utilisateur)
l'état passif d'insécurité: lorsque l'administrateur (ou
l'utilisateur) d'un système ne connaît pas les dispositifs
de sécurité dont il dispose
ENSA-Khouribga Y. I. KHAMLICHI
6. Réseaux & Protocoles
Sécurité des réseaux Slide 6
Le but des agresseurs
Les motivations des agresseurs que l'on appelle "pirates"
peuvent être multiples :
l'attirance de l'interdit
le désir d'argent (ex: violer un système bancaire)
le besoin de renommée (impressionner des amis)
l'envie de nuire (détruire des données, empêcher un système de
fonctionner)
Le but des agresseurs est souvent de prendre le contrôle d'une
machine afin de pouvoir réaliser les actions qu'ils désirent. Pour
cela il existe différents types de moyens :
l'obtention d'informations utiles pour effectuer des attaques
utiliser les failles d'un système
l'utilisation de la force pour casser un système
ENSA-Khouribga Y. I. KHAMLICHI
7. Réseaux & Protocoles
Sécurité des réseaux Slide 7
Problèmes de sécurité
Les problèmes de sécurité des réseaux peuvent être
classés en 4 catégories:
La confidentialité: seuls les utilisateurs autorisés
peuvent accéder à l’information
L’authentification: avoir la certitude que l’entité avec
laquelle on dialogue est bien celle que l’on croit
Non-répudiation: concerne les signatures
Contrôle d’intégrité: comment être sûr que le message
reçu est bien celui qui a été envoyé (celui-ci n’a pas été
altéré et modifié)
ENSA-Khouribga Y. I. KHAMLICHI
8. Réseaux & Protocoles
Sécurité des réseaux Slide 8
Attaques, services et mécanismes
L’administrateur doit tenir compte des 3 aspects de la
sécurité de l’information:
Service de sécurité: pour contrer les attaques de sécurité
et améliorer la sécurité des SI
Mécanisme de sécurité: pour détecter, prévenir ou
rattraper une attaque de sécurité
• Usage des techniques cryptographiques
Attaque de sécurité: une action qui compromet la sécurité
de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier
ENSA-Khouribga Y. I. KHAMLICHI
9. Réseaux & Protocoles
Sécurité des réseaux Slide 9
Définition
La sécurité Informatique consiste à la protection:
de l’information
des services Confidentialité
des systèmes
Contre
Les menaces volontaires
Sécurité du
Les menaces involontaires Système
d’information
Influençant leur
Confidentialité
Intégrité Intégrité Disponibilité
Disponibilité
ENSA-Khouribga Y. I. KHAMLICHI
10. Réseaux & Protocoles
Sécurité des réseaux Slide 10
Propriété de base : sécurité
Sécurité = confidentialité + intégrité + disponibilité
Perte de confidentialité = divulgation non-autorisée
d’information
Perte d’intégrité = altération de l'information
Perte de disponibilité = interruption d'accès à l'information ou
interruption du service d'un système d'information
"For most distributed systems, the security objectives of confidentiality, integrity, and
availability of information apply. A loss of confidentiality is the unauthorized disclosure
of information. A loss of integrity is the unauthorized modification or destruction of
information. A loss of availability is the disruption of access to or use of information or
an information system." [NIST]
ENSA-Khouribga Y. I. KHAMLICHI
11. Réseaux & Protocoles
Sécurité des réseaux Slide 11
Définition
Seuls les personnes habilités
peuvent accéder aux
informations
Confidentialité
Sécurité du Les données ne sont pas
Assurer l’accès aux
Système altérées ni altérables
informations
d’information
Intégrité Disponibilité
ENSA-Khouribga Y. I. KHAMLICHI
12. Réseaux & Protocoles
Sécurité des réseaux Slide 12
Propriété de base : 1 – Confidentialité
Les données ne doivent être accessibles qu’aux
personnes autorisées, de la manière autorisée.
Afin de permettre ces accès discriminatoires, il est
nécessaire de :
• Pouvoir identifier les utilisateurs.
• Définir des niveaux d’accès aux données.
• Associer les utilisateurs aux droits d’accès.
• Vérifier les tentatives d’accès
ENSA-Khouribga Y. I. KHAMLICHI
13. Réseaux & Protocoles
Sécurité des réseaux Slide 13
Propriété de base: 2 – Intégrité
Les données ne doivent pas être altérées durant la
communication.
La confidentialité ne peut s’appliquer en milieu ouvert ;
les données doivent être protégées d’une autre manière
(cryptage).
Lors d’échange d’informations entre tiers, l’intégrité est
essentielle. Il est aussi indispensable de garantir
l’identité des intervenants : NON REPUDIATION.
