1. Audit et Sécurité Informatique
Chap 1: Services, Mécanismes et attaques de sécurité
Rhouma Rhouma
https://sites.google.com/site/rhoouma
Ecole superieure d’Economie Numerique
3ème année Licence
1 / 54
2. Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
2 / 54
3. Services et Mécanismes de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
3 / 54
4. Services et Mécanismes de sécurité
Objectifs de la sécurité : CIA
Autres : Authenticité, la responsabilité
4 / 54
5. Services et Mécanismes de sécurité
Attaques, services et Mécanismes
Attaque : Toute action qui compromet la sécurité de l’information
Mécanisme de sécurité : Un mécanisme qui est conçu pour
détecter, prévenir, ou se remettre d’une attaque de sécurité.
Service de sécurité : Un service qui améliore la sécurité des
systèmes de traitement de données et les transferts d’information.
Un service de sécurité fait usage d’un ou plusieurs mécanismes
de sécurité
5 / 54
6. Services et Mécanismes de sécurité
Services de Sécurité
Confidentialité : Pour protéger contre toute écoute
Authentification : Pour savoir qui a crée et envoyé le message ?
Intégrité : Être sur que la donnée ou msg n’a pas été altéré
Non-Répudiation : ne pas nier une transaction
Contrôle d’accès : pour empêcher l’utilisation abusive des
ressources
Disponibilité (permanence) : contre le DoS et les virus
6 / 54
8. Services et Mécanismes de sécurité
Méthodes de défenses
Chiffrement de données
Contrôle d’accès software : limiter l’accès aux bases de données,
protéger chaque utilisateur des autres utilsateurs
Contrôle d’accès hardware : ex Cartes à puce
Politiques de sécurité : changer fréquemment les mots de passes
Utiliser les Firewalls, les systèmes de détection d’intrusion, les
anti-virus
utiliser les réseaux VLAN pour cacher les différents parties des
réseaux
pour accès distant utiliser les VPN : Virtual Private Network
8 / 54
9. Logiciels malveillants
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
9 / 54
11. Logiciels malveillants
Logiciels Malveillants
Backdoor : Point d’entrée secrète dans un programme : utilisés
par les developpeurs
Bombe logique : code inséré ds un programme légitime et sera
activé : presence/absence de quleque fichiers, date particulière,
serie de frappes particulière sur le clavier.
Cheval de Troie : Programme qui semble avoir une fonction mais
en fait une autre : souvent caché sous forme d’un jeu, mise à jour
d’un software
Zombie (Bot) : Programme qui, secrètement, prend le contrôle
sur un autre ordinateur du réseau pour lancer des attaques
indirectement (DoS)
virus : Une portion de code qui infecte les programmes. chaque
virus est spécifique pour un système d’exploitation et un hardware
puisqu’il profite de leurs détails et leurs faiblesses.
Ver : Code actif Autonome qui peut se répliquer à des hôtes
distants sans déclenchement
11 / 54
12. Attaques de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
12 / 54
13. Attaques de sécurité Attaques Actives & Passives
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
13 / 54
15. Attaques de sécurité Attaques Actives & Passives
Attaques de sécurité
Interruption : Ceci est une attaque sur la disponibilité
Interception : Ceci est une attaque sur la confidentialité
Modification : Ceci est une attaque sur l’intégrité
Fabrication : Ceci est une attaque sur l’authenticité
15 / 54
16. Attaques de sécurité Attaques Actives & Passives
Attaques Passives et Actives
Les attaques passives :
Une attaque passive tente
d’apprendre ou d’utiliser
l’information du système,
mais n’affecte pas les
ressources du système
Relativement difficile à
détecter, mais plus facile à
prévenir
Les attaques actives
Une attaque active tente de
modifier les ressources du
système ou d’affecter leur
fonctionnement
Relativement difficile à
éviter, mais plus facile à
détecter
16 / 54
17. Attaques de sécurité Attaques Actives & Passives
Attaques Passives et Actives
17 / 54
18. Attaques de sécurité Attaques Actives & Passives
Attaque Passive : Lecture du contenu du msg
18 / 54
19. Attaques de sécurité Attaques Actives & Passives
Attaque Passive : Analyse du Trafic
19 / 54
20. Attaques de sécurité Attaques Actives & Passives
Attaque Active : Mascarade
20 / 54
21. Attaques de sécurité Attaques Actives & Passives
Attaque Active : Replay Attack
21 / 54
22. Attaques de sécurité Attaques Actives & Passives
Attaque Active : Modification
22 / 54
23. Attaques de sécurité Attaques Actives & Passives
Attaque Active : Denial of Service (DoS)
23 / 54
24. Attaques de sécurité Attaques DoS
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
24 / 54
25. Attaques de sécurité Attaques DoS
Denial of Service
Une tentative par des attaquants afin d’empêcher les utilisateurs
légitimes d’un service d’utiliser ce service
Modèle de la menace DoS :
La consommation de connectivité et / ou la bande passante réseau
La consommation d’autres ressources, par exemple file d’attente,
CPU
La destruction ou l’alternance de la configuration de l’information :
Paquets malformés peuvent mettre une application en confusion et
l’amener à geler
Destruction physique ou alternance des composants de réseau
Consomme la mémoire système : un script de programme se fait
des copies
consomme la mémoire disque : générer beaucou
d’emails,générer beaucoup d’erreurs, placer des fichiers dans des
zones partagées de la mémoire
25 / 54
26. Attaques de sécurité Attaques DoS
DoS : Attaque smurf
Envoyer une requete ping à une addresse broadcast (ICMP echo
Req)
Réponses de partout du réseau :
Chaque hôte sur le réseau cible génère une réponse de ping
(ICMP Echo Reply) à la victime
Le flux de réponse Ping peut surcharger la victime
Prévention : rejeter les packets externes vers les adresses
broadcast.
