Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles

Ministère de l’Enseignement Supérieur
et de la Recherche Scientifique
  
Université de Carthage
  
Institut National des Sciences
Appliquées et de Technologie
Projet de Fin d’Etudes
Pour l’obtention du
Diplôme National d’Ingénieur
en Sciences Appliquées et en Technologie
Filière : Réseaux informatiques et télécommunications
Sujet :
Mise en place d’une solution de tests de sécurité pour
les passerelles résidentielles
Réalisé par : Salmen HITANA
Entreprise d’accueil :
Soutenu le 25/01/2012
Responsables entreprise : Raouf BEN SAÏD
Dorra BEN AMARA
Responsable INSAT: Kamel KAROUI
Année Universitaire : 2011/2012

‫إنشاء‬‫إختبارات‬ ‫برمجية‬‫المنزلية‬ ‫للعبارات‬ ‫المعلوماتية‬ ‫السالمة‬
‫ملخص‬:‫شهادة‬ ‫عهى‬ ‫نهحصىل‬ ‫انجايعٍت‬ ‫انذراساث‬ ‫خخى‬ ‫يشزوع‬ ًٍ‫ض‬ ‫كىو‬ ‫سجاو‬ ‫شزكت‬ ً‫ف‬ ‫أَجش‬ ‫انذي‬ ‫انعًم‬ ‫هذا‬ ‫ٌُذرج‬
‫واإلحصاالث‬ ‫اإلعاليٍت‬ ‫انشبكاث‬ ً‫ف‬ ‫يهُذص‬.ٍ‫ي‬ ‫يجًىعت‬ ‫وضع‬ ‫إنى‬ ‫انًشزوع‬ ‫هذا‬ ‫وٌهذف‬‫انًعهىياحٍت‬ ‫انساليت‬ ‫إخخباراث‬
‫االَخزَج‬ ‫قزاصُت‬ ‫قبم‬ ٍ‫ي‬ ‫انًحخًهت‬ ‫نههجًاث‬ ‫انًُشنٍت‬ ‫انجسىر‬ ‫يقاويت‬ ٍ‫ي‬ ‫انخأكذ‬ ‫إنى‬ ‫حهذف‬ ً‫انخ‬(‫انهاكزس‬ ‫أو‬.)‫يىقع‬ ٌ‫إ‬
‫انخارجٍت‬ ‫انشبكاث‬ ٍٍ‫ب‬ ‫وصم‬ ‫َقطت‬ ‫ًٌثم‬ ‫وانذي‬ ‫انشبكاث‬ ً‫ف‬ ً‫انًُشن‬ ‫انجسز‬(‫االَخزَج‬)‫ٌجعهه‬ ،‫انًُشل‬ ً‫ف‬ ‫انذاخهٍت‬ ‫وانشبكت‬
ًٍ‫ج‬ ‫عهى‬ ‫انهاكزس‬ ‫هجًاث‬ ٍ‫ي‬ ‫نهكثٍز‬ ‫يعزض‬‫انًحاور‬ ‫ع‬:،‫انالسهكٍت‬ ‫و‬ ‫انسهكٍت‬ ‫انشبكت‬UPnP،‫االَخزَج‬ ‫عبز‬ ‫انهاحف‬ ‫خذيت‬ ،
‫نخحكى‬ ‫انًسخخذو‬ ‫واجهاث‬.‫فاعهٍخها‬ ٍ‫ي‬ ‫نهخأكذ‬ ‫انًُشنٍت‬ ‫انعباراث‬ ٍ‫ي‬ ‫يجًىعت‬ ‫عهى‬ ‫حجزبخها‬ ‫سٍخى‬ ‫اإلخخباراث‬.
‫المفاتيح‬:‫ثغزة‬ ،‫هجًت‬ ،‫انهاكزس‬ ،‫انًُشنٍت‬ ‫انعباراث‬ ،‫انًعهىياحٍت‬ ‫انساليت‬
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Résumé: Le présent travail, effectué au sein de l’entreprise "SagemCom", entre dans le cadre
du projet de fin d’études pour l’obtention du diplôme national d’ingénieur en Réseau
Informatique et Télécommunication. L’objectif de ce projet est la mise en place d’une
solution de tests de sécurité pour les terminaux résidentiels. Ces terminaux sont le cœur même
de tout réseau particulier ou professionnel. Conscient du fait que les passerelles sont
hautement exposées aux risques liés à la sécurité informatique, ce plan va couvrir des
scénarios envisageables et toucher à toutes les fonctionnalités de la passerelle (accès réseau,
Wifi, UPnP, VoIP, IHM). Ces tests seront finalement lancés sur une panoplie de produits
SagemCom (différents types des TRs) permettant de valider la pertinence de l’environnement
de test proposé.
Mots-clés : terminaux résidentiels, sécurité, pentesting, exploits, failles
Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project
for obtaining Computer and Network Engineer Telecommunication National Graduation. The
objective of this project is the establishment of a security testing solution for residential
terminals. These terminals are the heart of any particular or professional network. Aware that
the bridges are highly exposed to risks related to computer security, a test plan will
cover possible scenarios and touch all functionality of the gateway (network access, WiFi,
UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom
products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability
Intitule et adresse complète de l’entreprise :
Entreprise : SagemCom
Adresse : 34, avenue de Paris, 2033 Megrine, Ben Arous, Tunisie
Tél. : +216 71 297 100
Fax :
Email : stages-sst@sagemcom.com

Remerciements
u terme de ce projet de fin d’études, mes vifs
remerciements sont dédiés à tous ceux qui ont
contribué, directement ou indirectement à l’élaboration
de ce projet.
En premier lieu, j’exprime ma gratitude au Docteur Kamel
KAROUI pour sa confiance, ses directives, ses conseils et pour
m’avoir accordé son temps.
Je voudrais également exprimer ma reconnaissance envers M.
Raouf BEN SAÏD et Mlle. Dorra BEN AMARA qui m’ ont
encadré pendant ce projet avec beaucoup de disponibilité.
Je voudrais témoigner par la suite ma reconnaissance à toutes
les personnes qui m’ont également fait bénéficier de leurs
conseils et de leurs expériences en particulier M. Zied TLILI,
ingénieur validation chez SagemCom.
Toutefois, il faut souligner que ce travail n’aurait pu voir le
jour sans le savoir faire acquis dans mon honorable institut
l’Institut National des Sciences Appliquées et de Technologie.
C’est donc avec une immense fierté que j’adresse mes
remerciements les plus distingués à tous mes enseignants.
A

Table des Matières
Page i
...................................................................................................................1
......................................................................................................4
1.PRESENTATION DE L’ORGANISME D’ACCUEIL ............................................................4
1.1.SagemCom Tunisie ..........................................................................................................................5
1.2.Sagemcom Software & Technologies .............................................................................................5
2.PRESENTATION DU PROJET.............................................................................................6
2.1.Contexte du projet............................................................................................................................6
2.2.Objectifs du projet ...........................................................................................................................7
2.3.Planification du déroulement du projet ........................................................................................7
CONCLUSION............................................................................................................................8
.............................................................................................................9
1.LES TERMINAUX RESIDENTIELS .....................................................................................9
1.1.Présentation des Terminaux Résidentiels:....................................................................................9
1.2.Les TRs SagemCom ........................................................................................................................ 10
1.2.1.Accès internet haut débit...................................................................................................... 10
1.2.2.Téléphonie ............................................................................................................................. 10
1.2.3.TV sur IP ................................................................................................................................. 11
1.2.4.Connectivité ........................................................................................................................... 11
1.2.5.Autres utilitaires et services ................................................................................................ 12
2.TESTS DE PENETRATION (PENTESTING) ...................................................................14
2.1.Présentation du pentesting .......................................................................................................... 14
2.2.Types du « Pentesting »................................................................................................................. 14
2.3.Pentesting : Méthodologie et standard........................................................................................ 15
2.3.1.OSSTMM.................................................................................................................................. 15
2.3.2.OWASP.................................................................................................................................... 16
2.3.3.Autres standards et méthodologies: ................................................................................... 17
CONCLUSION..........................................................................................................................17
..............19
1.MODULE RESEAU...............................................................................................................20
1.1.Ports, services et OS....................................................................................................................... 20
1.1.1.Scan des ports........................................................................................................................ 21
1.1.2.Scan des services ................................................................................................................... 25
1.1.3.Détection d’OS....................................................................................................................... 26

Table des Matières
Page ii
1.1.4.Outils de scan des ports........................................................................................................ 26
1.2.Scan des vulnérabilités ................................................................................................................. 27
1.2.1.Types de scan des vulnérabilités......................................................................................... 28
1.2.2.Outils de scan des vulnérabilités......................................................................................... 29
1.3.Exploits et autres types d’attaques .............................................................................................. 33
1.3.1.Exploits................................................................................................................................... 33
1.3.2.Autres types d’attaques ........................................................................................................ 33
2.MODULE UPNP...................................................................................................................34
2.1.Présentation................................................................................................................................... 34
2.2.Risques et vulnérabilités............................................................................................................... 35
2.3.Outils de tests................................................................................................................................. 37
3.MODULE WIFI.....................................................................................................................38
3.1.Présentation................................................................................................................................... 38
3.3.Outils de tests................................................................................................................................. 40
4.MODULE VOIP ....................................................................................................................41
4.1.Présentation................................................................................................................................... 41
4.2.Protocole VoIP................................................................................................................................ 41
4.4.Outils de tests................................................................................................................................. 44
CONCLUSION..........................................................................................................................45
.........................................................................................46
1.ENVIRONNEMENT DE TEST............................................................................................47
1.1.Environnement matériel............................................................................................................... 47
1.2.Environnement logiciel ................................................................................................................. 47
1.2.1.Les systèmes d’exploitation dédiés sécurité ...................................................................... 47
1.2.2.Choix du système d’exploitation le plus adéquat .............................................................. 48
1.3.Architecture réseau de la plateforme de tests............................................................................. 49
2.MODULE RESEAU...............................................................................................................50
2.1.Scan des ports, services et OS........................................................................................................ 50
2.1.1.Outils de tests......................................................................................................................... 50
2.1.2.Tests réalisés ......................................................................................................................... 51
2.1.3.Profils de scan Zenmap......................................................................................................... 55
2.2.Scan des vulnérabilités ................................................................................................................. 56
2.2.1.Scanneurs des vulnérabilités automatiques ...................................................................... 57
2.2.2.Scanneurs des vulnérabilités Web ...................................................................................... 60