ENSA-Khouribga Y. I. KHAMLICHI
14. Réseaux & Protocoles
Sécurité des réseaux Slide 14
Propriétés de base: 3 – Disponibilité
Les données doivent être disponibles en permanence.
Pour garantir cette disponibilité,
les données doivent être protégées contre les
erreurs de manipulation.
Les moyens d’accès (réseau, modem, …) seront
toujours opérationnels.
ENSA-Khouribga Y. I. KHAMLICHI
15. Réseaux & Protocoles
Sécurité des réseaux Slide 15
Besoins de sécurité selon les secteurs
Défense, gouvernement :
confidentialité >> intégrité, disponibilité
Finance :
intégrité >> disponibilité > confidentialité
Autres : industrie, administrations, médecine, …
ça dépend!
Il faut définir les besoins spécifiques de l'application : Politique
de sécurité
ENSA-Khouribga Y. I. KHAMLICHI
17. Réseaux & Protocoles
Sécurité des réseaux Slide 17
Trojan (cheval de troie)
Logiciel qui permet de prendre le contrôle à distance d'un autre
ordinateur.
le pirate infecte sa cible avec un logiciel serveur qui permettra
de copier, lire, voir ce qui se passe sur la machine infectée.
Un trojan ne peut fonctionner que si la machine à pirater
possède le serveur du trojan et que cette machine est
connectée sur le Web.
Les trojan les plus connus et utilisés sont : Back Orifice,
NetBus, Subseven…
ENSA-Khouribga Y. I. KHAMLICHI
18. Réseaux & Protocoles
Sécurité des réseaux Slide 18
Trojan (cheval de troie) : Description
C’est un programme ayant deux caractéristiques:
Un comportement apparent utile à l’utilisateur de l’ordinateur
(c'est le porteur, la partie visible du cheval que les grecs
exhibèrent devant Troie).
Un comportement caché, malveillant, conduisant à la
destruction ou la divulgation des données ou à l'ouverture
d'une porte dans le système de communication et à
l'espionnage ou à la publicité etc. ... (c'est la cohorte des grecs
sortant en cachette du cheval pour ouvrir les portes de Troie et
permettre au reste de l'armée grecque d'entrer et totalement
détruire Troie).
ENSA-Khouribga Y. I. KHAMLICHI
19. Réseaux & Protocoles
Sécurité des réseaux Slide 19
Trojan (cheval de Troie) : Types
Les chevaux de Troie se répartissent en plusieurs sous-
catégories:
1. Les portes dérobées
2. Les chevaux de Troie PSW
3. Les chevaux de Troie cliqueurs
4. Les chevaux de Troie droppers
5. Les chevaux de Troie proxy
6. Les chevaux de Troie espion
7. Les chevaux de Troie notificateurs
8. Les bombes d’archives
9. Les Man in the Browser
Source : http://fr.wikipedia.org/wiki/Cheval_de_Troie_(informatique)#Types_et_modes_op.C3.A9ratoires
ENSA-Khouribga Y. I. KHAMLICHI
20. Réseaux & Protocoles
Sécurité des réseaux Slide 20
Trojan : Porte dérobée « Backdoor »
Outil de pirate créant une faille de sécurité en maintenant ouvert
un port de communication afin de permettre dans un second
temps, quelquefois plusieurs mois plus tard (ou jamais),
d'attaquer une machine.
Le backdoor est diffusé par les mêmes voies que les virus afin
d'infester un maximum de machines.
Il va ensuite s'arranger pour être lancé automatiquement à
chaque démarrage de la machine infestée puis va maintenir un
port ouvert dès qu'il y a connexion.
ENSA-Khouribga Y. I. KHAMLICHI
21. Réseaux & Protocoles
Sécurité des réseaux Slide 21
Trojan : Porte dérobée « Backdoor »: description
La personne connaissant la porte dérobée peut l’utiliser pour:
surveiller les activités du logiciel
voire en prendre le contrôle (par contournement de
l'authentification)
contrôler l'ensemble des opérations de l'ordinateur.
Certains s'attaquent à des canaux de communications
particuliers comme IRC (protocole Internet Relay Chat)...
ENSA-Khouribga Y. I. KHAMLICHI
22. Réseaux & Protocoles
Sécurité des réseaux Slide 22
Trojan : Les chevaux de Troie PSW
Recherchent les fichiers système qui contiennent des
informations confidentielles (comme les mots de passe, les
détails du système, les adresses IP, les mots de passe pour les
jeux en ligne, etc.)
Puis envoient les données recueillies à la personne
malintentionnée par mail.
ENSA-Khouribga Y. I. KHAMLICHI
23. Réseaux & Protocoles
Sécurité des réseaux Slide 23
Trojan : Les chevaux de Troie cliqueurs
Redirigent les utilisateurs vers des sites Web ou d'autres
ressources Internet.
