1
17 Septembre 2014 
ETHICAL HACKING – THE BASICS 
2
“If you know yourself but not the enemy, for 
every victory gained you will also suffer a 
defeat.” 
Sun Tzu, The Art of W...
Introduction 
4
Hacking vs. Ethical Hacking 
• Hacking : Exploiter les faiblesses/fragilités 
d’un système informatique pour accéder à 
de...
Hacking vs. Ethical Hacking 
• Ethical Hacking : Utilisation des outils et 
des techniques de Hacking afin d’identifer 
le...
Quelques chiffres 
7
Quelques chiffres 
8 
262,813 
Complaints Reported 
to the IC3 in 2013
Quelques chiffres 
9 
$781,840,611 
Total Loss Reported 
to the IC3 in 2013
Quelques chiffres 
10
Terminologie 
• Exploit 
Le moyen utilisé pour casser la sécurité 
d’un système informatique. 
Logiciels malicieux, comman...
Terminologie 
• Vulnérabilité 
Défaut de conception ou 
d’implémentation qui pourra permettre 
d’accéder aux ressources no...
Terminologie 
• Cible d’évaluation 
Système informatique, produit, composant 
sujet à une évaluation de sécurité. 
13
Terminologie 
• Attaques Zero-day 
Attaques qui exploitent les failles Zero-day. 
• Failles Zero-day 
Des vulnérabilités d...
Terminologie 
• Daisy Chaining 
Après avoir pris le contrôle d’un système, 
le hacker efface ses traces et l’utilise pour ...
Eléments de la sécurité 
16 
Confidentialité 
Disponibilité Intégrité
Eléments de la sécurité 
• Confidentialité 
C’est l’assurance que l’information n’est 
accessible qu’aux personnes ayant l...
Eléments de la sécurité 
• Intégrité 
C’est la fiabilité des données ou des 
ressources en termes de prévention des 
chang...
Eléments de la sécurité 
• Disponibilité 
C’est l’assurance que le système soit 
accessible pour les utilisateurs autorisé...
Eléments de la sécurité 
20 
Confidentialité 
Disponibilité Intégrité
Eléments de la sécurité 
21 
Confidentialité 
Disponibilité Intégrité 
Non répudiation Authenticité
Eléments de la sécurité 
• Authenticité 
La qualité de communication, des 
documents ou des données doit être 
authentique...
Eléments de la sécurité 
• Non répudiation 
C’est l’assurance que les parties d’un 
contrat ne peuvent pas nier l’authenti...
Menaces et vecteurs d’attaque 
24
Vecteurs d’attaques 
25 
Cyber Crime Logiciels non patchés Malwares ciblés 
Système d’information 
Complexité de 
l’infras...
Menaces de sécurité 
Menaces Naturelles Menaces Physiques 
Inondations 
Tremblements de terre 
Catastrophes naturelles .. ...
Menaces de sécurité 
Menaces Humaines 
Réseau Hôte Application 
Information Gathering 
Malware Attacks 
Sniffing 
Target F...
Classes des Hackers 
28
Classes des Hackers 
Black Hats White Hats Gray Hats Cyber Terrorists 
29
Classes des Hackers 
Script Kiddies Spy Hackers Suicide Hackers State Sponsored 
30
Phases du Hacking 
31
Phases du Hacking 
• Reconnaissance 
• Scan 
• Prise d’accès 
• Maintien d’accès 
• Backtracking 
32
Phases du Hacking 
• Reconnaissance 
Etape de récolte d’informations. 
Passive : Sans interaction avec la cible 
(informat...
Phases du Hacking 
• Scan 
Extension de la reconnaissance active. 
Utiliser des outils pour déterminer les 
ports ouverts,...
Phases du Hacking 
• Prise d’accès 
Accéder au système cible en exploitant les 
vulnérabilités trouvées. 
35
Phases du Hacking 
• Maintien d’accès 
Utilisation d’un Backdoor ou d’un Cheval 
de Troie (Trojan). 
36
Phases du Hacking 
• Backtracking 
Suppression de toutes les évidences de la 
présence du hacker dans le système ainsi 
qu...
Conclusion 
38
L’Ethical Hacking est-il nécessaire ? 
L'évolution débridée de la technologie 
entraine une croissance des risques qui y 
...
L’Ethical Hacking est-il nécessaire ? 
• Ethical Hacking : puisque le piratage 
comprend de l'intelligence et la créativit...
L’Ethical Hacking est-il nécessaire ? 
• Stratégie de Défense en Profondeur : 
Afin d'y parvenir, les organisations doiven...
Défense en profondeur 
42
43
Prochain SlideShare
Chargement dans…5
×

Introduction à l'Ethical Hacking

1 358 vues

Publié le

Présentation du 18 Septembre 2014 :
Introduction à l'Ethical Hacking.
Introduction
Terminologies
Eléments de la sécurité
Vecteurs d'attaques
Classes des hackers
Phases du hacking
Conclusion