Table des Matières
Page iii
2.3.Attaques et exploits ....................................................................................................................... 62
2.3.1.Outils de tests........................................................................................................................ 63
2.3.2.Tests réalisés ......................................................................................................................... 63
2.3.3.Anciennes attaques ............................................................................................................... 71
3.MODULE UPNP...................................................................................................................73
3.1.Présentation des tests ................................................................................................................... 73
3.2.Tests realisés.................................................................................................................................. 73
4.MODULE WIFI.....................................................................................................................75
4.2.Tests réalisés.................................................................................................................................. 76
4.MODULE VOIP ....................................................................................................................78
4.2.Tests réalisés.................................................................................................................................. 78
4.2.1.Déni de service....................................................................................................................... 78
4.2.2.Vol de session......................................................................................................................... 79
CONCLUSION..........................................................................................................................80
...............................................................................81
...................................................................................................................82
..............................................................................................................................85
............................................................................................... 88
............................................................................. 89
....................................................................... 89
............................................ 91
................................................................ 92

Liste des Figures
Page iv
Figure 1 : Logo SagemCom ................................................................................................................4
Figure 2 : Organigramme de SagemCom.............................................................................................5
Figure 3 : Produits SagemCom............................................................................................................6
Figure 4 : Diagramme de Gantt représentant les principales étapes du projet .......................................8
Figure 5 : Connectivité et services des TRs SagemCom.....................................................................11
Figure 6 : TCP Scan (sur un port ouvert)...........................................................................................22
Figure 7 : SYN Scan (sur un port ouvert) ..........................................................................................22
Figure 8 : Fin Scan (sur un port ouvert).............................................................................................23
Figure 9 : XMAS Scan (sur un port ouvert).......................................................................................23
Figure 10 : TCP Null Scan (sur un port ouvert) .................................................................................23
Figure 11 : Utiliser un port source autorisé pendant le scan ...............................................................24
Figure 12 : Scan ACK.......................................................................................................................24
Figure 13 : Evaluation des resultats...................................................................................................32
Figure 14 : Temps d'exécutions du scan ............................................................................................32
Figure 15 : Principaux profils UPnP et actions ..................................................................................35
Figure 16 : Redirection vers une autre adresse locale.........................................................................36
Figure 17 : Redirection vers l'adresse locale du TR ...........................................................................36
Figure 18 : Redirection vers une autre adresse WAN.........................................................................37
Figure 19 : Exemple d'appel..............................................................................................................43
Figure 20 : Logo BackTrack .............................................................................................................48
Figure 21 : Menu BackTrack.............................................................................................................49
Figure 22 : Architecture réseau de la plateforme de test.....................................................................49
Figure 23 : Profil Zenmap .................................................................................................................51

Liste des Figures
Page v
Figure 24 : Résultat d’un simple scan des ports et services ................................................................54
Figure 25 : Exemple détection d'OS ..................................................................................................55
Figure 26 : Page de connexion ..........................................................................................................58
Figure 27 : Créer profile....................................................................................................................58
Figure 28 : Configuration des plugins................................................................................................59
Figure 29 : Exemple du résultat.........................................................................................................60
Figure 30 : Exemple Fuzzing ............................................................................................................61
Figure 31 : Architecture réseau de l'attaque .......................................................................................64
Figure 32 : Fenetre XCHAT (Administrateur)...................................................................................64
Figure 33 : Interface LOIC................................................................................................................65
Figure 34 : Lancement de l'attaque....................................................................................................66
Figure 35 : Capture de trafic lors de l'attaque.....................................................................................71
Figure 36 : Attaque à base de l’IP Spoofing.......................................................................................72
Figure 37 : Détection des équipements UPnP sur le réseau ................................................................74
Figure 38 : Action AddPortMapping .................................................................................................74
Figure 39 : Actions GetSpecificPortMapping et GetGenricPortMapping............................................75
Figure 40 : Capture de messages de signalisation (SIP) .....................................................................79

Liste des Tables
Page vi
Tableau 1 : Règles du pare-feu..........................................................................................................12
Tableau 2 : Classification OSSTMM.................................................................................................16
Tableau 3 : Etat du port par type du scan et réponse ..........................................................................25
Tableau 4 : Tableau comparatif des outils de scan .............................................................................27
Tableau 5 : Tableau comparatif des scanneurs des vulnérabilités automatiques..................................31
Tableau 6 : Liste des outils et leurs critères. ......................................................................................31
Tableau 7 : Requêtes SIP ..................................................................................................................42
Tableau 8 : Codes de réponses SIP....................................................................................................42
Tableau 10 : Tests owasp réalisés......................................................................................................61
Tableau 11 : Liste des tests ...............................................................................................................88

Introduction
Page 1
’est en pleine guerre froide que l’internet est née, est ce pour maintenir les
télécommunications opérationnelles et parées à toute épreuve en cas d’une apocalypse des
suites de l’exécution des menaces Américano-Russe sur le monde: La grande phobie, était à
l’époque, une attaque nucléaire... Heureusement pour le monde, rien ne fût…
En 1969, le réseau internet comptait alors, uniquement quatre machines et était restreint,
limité, et bien sur fermé sur le monde extérieur. Avec l’amélioration des équipements et des
technologies de communication, l’internet était de moins en moins une innovation réservée à une élite
de militaires et de scientifiques et s’ouvrait peu à peu au grand public et ce avec la naissance du
premier réseau international à aiguillage de paquets en 1978, l’adoption d’un protocole unique de
transport -TCP/IP- en 1983 et du web en 1989 [1] et de la montée de l’intérêt commercial qu’offrait
une pareille technologie.
C’est ainsi qu’en 1989 que le premier fournisseur d’accès internet via le réseau téléphonique
vit le jour : la compagnie Américaine The World avait alors ouvert la voie à une véritable explosion de
fournisseurs de services internet partout dans le monde [2] qui proposaient à leurs clients des débits de
plus en plus élevés, et ce en jouant sur les technologies d’accès internet, ainsi que des services de plus
en plus diversifiés.
En effet, l’évolution des technologies de transmission de données telles que l’image et le son
ainsi que la multitude d’innovations et d’inventions qui ont vu le jour à l’égard des passerelles
résidentielles, des téléphones sur IP, des décodeurs IP, des téléphones intelligents et autres tablettes…
tous capable de se connecter au réseaux de données mondial à totalement bouleversé l’expérience des
utilisateurs de l’Internet.
Ainsi de nos jours, les fournisseurs d’accès internet (FAI) offrent plusieurs services autres que
le simple accès à internet dont le fameux Triple Play, qui n’est rien de plus qu’une offre commerciale
et dont le succès n’est plus à prouver : plus de vingt millions d’abonnés, rien qu’en France [3]. Cette
offre inclut l’accès à internet, la téléphonie sur IP et la télévision numérique sur IP, indépendamment
de la technologie de transport utilisée par l’opérateur pour connecter son client au réseau Internet.
Pour parvenir à leurs fins, les FAI commercialisent très souvent leurs offres avec une
passerelle résidentielle adaptée aux services qu’ils désirent proposer ainsi qu’aux types de
technologies qu’ils possèdent pour le bon acheminement et fonctionnement de ces derniers. La
C

Introduction
Page 2
passerelle en question, sera alors, le véritable cœur de tout le réseau local et la borne de tous les
services utilisés par le client final.
En fait, la passerelle résidentielle permet de partager la connexion à Internet entre tous les
ordinateurs du réseau avec ou sans câbles. Elle permet également de connecter des téléphones et
terminaux analogiques pour accéder à des services de téléphonie sur IP (VoIP) et ce via la ligne
d’accès (XDSL, FTTH, Câble, etc). De plus, des équipements comme les décodeurs peuvent être
connectés à ces terminaux pour offrir des services supplémentaires comme la Télévision et la Vidéo à
la Demande (ou ultérieurement la visiophonie).
Cette multitude de services proposés et connectés en permanence au réseau Internet pose de
plus en plus le problème de la sécurité informatique vu la diversification des services tournant sur la
passerelle et sur les différents éléments du réseau local du client ainsi que suite aux constats suivants :
- la protection des systèmes informatiques, vis-à-vis des menaces planant sur ces derniers
suite à leur ouverture sur le monde numérique, est loin d’être parfaite.
- le nombre d'incidents et de vulnérabilités ne cesse de croître [4]. Cette augmentation n’a
malheureusement pas été accompagnée par des contre-mesures adéquates au niveau des
particuliers et des entreprises puisque, d’une part, ils n'appliquent pas une politique de
sécurité efficace pour protéger leurs systèmes informatiques faute de sensibilisation aux
risques encourus et d’autre part, ils sont incapables de suivre le rythme d’apparition des
vulnérabilités vu que les mécanismes de sécurité traditionnels sont aujourd’hui, de plus en
plus, contournés.
Dans un pareil contexte la passerelle résidentielle doit être le premier rempart contre les risques
sécuritaires provenant de l’internet.
Par conséquent, et dans le souci de construire des équipements dont la sécurité n’est non
seulement infaillible mais aussi le plus à jour possible et de les proposer à ces principaux clients,
Sagemcom, constructeur de passerelles résidentielles de renommée mondiale et un des principaux
fournisseurs des FAI tel que Orange (France, Tunisie) , Bouygues Telecom (France), Deutsch
Telekom (Allemagne), TDC ( Danemark) , Bell Canada ( Canada ), etc, se propose de mettre en place
une solution de test de sécurité et de pénétrations pour ses terminaux afin de garantir leur bon
fonctionnement et leur haute disponibilité face à des attaques connues lors des phases de
développement et de validation des produits.
Et c’est dans ce cadre, que se situe notre projet de fin d’études, effectué au sein de la société
SagemCom qui a pour objectif d’établir l’étude, le benchmarking et la mise en place de plusieurs

Introduction
Page 3
outils d’audit de sécurité ainsi que l’élaboration d’un plan de tests couvrant les principales failles et
risques connus.
Le présent rapport organisé en quatre chapitres, présente les différentes étapes du déroulement
du projet. Dans un premier temps une présentation du contexte du projet illustre notre travail. Le
deuxième chapitre est consacré à la présentation des terminaux résidentiels ainsi que les tests de
sécurité ou le pentesting. Le troisième chapitre sera réservé à la description des différents modules
présents sur les passerelles résidentielles, les risques qui se posent et le benchmarking des outils
possibles pour réaliser des tests de pénétration sur celles ci. Finalement, le quatrième chapitre, est
consacré à la mise en place de notre solution de tests de sécurité des passerelles résidentielles.