Ils peuvent détourner le fichier hosts (sous Windows).
Ils ont pour but d'augmenter le trafic sur un site Web, à des fins
publicitaires ;
d'organiser une attaque par déni de service ;
ou de conduire le navigateur web vers une ressource infectée
(par des virus, chevaux de Troie, etc.).
ENSA-Khouribga Y. I. KHAMLICHI
24. Réseaux & Protocoles
Sécurité des réseaux Slide 24
Trojan : Les chevaux de Troie droppers
Installent d'autres logiciels malveillants à l'insu de l'utilisateur.
Le dropper contient un code permettant l'installation et
l'exécution de tous les fichiers qui constituent la charge utile.
Il l'installe sans afficher d'avertissement ou de message d'erreur
(dans un fichier archivé ou dans le système d'exploitation).
Cette charge utile renferme généralement d'autres chevaux de
Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour
but de détourner l'attention de l'utilisateur ou à lui faire croire
que l'activité du dropper est inoffensive.
ENSA-Khouribga Y. I. KHAMLICHI
25. Réseaux & Protocoles
Sécurité des réseaux Slide 25
Trojan : Les chevaux de Troie proxy
Servent de serveur proxy pour diffuser massivement des
messages électroniques de spam.
ENSA-Khouribga Y. I. KHAMLICHI
26. Réseaux & Protocoles
Sécurité des réseaux Slide 26
Trojan : Les chevaux de Troie espion
Sont des logiciels espions et d'enregistrement des frappes
(clavier), qui surveillent et enregistrent les activités de
l'utilisateur sur l'ordinateur,
puis transmettent les informations obtenues (frappes du clavier,
captures d'écran, journal des applications actives, etc.) à
l'attaquant.
ENSA-Khouribga Y. I. KHAMLICHI
27. Réseaux & Protocoles
Sécurité des réseaux Slide 27
Trojan : Les chevaux de Troie notificateurs
Sont inclus dans la plupart des chevaux de Troie.
Ils confirment à leurs auteurs la réussite d'une infection et leur
envoient (par mail ou ICQ) des informations dérobées (adresse
IP, ports ouverts, adresses de courrier électronique, etc.) sur
l'ordinateur attaqué.
ENSA-Khouribga Y. I. KHAMLICHI
28. Réseaux & Protocoles
Sécurité des réseaux Slide 28
Trojan : Bombes d’archives
Les bombes d'archives sont des fichiers archivés infectés, codés
pour saboter l'utilitaire de décompression (par
exemple, Winrar ou Winzip) qui tente de l'ouvrir.
Son explosion entraîne le ralentissement ou le plantage de
l'ordinateur, et peut également noyer le disque avec des données
inutiles. Ces bombes sont particulièrement dangereuses pour les
serveurs.
ENSA-Khouribga Y. I. KHAMLICHI
29. Réseaux & Protocoles
Sécurité des réseaux Slide 29
Trojan : Les Man in the Browser
Les Man in the Browser infectent les navigateurs web
ENSA-Khouribga Y. I. KHAMLICHI
30. Réseaux & Protocoles
Sécurité des réseaux Slide 30
Password cracking
Il est très souvent facile d'obtenir le mot de passe d'un utilisateur
peu avisé. Même les plus prudents ne sont pas à l'abri d'un regard
attentif au-dessus de l'épaule.
Evitez spécialement les mots de passe faits de mouvements
réguliers sur le clavier du type azerty.
Une autre erreur classique est d'utiliser comme mot de passe le
nom d'utilisateur comme guest - guest.
Il faut également se méfier des faux programmes de login ou des
programmes qui utilisent la force brute pour détecter un mot de
passe à partir d'un dictionnaire. Les plus redoutables crackers
auront même recours au "eavesdropping » (L'écoute clandestine)
pour capturer votre mot de passe en "sniffant" les paquets
réseau.
ENSA-Khouribga Y. I. KHAMLICHI
31. Réseaux & Protocoles
Sécurité des réseaux Slide 31
Social engineering
Un pirate informatique a quelquefois bien plus de talents
psychologiques que de compétences informatiques.
Toutes les attaques informatiques n'ont pas l'efficacité d'un
simple coup de fil donné d'un ton assuré pour réclamer un mot de
passe oublié ou égaré.
ENSA-Khouribga Y. I. KHAMLICHI
32. Réseaux & Protocoles
Sécurité des réseaux Slide 32
Keylogger
Les Keyloggers sont des programmes, commerciaux ou non,
d'espionnage.
Ils peuvent être installés silencieusement et être actifs de
manière totalement furtive sur votre poste de travail.
Ils effectuent une surveillance invisible et totale, en arrière-plan,
en notant dans des fichiers cachés et compressés le moindre
détail de votre activité sur un ordinateur dont toutes les touches
frappées au clavier, d'où leur nom de "key-logger".