Introduction à l'Ethical Hacking

  1. 1. 1
  2. 2. 17 Septembre 2014 ETHICAL HACKING – THE BASICS 2
  3. 3. “If you know yourself but not the enemy, for every victory gained you will also suffer a defeat.” Sun Tzu, The Art of War 3
  4. 4. Introduction 4
  5. 5. Hacking vs. Ethical Hacking • Hacking : Exploiter les faiblesses/fragilités d’un système informatique pour accéder à des données/ressources non autorisées. • Hacker = The Enemy. 5
  6. 6. Hacking vs. Ethical Hacking • Ethical Hacking : Utilisation des outils et des techniques de Hacking afin d’identifer les faiblesses au niveau d’un système informatique. • Ethical Hacker = Simule les attaques du Hacker. 6
  7. 7. Quelques chiffres 7
  8. 8. Quelques chiffres 8 262,813 Complaints Reported to the IC3 in 2013
  9. 9. Quelques chiffres 9 $781,840,611 Total Loss Reported to the IC3 in 2013
  10. 10. Quelques chiffres 10
  11. 11. Terminologie • Exploit Le moyen utilisé pour casser la sécurité d’un système informatique. Logiciels malicieux, commandes, profiter des vulnérabilités matérielles et logicielles. 11
  12. 12. Terminologie • Vulnérabilité Défaut de conception ou d’implémentation qui pourra permettre d’accéder aux ressources non autorisées (Bypass). 12
  13. 13. Terminologie • Cible d’évaluation Système informatique, produit, composant sujet à une évaluation de sécurité. 13
  14. 14. Terminologie • Attaques Zero-day Attaques qui exploitent les failles Zero-day. • Failles Zero-day Des vulnérabilités détectées dans les applications avant que le développeur ne réalise un patch ou un correctif. 14
  15. 15. Terminologie • Daisy Chaining Après avoir pris le contrôle d’un système, le hacker efface ses traces et l’utilise pour attaquer d’autres systèmes. 15
  16. 16. Eléments de la sécurité 16 Confidentialité Disponibilité Intégrité
  17. 17. Eléments de la sécurité • Confidentialité C’est l’assurance que l’information n’est accessible qu’aux personnes ayant l’accès. 17
  18. 18. Eléments de la sécurité • Intégrité C’est la fiabilité des données ou des ressources en termes de prévention des changements non autorisés. 18
  19. 19. Eléments de la sécurité • Disponibilité C’est l’assurance que le système soit accessible pour les utilisateurs autorisés. 19
  20. 20. Eléments de la sécurité 20 Confidentialité Disponibilité Intégrité
  21. 21. Eléments de la sécurité 21 Confidentialité Disponibilité Intégrité Non répudiation Authenticité
  22. 22. Eléments de la sécurité • Authenticité La qualité de communication, des documents ou des données doit être authentique et non corrompue. 22
  23. 23. Eléments de la sécurité • Non répudiation C’est l’assurance que les parties d’un contrat ne peuvent pas nier l’authenticité de leurs signatures. 23
  24. 24. Menaces et vecteurs d’attaque 24
  25. 25. Vecteurs d’attaques 25 Cyber Crime Logiciels non patchés Malwares ciblés Système d’information Complexité de l’infrastructure Coopération avec les gouvernements Réseaux sociaux Applications réseaux Menaces internes Botnets Manque d’experts en sécurité Virtualisation Hacktivism Sécurité Mobile Politiques de sécurité
  26. 26. Menaces de sécurité Menaces Naturelles Menaces Physiques Inondations Tremblements de terre Catastrophes naturelles .. Pertes ou dommages des ressources Intrusions physiques Sabotage et espionnage Hackers Social Engineering Manque de conscience 26 Menaces Humaines
  27. 27. Menaces de sécurité Menaces Humaines Réseau Hôte Application Information Gathering Malware Attacks Sniffing Target Footprinting Spoofing Password Attacks Session Hijacking Denial of Service Man-in-the-Middle Arbitrary Code Execution SQL Injection Privilege Escalation ARP Poisoning Back-door Attacks Denial of Service Physical Security Threats Data/Input Validation Authentification Attacks Information Disclosure Session Management Buffer Overflow Cryptography Attacks Error Handling Auditing and Logging 27
  28. 28. Classes des Hackers 28
  29. 29. Classes des Hackers Black Hats White Hats Gray Hats Cyber Terrorists 29
  30. 30. Classes des Hackers Script Kiddies Spy Hackers Suicide Hackers State Sponsored 30
  31. 31. Phases du Hacking 31
  32. 32. Phases du Hacking • Reconnaissance • Scan • Prise d’accès • Maintien d’accès • Backtracking 32
  33. 33. Phases du Hacking • Reconnaissance Etape de récolte d’informations. Passive : Sans interaction avec la cible (informations publiques). Active : Interagit avec la cible (ports, services, architecture…) 33
  34. 34. Phases du Hacking • Scan Extension de la reconnaissance active. Utiliser des outils pour déterminer les ports ouverts, le mapping système, l’infrastructure de sécurité… Scan de vulnérabilités. 34
  35. 35. Phases du Hacking • Prise d’accès Accéder au système cible en exploitant les vulnérabilités trouvées. 35
  36. 36. Phases du Hacking • Maintien d’accès Utilisation d’un Backdoor ou d’un Cheval de Troie (Trojan). 36
  37. 37. Phases du Hacking • Backtracking Suppression de toutes les évidences de la présence du hacker dans le système ainsi que ses activités. 37
  38. 38. Conclusion 38
  39. 39. L’Ethical Hacking est-il nécessaire ? L'évolution débridée de la technologie entraine une croissance des risques qui y sont associées. L’Ethical Hacking tend à prévoir ces vulnérabilités et anticiper les attaques. 39
  40. 40. L’Ethical Hacking est-il nécessaire ? • Ethical Hacking : puisque le piratage comprend de l'intelligence et la créativité, les tests de vulnérabilité et d'audits ne peuvent pas assurer la sécurité du réseau. 40
  41. 41. L’Ethical Hacking est-il nécessaire ? • Stratégie de Défense en Profondeur : Afin d'y parvenir, les organisations doivent implémenter une stratégie de défense en profondeur en pénétrant leur réseau pour estimer les vulnérabilités et les exposer. 41
  42. 42. Défense en profondeur 42
  43. 43. 43

×