Chapitre 1 Contexte du projet
Page 4
Ce premier chapitre est consacré à la présentation du contexte général du projet. Le travail
ayant été réalisé au sein de la société SagemCom, nous commencerons donc, par une présentation
générale de l‘organisme d‘accueil. Ensuite, nous entamerons une description de notre projet afin
d’expliciter son contexte, son objectif ainsi que les différentes étapes identifiées afin de parfaire notre
ce stage.
1. Présentation de l’organisme d’accueil
Figure 1 Logo SagemCom
Groupe français de haute technologie à dimension internationale, Sagemcom opère sur les
marchés du haut-débit (maison numérique, décodeurs, box Internet, téléphonie et terminaux

Page 5
multimédia), des télécoms, de l’énergie (M2M1
, infrastructures télécoms, compteurs communicants et
management de l’énergie) et de la gestion de documents (terminaux d’impression, logiciels et
solutions, dématérialisation). Le groupe Sagemcom est composé d'une soixantaine d'entités, présentes
dans plus de 40 pays. En Afrique, la seule entité est implémentée en Tunisie, SagemCom Tunisie et
SagemCom Software & Technologies. Ci-dessous l’organigramme de SagemCom :
Figure 2 Organigramme de SagemCom
1.1. SagemCom Tunisie
SagemCom est une nouvelle unité industrielle offshore, spécialisée dans l’électronique et les
équipements de télécommunications. Elle a été officiellement inaugurée le 10 juin 2003 à « Ben Arous
». Cette unité produit essentiellement des récepteurs à télécommande centralisée, des câbles en fibres
optiques et des cartes magnétiques (5 millions de cartes par an) et 1,5 million de produits finis. L’unité
emploie plus de 1600 personnes dont plus de 270 ingénieurs et techniciens supérieurs.
SagemCom est aussi un acteur majeur dans les domaines de la communication mobile et de la
communication haut débit, ayant acquis des positions mondiales grâce à un fort potentiel d’innovation.
1.2. Sagemcom Software & Technologies
Sagem Software et Technologies (SS&T) est un centre de recherche et de développement qui a
été créé le 18 juillet 2005. Elle opère dans le domaine des télécommunications, du traitement et de la
transmission numérique de l’information et des développements axés sur les technologies émergentes.
Cette cellule internationale emploie plus de 350 ingénieurs spécialisés dans :
1
M2M : Le concept de machine to machine, utilise les télécommunications et l'informatique pour permettre des
communications entre machines, et ceci sans intervention humaine.

Page 6
 La conception et le développement de logiciels pour les décodeurs TV numériques sous
Linux embarqué.
 Le développement des Drivers Windows et des logiciels d’installation des équipements
Sagemcom à l’égard des terminaux d’impression.
 Le test, l’intégration et la validation d’équipements et de systèmes de télécommunications
dont les passerelles résidentielles.
Figure 3 Produits SagemCom
2. Présentation du projet
Au cours de cette section, nous présentons le contexte de notre projet et ses objectifs. Le
planning du travail est détaillé par la suite.
2.1. Contexte du projet
Les terminaux résidentiels Sagemcom offrent des solutions à haute connectivité moyennant
diverses technologies d’accès et une multitude de services. Ces terminaux sont le cœur même de tout
réseau particulier ou professionnel. Conscient du fait que les passerelles sont hautement exposées aux
risques liés à la sécurité informatique (le piratage, l’intrusion et l’ingénierie inverse, etc) et afin de
proposer des produits hautement sécurisés à ses clients particuliers et professionnels, Sagemcom
propose d’élaborer, au sein d’un projet de fin d’études, le benchmarking, l’étude et la mise en place de
plusieurs outils de tests de sécurité. Ce projet sera concrétisé par la mise en place d’un plan de test
couvrant les principales failles et risques connus se basant sur l’état de l’art actuel. Ainsi que la mise
en place des outils choisis, dans une position de test.
Un plan de test sera finalement lancé sur une panoplie de produits Sagemcom permettant de
valider la pertinence de l’environnement de test proposé. Suite aux résultats obtenus, une analyse
objective devra être établie en vue de dégager les points forts et faibles de la solution choisie, ainsi que
la pertinence des résultats des tests effectués.

Page 7
2.2. Objectifs du projet
Afin d’atteindre l’objectif principal du projet, qui consiste à la mise en place d’une plateforme
de tests de sécurité et la définition d’un plan de tests qui couvre la quasi-totalité des failles et
vulnérabilités possibles sur les Terminaux résidentiels, il faut assurer les sous-objectifs suivants :
 Etablir un état de l’art en matière de piratage, intrusion, rétro ingénierie, etc touchant les
principaux axes de connectivités et des services offerts par les passerelles résidentielles.
 Etablir une liste d’outils libres assurant le déploiement des attaques déterminées par l’état de
l’art et par la suite réaliser un comparatif des outils disponibles et se fixer des choix optimums
basés sur l’efficacité, la facilité de déploiement, la personnalisation, la popularité, etc.)
 Dégager un plan de test clair assurant un test complet des produits sous tests. Ce plan va
couvrir jusqu’à 90% des scénarios envisageables et toucher à toutes les fonctionnalités de la
passerelle (accès réseau, Wifi, UPnP, VoIP, IHM)
 Déployer les outils sur une position de test et les personnaliser pour répondre aux besoins de
sécurité soulevés dans les premiers chapitres et assurer une couverture optimale en adéquation
avec le plan de tests défini.
 Dérouler une campagne de tests, sur au moins trois produits, basé sur le plan de test défini et
les outils mis en place. Une analyse des résultats va être établie et une critique objective sera
portée sur la plateforme et le plan de test en vue de la raffiner et réajuster, s’il est nécessaire.
2.3. Planification du déroulement du projet
Ce projet est divisé en cinq parties :
 Etape 1 : Documentation sur les passerelles résidentielles (produits Sagemcom)
 Etape 2 : Etude sur les différents attaques et failles possibles sur les TRs.
 Etape 3 : Choix d’une liste d’outils assurant les attaques déterminées dans l’état de l’art et la
mise en place d’une plateforme de tests de sécurité
 Etape 4 : Définition d’un plan de test clair qui couvre les services cibles d’attaques et qui
assure un audit complet des produits sous tests.
 Etape 5 : Déroulement d’une campagne basée sur le plan de test défini.
En vue de modéliser cette organisation, nous avons eu recours à l’outil de gestion de projet SodeaSoft
Gnt Planning (Voir figure 4).

Page 8
Figure 4 Diagramme de Gantt représentant les principales étapes du projet
Conclusion
Dans ce premier chapitre, nous avons présenté la société SagemCom. Ensuite Nous avons
détaillé le cadre du projet, et expliciter la problématique à résoudre. Finalement, nous avons décrit les
différentes étapes du projet. Le chapitre suivant sera donc consacré aux notions de base relatives à
notre projet, notamment la description des terminaux résidentiels et les notions relatives aux tests de
pénétrations ou en terme anglo-saxon le pentesting.

Chapitre 2 Concepts de base
Page 9
Dans ce chapitre, nous entamerons par une description des passerelles résidentielles (ou
terminaux résidentiels), de leurs caractéristiques fonctionnelles et de leur importance grandissante
dans la vie quotidienne, grâce entre autres à leur rôle dans toute offre d’accès aux services Internet. Par
la suite, nous présenterons les tests de pénétrations, en mettant en évidence leur intérêt, vu la haute
exposition des passerelles aux risques liés à la sécurité informatique.
1. Les terminaux résidentiels
1.1. Présentation des Terminaux Résidentiels:
Un Terminal résidentiel (TR) ou passerelle est un point du réseau qui agit comme une entrée
vers un autre réseau. Dans un réseau d’entreprise ou domestique, les passerelles offrent l’accès aux
utilisateurs du réseau local vers le réseau WAN (internet). Une passerelle typique contient des
fonctionnalités basiques pour une utilisation simple, ainsi elle offre au moins un ensemble des services
suivants:
 Accès internet via fibre optique (FTTH) ou ligne xDSL.
 Réseau local câblé et point d’accès WIFI pour assurer la connectivité entre plusieurs
équipements (ordinateur portable, Tablet PC, Smart phone, etc).

Page 10
 DHCP (Dynamic Host Configuration Protocol) pour offrir une configuration de réseau
TCP/IP fiable et simple, empêchant les conflits d'adresses et permettant le contrôle de
l'utilisation des adresses IP de façon centralisée.
 NAT (Network Address Translation) pour déployer ou héberger des applications et des
services au sein d’un réseau local afin de les rendre accessibles de l’extérieur.
 Firewall pour sécuriser le réseau local des attaques provenant de l’internet.
En plus de ces fonctionnalités basiques, les TRs offrent aussi les services suivants, selon les exigences
du fournisseur d’accès internet et de ses abonnés :
 Voix sur IP (VoIP).
 Service TV sur IP.
 DNS dynamique pour permettre l’accès à distance à un quelconque service hébergé en local
par l’utilisateur.
 UPnP pour interconnecter d’autres équipements tels que les périphériques de stockage,
console de jeux, téléphone UPnP, etc.
1.2. Les TRs SagemCom
Comme étant un leader mondial sur le marché des terminaux, SagemCom conçoit, produit et
met à disposition des opérateurs et des fournisseurs de services internet une gamme complète de home
Gateway permettant de mettre en œuvre de services d’accès haut débit et de solutions pour le réseau
numérique local [5]. Dans ce qui suit, nous allons introduire et décrire les différents modules et
fonctionnalités principalement offertes par ces TRs (Voir figure 5).
1.2.1. Accès internet haut débit
Doté d’une interface WAN universel (ADSL / ADSL2 / ADSL2+/VDSL2 et FTTH), les TRs
SagemCom permettent à son utilisateur de bénéficier d’un accès internet haut débit atteignant les 100
Mo/s pour exploiter les nouvelles technologies telles que la télévision et la téléphonie via internet etc.
1.2.2. Téléphonie
Les TRs SagemCom implémentent diverses technologies de téléphonie telles que la téléphonie
classique, fax compris, et la Voix sur IP. Pour exploiter ces technologies les TRs SagemCom offrent
aux utilisateurs la possibilité de connecter plusieurs types d’appareils téléphoniques (IP Phone, DECT,
téléphone, Fax).