ENSA-Khouribga Y. I. KHAMLICHI
33. Réseaux & Protocoles
Sécurité des réseaux Slide 33
Keylogger
Ils sont aussi capables de faire un film de tout ce qui se passe à
l'écran, en continu ou par capture d'écran à intervalles réguliers...
Ils notent quels programmes sont utilisés et pendant combien de
temps, les URL visitées, les e-mails lus ou envoyés, les
conversations de toutes natures... dès la mise sous tension de la
machine.
Ils permettent, par la même occasion, de lire les champs
habituellement cachés comme les mots de passe, les codes
secrets etc. ...
ENSA-Khouribga Y. I. KHAMLICHI
34. Réseaux & Protocoles
Sécurité des réseaux Slide 34
Profiler et Profiling
Espionnage pour établissement des profils des internautes.
Le profiling, mené par des profilers, est l'activité d'espionnage la
plus répandue sur le NET.
savoir tout de moi, ce que j'achète, les sites que je visite, ce
que je dit, ce que je regarde, ce que je pense, mes convictions
religieuses, politiques, économiques, sociales, mon revenu,
mon patrimoine, mes amis, ma famille, ce que je mange, mes
e-mails, mes intensions, mes projets, mes vacances, mes
goûts, mes photos, mes films, mes livres, l'historique de mes
achats, etc. ...."
ENSA-Khouribga Y. I. KHAMLICHI
35. Réseaux & Protocoles
Sécurité des réseaux Slide 35
Profiler et Profiling
La règle du jeu est simple :
surveillance et contrôle de manière continue des individus,
Obtenir toutes ses informations
et faire un rapport de ces informations.
Les différents outils de profiling:
Adservers
Adwares
Spywares (spy)
Index.dat
Web-Bug (Weacon)
Traces (Traceur, Tracing)
ENSA-Khouribga Y. I. KHAMLICHI
36. Réseaux & Protocoles
Sécurité des réseaux Slide 36
Adservers
Les cannons à publicités , Adserver (Advertising server - Serveur
de publicités)
Ils représentent l'acharnement agressif des publicistes à polluer
nos sites, notre surf, notre bande passante et nos yeux (et même
nos oreilles avec certaines publicités en "reach media").
Ce sont des couples matériel / logiciel mais, essentiellement, en
ce qui nous concerne, ce sont des ordinateurs appelés "serveurs",
sur le net, ayant un nom de domaine et une adresse ip.
ENSA-Khouribga Y. I. KHAMLICHI
37. Réseaux & Protocoles
Sécurité des réseaux Slide 37
Adwares
Les gestionnaires de publicités
Deux définition pour adware :
Un adware est un programme qui dirige les publicités ciblées
vers votre ordinateur,
Un adware est un "petit" utilitaire gratuit - un "freeware" ou
"shareware" - supporté par un peu de publicité, en incrustant
de bannières publicitaires gérées par un adware incorporé
• L'adware est donc alors un freeware dont le créateur conserve la
propriété intellectuelle (copyright) et ne nous réclame pas de droit
d'usage. En contrepartie, il perçoit une compensation monétaire en
insérant un (ou des) bandeau(x) publicitaires dans son programme.
Plusieurs de ces programmes n'ont pas besoin de fonctionner en ligne
• Ex epmle : Go!zilla, KaZaA etc
ENSA-Khouribga Y. I. KHAMLICHI
38. Réseaux & Protocoles
Sécurité des réseaux Slide 38
Spywares
Spyware et un acronyme anglais venant de "Spy" (espion /
espionne en anglais) et "ware" qui désigne une classe de logiciels
(freeware, shareware, payware etc. ...). La traduction française
en Logiciel Espion a donné Espiogiciel ou Espiongiciel.
C’est un programme chargé de recueillir des informations sur
l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle
donc parfois mouchard) afin de les envoyer à la société qui le
diffuse pour lui permettre de dresser le profil des internautes (on
parle de profilage).
ENSA-Khouribga Y. I. KHAMLICHI
39. Réseaux & Protocoles
Sécurité des réseaux Slide 39
Spywares : Types
On distingue généralement deux types de spywares :
Les spywares internes (ou spywares intégrés) comportant
directement des lignes de codes dédiées aux fonctions de
collecte de données.
Les spywares externes, programmes de collectes autonomes
installés,
Une liste non exhaustive de spywares non intégrés :
Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin,
Conducent Timesink, Cydoor, Comet Cursor, Doubleclick,
DSSAgent, EverAd, eZula/KaZaa Toptext,
Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar,
ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy,
Xupiter, Web3000 et WebHancer
ENSA-Khouribga Y. I. KHAMLICHI
40. Réseaux & Protocoles
Sécurité des réseaux Slide 40
Les fichiers index.dat
Ces fichiers représentent un condensé de toute notre activité (en
ligne et hors ligne).