26 / 54
28. Attaques de sécurité Attaques DoS
Pourquoi DDoS ?
Peut-on trouver BadGuy ? celui qui a initié l’attaque ?
l’initiateur de l’attaque a utilisé les handlers (gestionnaires)
l’initiateur n’est pas actif lorsque l’attaque DDoS se produit
on peut essayer de trouver les agents
il faut une nalyse de trafic sur différents points du réseau
28 / 54
31. Attaques de sécurité Attaques DoS
SYN Flooding Attack
90% des attaques DoS ont pour origine TCP SYN folooding
exploite une vulnérabilité dans l’établissement de la connection
TCP
le serveur commence des connexions "semi-ouverte"
Ces demandes de connexions se multiplient jusqu’à la file
d’attente est pleine et les requêtes additionnelles sont bloqués.
31 / 54
34. Attaques de sécurité Attaques DoS
Rappel établissement Connexion TCP
Émetteur (client) et récepteur (Serveur) établissent une "connexion"
avant d’échanger des données
le client envoie un segment TCP SYN au serveur :
spécifie une sequence initiale seq#
pas de données
serveur reçoit SYN et répond par sagement SYNACK
Serveur alloue des buffers
spécifie la séquence de serveur initiale seq#
Le client reçoit SYNACK du serveur et répond par ACK qui peut
contenir des données
34 / 54
37. Attaques de sécurité Attaques DoS
Syn flooding : analyse
l’adversaire a envoyé plusieurs segments TCP/syn
37 / 54
38. Attaques de sécurité Attaques DoS
SYN flooding
Attaquant envoie de nombreuses demandes de connexion avec
des adresses sources usurpées (Adress spoofing)
Victime alloue des ressources pour chaque demande
Une fois les ressources épuisées, les demandes des clients
légitimes se voient refuser
c’est la DoS classique : ça ne coûte rien à l’initiateur TCP pour
envoyer une demande de connexion, mais le récepteur doit
reserver des ressources pour chaque demande
38 / 54
39. Attaques de sécurité Attaques DoS
Détection de DoS
Analyser le comportement des paires SYN-FIN
ou analyser le comportement des paires SYNACK-FIN
Mais RST viole la regle SYN-FIN
Passive RST : transmise après l’arrivé d’un packet à un port fermé
(par le serveur)
Active RST : initié par le client pour abondonner une connexion
TCP
donc les paires SYN-RSTactive sont aussi normales
39 / 54
40. Attaques de sécurité Attaques DoS
paires SYN-FIN
Generalement chaque SYN a un FIN
on ne peut dire si les RST sont active ou passive
generalement 75% des RST sont actives
40 / 54
41. Attaques de sécurité Attaques DoS
Prévention de DoS
DoS est causée par une allocation asymétrique des ressources
si le récepteur alloue des ressources pour chaque connexion,
l’adversaire peut initier des milliers de connnexions à partir des
adresses usurpées et trafiquées
Les Cookies assurent que le récepteur n’alloue des ressources
que si l’incitateur a envoyé au moins deux messages
l’etat du récepteur est enregistré dans une cookie et envoyé à
l’initiateur
41 / 54
43. Attaques de sécurité ARP spoofing et flooding
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
43 / 54
44. Attaques de sécurité ARP spoofing et flooding
ARP spoofing
ARP (Adress Resolution Protocol) : il permet de trouver une
adresse niveau 2 (Ethernet) à partir d’une adresse niveau 3 (IP).
fonctionnement :
client : who has 10.1.2.3 ? ?
n’importe qui : 10.1.2.3 is at 09 :0A :0B : :0C :0D :0E
c’est fait de forger des réponses, même non-sollicités, pour
rediriger le trafic
44 / 54
45. Attaques de sécurité ARP spoofing et flooding
ARP flooding
le hacker change a chaque fois son adresse MAC et diffuse
ensuite la paquet ARP
45 / 54
46. Attaques de sécurité DHCP starvation
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
46 / 54
47. Attaques de sécurité DHCP starvation
DHCP starvation
le hacker change son MAC et demande une configuration IP
47 / 54
48. Attaques de sécurité Snifer
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
48 / 54
50. Attaques de sécurité Snifer
Sniffer : analyse d’une trame Ethernet
type de protocole selon
et pour le protocol transport : (6 -> TCP, 1 -> ICMP, UDP -> 17) 50 / 54
51. Attaques de sécurité Snifer
Sniffer : analyse d’une trame Ethernet
Analyser la trame ethernet suivante :
51 / 54