Page 11
Figure 5 Connectivité et services des TRs SagemCom
1.2.3. TV sur IP
Les TRs SagemCom offrent la possibilité de s’abonner à des flux IP TV. Via une SetTopBox
connectée au TR l’utilisateur peut visualiser des flux vidéo soit en multicast soit à la demande (VOD).
1.2.4. Connectivité
Réseau local câblé
Les TRs SagemCom offre une solution complète pour l’interconnexion entre les différents
équipements via les interfaces Ethernet disponibles.

Page 12
Réseau sans fil (WIFI)
Les TRs SagemCom offrent la possibilité d’interconnecter les périphériques sans fils via le
WIFI. Ces TRs utilisent les trois normes connues du WIFI 802.11 b/g/n avec un débit qui peut
atteindre les 300MO/sec.
USB
Afin d’assurer la connectivité des différents équipements multimédia (imprimante, disque dur,
console de jeux, etc), les TR SagemCom utilise le protocole UPnP ainsi qu’un serveur DLNA pour le
partage de contenus multimédias.
1.2.5. Autres utilitaires et services
DHCP
Le TR SagemCom est à la fois un client DHCP et un serveur DHCP. A la mise sous tension,
le TR, comme étant un client DHCP, récupère les paramètres de connexion de son fournisseur d’accès
internet tels que l’adresse IP publique, la passerelle par défaut, le serveur DNS, le serveur NTP, etc.
Comme étant un serveur DHCP, le TR fournit aux équipements connectés à travers le réseau
local (sans fil et câblé) des paramètres de connexion tels que la plage d’adresse à utiliser, la passerelle
par défaut, etc.
Firewall
Afin d’assurer la sécurité du réseau local et le protéger des attaques provenant de l’extérieur,
les TRs SagemCom implémentent un pare-feu logiciel assurant trois niveaux de sécurité:
Niveau de sécurité
Trafic
entrant
trafic
sortant
remarque
Elevé rejeter rejeter
pour le trafic sortant, sauf pour les services suivants HTTP,
HTTPS, Telnet, FTP, DNS, IMAP, POP3, SMTP.
Moyen rejeter accepter -
Bas accepter accepter -
Tableau 1 Règles du pare-feu
DMZ
La DMZ ou une zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui-
ci et d'Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées
depuis Internet. Les TRs SagemCom offrent ce service d’une façon limitée, où on ne peut configurer
qu’un seul PC comme DMZ (une seule adresse IP et non pas un sous réseau).

Page 13
Port Forwarding
Le Port Forwarding ou redirection de port consiste à rediriger les paquets reçus d’un
ordinateur sur un port bien défini vers un autre ordinateur sur un autre port donné. Le Port Forwarding
est la combinaison de trois techniques :
 La translation d’adresse ou/et du port dans les paquets reçues vers une autre destination.
 L’acceptation des quelques paquets en se basant sur les règles du pare-feu.
 Le routage des paquets suivant le table de routage.
DNS dynamique
Le DNS dynamique est une méthode qui permet à un utilisateur d’attacher un nom de domaine
à une adresse IP WAN (reçue de la part du FAI) sans se préoccuper du changement de cette adresse.
Ainsi, on peut héberger un serveur web, ftp ou n’importe quelle autre application internet dans le
réseau local et y accéder à travers ce nom de domaine. Cette fonctionnalité est configurable d’une
façon très simple, il suffit de choisir le fournisseur de service (no-ip, DynDns.org,…) et de donner le
login, le mot de passe et le nom de domaine personnel.
Configuration et approvisionnement automatique de services
La gamme des services offerts par les TRs devient de plus en plus complexe et par conséquent
elle impacte la simplicité de la configuration à distance. L’intégration des technologies TR-069 facilite
l’installation et l’approvisionnement automatique des services. La configuration et la mise à jour du
TR se fait à distance et d’une façon automatique selon le contrat entre l’abonné et son FAI. Cette
fonctionnalité est très importante pour les deux parties du contrat pour plusieurs raisons, parmi
lesquelles on cite :
 La facilité de la tâche de configuration pour l’abonné.
 L’activation ou la désactivation des services selon le contrat.
Interface d’administration
 Interface WEB ou GUI : les TRs SagemCom offre un site web en local pour la
configuration. L’accès se fait par un navigateur (Firefox, chrome, etc) en introduisant un login
et un mot de passe.
 Telnet : Via un PC connecté en local, un utilisateur (avancé) peut accéder au TR à travers
Telnet pour l’administrer et le configurer.
 SSH : un utilisateur peut accéder d’une façon sécurisée avec SSH pour administrer et
configurer le TR.

Page 14
2. Tests de pénétration (Pentesting)
Vu que les TRs SagemCom offrent des solutions à haute connectivité à travers ses services, ils
sont hautement exposés aux risques liés à la sécurité informatique. Il est indispensable de vérifier leur
immunité face à ces risques réels et consistants. Pour cela, on a recours à des normes et des standards
dans le domaine de la sécurité informatique afin de remplir cette tâche.
2.1. Présentation du pentesting
Les tests de pénétration ou « Pentesting » est un ensemble de tests traduisant une méthode
d'évaluation de la sécurité d'un système informatique ou réseau en simulant une attaque malicieuse de
l’extérieur et les employés malveillants de l’intérieur. Le processus implique une analyse active du
système pour toutes les vulnérabilités potentielles qui pourraient résulter de la faiblesse de la
configuration du système et des défaillances liées aux défauts connus du hardware ou du software
utilisés. Cette analyse est effectuée en simulant un attaquant potentiel et peut dégager des exploitations
et des vulnérabilités au sein du système.
Les problèmes liés à la sécurité du système révélés à travers les tests de pénétration sont
présentés au propriétaire. Afin de réaliser des tests efficaces, le « Pentester » doit fournir des
évaluations précises et concrètes des impacts potentiels à l'organisation et définir la gamme des contre-
mesures techniques et procédurales pour réduire les risques.
Les tests de pénétration sont importants pour plusieurs raisons:
 Déterminer la faisabilité d'un ensemble d'attaques.
 Identifier les vulnérabilités à haut risque qui résultent d'une combinaison de quelques
vulnérabilités, de faible et de moyen risque, exploitables dans un ordre particulier.
 Identifier les vulnérabilités qui peuvent être difficiles ou impossibles à détecter avec des outils
d’auto-évaluation des vulnérabilités.
 Évaluer l'ampleur de l'activité opérationnelle et les impacts potentiels d’une ou plusieurs
attaques réussies.
 Tester la robustesse du mécanisme de la sécurité mise en place au sein du système.
2.2. Types du « Pentesting »
Les tests de pénétrations peuvent être réalisés de plusieurs façons. Généralement, ils se
différent en fonction du taux d’informations disponibles avant le démarrage des tests. Dans ce cas, on
peut parler des notions de « boite noire » ou « boite blanche » connue sous le nom de Black box
testing et White box testing:

Page 15
 Black box testing : c’est une méthode permettant de réaliser des tests fonctionnels ou non
fonctionnel s ne faisant pas référence aux structures internes du système en question. On
suppose que le système est une sorte de boite noire sur laquelle on va essayer de dégager le
maximum possible d’informations en se basant sur les résultats fournis des tests dans la phase
de collecte d’informations. Ces tests simulent une attaque réalisée à partir de l’extérieur de
l’entreprise.
 White box testing: Contrairement au « Black box testing», le « White box testing» est une
méthode de pentesting permettant de faire des tests sur un système dont on connait le
fonctionnement interne, l’architecture réseaux, l’emplacement des serveurs, les systèmes
d’exploitation utilisés, les langages de programmations des applications, les versions des
logiciels, etc. Les tests réalisés simulent des attaques à partir de l’intérieur en se basant sur
des informations récupérées par le vol de documents, etc.
Les deux méthodes de pentesting « Black & White » sont complémentaires et essentielles au
cours des testes de pénétrations. Les tests des boites blanches sont nécessaires pour déterminer des
failles et des vulnérabilités que les scanneurs des vulnérabilités automatiques ne peuvent pas
déterminer. L’inconvénient du « White Box testing » est que cette méthode est coûteuse en temps car
l'analyse manuelle est lente. De plus, si une erreur existe, il n’est pas aussi facile de déterminer son
exploitation [6].
2.3. Pentesting : Méthodologie et standard
Quand il s'agit de tests de pénétration, il n'y a pas une approche bien précise à suivre. Chaque
réseau diffère des autres, chaque système a ses propres spécifications et chaque entreprise a ses
propres objectifs de sécurité. Dans ce qui suit, nous allons présenter quelques standards et
méthodologies connus dans le monde de la sécurité informatique.
2.3.1. OSSTMM
La méthodologie « Open Source Security Testing Methodology Manual» (OSSTMM),
développée par « OpSec », décrit les démarches à suivre afin de réaliser un audit de sécurité complet
d’un système. [7]
L'OSSTMM est constituée de 5 sections distinctes: l'information et le contrôle de données, la
sensibilisation du personnel à la sécurité, le contrôle de fraudes et de l'ingénierie sociale, les réseaux
d'ordinateurs et les réseaux de télécommunications.
L'OSSTMM se focalise sur le choix des composantes à tester, sur les actions à effectuer avant,
pendant et après un test de sécurité et sur la manière de mesurer les résultats. De nouveaux tests

Page 16
relatifs aux meilleures pratiques internationales, aux lois et à la régularisation sont régulièrement
ajoutés et actualisés.
L’OSSTMM fournit une classification des périmètres à étudier comme suit
Classe sous classe Description
Sécurité physique
(PHYSSEC)
Humain
Des tests qui couvrent l'aspect humain de point de vue
physique et psychologique.
Physique
Des tests qui nécessitent un effort physique et un
contact direct avec la cible (accès à la salle des serveurs
par exemple).
Sécurité du spectre
(SPECSEC)
Sans fil
Des tests liés à l'aspect sans fil du système qui couvrent
aussi les communications électroniques (ELSEC),
signaux (SIGSEC) et les communications non câblés
(EMSEC).
Sécurité de la
communication
(COMSEC)
Télécommunication
Des tests qui couvrent les aspects liés à toute
communication câblée.
Réseaux
Des tests qui couvrent les communications établies
intra-système via le réseau câblé.
Tableau 2 Classification OSSTMM
2.3.2. OWASP
La méthodologie « Open Web Application Security Project » (OWASP) est une démarche à
suivre ainsi qu’un ensemble de tests et de recommandations pour analyser la sécurité des applications
web. Les tests d’OWASP sont catégorisés comme suit : [8]
 Collecter les informations : Phase de collecte d’informations sur l’application à tester.
 Tester les gestionnaires de configurations : cette phase couvre les gestionnaires de
configurations des bases de données, du site web, l’accès à distance (Telnet, SSH, etc)
 Tester les modules d’authentification: tester l’authentification et la vérification d’identité
lors de l’accès à l’application web.
 Tester les gestionnaires des sessions: tests sur les variables des sessions et cookies.
 Tester les autorisations : Ces tests couvrent les droits d’accès sur les données pour les
différents acteurs de l’application.
 Tester le logique métier: tester la démarche à suivre afin d’effectuer une tâche bien précise.
 Tester la validation des données reçues: ces tests couvrent le contrôle sur les données reçues
de la part des clients avant de les utiliser.
 Tester les attaques de type déni de service (DoS): tester la robustesse de l’application face à
des attaques de type DoS.
 Tester les web services: tester les web services utilisés par l’application afin d’étudier les
risques possibles à partir d’eux.
 Tester ajax: tester les fonctionnalités d’AJAX et les attaques qui peuvent les menacer.