Ils peuvent être lu par n'importe qui.
Il y a les traces de notre activité que nous laissons un peu partout
dans notre ordinateur et que nous tentons d'effacer de temps en
temps (les historiques, les cookies, les répertoires temporaires,
les derniers documents manipulés, etc. ...).
ENSA-Khouribga Y. I. KHAMLICHI
41. Réseaux & Protocoles
Sécurité des réseaux Slide 41
Web-Bug (Web Bug, Webug, Weacon)
Web-Bug : mouchard caché en micro-image invisible dans une
page web ou un e-mail, servant à déclencher l'exécution d'un
script depuis un site extérieur.
Le Web Bug est une astuce d'utilisation d'une forme publicitaire,
la bannière ou la pop-up, dans le but exclusif de traquer
(tracking), tracer ou espionner (spyware).
ENSA-Khouribga Y. I. KHAMLICHI
42. Réseaux & Protocoles
Sécurité des réseaux Slide 42
Traces, Traceur, Tracking
Capture par espionnage de tous vos faits et gestes en matière de
navigation et activité afin de déterminer vos centres d'intérêt
pour établir vos profils :
de consommateur (afin de vous jeter à la figure la bonne
publicité au bon moment !),
psychologique (êtes-vous une personne facilement
manipulable et influençable) - très grand intérêt pour les
"maîtres" de toutes sortes comme les sectes, les réseaux
terroristes etc. ,
socio professionnel (vos revenus m’intéressent), culturel (les
sites visités, vos livres, films, musés, expos, théâtres,
manifestations etc. ... visités)...
ENSA-Khouribga Y. I. KHAMLICHI
43. Réseaux & Protocoles
Sécurité des réseaux Slide 43
Les virus
Qu’est ce qu’un virus
Un petit programme ou un élément d’un
programme développés à des fins
nuisibles, qui s'installe secrètement
sur des ordinateurs et parasite des
programmes.
Les traces
Les virus infectent des applications,
copient leur code dans ces
programmes. Pour ne pas infecté
plusieurs fois le même fichier ils
intègrent dans l’application infectée
une signature virale.
ENSA-Khouribga Y. I. KHAMLICHI
44. Réseaux & Protocoles
Sécurité des réseaux Slide 44
Qu’est qu’un ver ?
Programme capable de se copier
vers un autre emplacement par ses
propres moyens ou en employant
d'autres applications.
ENSA-Khouribga Y. I. KHAMLICHI
45. Réseaux & Protocoles
Sécurité des réseaux Slide 45
Les bombes logiques
Les bombes logiques sont programmées pour
s'activer quand survient un événement précis.
De façon générale, les bombes logiques visent
à faire le plus de dégât possible sur le système
en un minimum de temps.
ENSA-Khouribga Y. I. KHAMLICHI
47. Réseaux & Protocoles
Sécurité des réseaux Slide 47
Attaques réseaux
L’administrateur doit tenir compte des 3 aspects de
la sécurité de l’information:
Service de sécurité: pour contrer les attaques de
sécurité et améliorer la sécurité des SI
Mécanisme de sécurité: pour détecter, prévenir ou
rattraper une attaque de sécurité
• Usage des techniques cryptographiques
Attaque de sécurité: une action qui risque la sécurité
de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier,
ENSA-Khouribga Y. I. KHAMLICHI
48. Réseaux & Protocoles
Sécurité des réseaux Slide 48
Schéma classique d’une attaque
Collecte Repérage
Balayage
d’informations des failles
Extension
Intrusion Compromission
des privilèges
Nettoyage
Porte dérobée
des traces
ENSA-Khouribga Y. I. KHAMLICHI
50. Réseaux & Protocoles
Sécurité des réseaux Slide 50
Buts des attaques
Interruption : vise la disponibilité des informations
Interception: vise la confidentialité des Informations
Modification: vise l’intégrité des Informations
Fabrication: vise l’authenticité des informations
ENSA-Khouribga Y. I. KHAMLICHI
51. Réseaux & Protocoles
Sécurité des réseaux Slide 51
Attaques : niveaux
Une entreprise peut être victime d’une attaque à trois
niveaux.
L’ attaque externe. L’attaque est réalisée depuis l’extérieur
et utilise les points d’ouverture (serveur mail, serveurs Web,
…). Très médiatisée, elle est délicate et ne produit que très
rarement un résultat.
L’attaque interne. Elle se produit depuis l’intérieur du
réseau, elle est généralement le fait d’un collaborateur.
« Pour hacker, fais-toi engager ». Elle représente 87% des
attaques efficaces.
L’attaque physique. Partir avec les machines reste toujours
la méthode la plus efficace.
ENSA-Khouribga Y. I. KHAMLICHI
52. Réseaux & Protocoles
Sécurité des réseaux Slide 52
Attaques : Menaces
Attaques passives:
• Capture de contenu de message et analyse de trafic
• écoutes indiscrètes ou surveillance de transmission
Attaques actives:
• Mascarade, déguisement
• modifications des données,
• déni de service pour empêcher l’utilisation normale ou la gestion
de fonctionnalités de communication
ENSA-Khouribga Y. I. KHAMLICHI
53. Réseaux & Protocoles
Sécurité des réseaux Slide 53
Attaques : auteurs
Les attaques peuvent être l’œuvre de plusieurs types de
profiles:
L’employé curieux. Il est ‘intéressé’ par l’informatique pour
voir ce qu’il peut trouver. Il n’est pas malveillant et
communiquera souvent les éventuelles failles qu’il
découvre.
L’employé vengeur. Il s’estime floué par l’entreprise
(renvoi ‘non justifié’, pas de promotion, ….). Il veut causer
un maximum de dégâts, parfois même sans se cacher. S’il
s’agit d’un informaticien, il peut causer des dégâts
considérables. S’il s’agit d’un responsable sécurité, il peut
causer des dégâts irrémédiables.
ENSA-Khouribga Y. I. KHAMLICHI
54. Réseaux & Protocoles
Sécurité des réseaux Slide 54
Attaques : auteurs
Un hacker. Le hacker est un spécialiste de très haut niveau.
Généralement programmeur,
• il porte un énorme intérêt à maîtriser tous les mécanismes de
fonctionnement interne d’un système.
• Il peut découvrir des failles dans un système et leur origine.
• Il cherche à améliorer ses connaissances,
• partage généralement ses découvertes et ne CHERCHE PAS A NUIRE.
Les hackers sont fréquemment amenés à concevoir des outils
d’analyse des systèmes.
Un hacker produit des attaques pour mettre au point la sécurité.
ENSA-Khouribga Y. I. KHAMLICHI
55. Réseaux & Protocoles
Sécurité des réseaux Slide 55
Attaques : auteurs
Le Cracker. Il s’agit d’un individu qui cherche à forcer
l’intégrité d’un système à des fins malveillantes (vol de
données, destruction de données, corruption de
données, destruction de matériel, espionnage …).
Il peut posséder un degré de connaissances élevé,
parfois équivalent à celui d’un hacker.
Il peut aussi ne pas être spécialiste et se contenter
d’utiliser les outils développés par un Hacker.
ENSA-Khouribga Y. I. KHAMLICHI
56. Réseaux & Protocoles
Sécurité des réseaux Slide 56
Attaques : Hacking
Hacking : c’est l’ensemble des techniques visant à
attaquer un réseau, un site ou un équipement
Les attaques sont divers, on y trouve:
L’envoie de bombe logiciel, chevaux de Troie
La recherche de trou de sécurité
Détournement d’identité
Les changements des droits d’accès d’un utilisateur d’un
PC
Provocation des erreurs
ENSA-Khouribga Y. I. KHAMLICHI
57. Réseaux & Protocoles
Sécurité des réseaux Slide 57
Attaques : Hacking
Les attaques et les méthodes utilisées peuvent être
offensives ou passives:
Les attaques passives consistent à écouter une ligne de
communication et à interpréter les données qu’ils interceptent
Les attaques offensives peuvent être regrouper en :
• Attaques directes: c’est le plus simple des attaques,
– le Hacker attaque directement sa victime à partir de son
ordinateur.
– Dans ce type d’attaque, il y a possibilité de pouvoir remonter à
l’origine de l’attaque et à identifier l’identité du Hacker
• Attaques indirectes (par ruban): passif, cette attaque présente 2
avantages:
– Masquer l’identité (@ IP du Hacker)
– Éventuellement utiliser les ressources du PC intermédiaire
ENSA-Khouribga Y. I. KHAMLICHI
58. Réseaux & Protocoles
Sécurité des réseaux Slide 58
Attaques : types
Les attaques informatives.
Elles visent à obtenir des informations sur le système.
Ces informations seront ensuite utilisables pour définir
des failles dans la sécurité.
Les attaques de déni de service (DoS : Denial of Service).
Elles visent à surcharger le système avec des requêtes
inutiles.
Elles permettent de remplir les logs et de rendre l’audit
ingérable.
Elles peuvent aussi masquer d’autres attaques.
Les attaques destructrices.
Elles visent à rendre inopérant soit les applications, soit
le système.
ENSA-Khouribga Y. I. KHAMLICHI
59. Réseaux & Protocoles
Sécurité des réseaux Slide 59
Attaques informatives – « Social engineering »
Il ne s’agit nullement d’une technique informatique. Il
s’agit d’essayer d’obtenir des informations sur le réseau
en … posant des questions!