Page 17
2.3.3. Autres standards et méthodologies:
« Penetration Testing Execution Standard » (PTES) fournit un ensemble de règles et de
recommandations afin d’établir des tests de pénétrations fiables et efficaces. PTES est structurée en
sept sections principales [9]:
 Pré-engagement : Cette phase présente principalement les discussions entre le testeur et le
client afin d’éclaircir les buts des tests à effectuer et de lui donner une idée sur les grandes
lignes des tests de pénétrations.
 Collecte d’information : Cette phase consiste à collecter les informations sur le système. Ces
informations incluent le comportement de système, les services, l’emplacement des machines,
le système de sécurité, etc.
 Modélisation des menaces : Dans cette étape on utilise les informations collectées afin de
déterminer les risques et les vulnérabilités qui menacent le système. On détermine aussi les
méthodes d’attaque les plus efficaces et les informations qu’on peut les récupérer suite à ces
attaques. Il faut toujours déterminer des méthodes plus récentes et les failles « zero day2
».
Pour récapituler, il faut penser comme un hacker.
 Analyse des Vulnérabilités : Il faut déterminer la façon avec laquelle on peut accéder à la
cible. Afin de mieux remplir cette tâche, il faut combiner les informations acquises et les
attaques possibles.
 Exploitation : C’est la phase la plus critique car il s’agit de l’exploitation des failles et les
vulnérabilités du système. Tous d’abord, il fait que le contrat signé entre le pentester et
l’entreprise gère les cas où un ou plusieurs tests provoque la mise hors service le système, total
ou partielle, pour éviter tous risque de poursuite judiciaire. Aussi, le pentester doit éviter les
exploits qui provoquent l’arrêt total ou quasi-total du système.
 Post Exploitation : Cette étape consiste à revérifier les systèmes des communications avec
d’autres systèmes ou infrastructures.
 Rapports : Le rapport des tests comporte :
o Qu’est ce qu’on a fait dans les tests.
o Comment on a fait ces tests.
o Comment on peut corriger les erreurs.
Conclusion
Au cours de ce chapitre, nous avons abordé les deux grands axes médiateurs de notre projet:
les terminaux résidentiels et les tests de pénétrations. Ainsi nous avons commencé par la présentation
2
Faille « Zero Day » :c’est une faille non reconnus des applications ou des services sur un système bien défini.

Page 18
des TRs, en particulier les TRs SagemCom, leurs fonctionnalités et les services qu’ils offrent. Ensuite
nous avons introduit le « Pentesting » et son importance dans le monde des TR.
Le troisième chapitre va joindre les deux axes et essayer de répondre à la question qui consiste
à mettre en œuvre le pentesting dans le cas d’une passerelle résidentielle. Ainsi nous allons détailler
chaque module offert par la passerelle : son fonctionnement et les différentes failles, vulnérabilités et
attaques possibles.

Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 19
Les TRs SagemCom offrent plusieurs services et fonctionnalités qui peuvent être classifiés en
modules que nous allons aborder dans ce chapitre, en mettant l’accent sur les vulnérabilités, les failles
et les attaques possibles ainsi que les outils nécessaires pour le déroulement d’un plan de test de
sécurité.
Nous pouvons d’ores et déjà classifier ces services ou modules comme suit :
 Module réseau : cette section couvrira les risques liés aux services réseaux offerts par les TRs,
notamment dus au :
o Scan de ports, services et détections des OS.
o Scan des vulnérabilités réseaux et GUI.
o Attaques possibles sur les interfaces d’administration à distance et exploitation.
 Module WIFI : dans cette section nous dégageons les différentes attaques et failles liées à la
connectivité sans fils et qui présentent un risque potentiel pour les TRs.
 Module UPnP : dans cette section, nous introduisons le fonctionnement et l’implémentation de
l’UPnP dans les TRs SagemCom et les risques que présente cette technologie.

Page 20
 Module VoIP : cette section sera consacrée aux risques et aux vulnérabilités liées à
l’implémentation de la téléphonie sur IP.
Tous les modules décrits ci-dessus seront accompagnés par une étude sur les différents outils
nécessaires pour tester leur sécurité. Ce chapitre sera finalement conclu par une étude comparative des
outils testés.
1. Module réseau
Cette partie va prendre la plus grande part de notre étude car elle comporte plusieurs axes à
traiter et elle représente le point d’entrée pour les autres modules. D’abord, nous abordons la phase de
collecte d’information, en mettant l’accent sur la partie du scan des ports, détections des services
tournant sur le TR ainsi que son OS. En second lieu, nous entamons le scan des vulnérabilités. Cette
partie va être devisée en deux sous parties : une consacrée aux scans automatiques des failles et des
vulnérabilités et l’autre consacrée aux scans manuels, soit avec des outils spécifiques ou avec des
exploits. Les recherches et les études réalisées dans cette partie se basent essentiellement sur les
résultats dégagés de la première partie, collecte d’information. Finalement, nous exposons les
différentes possibilités d’exploitations de ces failles et les outils correspondants.
1.1. Ports, services et OS
La première phase à aborder dans les tests de pénétration est la collecte d’informations. Cette
étape est très large dans le cas standard où les tests d’intrusion vont être appliqués sur un système
informatique complet (une architecture réseau, des serveurs, des routeurs, des commutateurs, des
zones DMZ, etc.). La collecte d’informations dans ce cas peut couvrir plusieurs vecteurs, allant de la
collecte d’informations publiques sur internet ou par des simples commandes comme « whois »,
passant par le « Google hack » jusqu'à le scan des ports et des services.
Dans notre cas les tests de pénétration vont être réalisés sur un seul dispositif, le terminal
résidentiel, donc plusieurs étapes et méthodes ne sont pas applicables. Le « Google hack » et la
commande « whois » ne fournissent aucune information utile puisque le TR est dédié à l’utilisation
domestique. La partie la plus importante est alors le scan des ports et des services.
L’importance de cette partie se concrétise dans le fait que les informations récupérées
présentent une base solide qu’un attaquant peut utiliser pour orienter ces attaques et éviter les tests
inutiles.

Page 21
1.1.1. Scan des ports
Le scan de port est une étape indispensable dans le pentesting. Son apport se présente dans le
fait qu’il fournit une description détaillée sur l’état des ports de la machine cible. Ce pseudo-rapport
nous donne une idée sur l’utilisation du port, affecté à un service bien défini ou une configuration
personnalisée par le système. Le scan de port est utilisé souvent par les pirates informatiques pour
tenter de trouver des vulnérabilités et des failles possibles sur la machine en question. On peut le
considérer comme tentative d’intrusion car il sert souvent à préparer des attaques possibles. Ce scan
nécessite des privilèges élevés pour pouvoir manipuler et créer des paquets de tests puisqu’il y a
plusieurs techniques possibles qui requièrent des modifications précises sur les différents champs des
paquets.
1.1.1.1. Types de scans des ports
Actuellement il existe plusieurs types de scan qui permettent de découvrir les ports et services
tournant sur ou derrière un équipement connecté au réseau internet. Etant donné que, dans la pile
TCP/IP, les deux protocoles les plus sollicités sont le TCP et l’UDP, nous allons donc nous intéresser
à ces deux familles de scan [10].
UDP Scan
Malgré que la plupart des services utilisent le protocole TCP dans leurs communications,
l’UDP est utilisé par plusieurs services importants comme le DNS, le SNMP ou le DHCP. Ce type de
scan consiste à envoyer un paquet UDP sans données (en-tête seulement) et l’état du port se base sur le
type du paquet reçu par la cible. Le scan UDP est généralement plus lent que le scan TCP.
TCP Scan
Connu aussi sous le nom de « TCP Connect », ce type est le plus simple des scans, il consiste
à établir une connexion avec la cible sur le port en question et à la fermer immédiatement. L’avantage
de ce type de scan est qu’il ne nécessite pas de privilèges spéciaux pour l’effectuer et utilise des
fonctions système (connect( ) sous Unix). En contre partie, l’inconvénient majeur de ce scan qui le
rend pratiquement inutilisable au moins depuis quelques années, c’est qu’il est bruyant et peut
facilement être détecté et l’adresse IP de l’attaquant va être logué par les systèmes de détections
d’intrusion.

Page 22
Figure 6 TCP Scan (sur un port ouvert)
SYN Scan
Ce type de scan est connu aussi sous le nom de « half-open scanning » car il n’établit jamais
une connexion TCP complète. C’est un autre type du TCP Scan où le scanneur de port dans ce cas
génère des paquets IP avec le fanion SYN activé. Si le port cible est ouvert alors il va répondre par un
paquet SYN-ACK et le scanneur à son tour envoie un paquet RST pour fermer la connexion avant que
le « handshake » soit achevé. Il peut être exécuté rapidement et scanner des milliers de ports par
seconde sur un réseau rapide et il est relativement discret et furtif.
Figure 7 SYN Scan (sur un port ouvert)
ACK Scan
Le but de ce scan n’est pas la détection de l’état du port (ouvert ou fermé) mais plutôt s’il est
filtré ou pas. Ceci est efficace pour tester l’existence d’un firewall ou de règles de sécurité. Le Le but
de ce scan n’est pas la détection de l’état du port (ouvert ou fermé) mais plutôt s’il est filtré ou pas.
Ceci est efficace pour tester l’existence d’un firewall ou de règles de sécurité. Le scanneur de port
dans ce cas envoie des paquets TCP avec le fanion ACK à 1.
Autres types de scan
Il y a des types de scan qui peuvent furtivement traverser certains pare-feux ou routeurs (State-
less). La plupart des IDS de nos jours sont configurés pour détecter ce type de scan. Ci-dessous, on
décrit le Fin Scan, TCP NULL Scan et X-mas Scan.