Exemples :
Je suis « X », le nouveau membre du service
informatique, j’ai besoin de votre mot de passe pour
….
Je procède à un sondage pour Datatrucinfo, pouvez-
vous me dire si vous utilisez un firewall, si oui quel
type, …
Cette technique est très efficace !
PARADE : Education des utilisateurs
ENSA-Khouribga Y. I. KHAMLICHI
60. Réseaux & Protocoles
Sécurité des réseaux Slide 60
Attaques informatives – « sniffing »
Ecouter tout ce qui passe sur le réseau. Méthode très efficace pour
collecter des données.
PARADE : parade
• Segmentation et routage.
• Réseau switché.
• Cryptage.
ENSA-Khouribga Y. I. KHAMLICHI
61. Réseaux & Protocoles
Sécurité des réseaux Slide 61
Attaques informatives - « Internet queries »
Requêtes HOST
Requêtes WHOIS
(Recherche de nom de domaine)
Requêtes FINGER
finger courriel@unix.darpa.net (sous linux): pour recevoir une
réponse contenant habituellement le nom de la personne, leur
numéro de téléphone, et l'entreprise pour laquelle ils
travaillaient. Cette information était entièrement configurable
par l'usager (cette commande est généralement désactivée
par défaut)
Requêtes PING
…
ENSA-Khouribga Y. I. KHAMLICHI
62. Réseaux & Protocoles
Sécurité des réseaux Slide 62
Attaques de déni de service – « Port scanning »
Le port scanning permet d’obtenir la liste de tous les ports
‘ouverts’.
Cette liste va permettre :
• De savoir quelles sont les applications qui sont exécutées par
les systèmes cible.
• D’estimer correctement le système d’exploitation, et donc
d’essayer les attaques spécifiques connues pour celui-ci.
ENSA-Khouribga Y. I. KHAMLICHI
63. Réseaux & Protocoles
Sécurité des réseaux Slide 63
Attaques de déni de service – « Consommation de bande »
Cette attaque vise à saturer la bande passante d’un réseau avec du
trafic pirate, ne laissant plus de place au trafic ‘normal’.
Ce type d’attaque peut être interne ou externe.
Dans le cas d’attaque externe, il faut:
• Soit disposer d’une connexion supérieure à celle que l’on veut
saturer.
• Soit utiliser plusieurs connexions dont le débit cumulé sera
supérieur à celui de la connexion à saturer.
ENSA-Khouribga Y. I. KHAMLICHI
64. Réseaux & Protocoles
Sécurité des réseaux Slide 64
Attaques de déni de service – « Epuisement des ressources »
Plutôt que de saturer la ligne, on vise à saturer la
machine (CPU, mémoire, disques).
ENSA-Khouribga Y. I. KHAMLICHI
65. Réseaux & Protocoles
Sécurité des réseaux Slide 65
Attaques de déni de service – « Routage et DNS »
Ce type d’attaque vise à modifier les entrées d’un
serveur DNS pour faire pointer un nom ‘dans le vide’ ou
vers une machine incorrecte.
ENSA-Khouribga Y. I. KHAMLICHI
66. Réseaux & Protocoles
Sécurité des réseaux Slide 66
Attaques de déni de service – « Défaut de programmation »
Tous les systèmes d’exploitation, les cpu, les logiciels
d’applications ont présentés ou présentent en général
un ou plusieurs défauts.
Les hackers ont analysés ceux-ci et établi des correctifs.
Cependant, si ces correctifs ne sont pas mis en place,
ces défauts permettent de bloquer le système
ENSA-Khouribga Y. I. KHAMLICHI
67. Réseaux & Protocoles
Sécurité des réseaux Slide 67
Attaques de déni de service – « Smurf »
Une attaque smurf inclus trois acteurs : la cible, le pirate et le réseau
amplificateur.
Le pirate envoie au réseau amplificateur une requête demandant une
réponse (type ICMP ECHO ou UDP ECHO). Cette requête est fabriquée
pour sembler provenir de la cible. Chaque machine du réseau
amplificateur va donc répondre à la machine source (la cible).
La cible va donc être submergée.
L’attaque UDP echo s’appel :
« Fraggle »
ENSA-Khouribga Y. I. KHAMLICHI
68. Réseaux & Protocoles
Sécurité des réseaux Slide 68
Attaques de déni de service – « Inondation Syn »
L’attaque en ‘syn flood’ s’appuie sur le mécanisme
d’établissement de connexion réseau.
Ce mécanisme est le suivant :
Demande de connexion (Syn)
Confirmation réception (Syn/Ack)
Confirmation (Ack)
ENSA-Khouribga Y. I. KHAMLICHI
69. Réseaux & Protocoles
Sécurité des réseaux Slide 69
Attaques de déni de service – « Inondation Syn »
Syn flood (suite)
Si la machine qui émet le paquet de demande de connexion le
fait avec une adresse source correspondant à une machine
inexistante;
La machine contactée répond à cette demande et envoie la
réponse ‘à la machine qui a demandé la connexion’; donc vers
nulle part.
Comme personne ne répond , la machine reste en attente (de 75
secondes à 23 minutes).
Si les machines acceptent des centaines de connexions
simultanées, elles ne supportent que quelques demandes.
ENSA-Khouribga Y. I. KHAMLICHI
70. Réseaux & Protocoles
Sécurité des réseaux Slide 70
Attaques de déni de service – «Email Bombs »
Les ‘Email Bombs’
Il s’agit d’envoyer un volume énorme de courrier électronique
vers une boîte aux lettres ou vers un serveur.
La plupart des administrateurs constituent leurs adresses Email
sous la forme prénom.nom@domaine ; il est donc facile de
‘deviner’ vers quelles boîtes aux lettres envoyer du courrier.
Les liaisons de liste
Le principe est d’inscrire la cible sur des dizaines de listes de
distribution. De ce fait, il est surchargé de courrier provenant de
plusieurs sources.
ENSA-Khouribga Y. I. KHAMLICHI
71. Réseaux & Protocoles
Sécurité des réseaux Slide 71
Attaques de déni de service – « Spamming »
Mail Spamming
Le mail spamming consiste à envoyer une quantité de messages
adressés à xcvdfgetr@domain ; xcvdfgetr pouvant varier.
Le serveur va ainsi consommer des ressources pour répondre
‘xcvdfgetr’ est inconnu.
ENSA-Khouribga Y. I. KHAMLICHI
72. Réseaux & Protocoles
Sécurité des réseaux Slide 72
Attaques destructrices – « Virus »
Les Virus
AXIOMES :
Personne n’est à l’abri des virus.
Tous les points d’entrée doivent être équipés d’un anti-virus.
Aucun anti-virus n’est totalement efficace.
Les logiciels anti-virus doivent être mis à jour en permanence. Il
faut idéalement disposer d’un anti-virus qui peut fonctionner par
comportement en plus des recherches de signatures.
ENSA-Khouribga Y. I. KHAMLICHI
73. Réseaux & Protocoles
Sécurité des réseaux Slide 73
Attaques destructrices – « Virus »
Virus (suite)
La mise à jour de l’anti-virus peut se faire de manière
automatique. Soit par connexion distante, soit via Web.
Les points d’entrée classiques des virus sont :
• Les lecteurs de disquette.
• Les lecteurs de cd, de dvd
• Les courriers électroniques et les messages attachés.
• Les sites Internet.
Les virus constituent actuellement la préoccupation majeure des
entreprises.
ENSA-Khouribga Y. I. KHAMLICHI
74. Réseaux & Protocoles
Sécurité des réseaux Slide 74
Attaques destructrices – « Virus »
Le coût de protection contre les virus est important. Il est
cependant très inférieur aux coûts résultants des dégâts que le
virus peut entraîner.
Rappelez-vous le virus « I Love You ».
ENSA-Khouribga Y. I. KHAMLICHI
75. Réseaux & Protocoles
Sécurité des réseaux Slide 75
Attaques destructrices – « Chevaux de Troie »
Un cheval de Troie est un programme ou un code non autorisé
placé dans un programme « sain ».
Ceci rend le cheval de Troie difficile à détecter. De plus, les
fonctions ‘non attendues’ des chevaux de Troie peuvent ne
s’exécuter qu’après une longue phase de ‘sommeil’.
Les chevaux de Troie peuvent effectuer toute action. Ils peuvent
donc être des attaques informatives, des attaques de déni de
service ou des attaques destructrices.
Ils sont particulièrement dévastateurs car ils s’exécutent souvent
de l’intérieur du réseau.
Pour se protéger des chevaux de Troie : checksum, MD5
ENSA-Khouribga Y. I. KHAMLICHI
76. Réseaux & Protocoles
Sécurité des réseaux Slide 76
Attaques destructrices – « Password Attacks »
Les attaques de mots de passe visent à obtenir une information
permettant l’accès à un système (Login + Password)
Le password est toujours le point le plus faible d’une
infrastructure de sécurité. Différents outils existent selon les
environnements.
L’obtention d’un mot de passe induit des failles de sécurité
directement proportionnelles aux privilèges de l’utilisateur ainsi
visé.
L’obtention d’un mot de passe administrateur permet de TOUT
faire sur le réseau.
ENSA-Khouribga Y. I. KHAMLICHI