Page 23
 Fin Scan n’active que le drapeau FIN utilisé si le scan SYN est détecté par le firewall.
Figure 8 Fin Scan (sur un port ouvert)
 X-mas Scan active les trois drapeaux FIN, PSH et URG . La technique X-mas a été nommé en
souvenir de l’attaque de Kevin Mitnick sur le serveur de Tsutomu Shimomura le jour du noël
1994.3
Figure 9 XMAS Scan (sur un port ouvert)
 TCP NULL Scan n’active aucun drapeau de l’entête (entête TCP vaut 0).
Figure 10 TCP Null Scan (sur un port ouvert)
1.1.1.2. Technique d’évasion
Les systèmes de sécurité actuels sont très sophistiqués et intelligents. Ils peuvent détecter
même le scan de port car ils le considèrent comme attaque [11].
 FTP bounce : Cette technique consiste à utiliser un serveur FTP pour scanner un hôte distant
par rebond.
3
Le jour de noël 1994, Mitnick s'attaque à un expert en sécurité informatique et ancien hacker : le japonais
Tsutomu Shimomura.

Page 24
 TCP decoy : Cette technique consiste à leurrer l'hôte scanné, en dissimulant le scan parmi des
scans fictifs d'hôtes.
 Idle scan : Dans l'établissement standard d'une connexion (SYN – SYN/ACK – ACK), les
paquets transmis sont accompagnés d'un numéro d'identification appelé IPID. Ce dernier est
incrémenté régulièrement sur certains systèmes (en particulier Windows). La technique
consiste à exploiter cette faille afin de déterminer, en fonction de l'incrémentation de l'IPID,
l'état d'un port. La spécificité de cette attaque réside dans le fait que l'attaquant utilise un hôte
zombie afin de ne pas apparaître dans les fichiers journaux de l'hôte scanné.
 Utilisation de ports source autorisés : afin d'augmenter les chances de légitimer le trafic
généré par les scans, il est possible de forger les paquets en spécifiant des ports source
légitimes pour le firewall (20/tcp, 21/tcp pour FTP, 80/tcp pour HTTP, etc.). Ainsi, le firewall
est susceptible de laisser passer le trafic dans la mesure où il pourra le considérer comme un
retour de connexion légitime. De la même manière, pour les scans UDP, un trafic en
provenance du port 53/udp pourra être interprété par le firewall comme une réponse DNS.
Figure 11 Utiliser un port source autorisé pendant le scan
 Fréquence d'envoi des paquets : il est possible de rendre un scan plus furtif en espaçant
l'envoi des paquets à destination de la machine scannée.
 Fragmentation des paquets : Les détecteurs d'intrusions modernes comme Snort sont
capables, par réassemblage des paquets, de détecter le scan. Il existe par ailleurs des outils
spécifiques (tels que FragRouter) permettant de fragmenter tout ce qui sort d'un réseau.
 Scan ACK : certains firewalls interdisent les paquets qui n'ont pas le flag ACK actif afin de
limiter les tentatives d'intrusion.
Figure 12 Scan ACK

Page 25
1.1.1.3. Analyse des résultats
Chaque type de scan utilise des types bien spécifiques de paquets et par conséquence les
réponses diffèrent aussi. Le scanneur de ports analyse les réponses et détermine l’état des ports en
fonction des types de paquets reçus. Ci-dessous un tableau explicatif qui décrit chaque résultat en
fonction des paquets envoyés.
Type de scan Réponse reçue Etat du port
SYN Scan
paquet SYN/ACK ouvert
paquet RST fermé
ICMP (type3 code 1, 2, 3, 9,10 ou 13)
filtré
aucune réponse
TCP Scan
"3 handshake" établi ouvert
"3 handshake" non établi fermé
UDP Scan
ICMP (type3 code 1, 2, 9,10 ou 13) filtré
ICMP (type 3, code 3) fermé
Paquet UDP ouvert
ACK Scan
ICMP (type3 code 1, 2, 3, 9,10 ou 13) filtré
paquet RST non filtré
X-
MAS/FIN/TCP
NULL Scan
paquet RST fermé
ICMP (type3 code 1, 2, 3, 9,10 ou 13) filtré
aucune réponse ouvert/filtré
Tableau 3 Etat du port par type du scan et réponse
Le problème qui se pose maintenant, est que tous les systèmes ne respectent pas la RFC 7934
à la
lettre. Plusieurs systèmes renvoient des RST en réponse aux paquets reçus et ce quelque soit l'état du
port de destination, qu'il soit ouvert ou pas [12].
1.1.2. Scan des services
Le scan de services suit le scan de port et son importance se présente dans le fait qu’il sert à
détecter en premier lieu les noms des services tournant sur la machine cible et au-delà, il aide à
dégager beaucoup d’informations comme la version et le nom d’application (ISC Bind, Appache
httpd, Solaris telnetd, OpenRG telnetd, …). Ces informations seront très utiles pour le pentester, ainsi
que le hacker, pour déterminer si le système testé implémente des services vulnérables ou des versions
connues par leurs vulnérabilités et failles exploitables [13].
Le scan de services est basé sur le résultat de scan de port. Selon le numéro du port ouvert
détecté le scanneur traite et analyse les résultats.
 Si le port détecté ouvert est un port standard, comme les ports 25/tcp, 80/tcp et 53/udp, le
scanneur n’aura pas besoin de lancer d’autre requête sur le même port pour déterminer le nom
4
RFC 793 : Spécification du protocole TCP, mise en place par DARP (Defense Advanced Research Projects
Agency)

Page 26
des services, il utilise une base de données pour faire la correspondance. La plupart des
scanneurs ne se limitent pas à cette étape mais ils essayent de déterminer le type de service
(ex : jboss, tomcat, …). Cela est possibles en analysant les réponses reçues (ex : si le port 80
est ouvert donc il s’agit d’un serveur web (HTTP), ensuite le scanneur envoie une requête
« GET / » pour collecter plus d’information).
 Dans l’autre cas, où le port n’est pas standard (ex : 9003), le scanneur lance une série de test
pour déterminer les types de protocoles utilisés (ex.: ftp, ssh, telnet, http). Une fois le
protocole est fixé, le scanneur lance d’autres requêtes afin de connaître le nom de l'application
(ex: ISC Bind, Appache httpd, Solaris telnetd), le numéro de version, etc.
1.1.3. Détection d’OS
L’utilité de la détection d’OS, ou « OS fingerprinting », est assez évidente, car il existe
plusieurs failles de sécurité qui dépendent principalement du type de l’OS et sa version. Chaque faille
peut être exploités différemment d’un OS à un autre et généralement les exploits visent quelques
fichiers système et manipulent des comportements particuliers pour chaque OS. [14]
Parmi les techniques connues dans la détection de l’OS, nous citons la technique « TCP/IP
Fingerprinting ». Cette méthode consiste à envoyer jusqu'à 16 paquets TCP, UDP et ICMP aux ports
ouverts de la cible. Chaque paquet est envoyé au moins une fois si le port est fermé. Le scanneur
manipule tous les champs du paquet et les envoie dans un ordre spécial. Les résultats reçus
contiennent plusieurs attributs qui seront soigneusement analysés et traités, et en combinant plusieurs
résultats des différents types de paquets, le scanneur génère le fingerprint de ‘lOS.
Il arrive parfois que le scanneur ne parvient pas à collecter les informations nécessaires pour
déterminer l’OS de la cible à cause du manque de ports ouverts ou la mauvaise mise en place du
standard du protocole RFCs. Dans ce cas, certain scanneur génèrent une liste des OS possibles avec un
pourcentage d’approximation.
1.1.4. Outils de scan des ports
Il existe plusieurs outils de scan sur le marché. Il existe le libre, le gratuit, le payant, etc.
Chacun d’eux a ces propres spécifications et fonctionnalités. Dans notre cas, qui est un peu spécial, les
scans seront effectués sur un TR qui va surement provoquer des erreurs et des faux positifs pendant le
scan.
Critère de choix
Dans notre étude de comparaison entre les différentes solutions de scan, nous jouons sur les
critères de choix suivants:

Page 27
 Réalisation des tous les types des scans listés ci-dessus.
 Réalisation des scans de services.
 Réalisation de la détection de l’OS.
 License
 Utilisations
Outils proposés
 Nmap : C’est l’outil le plus connu comme scanneur de ports muni d’une base de données
énorme contenant plus que de 2700 signature d’OS et 7300 versions de services. Il présente un
outil très efficace pour le scan des ports. Il offre la possibilité d’utiliser et de créer des scripts
personnalisés.
 Unicornscan : C’est un scanneur de port connu. Iil assure aussi le scan des services mais il se
limite au nom du protocole sans donner des informations supplémentaires sur les services
détectés.
 Scanrand : C’est un scanneur du port simple sans détection d’OS ou des services.
 Hping3 : C’est un forgeur de paquet conçu principalement pour les tests de sécurité des
firewalls et des systèmes. Il peut être utilisé comme un scanneur de port car il offre la
possibilité de manipuler les champs d’un paquet à envoyer (TCP/UDP/IP/ICMP). Son
utilisation est dédiée pour les utilisateurs avancés.
Type des scans
type
de
License
utilisation plateforme
SYN
Scan
TCP
Scan
UDP
Scan
ACK
Scan
XMAS/FIN
/ TCP
NULL Scan
Scan des
services
Détectio
n de l'OS
NMAP X X X X X X X gratuit Simple Linux/Windows
Unicornscan X X X X X X gratuit Simple Linux
Scanrand X X X X X gratuit Moyen Linux
hping3 X X X X X gratuit Difficile Linux/Windows
Tableau 4 Tableau comparatif des outils de scan
1.2. Scan des vulnérabilités
Le scan de vulnérabilité est une étape indispensable dans les tests de pénétration. En se basant
sur les résultats des scans réalisés dans l’étape précédente, ports ouverts, nom du service, version, type
de l’OS et sa version, etc, le pentester doit dégager les risques et les failles qui peuvent présenter un
danger pour le système testé. Des bases de données énormes des vulnérabilités sont mises à disposition
des testeurs où chaque faille est décrite en détail avec la date de publication, la description détaillé, la
plateforme utilisée, la solution envisageable, l’exploit s’il existe et les références de la faille sur les
autres sites de vulnérabilités. Parmi ces sites nous trouvons :

Page 28
 OSVDB : Open Source Vulnerability Data Base est une base de données de vulnérabilités
developpée et mise en place par et pour la communité. Son but est la mise en place d’une
plateforme solide, riche en information et extensible pour toute information liée à la sécurité
informatique (vulnérabilité et faille).
 NVD de NIST : National Vulnerability Database, elle est mise en place et maintenue par la
National Institue of Standards and Technology.
 CVE : Common Vulnerability and Exposures, elle est mise en place et maintenue par MITRE
organisation sans but lucratif qui s’intéresse au intérêt publique.
 US-CERT Vulnerability Notes Database : c’est une base de données d’informations liées
aux vulnérabilités créé par le US-CERT (United State - Community Emergency Response
Teams)
1.2.1. Types de scan des vulnérabilités
Si le testeur ne veut pas utiliser les sites cités auparavant ou il n’arrive pas à trouver des
vulnérabilités connues sur le système testé comme pour notre cas terminal résidentiel avec un système
bien spécifique alors il existe plusieurs autres techniques et méthodes à utiliser qu’on peut classifier
sous deux procédures génériques:
 Evaluation manuelle des vulnérabilités : Dans ce cas le pentester a recourt à développer ses
propres cas de test et exploitations. Le cas le plus courant est celui des applications web car
chaque application web est personnalisée selon les besoins des utilisateurs et la technologie
utilisée.
 Evaluation automatique des vulnérabilités : Dans ce cas le pentester utilise des scanneurs
de vulnérabilités automatiques. Cette méthode est très avantageuse par rapport à la première
méthode notamment car elle nous fait gagner énormément de temps. Les scanneurs
automatiques de vulnérabilités couvrent toutes les failles connues (selon la version de
scanneur, la mise à jour, etc.).
Dans notre cas, les technologies utilisées dans la conception et la mise en place des services et
des applications implémentées dans le TR sont, plus ou moins, spécifiques aux besoins des TRs
SagemCom. Il est clair que nous allons rencontrer certains problèmes avec les scanneurs des
vulnérabilités car ils sont principalement dédiés pour des systèmes qui utilisent des technologies
largement utilisés et déployés.
Les scans manuels sont donc une étape à ne pas négliger, comme il est indique ci-dessus les
outils de scan peuvent générer des faux positifs ou carrément ne pas trouver de failles, et ceci car le
système testé est un peu particulier ou utilise des technologies non connues, voir propriétaires.

Page 29
1.2.2. Outils de scan des vulnérabilités
Dans cette section, on va présenter les différents types des scanneurs de vulnérabilités ainsi
que leur fonctionnement. Généralement ces outils peuvent être classés sous deux catégories.
 Scanneur de vulnérabilités générales qui couvre plusieurs axes : vulnérabilité réseaux,
vulnérabilité liés au système d’exploitation, vulnérabilité liés aux services, etc.
 Scanneurs de vulnérabilité pour un type bien spécifique de services ou d’applications. Sous
cette catégorie on trouve principalement les scanneurs des vulnérabilités des applications
WEB et en second lieu ceux des bases de données.
Dans le cas des TRs SagemCom, on a besoins que des scanneurs de vulnérabilités générales et ceux
des applications WEB.
1.2.2.1. Scanneur de vulnérabilités automatique
Il existe plusieurs solutions système sous cette catégorie, on va s’intéresser à Nessus, Nexpose,
OpenVAS, GFI Lan GUARD et QualysGuard :
 Nessus : Scanneur de vulnérabilités proposé par « Teenable », conçu pour être utilisé sur
plusieurs plateforme, il peut être installé sur un serveur à part et y accéder à partir de
n’importe quelle machine sur le réseau. Il existe deux versions version payante et
communautaire, la différence se concrétise dans les fonctionnalités et les services du support
technique. Il se base sur les « Policies ». Ces derniers se composent de plusieurs options de
configurations relatives au type de scan à réaliser tel que le type de scan de ports, les plugins à
utiliser, les paramètres d’authentification pour les bases de données, site web, etc. Par défaut,
Nessus offre quatre « Policies » :
o External Network Scan : Scan sur des machines à l’extérieur du LAN qui présentent
généralement moins de services pour les réseaux.
o Internal Network Scan : Scan sur des machines du LAN, ce scan est plus large que le
premier car il couvre plus de services.
o Web App Tests : Scan sur les failles et vulnérabilités Web.
o Prepare for DCI PSS audits : aide à se préparer pour un audit PCI DSS.5
 Nexpose : outil proposé par « Rapid7 », qui, comme « Nessus », offre deux versions, payantes
et communautaire, cette dernière est très limitée de point de vue fonctionnalités. Nexpose
nécessite un PC performant avec une configuration minimale présentant les caractéristiques
suivantes :
o 2 GHz processeur.
5
The Payment Card Industry Data Security Standard (PCI DSS) est une norme de protection des données pour
les organismes qui traitent la sécurité des informations de titulaire de carte pour le débit, le crédit, payé d'avance,
l'e-bourse, etc [33].

Page 30
o 2 GB (32 bits), 4 GB RAM (64 bits).
o 10 GB + d’espace vide sur le disque.
o 100 Mbps pour la carte réseau.
 OpenVas : OpenVAS « Open Vulnerability Assesement System » représente un système
d'évaluation de vulnérabilité open source et rassemble une gamme d’outils complète pour
scanner la sécurité du réseau. Le noyau « OpenVAS » est un composant de serveur qui assure
un ensemble de vulnérabilités « Network Vulnerability Tests » (NVTs) pour détecter les
problèmes de sécurité dans les systèmes distants et les applications.
 GFI Lan GUARD : outil payant de « GFI », pour les systèmes Windows, il est connu pour sa
simplicité d’utilisation.
 Qualys Guard: solution payante de « Qualys », sa particularité est quelle offre ses services
scan via le « Cloud Computing 6
» sous forme de « SaaS 7
». L’avantage majeur de cette
solution est quelle ne nécessite aucune installation et par conséquence l’administrateur ou le
responsable de la sécurité se concentre seulement sur les tests des pénétrations sans prendre en
compte la configuration et la mise en place dans le réseau local. Tous les traitements se font
chez les serveurs du fournisseur de services.
Ci dessous un tableau comparatif entre les outils décrits auparavant, en se basant sur les critères de
choix suivants:
 Temps d’exécution.
 License.
 Plateforme.
 Extensibilité.
 Utilisation.
6
Cloud Computing : un concept qui consiste à déporter sur des serveurs distants des traitements
informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste client de l'utilisateur.
7
SaaS : Software as a Service, le client utilise des applications offertes par le fournisseur du système Cloud,
certaine application peuvent être personnalisée par le client, on trouve par exemple Gmail, Google Documents,
Google Maps…

Page 31
Temps d'exécution type de License plateforme Extensibilité*
Utilisation**
Nessus
proportionnellement
aux tests
*** payant/communité Windows/linux Oui difficile
Nexpose 5 minutes
****
payant/communité Windows/linux Non moyen
OpenVas
proportionnellement
aux tests
*** gratuit linux Oui difficile
GFI
LanGUARD
proportionnellement
aux tests*** payant Windows Non facile
QualysGuard
plus ou moins long
(scan à distance)
payant tous (SaaS) Non difficile
*
: quelques outils listés peuvent être extensibles par l’intégration d’autre outils ou l’utilisation de plugins.
**
: l’utilisation est jugée de point de vue configuration et mise en place.
***
: les temps de scan peuvent varier de quelques minutes jusqu’à quelque heures selon la configuration utilisée.
****
: les scans proposés par la version communautaire du « Nexpose » ne dépassent pas les 5 minutes, ceci est dû à la
limitation des fonctionnalités et des types de tests.
Tableau 5 Tableau comparatif des scanneurs des vulnérabilités automatiques
1.2.2.2. Scanneur de vulnérabilités WEB
Vu que la plupart des services et applications convergent vers la technologie web, pour les
avantages qu’elle offre en termes de cout et de performance. Cette migration, malgré ses avantages,
portes aussi des inconvénients qui ont fait que le nombre de failles et de vulnérabilités à fortement
augmenté. Pour y remédier et du moins les détecter, il existe une gamme d’outils spécialisés dans les
scans des vulnérabilités web. Dans le cas des TRs SagemCom, les utilisateurs peuvent l’administrer à
travers son interface web (ou GUI). Les TRs vu leurs limitations de point vu ressources (RAM, CPU,
espace,…) ne peuvent pas implémenter des technologies web connue pour les grands serveurs, ou à la
limite les utiliser dans quelques fonctionnalités. La plus part des outils disponibles sur le marché, sont
dédiés pour des applications web utilisant des technologies connue (PHP, ASP, JSP,…) ou des CMS
(JOOMLA, DRUPAL, WordPress,…), ceci est explicable car ils sont souvent utilisés. [15]
Les critères de choix d’un scanneur de vulnérabilités sont nombreux, une étude comparatif à
été effectué par l’université de Californie sur des différents scanneurs afin de dégager les meilleurs.
Tableau 6 Liste des outils et leur type de licence

Page 32
Ci-dessous un graphe qui présente le pourcentage des faux négatifs par rapport au résultat corrects
selon le type de configuration; certains outils sont paramétrables et d’autre non.
Figure 13 Evaluation des resultats
Le temps d’exécution de scan est un critère très important de comparaison. Certains outils contiennent
beaucoup plus que des fonctionnalités et des tests qui vont influencer par suite la durée d’exécutions.
Figure 14 Temps d'exécutions du scan
Les tests réalisés sur les TRs SagemCom, pour le scan des vulnérabilités web, ont prouvé que
pour un système bien particulier, comme dans notre cas, on ne peut pas se limiter à l’utilisation d’un
seul outil car chacun d’eux peut dégager des informations utiles que les autres ne trouvent forcément
pas. Une autre remarque est que quelques outils classés parmi les meilleurs n’arrivent même pas à
générer des résultats logiques et raisonnables sans parler de liens inexistant. Ces trois outils sont les
plus appropriés pour notre cas, Nikto, SkipFish et un proxy web (ZAP de OWASP). ZAP est un proxy
web qui sert à intercepter les requêtes http et peut faire des modifications sur leurs paramètres. Dans le
cas d’authentification dans un site web, il est indispensable d’utiliser un proxy pour tester tous le
contenu du site.

Page 33
1.3. Exploits et autres types d’attaques
1.3.1. Exploits
C’est la dernière étape de la partie réseaux. Après toutes les étapes réalisées : scan des ports et
services, détection de l’OS et scan des vulnérabilités, il faut bien les mettre en valeur et les utiliser afin
de vérifier qu’ils s’agissent de vraie failles et défaillances ou juste des alertes de type faux négatifs. Il
existe plusieurs méthodes possibles pour vérifier ce point et rédiger un rapport solide et complet qui
contient une description réelle des vulnérabilités.
Le testeur dans cette étape a le choix entre utiliser des exploits publics disponibles sur les sites
des exploits ou rédiger ces propres exploits ou encore utiliser un outil de pénétrations comme le
fameux « MetaSploit ». Les sites des exploits :
 Security Focus : Chaque vulnérabilité et accompagnée par les différents exploits possibles.
 Exploit database : archive des exploits des applications et des systèmes. Ces derniers sont
classés sous plusieurs catégories.
La distribution « BackTrack 5 » offre un outil de recherche dans la base de données d’exploits.
Un petit script développer permet de faire la mise à jour des exploits. (Voir annexe 2)
Metasploit était un projet open-source sur la sécurité informatique qui fournit des
informations sur des vulnérabilités, aide à la pénétration de systèmes informatisés et au développement
de signatures pour les IDS. Le plus connu des sous-projets est le Metasploit Framework, un outil pour
le développement et l'exécution d'exploits contre une machine distante. Les autres sous-projets
importants sont la base de données d'Opcode8
, l'archive de shellcode, et la recherche dans la sécurité.
1.3.2. Autres types d’attaques
Craquage des mots de passe :
Les attaques dont on va parler dans cette section, sont liées aux consoles d’administration à
distance offert par le TR. Toujours, en se basant sur les résultats des autres scans on peut déterminer
les types de ces consoles (Telnet, SSH). L’attaque la plus connu est l’attaque brute force ou attaque par
dictionnaire pour tenter plusieurs combinaisons de mots de passe.
Plusieurs outils disponibles sont dédies à ces types d’attaque. Parmi eux, on peut citer les plus
connus dans le monde du libre ; Cain & Abel, John the Ripper, Ophcrack et Hydra.
8
Opcode : numéro qui précède chaque instruction afin de déterminer sa nature. (Ex : pour l’architecture x86,
l’Opcode 0x6A correspond à l’instruction PUSH.

Page 34
Attaque DDOS:
Ce sont les attaques qui provoquent l’arrêt total ou partiel d’un service ou d’un système
pendant un certain temps. Le hacker envoi plusieurs paquets TCP sans prendre en considération les
réponses reçues du serveur. Ce dernier, pour chaque requête reçue, il alloue quelques ressources
(Mémoire, Temps processeur, …). Après certain temps, le serveur sera hors service due à la surcharge
des ressources. [35]
2. Module UPnP
2.1. Présentation
Le terme UPnP (Universal Plug and Play) dérivé de Plug and Play ou «on branche et ça
marche» désigne une technologie pour attacher dynamiquement les périphériques à l'ordinateur. De ce
fait, UPnP reprend les concepts de PnP pour les étendre à tout le réseau, facilitant la recherche, la
découverte et la communication entre différents équipements connectés au réseau local.
En effet, cette technologie a été promulguée en 1999 par l’UPnP Consortium, démarré par
Microsoft. Le Forum UPnP comporte au mois de décembre 2009 plus de 894 fournisseurs y compris
des leaders de l‘industrie spécialisés dans le domaine informatique, réseau, systèmes électroniques,
domotique, technologies mobiles, etc.
UPnP est un protocole qui vise à simplifier le déploiement des différents équipements à savoir
les ordinateurs, les équipements électroniques et les équipements mobiles sur le réseau domestique et
assurer leur interopérabilité. Pour ce faire, UPnP utilise TCP/IP et d'autres protocoles IP afin de gérer
des éléments de proximité et exécuter des commandes à distance, etc.
Fonctionnement
Le protocole UPnP comporte six phases fondamentales citées ci-dessous. Ces phases
permettent à un périphérique de s‘intégrer dans le réseau et de communiquer avec les autres
périphériques.
En effet, un périphérique UPnP doit passer tout d‘abord par les phases d‘adressage, de
découverte et de description. Une fois la phase de description achevée, le périphérique UPnP entre
dans les phases de contrôle, de notification et de présentation. Ces trois dernières phases qui sont
indépendantes chronologiquement permettent aux différents équipements UPnP d‘exploiter les
services offerts par les périphériques.
Profile UPnP
Un profil est un ensemble de paramètres et d’actions qui peuvent former un modèle de
fonctionnement cohérent. Les profiles les plus connues sont :

Page 35
 Internet Gateway Device (IGD).
 Audio/Video (A/V), basis for DLNA.
Plusieurs profils UPnP contiennent des sous profils. Chaque sous profil inclut des actions et
attribues. Ci-dessous un graphe qui présente l’hiérarchie des profils les plus utilisés ainsi que les
principales actions dédiées à chacun d’eux. [16]
Figure 15 Principaux profils UPnP et actions
2.2. Risques et vulnérabilités
Les attaques UPnP visent la vulnérabilité du protocole qui n’exige aucune authentification
avant l’exécution de quelques actions. Si l’UPnP est activé, un utilisateur malveillant connecté sur le
réseau peut lancer des commandes malveillantes en utilisant quelques outils simples et à la portée de
tout le monde. (exemple : action « ForceTermination() » du profile « WANIPConnection » coupe la
connexion vers le réseau WAN).
La défaillance majeure est dans l’action « AddPortMapping », plusieurs attaques peuvent être
réalisées en se basant sur cette action, exactement sur l’attribut « NewInternelClient ».
AddPortMapping permet au client UPnP d’ajouter des règles dans le TR afin d’acheminer le
trafic désiré vers une destination qui est souvent l’adresse IP du client. Un utilisateur malveillant peut
l’utiliser afin de réaliser ces attaques :
 Redirection du trafic vers une autre machine sur le réseau : cette approche consiste à rediriger
un trafic indésirable arrivant s ur un port X vers une autre adresse bien spécifique.

Page 36
Figure 16 Redirection vers une autre adresse locale
 Redirection du trafic vers l’adresse local du TR : une telle opération permet à un attaquant de
réaliser des attaques sur les services offert en local par le TR (ex : interface web).
Figure 17 Redirection vers l'adresse locale du TR

Page 37
 Redirection du trafic vers une adresse IP routable (WAN) : cette opération permet de réaliser
des attaques à travers le TR.
Figure 18 Redirection vers une autre adresse WAN
 Une autre attaque possible est l’exécution d’un code Shell sur les TRs basés sur Linux. Au lieu
d’une vraie adresse IP, l’attaquant peut insérer un bout de code dans l’attribue
«AddPortMapping » qui va être exécuté au sein du TR. Cette injection du code est très limitée
et elle ne doit pas dépasser la taille d’une adresse IP (15 caractères). On peut redémarrer le TR
par une action «AddPortMapping» dont l’attribue « NewInternalClient = "‘/sbin/reboot‘" ».
2.3. Outils
Pour tester les services UPnP, il nous faut quelques outils de tests dont on cite :
 Sniffeur UPnP : pour capturer le trafic UPnP sur le réseau.
 Point de contrôle UPnP : pour détecter les périphériques UPnP et utiliser les actions qu’ils
fournissent.
« Intel Tools for UPnP Technologie » est un ensemble complet d’outils dédié pour les systèmes
d’exploitation Windows permettant de tester l’UPnP. Il inclut les outils suivants :
 Intel Device Spy.
 Intel AV Media Controller.
 Intel Device Sniffer.

Page 38
Dans le monde du libre, on trouve un outil similaire à « Intel Tools ». « GUPnP » et « UPnP
Inspector ». Ces outils offrent une interface graphique et assure la découverte des périphériques UPnP
et le test les différentes actions possibles.
3. Module WIFI
3.1. Présentation
Comme il est indiqué dans le premier chapitre, Les TRs SagemCom offrent la possibilité
d’interconnecter les périphériques sans fil via le WIFI. L’émission des ondes radio ne peut pas être
limitée dans un périmètre restreint pour éviter l’interception indésirable des données par un tiers.
Plusieurs techniques et approches sont mises en place pour assurer la protection des
communications entre les différents équipements d’un même réseau :
 Chiffrement des données : les deux techniques connues sont WEP et WPA.
o Le WEP, Wired Equivalent Privacy est un protocole permettant de sécuriser les
réseaux sans fil de type Wifi. Ces réseaux diffusant les messages échangés par ondes
radioélectriques, sont particulièrement sensibles aux écoutes clandestines. Le WEP
tient son nom du fait qu'il devait fournir aux réseaux sans fil une confidentialité
comparable à celle d'un réseau local filaire classique. Cependant, plusieurs
vulnérabilités ont été identifiées dans ce protocole, qui lui rend pratiquement
inutilisable aujourd’hui.
o Le WPA, Wi-Fi Protected Access est un mécanisme permettant aussi de sécuriser les
réseaux sans fil de type Wifi. Il a été créé en réponse aux nombreuses et sévères
faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. Il
présente deux modes à savoir :
 WPA personnel (WPA-Personal) : connu également sous le nom de mode à
secret partagé ou WPA-PSK (Pre-shared key). Chaque équipement du réseau
sans fil s'authentifie auprès du point d'accès en utilisant la même clé sur 256
bits.
 WPA entreprise (WPA-Enterprise) : connu également sous le nom de mode
WPA-802.1X ou WPA-EAP, WPA entreprise est conçu pour les réseaux
d'entreprise et demande à ce que l'on utilise un serveur d'authentification
RADIUS.
 Filtrage MAC : cette méthode peut être combinée avec le chiffrement des données transmises
afin d’ajouter un niveau de sécurité définissant la liste des équipements autorisés par adresse
MAC.

Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles

Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (8)

Similaire à Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles

Similaire à Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles (20)

Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles