SlideShare une entreprise Scribd logo
1  sur  81
Institut Supérieur de Comptabilité
et d’Administration des Entreprises

SECURITE DU SYSTEME
D’INFORMATION (SSI)
3 IAG

1
2010-2011
CHAPITRE 2
Les risques et menaces
informatique

2
Protection et sécurité

3
Sécurité informatique
• La confidentialité
– Contraintes sur la divulgation d’informations
• P.ex. qu’un fichier ne soit pas lu par un utilisateur n’ayant pas les droits
d’accès
– P.ex: que personne d’autre que le commerçant apprenne un numéro de carte
de crédit dans une transaction de commerce électronique

• L’intégrité
– Contraintes sur les modifications d’informations
• P.ex. que seul le propriétaire d’un fichier puisse changer les droits d’accès
– P.ex: seule la banque peut modifier le contenu d’un compte

• La disponibilité
– Contraintes sur l’accessibilité d’informations et de services
• P.ex: un utilisateur ne doit pas être empêché de lire ses propres mails
– P.ex: que le serveur de banque soit toujours accessibles aux participants
4
d’une transaction de commerce électronique
Sécurité informatique
• La protection
– Ensemble des mécanismes qui contrôlent les actions
des utilisateurs (processus/programmes)
• P.ex. le chiffrement des données sur disque ou sur le réseau,
mots de passe, matériel du processeur qui restreint l’adresse
générée et qui empêche les programmes utilisateurs de
communiquer avec le contrôleur de disque

• La sécurité
– La préservation de la confidentialité et de l’intégrité des
informations du système
• Une attaque est une action qui peut violer la sécurité
• Une attaque peut être intentionnelle ou accidentelle
• La sécurité est mise en œuvre par des mécanismes de
protection

5
6
7
8
9
10
Les menaces

11
Les menaces
- L'espionnage
• Principalement d'origine étatique cette menace concerne particulièrement les
informations stratégiques d'une nation. Les renseignements d'ordre militaire,
diplomatique, mais aussi, économiques, industriels, technologiques, scientifiques,
financiers et commerciaux seront recherchés en priorité.
• S'il est moins fréquent, mais surtout non avoué que des entreprises ou des sociétés aient
recours à l'espionnage, nous pouvons imaginer l'intérêt que cela représente pour leur
activités en gain de temps et d'investissement. Les techniques restent les mêmes et la
différence se fera sur l'ampleur des moyens utilisés. Il est concevable de penser que des
États utilisent leurs services de renseignement pour fournir des informations à leurs
industriels. Il est aussi de notoriété publique que des sociétés privées offrent leur
services pour obtenir des renseignements.
• L'espionnage va tenter d'enfreindre les mesures de sécurité qui protègent la
confidentialité des informations.
- La perturbation
• L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de
fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des
erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible.
• La perturbation va influer sur la disponibilité et l'intégrité des services 12 des
et
informations d'un SI.
Les menaces (suite)
- Le vol
• Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il
s'agit de données et encore plus de ressources informatiques. En effet une simple
copie suffit pour s'approprier une information. Cette opération n'est pas toujours
facile à déceler.
• Le vol de données va permettre d'enfreindre les mesures de sécurité protègent la
confidentialité des informations. Le vol de ressources est plus insidieux, car il se
peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à la
disponibilité des informations et des services.
- La fraude physique
• Elle peut consister à récupérer les informations oubliées ou non détruites par
l'adversaire ou le concurrent. l'attaquant portera une attention particulière aux
listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques
classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers
des organismes visés.
• Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de
sécurité qui protègent la confidentialité des informations.
13
Les menaces (suite)
- Le chantage
• Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que de
nombreuses données concernant la vie privée des personnes ou les activités d'une
organisation sont gardées sur des ordinateurs.
• Le chantage peut aussi porter sur une menace de sabotage à l'encontre des installations
d'une organisation.
• La chantage peut mettre en cause aussi bien la confidentialité, l'intégrité, que la
disponibilité des informations et des services.
- Le sabotage
• Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou
une de ses composantes.
• Le sabotage porte atteinte à l'intégrité des informations mais surtout à la disponibilité
des services.
- Les accès illégitimes
• Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant
son identité. Elle vise tout particulièrement l'informatique.
• Les accès illégitimes portent atteinte à la confidentialité des informations.
14
Attaquants
•Pirates
•Fraudeurs
•Espions
•Terroristes
15
Pirates
Nous proposons les deux profils de pirate les plus souvent identifiées :
- hacker :
individu curieux, qui cherche à se faire plaisir. Pirate par jeu ou par
défi, il ne nuit pas intentionnellement et possède souvent un code
d'honneur et de conduite [1]. Plutôt jeune, avec des compétences non
négligeables, il est patient et tenace ;
- cracker :
plus dangereux que le hacker, cherche à nuire et montrer qu'il est le
plus fort. Souvent mal dans sa peau et dans son environnement, il peut
causer de nombreux dégâts en cherchant à se venger d'une société - ou
d'individus - qui l'a rejeté ou qu'il déteste. Il veut prouver sa
supériorité et fait partie de clubs où il peut échanger des informations
avec ses semblables.
16
Fraudeurs
Les fraudeurs se répartissent en deux catégories avec des compétences similaires :
- le fraudeur interne :
possédant de bonnes compétences sur le plan technique, il est de préférence
informaticien et sans antécédents judiciaires. Il pense que ses qualités ne sont
pas reconnues, qu'il n'est pas apprécié à sa juste valeur. Il veut se venger de
son employeur et chercher à lui nuire en lui faisant perdre de l'argent. Pour
parvenir à ses fins il possède les moyens mis à sa disposition par son
entreprise qu'il connaît parfaite- ment.
- le fraudeur externe :
bénéficiant presque toujours d'une complicité, volontaire ou non, chez ses
victimes, il cherche à gagner de l'argent par tous les moyens. Son profil est
proche de celui du malfaiteur traditionnel. Parfois lié au grand banditisme, il
peut attaquer une banque, falsifier des cartes de crédit ou se placer sur des
réseaux de trans- fert de fonds, et si c'est un particulier il peut vouloir fausser
sa facture d'électricité ou de téléphone.

17
Espions
Ils travaillent pour un État ou pour un concurrent. Choisis pour leur sang-froid et leur
haut niveau de qualification, il sont difficiles à repérer.
- l'espion d'État : professionnel, entraîné, rompu à toutes les techniques, il dispose de
nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller
jusqu'à acquérir, légalement ou non, une copie du système qu'il veut attaquer pour
l'analyser et l'étudier sous toutes ses coutures. Il est patient et motivé. Il exploite les
vulnérabilités les plus enfouies d'un SI car elles seront les plus difficiles à détecter
et il pourra les utiliser longtemps. Il sait garder le secret de sa réussite pour ne pas
éveiller les soupçons et continuer son travail dans l'ombre.
- l'espion privé : souvent ancien espion d'État reconverti, il a moins de moyens mais une
aussi bonne formation.

Terroristes

Moins courant, le terroriste est aidé dans sa tâche par l'interconnexion et l'ouverture des
réseaux.
- le terroriste : très motivé, il veut faire peur et faire parler de lui. Ses actions se veulent
spectaculaires.
18
Techniques d’attaque

19
Techniques d’attaque
- Attaques physiques
Nous plaçons ici les attaques qui nécessitent un accès
physique aux installations ou qui se ser- vent de
caractéristiques physiques particulières. La destruction
pure et simple ou la coupure d'une ligne ne sont pas
évoquées car non spécifiques à l'informatique
- Attaques Logiques

20
Attaques physiques
- Interception
L'attaquant va tenter de récupérer un signal électromagnétique et de
l'interpréter pour en déduire des informations compréhensibles. L'interception
peut porter sur des signaux hyper- fréquences ou hertziens, émis, rayonnés, ou
conduits. L'agresseur se mettra ainsi à la recher- che des émissions satellites,
et radio, mais aussi des signaux parasites émis par les SI, principalement par
les terminaux, les câbles et les éléments conducteurs entourant les SI. Les
techniques d'interception seront très variées pour les différents cas évoqués.
- Brouillage
Utilisée en télécommunication, cette technique rend le SI inopérant. C'est une
attaque de haut niveau, car elle nécessite des moyens importants, qui se
détectent facilement. Elle est surtout utilisée par les militaires en temps de
crise ou de guerre.
- Écoute
L'écoute consiste à se placer sur un réseau informatique ou de
télécommunication et à analyser et à sauvegarder les informations qui
transitent. De nombreux appareils du commerce facilitent les analyses et
permettent notamment d'interpréter en temps réel les trames qui circulent sur
un réseau informatique.
21
Attaques logiques
- intrusion
Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire
passer pour quelqu'un d'autre et obtenir les privilège ou des droits de celui dont on
usurpe l'identité.
Un utilisateur est caractérisé par :
– ce qu'il est, (empreintes, digitales ou rétiniennes, vocales, ou toute autre
authentifiant biométrique),
– ce qu'il possède (un badge, une carte mag- nétique, à puce, un jeton, un
bracelet...)
– ce qu'il sait (un mot de passe, sa date de naissance, le prénom de ses parents...).
Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs
éléments propres à l'utilisateur.
Si le contrôle d'accès au SI se fait par mot de passe, l'attaquant tentera de le lire
quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le réseau.
Si le contrôle d'accès se fait avec une carte à puce, l'attaquant cherchera à
22
reproduire une.
Attaques logiques
- Substitution
•

Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant
des terminaux distants. L'agresseur écoute une ligne et intercepte la
demande de déconnexion d'un utilisateur travaillant sur une machine
distante. Il peut alors se substituer à ce dernier et continuer une session
normale sans que le système note un changement d'utilisateur.
• Un cas bien connu est celui des ordinateurs sur un réseau local qui ne
sont déclarés que par leur adresse Internet. Un attaquant peut alors
attendre qu'une machine soit arrêtée pour se faire passer pour elle en
usurpant l'adresse de la machine éteinte.
- Saturation (denie de service)
• Cette attaque contre la disponibilité consiste à remplir une zone de
stockage ou un canal de communication jusqu'à ce que l'on ne puisse
plus l'utiliser. Il en résultera un déni de service.
23
24
Les infections informatique
•
•
•
•
•
•
•

Virus
Cheval de troie
Ver
Bombe
Spam
Spayware
keylogger
25
Virus
•

•

Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent le
corps humain, un virus est un programme malicieux capable de se reproduire et qui
comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de
fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se
propager en se recopiant sur un programme et de se déclencher comme une bombe
logique quand un événement se produit.
Ses actions ont généralement comme conséquence la perte d'intégrité des informations
d'un SI et/ou une dégradation ou une interruption du service fourni.

26
Cheval de Troie
• On appelle « Cheval de Troie » (en anglais trojan
horse) un programme informatique effectuant des
opérations malicieuses à l'insu de l'utilisateur.
• Le nom « Cheval de Troie » provient d'une
légende
• La légende veut que les Grecs, n'arrivant pas à
pénétrer dans de la ville Troie , eurent l'idée de
donner en cadeau un énorme cheval de bois en
offrande à la ville en abandonnant le siège.
27
Cheval de Troie (suite)
Les troyens (peuple de la ville de Troie),
apprécièrent cette offrande à priori inoffensive et
la ramenèrent dans les murs de la ville.
Cependant le cheval était rempli de soldats cachés
qui s'empressèrent d'en sortir à la tombée de la
nuit, alors que la ville entière était endormie, pour
ouvrir les portes de la cité et en donner l'accès au
reste de l'armée ...
28
Cheval de Troie (suite)
Un cheval de Troie peut par exemple :
- copier des données sensibles,
- exécuter tout autre action nuisible,
- voler des mots de passe .
Pire, un tel programme peut créer, de l'intérieur de votre
réseau, une brèche volontaire dans la sécurité pour
autoriser des accès à des parties protégées du réseau à des
personnes se connectant de l'extérieur.
Les principaux chevaux de Troie sont des programmes
ouvrant des ports de la machine, c'est-à-dire permettant à
son concepteur de s'introduire sur votre machine par le
réseau en ouvrant une porte dérobée. C'est la raison pour
laquelle on parle généralement de backdoor
29
Cheval de Troie (suite)
• Le principe des chevaux de Troie étant
généralement (et de plus en plus) d'ouvrir un port
de votre machine pour permettre à un pirate d'en
prendre le contrôle (par exemple voler des
données personnelles stockées sur le disque), le
but du pirate est dans un premier temps d'infecter
votre machine en vous faisant ouvrir un fichier
infecté contenant le troyen et dans un second
temps d'accéder à votre machine par le port qu'il a
ouvert.
30
Cheval de Troie (suite)
Fonctions réseau
Ordinateur

65536 ports

Port WWW
Port SMTP
Port POP3

Internet

Port FTP

Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et
sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive
par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port
pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de
31
suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas
échéant, s’il est actif, auquel cas le message lui est transmis.
Cheval de Troie (suite)
Fonctions réseau
Ordinateur

65536 ports

Port WWW
Port SMTP
Port POP3
Port associé
à un logiciel pirate

Internet

Port FTP

32
Cheval de Troie (suite)

Partie affichée publiquement,
alléchante pour les utilisateurs

Partie secrète
à l’usage du pirate

Logiciel offert gratuitement sur Internet
prétendant vous rendre service
33
Les bombes logiques
•

Les bombes logiques sont des dispositifs programmés dont le
déclenchement s'effectue à un moment déterminé en exploitant la date
du système, le lancement d'une commande, ou n'importe quel appel au
système.

•

Ainsi ce type de virus est capable de s'activer à un moment précis sur
un grand nombre de machines (on parle alors de bombe à retardement
ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou
la date anniversaire d'un événement majeur : la bombe logique
Tchernobyl s'est activée le 26 avril 1999, jour du 3ème anniversaire de
la catastrophe nucléaire ...

•

Les bombes logiques sont généralement utilisées dans le but de créer
un déni de service en saturant les connexions réseau d'un site, d'un
service en ligne ou d'une entreprise.
34
Ver
•

Un ver informatique (en anglais worm) est un programme qui peut s'auto
reproduire et se déplacer à travers un réseau en utilisant les mécanismes
réseau, sans avoir réellement besoin d'un support physique ou logique (disque
dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus
réseau.

•

Les vers actuels se propagent principalement grâce à la messagerie (et
notamment par le client de messagerie Outlook) grâce à des fichiers attachés
contenant des instructions permettant de récupérer l'ensemble des adresses de
courrier contenues dans le carnet d'adresse et en envoyant des copies à tous
ces destinataires.

•

Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des
fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque
l'utilisateur destinataire clique sur le fichier attaché.

•

Il est simple de se protéger d'une infection par ver. La meilleure méthode
consiste à ne pas ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en
35
fichier attachés.
Spams
•

•

•

Le spamming consiste à envoyer massivement des e-mails de type généralement publicitaire
(dit aussi "junk mail"), à un grand nombre de personnes n'ayant pas sollicité ce type d'envoi
publicitaires, engorgeant ainsi les serveurs de messagerie et vos boites à lettres de messages
publicitaires inutiles, non sollicités et généralement mensongers. Les e-mails "spammés"
constituent actuellement la quasi-moitié des e-mails "circulant" à l'échelle planétaire
Le but premier du spam est généralement de faire de la publicité à moindre cout. Toutefois, Il
est aussi source d'essai d'abus, via des offres alléchantes (vous avez gagné ...) et bien sures
mensongères, dont le but est de vous attirer à acheter un produit ou un service douteux, ou bien
d'essayer de vous abuser, en vous extorquant de l'argent (grâce à dieu, peu de personnes de chez
nous
possèdent
des
cartes
de
crédit
en
devises
..).
Il est aussi parfois question de publicité "politique" ou "religieuse" dangereuses pour les enfants
(l'église de Scientologie avait récemment envoyé 1200 spams en 15 jours sur un groupe de
discussion).
Il est intéressant de noter à ce sujet le nouveau phénomène apparu, consistant dans l'exploitation
de virus Internet (vers) pour leur jouer le rôle de diffuseurs (relais) de spam, dans un essai de
contourner l'efficacité des outils anti-spam.

•
36
Spams
•
•
•
•
•
•

Le principal inconvénient du "Spam" est la gêne et la perte de temps induites
aux internautes :
Gaspillage de temps (et donc d'argent) des utilisateurs, qui doivent trier leur
courrier et nettoyer leurs boites à lettres plus fréquemment,
Risque de leurrer un message important, "caché" entre les multiples messages
de "spam",
"Corruption" des utilisateurs non avertis, avec des offres alléchantes, et bien
sûr fausses,
Atteinte à la morale, via des messages de publicité sexuels, politiques ou
religieux ...
- Le second inconvénient, non moins important, du spamming touche la bande
réseau qu'il consomme inutilement, monopolisant "inutilement" une bonne
partie de la bande passante et rendant ainsi l'Internet moins rapide (AOL
avait une fois reçu 1.8 million d 'e-mails de spams de "Cyberpromotion" : le
plus important "spammeur" du réseau Internet). Cela induit des coûts
supplémentaires pour les fournisseurs de service et d'accès à Internet car ils
doivent acheter des ordinateurs supplémentaires, pour renforcer leurs serveurs
de courrier et mettre en place une plus grande largeur de bande pour
contrecarrer la consommation de bande induite par le Spam.
37
Spyware
• Un espiogiciel (en anglais spyware) est un
programme chargé de recueillir des informations
sur l'utilisateur de l'ordinateur sur lequel il est
installé ( on l'appelle donc parfois mouchard) afin
de les envoyer à la société qui le diffuse pour lui
permettre de dresser le profil des internautes (on
parle de profilage).

38
Spyware (suite)
• Les récoltes d'informations peuvent ainsi être :
- la traçabilité des URL des sites visités,
- le traquage des mots-clés saisis dans les moteurs
de recherche,
- l'analyse des achats réalisés via internet,
- voire les informations de paiement bancaire
(numéro de carte bleue / VISA)
- ou bien des informations personnelles.
39
Spyware (suite)
• Les spywares s'installent généralement en même
temps que d'autres logiciels (la plupart du temps
des freewares ou sharewares).
• En effet, cela permet aux auteurs des dits logiciels
de rentabiliser leur programme, par de la vente
d'informations statistiques, et ainsi permettre de
distribuer leur logiciel gratuitement. Il s'agit donc
d'un modèle économique dans lequel la gratuité
est obtenue contre la cession de données à
caractère personnel.
40
Keylogger
Un keylogger (littéralement enregistreur de touches)
est un dispositif chargé d'enregistrer les frappes de
touches du clavier et de les enregistrer, à l'insu de
l'utilisateur. Il s'agit donc d'un dispositif
d'espionnage.
Certains keyloggers sont capables d'enregistrer les
URL visitées, les courriers électroniques consultés
ou envoyés, les fichiers ouverts, voire de créer une
vidéo retraçant toute l'activité de l'ordinateur .
41
Keylogger (suite)
Dans la mesure où les keyloggers enregistrent toutes
les frappes de clavier, ils peuvent servir à des
personnes malintentionnées pour récupérer les
mots de passe des utilisateurs du poste de travail !
Cela signifie donc qu'il faut être particulièrement
vigilant lorsque vous utilisez un ordinateur en
lequel vous ne pouvez pas avoir confiance (poste
en libre accès dans une entreprise, une école ou un
lieu public tel qu'un cybercafé).
42
Déroulement d’une attaque
informatique

43
44
Méthodologie d’une intrusion sur
un réseau
Pour s'introduire dans un système informatique les pirates
utilisent une méthodologie, il ne faut pas connaître
comment compromettre un système mais comprendre la
façon dont il peut l'être afin de mieux pouvoir s'en
prémunir.
En effet, la meilleure façon de protéger son système est de
procéder de la même manière que les pirates afin de
cartographier les vulnérabilités du système.
Le principe de la protection est de ne pas donner aucune
précision sur la manière dont les failles sont exploitées,
mais expliquer comment faire pour les déceler et les
corriger.
45
Méthodologie globale
Les pirates (hackers) ayant l'intention de s'introduire
dans les systèmes informatiques recherchent dans
un premier temps des failles, c'est-à-dire des
vulnérabilités nuisibles à la sécurité du système,
dans les protocoles, les systèmes d'exploitations,
les applications ou même le personnel 'une
entreprise.
Les termes de vulnérabilité ( brèche ou en langage
plus familier - trou de sécurité « en anglais
security hole ») sont également utilisés pour
désigner les failles de sécurité.
46
Méthodologie globale
• Pour pouvoir mettre en oeuvre un EXPLOIT il s'agit du
terme technique signifiant exploiter une vulnérabilité), la
première étape du pirate consiste à récupérer le maximum
d'informations sur l'architecture du réseau et sur les
systèmes d'exploitations et applications fonctionnant sur
celui-ci. La plupart des attaques sont l'oeuvre de script
kiddies essayant bêtement des exploits trouvés sur Internet,
sans aucune connaissance du système, ni des risques liés à
leur acte.
• Une fois que le pirate a établi une cartographie du système,
il est en mesure de mettre en application des exploits
relatifs aux versions des applications qu'il a recensées. Un
premier accès à une machine lui permettra d'étendre son
action afin de récupérer d'autres informations, et
éventuellement d'étendre ses privilèges sur la machine. 47
Méthodologie globale
• Lorsqu'un accès administrateur (le terme anglais
root est généralement utilisé) est obtenu, on parle
alors de compromission de la machine (ou plus
exactement en anglais root compromise), car les
fichiers systèmes sont susceptibles d'avoir été
modifiés. Le pirate possède alors le plus haut
niveau de droit sur la machine.
• S'il s'agit d'un pirate, la dernière étape consiste à
effacer ses traces, afin d'éviter tout soupçon de la
part de l'administrateur du réseau compromis et de
telle manière à pouvoir garder le plus longtemps
possible le contrôle des machines compromises.
48
La récupération d'informations
sur le système
L'obtention d'informations sur l'adressage du réseau visé,
généralement qualifiée de prise d'empreinte, est un
préalable à toute attaque. Elle consiste à rassembler le
maximum d'informations concernant les infrastructures de
communication du réseau cible :
• Adressage IP,
• Noms de domaine,
• Protocoles de réseau,
• Services activés,
• Architecture des serveurs,
49
Consultation de bases publiques
• En connaissant l‘adresse IP publique d'une des
machines du réseau ou bien tout simplement le nom de
domaine de l‘entreprise, un pirate est potentiellement
capable de connaître l'adressage du réseau tout entier,
c'est-à-dire la plage d'adresses IP publiques
appartenant à l‘entreprise visée et son découpage en
sous réseaux.
• Pour cela il suffit de consulter les bases publiques
d'attribution des adresses IP et des noms de domaine :
http://www.iana.net
http://www.ripe.net pour l'Europe
http://www.arin.net pour les Etats-Unis
50
Consultation de moteurs de
recherche
• La simple consultation des moteurs de
recherche permet parfois de récupérer
des informations sur la structure d'une
entreprise, le nom de ses principaux
produits, voire le nom de certains
personnels.

51
Balayage du réseau
• Lorsque la topologie du réseau est connue par le pirate, il peut
le scanner (le terme balayer est également utilisé), c'est-à-dire
déterminer à l'aide d'un outil logiciel (appelé scanner ou
scanneur en français) quelles sont les adresses IP actives sur le
réseau, les ports ouverts correspondant à des services
accessibles, et le système d'exploitation utilisé par ces serveurs.
• L'un des outils les plus connus pour scanner un réseau est
« Nmap », reconnu par de nombreux administrateurs
réseaux comme un outil indispensable à la sécurisation d'un
réseau. Cet outil agit en envoyant des paquets TCP et/ou UDP à
un ensemble de machines sur un réseau (déterminé par une
adresse réseau et un masque), puis il analyse les réponses.
Selon l'allure des paquets TCP reçus, il lui est possible de
déterminer le système d'exploitation distant pour chaque
52
machine scannée.
Lecture de bannières
• Lorsque le balayage du réseau est terminé, il suffit
au pirate d'examiner le fichier journal (log) des
outils utilisés pour connaître les adresses IP des
machines connectées au réseau et les ports ouverts
sur celles-ci.
• Les numéros de port ouverts sur les machines
peuvent lui donner des informations sur le type de
service ouvert et donc l'inviter à interroger le
service
afin
d'obtenir
des
informations
supplémentaires sur la version du serveur dans les
informations dites de « bannière ».
53
Lecture de bannières
Ainsi, pour connaître la version d'un serveur HTTP, il suffit
de se connecter au serveur Web en Telnet sur le port 80 :
- telnet www.iscae.rnu.tn 80
- puis de demander la page d'accueil : GET / HTTP/1.0
Le serveur répond alors les premières lignes suivantes :
HTTP/1.1 200 OK Date: Thu, 21 Mar 2006 18:22:57
GMTServer: Apache/1.3.20 (Unix) Debian/GNU
Le système d'exploitation, le serveur et sa version sont alors
connus.
54
Ingénierie sociale
• L‘ ingénierie sociale (en anglais « Social Engineering »)
consiste à manipuler les êtres humains, c'est-à-dire d'utiliser
la naïveté et la gentillesse exagérée des utilisateurs du réseau,
pour obtenir des informations sur ce dernier.
• Ce procédé consiste à entrer en contact avec un utilisateur du
réseau, en se faisant passer en général pour quelqu'un d'autre,
afin d'obtenir des renseignements sur le système
d'information ou éventuellement pour obtenir directement un
mot de passe.
• De la même façon une faille de sécurité peut être créée dans
le système distant en envoyant un cheval de Troie à certains
utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute
la pièce jointe pour qu'un accès au réseau interne soit donné à
l'agresseur extérieur.
55
Le repérage des failles
• Après avoir établi l'inventaire du parc logiciel et
éventuellement matériel, il reste au pirate à
déterminer si des failles existent.
• Il existe ainsi des scanneurs de vulnérabilité
permettant aux administrateurs de soumettre leur
réseau à des tests d'intrusion afin de constater si
certaines applications possèdent des failles de
sécurité. Les deux principaux scanneurs de failles
sont : Nessus et SAINT .
56
L'intrusion
• Lorsque le pirate a dressé une cartographie
des ressources et des machines présentes
sur le réseau, il est en mesure de préparer
son intrusion.
• Pour pouvoir s'introduire dans le réseau, le
pirate a besoin d'accéder à des comptes
valides sur les machines qu'il a recensées.
57
L'intrusion
• Plusieurs méthodes sont utilisées par les pirates :
- L'ingénierie sociale, c'est-à-dire en contactant
directement certains utilisateurs du réseau (par mail ou par
téléphone) afin de leur soutirer des informations
concernant leur identifiant de connexion et leur mot de
passe,ceci est généralement fait en se faisant passer pour
l'administrateur réseau.
- La consultation de l'annuaire ou bien des services de
messagerie ou de partage de fichiers, permettant de trouver
des noms d'utilisateurs valides
- Les attaques par force brute (brute force cracking),
consistant à essayer de façon automatique différents mots
de passe sur une liste de compte (par exemple l'identifiant,
éventuellement suivi d'un chiffre, ou bien le mot de passe
58
password, ou passwd, etc).
Extension de privilèges
• Lorsque le pirate a obtenu un ou plusieurs accès sur le
réseau en se logeant sur un ou plusieurs comptes peu
protégés, celui-ci va chercher à augmenter ses privilèges
en obtenant l'accès root (en français super utilisateur ou
super administrateur), on parle ainsi d'extension de
privilèges.
• Dès qu'un accès root a été obtenu sur une machine,
l'attaquant a la possibilité d'examiner le réseau à la
recherche d'informations supplémentaires.
59
Extension de privilèges
• Il lui est ainsi possible d'installer un sniffeur (en
anglais sniffer), c'est-à-dire un logiciel capable
d'écouter (le terme reniffler, ou en anglais sniffing, est
également employé) le trafic réseau en provenance ou
à destination des machines situées sur le même câble.
• Grâce à cette technique, le pirate peut espérer
récupérer les couples identifiants/mots de passe lui
permettant d'accéder à des comptes possédant des
privilèges étendus sur d'autres machines du réseau
(par exemple l'accès au compte d'un administrateur)
afin de contrôler une plus grande partie du réseau.
60
Compromission
• Grâce aux étapes précédentes, le pirate a pu dresser une
cartographie complète du réseau, des machines s'y
trouvant, de leurs failles et possède un accès root sur au
moins l'une d'entre-elles. Il lui est alors possible d'étendre
encore son action en exploitant les relations d'approbation
existant entre les différentes machines.
• Cette technique d'usurpation d'identité, appelée spoofing,
permet au pirate de pénétrer des réseaux privilégiés
auxquels la machine compromise a accès .

61
Porte dérobée
• Lorsqu'un pirate a réussi à infiltrer un réseau
d'entreprise et à compromettre une machine, il
peut arriver qu'il souhaite pouvoir revenir, pour
atteindre ce but le pirate va installer une
application afin de créer artificiellement une faille
de sécurité, on parle alors de porte dérobée (en
anglais backdoor, le terme trappe est parfois
également employé).

62
Nettoyage des traces
• Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le
réseau, il lui reste à effacer les traces de son passage en
supprimant les fichiers qu'il a créés et en nettoyant les fichiers
de logs des machines dans lesquelles il s'est introduit, c'est-àdire en supprimant les lignes d'activité concernant ses actions.
• Par ailleurs, il existe des logiciels, appelés « kits racine » (en
anglais « rootkits ») permettant de remplacer les outils
d'administration du système par des versions modifiées afin
de masquer la présence du pirate sur le système.
• En effet, si l'administrateur se connecte en même temps que le
pirate, il est susceptible de remarquer les services que le
pirate a lancé ou tout simplement qu'une autre personne que
lui est connectée simultanément. L'objectif d'un rootkit est
donc de tromper l'administrateur en lui masquant la réalité.
63
Exemple d’attaque informatique

64
65
Attaque TCP
TCP
– Orienté connexion;
– Acquittement de remise des paquets;
• Connexion TCP
– Connexion par « Three Way Handshake »;
– Échange entre deux processus;
– Fermeture
• Friendly close : flag [tcp end];
• Lors d’un erreur (par exemple interruption d’un des process).
• Attaque
– L’attaque consiste à utiliser la fermeture lors d’une erreur
• La norme pose qu’un paquet est valide si son n° de séquence est situé dans la
fenêtre;
• Or ce n° de séquence est situé dans un champ d’en-tête;
• TCP acquitte ses paquets par un paquet ACK connaissant ce n° de séquence;
• Il est alors possible d’utiliser un outils forgeant des paquets sur mesure;
• Il faut être positionné dans un environnement où il est possible de sniffer les
paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ».
• Outil
– L’outil utilisable est : WinTCPKill.
66
67
68
Les protocoles ARP et RARP
• Chaque interface réseau possède une adresse physique
unique dépendante du type d’architecture (les adresses
MAC sont différentes suivant la norme mise en place).
• L’adressage sur Internet est basé sur des adresses IP, de
niveau réseau.
• Il faut donc faire le lien entre les deux adresses (IP et
MAC) d’une même machine : les protocoles ARP
(Address Resolution Protocol) et RARP (Reverse Address
Resolution Protocol)
• ARP permet de faire correspondre une adresse MAC à une
adresse IP donnée et RARP permet l’inverse.
69
Les protocoles ARP et RARP
(suite)
• La résolution d’adresses est effectuée en trois étape :
1. Le protocole ARP émet un datagramme particulier par
diffusion à toutes les stations du réseau et qui contient
entre autre l’adresse IP à convertir.
2. La station qui se reconnaît retourne un message (réponse
ARP) à l’émetteur avec son adresse MAC.
3. L’émetteur dispose alors de l’adresse physique du
destinataire et ainsi la couche liaison de données peut
émettre les trames directement vers cette adresse physique.
• Les adresses résolues sont placées dans un cache ce qui
évite de déclencher plusieurs requêtes lorsque plusieurs
datagramme doivent être envoyés.
70
71
Le principe de l’attaque « ARP cache poisoning »

Mise à jour entre les
Tout le traficdes entrées
créées grâce aux
hôtes 2 et 3 doit
@
réponsesIP:192.168.0.1
obligatoirement ARP
passer
@ MAC:mac1
par l’hôte 1

pirate

L’entrée
@IP=192.168.0.2;
@MAC=mac1 est crée
@ cache ARP
dans le IP:192.168.0.3
@ MAC:mac3

Requête ARP.
Requête ARP.ARP.
Réponse
Eth dst =mac3, MAC src =mac1
ETH dstdst =mac2, MAC src=mac1
Eth =mac3, MAC src=mac1
et IP src=192.168.0.2
et Et IP src =192.168.0.2
IP src=192.168.0.3
MAC ?  ?IP3 mac3.
MAC 192.168.0.3
 192.168.0.2

Réponse ARP.
ETH dst =mac2, MAC src =mac1
L’entrée
Et IP src =192.168.0.3
@IP=192.168.0.3;
IP2 mac2.
@MAC=mac1 est crée
dans le cache @ IP:192.168.0.2
ARP
@ MAC:mac2

72
Empoisonnement du cache ARP

@ IP:192.168.0.1
@ MAC:mac1

Pirate

Host 1

Fausse entrée est crée dans la
cache ARP
@IP=192.168.0.2 -- @MAC=mac1

@ IP:192.168.0.3
@ MAC:mac3

L’hôte 3 veut communiquer avec l’hôte2

Fausse Requête ARP (Fake ARP
request)
Paquet TCP vers 192.168.0.2
MAC src=mac1 et IP src=192.168.0.2
MAC ?  192.168.0.3

Host 3

Host 2
@ IP:192.168.0.2
@ MAC:mac2

73
74
75
76
77
• Effets :
– si les deux ports sont sur la même machine les
performances de celle-ci se dégradent
– si les deux ports sont sur des machines différentes ceci
provoque la congestion du réseau

• Parades :
– filtrage de tous les services sur UDP à l ’exception du
port 53 (dns)
– désactiver tous les ports udp inutiles
78
DNS Spoofing
• DNS
– Gestion des correspondance entre les noms de machines et leur adresse IP;
– Un client lance une requête DNS au serveur pour connaître l’adresse IP à partir d’un
nom. Le serveur lui répond par un paquet DNS;
– La relation entre la requête et la réponse est une clé contenant un n° d’identification;
– Ce protocole utilise le port UDP 53;
Attaque
– L’attaque DNS Spoofing est basée sur l’interception du paquet réponse, forger un
nouveau avec la même clé et modifier l’adresse IP;
– Cette nouvelle adresse IP est une redirection sur la machine pirate;
– Il faut être positionné dans un environnement où il est possible de sniffer les paquets
TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ».
Outil
– Pour ce genre d’attaque, un des outils est : WinDNSSpoof.

79
Les détournements et
interceptions Web spoofing
• Attaque de type man in middle : le serveur de l ’attaquant
détourne les requêtes HTTP de la victime
• La victime navigue dans un faux web
• Initialisation de l ’attaque:
– l ’attaquant amène la victime à visiter son site (par
email ou par sa figuration dans une indexation d ’un
moteur de recherche)
– la victime télécharche un script java
• Ce script java détourne toutes les requêtes de la victime
vers l ’attaquant
80
Les détournements et
interceptions Web spoofing
• Effets :
– surveillance de l ’activité de la victime, et vol
de données
– altération des données,

• Parades :
– désactivation de javascript
– proxy : repère et refuse des echanges HTTP
avec réécriture des URL
81

Contenu connexe

Tendances

sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Khalid EDAIG
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésFranck Franchin
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfNafissa11
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile Raoua Bennasr
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 

Tendances (20)

La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
Alphorm.com Formation Hacking et Sécurité 2020 (3of4) : Attaques Réseaux, Sys...
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
Rapport pfe Conceptionet Developpement d'une Application web et  Mobile Rapport pfe Conceptionet Developpement d'une Application web et  Mobile
Rapport pfe Conceptionet Developpement d'une Application web et Mobile
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Comprendre la securite web
Comprendre la securite webComprendre la securite web
Comprendre la securite web
 
Présentation Projet de fin d'études
Présentation Projet de fin d'étudesPrésentation Projet de fin d'études
Présentation Projet de fin d'études
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
QCM Sécurité Informatique
QCM Sécurité InformatiqueQCM Sécurité Informatique
QCM Sécurité Informatique
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
 

En vedette

Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeFranck Franchin
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securiteBorni Dhifi
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...polenumerique33
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEpolenumerique33
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Sécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur VbSécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur Vbeburet
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Designing Teams for Emerging Challenges
Designing Teams for Emerging ChallengesDesigning Teams for Emerging Challenges
Designing Teams for Emerging ChallengesAaron Irizarry
 

En vedette (16)

Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Exposé hackers
Exposé hackersExposé hackers
Exposé hackers
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorismeCours CyberSécurité - CyberGuerre & CyberTerrorisme
Cours CyberSécurité - CyberGuerre & CyberTerrorisme
 
Presentation des failles_de_securite
Presentation des failles_de_securitePresentation des failles_de_securite
Presentation des failles_de_securite
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Sécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur VbSécurité du Si et création de valeur Vb
Sécurité du Si et création de valeur Vb
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Designing Teams for Emerging Challenges
Designing Teams for Emerging ChallengesDesigning Teams for Emerging Challenges
Designing Teams for Emerging Challenges
 

Similaire à Securite informatique

1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprisemariejura
 
Avis d'expert Game of Thrones
Avis d'expert Game of ThronesAvis d'expert Game of Thrones
Avis d'expert Game of ThronesATN Groupe
 
Avis d'expert « Game of Thrones »
Avis d'expert « Game of Thrones »Avis d'expert « Game of Thrones »
Avis d'expert « Game of Thrones »ATN Groupe
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane@aboukam (Abou Kamagaté)
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssiNtech33
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssiNtech33
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Csc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-frCsc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-frJulien Marteel
 
Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Regis Le Guennec
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 

Similaire à Securite informatique (20)

siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
 
Avis d'expert Game of Thrones
Avis d'expert Game of ThronesAvis d'expert Game of Thrones
Avis d'expert Game of Thrones
 
Avis d'expert « Game of Thrones »
Avis d'expert « Game of Thrones »Avis d'expert « Game of Thrones »
Avis d'expert « Game of Thrones »
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
 
Risque cyber
Risque cyberRisque cyber
Risque cyber
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssi
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssi
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Csc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-frCsc kit-social-engineering-ppt-fr
Csc kit-social-engineering-ppt-fr
 
Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018Voyage dans le cyberespace 2018
Voyage dans le cyberespace 2018
 
1 introduction secu
1  introduction secu1  introduction secu
1 introduction secu
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Gérer sa vie privée numérique
Gérer sa vie privée numérique Gérer sa vie privée numérique
Gérer sa vie privée numérique
 

Plus de Souhaib El

Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetSouhaib El
 
Les Réseaux sans fils 802.11
 Les Réseaux sans fils 802.11 Les Réseaux sans fils 802.11
Les Réseaux sans fils 802.11Souhaib El
 
Exchange Server 2010
Exchange Server 2010Exchange Server 2010
Exchange Server 2010Souhaib El
 
service NFS sous linux
 service NFS sous linux service NFS sous linux
service NFS sous linuxSouhaib El
 
Le protocole HTTP
Le protocole HTTPLe protocole HTTP
Le protocole HTTPSouhaib El
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure ShellSouhaib El
 
Réseau sans fil technologie wi-fi
Réseau sans fil technologie wi-fiRéseau sans fil technologie wi-fi
Réseau sans fil technologie wi-fiSouhaib El
 
Système d’exploitation: Principe
Système d’exploitation: PrincipeSystème d’exploitation: Principe
Système d’exploitation: PrincipeSouhaib El
 
DNS sous linux
DNS sous linuxDNS sous linux
DNS sous linuxSouhaib El
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
DHCP sous Ubuntu
DHCP sous Ubuntu DHCP sous Ubuntu
DHCP sous Ubuntu Souhaib El
 
DHCP sous fedora
DHCP sous fedora DHCP sous fedora
DHCP sous fedora Souhaib El
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003Souhaib El
 
les Commandes linux/Unix (giants networks)
les Commandes linux/Unix (giants networks)les Commandes linux/Unix (giants networks)
les Commandes linux/Unix (giants networks)Souhaib El
 
Qcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elQcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elSouhaib El
 

Plus de Souhaib El (16)

Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internet
 
Les Réseaux sans fils 802.11
 Les Réseaux sans fils 802.11 Les Réseaux sans fils 802.11
Les Réseaux sans fils 802.11
 
Exchange Server 2010
Exchange Server 2010Exchange Server 2010
Exchange Server 2010
 
Supervision
SupervisionSupervision
Supervision
 
service NFS sous linux
 service NFS sous linux service NFS sous linux
service NFS sous linux
 
Le protocole HTTP
Le protocole HTTPLe protocole HTTP
Le protocole HTTP
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure Shell
 
Réseau sans fil technologie wi-fi
Réseau sans fil technologie wi-fiRéseau sans fil technologie wi-fi
Réseau sans fil technologie wi-fi
 
Système d’exploitation: Principe
Système d’exploitation: PrincipeSystème d’exploitation: Principe
Système d’exploitation: Principe
 
DNS sous linux
DNS sous linuxDNS sous linux
DNS sous linux
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
DHCP sous Ubuntu
DHCP sous Ubuntu DHCP sous Ubuntu
DHCP sous Ubuntu
 
DHCP sous fedora
DHCP sous fedora DHCP sous fedora
DHCP sous fedora
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
 
les Commandes linux/Unix (giants networks)
les Commandes linux/Unix (giants networks)les Commandes linux/Unix (giants networks)
les Commandes linux/Unix (giants networks)
 
Qcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib elQcm serveur 2003 souhaib el
Qcm serveur 2003 souhaib el
 

Securite informatique

  • 1. Institut Supérieur de Comptabilité et d’Administration des Entreprises SECURITE DU SYSTEME D’INFORMATION (SSI) 3 IAG 1 2010-2011
  • 2. CHAPITRE 2 Les risques et menaces informatique 2
  • 4. Sécurité informatique • La confidentialité – Contraintes sur la divulgation d’informations • P.ex. qu’un fichier ne soit pas lu par un utilisateur n’ayant pas les droits d’accès – P.ex: que personne d’autre que le commerçant apprenne un numéro de carte de crédit dans une transaction de commerce électronique • L’intégrité – Contraintes sur les modifications d’informations • P.ex. que seul le propriétaire d’un fichier puisse changer les droits d’accès – P.ex: seule la banque peut modifier le contenu d’un compte • La disponibilité – Contraintes sur l’accessibilité d’informations et de services • P.ex: un utilisateur ne doit pas être empêché de lire ses propres mails – P.ex: que le serveur de banque soit toujours accessibles aux participants 4 d’une transaction de commerce électronique
  • 5. Sécurité informatique • La protection – Ensemble des mécanismes qui contrôlent les actions des utilisateurs (processus/programmes) • P.ex. le chiffrement des données sur disque ou sur le réseau, mots de passe, matériel du processeur qui restreint l’adresse générée et qui empêche les programmes utilisateurs de communiquer avec le contrôleur de disque • La sécurité – La préservation de la confidentialité et de l’intégrité des informations du système • Une attaque est une action qui peut violer la sécurité • Une attaque peut être intentionnelle ou accidentelle • La sécurité est mise en œuvre par des mécanismes de protection 5
  • 6. 6
  • 7. 7
  • 8. 8
  • 9. 9
  • 10. 10
  • 12. Les menaces - L'espionnage • Principalement d'origine étatique cette menace concerne particulièrement les informations stratégiques d'une nation. Les renseignements d'ordre militaire, diplomatique, mais aussi, économiques, industriels, technologiques, scientifiques, financiers et commerciaux seront recherchés en priorité. • S'il est moins fréquent, mais surtout non avoué que des entreprises ou des sociétés aient recours à l'espionnage, nous pouvons imaginer l'intérêt que cela représente pour leur activités en gain de temps et d'investissement. Les techniques restent les mêmes et la différence se fera sur l'ampleur des moyens utilisés. Il est concevable de penser que des États utilisent leurs services de renseignement pour fournir des informations à leurs industriels. Il est aussi de notoriété publique que des sociétés privées offrent leur services pour obtenir des renseignements. • L'espionnage va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations. - La perturbation • L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible. • La perturbation va influer sur la disponibilité et l'intégrité des services 12 des et informations d'un SI.
  • 13. Les menaces (suite) - Le vol • Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il s'agit de données et encore plus de ressources informatiques. En effet une simple copie suffit pour s'approprier une information. Cette opération n'est pas toujours facile à déceler. • Le vol de données va permettre d'enfreindre les mesures de sécurité protègent la confidentialité des informations. Le vol de ressources est plus insidieux, car il se peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité des informations et des services. - La fraude physique • Elle peut consister à récupérer les informations oubliées ou non détruites par l'adversaire ou le concurrent. l'attaquant portera une attention particulière aux listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers des organismes visés. • Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations. 13
  • 14. Les menaces (suite) - Le chantage • Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que de nombreuses données concernant la vie privée des personnes ou les activités d'une organisation sont gardées sur des ordinateurs. • Le chantage peut aussi porter sur une menace de sabotage à l'encontre des installations d'une organisation. • La chantage peut mettre en cause aussi bien la confidentialité, l'intégrité, que la disponibilité des informations et des services. - Le sabotage • Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou une de ses composantes. • Le sabotage porte atteinte à l'intégrité des informations mais surtout à la disponibilité des services. - Les accès illégitimes • Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant son identité. Elle vise tout particulièrement l'informatique. • Les accès illégitimes portent atteinte à la confidentialité des informations. 14
  • 16. Pirates Nous proposons les deux profils de pirate les plus souvent identifiées : - hacker : individu curieux, qui cherche à se faire plaisir. Pirate par jeu ou par défi, il ne nuit pas intentionnellement et possède souvent un code d'honneur et de conduite [1]. Plutôt jeune, avec des compétences non négligeables, il est patient et tenace ; - cracker : plus dangereux que le hacker, cherche à nuire et montrer qu'il est le plus fort. Souvent mal dans sa peau et dans son environnement, il peut causer de nombreux dégâts en cherchant à se venger d'une société - ou d'individus - qui l'a rejeté ou qu'il déteste. Il veut prouver sa supériorité et fait partie de clubs où il peut échanger des informations avec ses semblables. 16
  • 17. Fraudeurs Les fraudeurs se répartissent en deux catégories avec des compétences similaires : - le fraudeur interne : possédant de bonnes compétences sur le plan technique, il est de préférence informaticien et sans antécédents judiciaires. Il pense que ses qualités ne sont pas reconnues, qu'il n'est pas apprécié à sa juste valeur. Il veut se venger de son employeur et chercher à lui nuire en lui faisant perdre de l'argent. Pour parvenir à ses fins il possède les moyens mis à sa disposition par son entreprise qu'il connaît parfaite- ment. - le fraudeur externe : bénéficiant presque toujours d'une complicité, volontaire ou non, chez ses victimes, il cherche à gagner de l'argent par tous les moyens. Son profil est proche de celui du malfaiteur traditionnel. Parfois lié au grand banditisme, il peut attaquer une banque, falsifier des cartes de crédit ou se placer sur des réseaux de trans- fert de fonds, et si c'est un particulier il peut vouloir fausser sa facture d'électricité ou de téléphone. 17
  • 18. Espions Ils travaillent pour un État ou pour un concurrent. Choisis pour leur sang-froid et leur haut niveau de qualification, il sont difficiles à repérer. - l'espion d'État : professionnel, entraîné, rompu à toutes les techniques, il dispose de nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller jusqu'à acquérir, légalement ou non, une copie du système qu'il veut attaquer pour l'analyser et l'étudier sous toutes ses coutures. Il est patient et motivé. Il exploite les vulnérabilités les plus enfouies d'un SI car elles seront les plus difficiles à détecter et il pourra les utiliser longtemps. Il sait garder le secret de sa réussite pour ne pas éveiller les soupçons et continuer son travail dans l'ombre. - l'espion privé : souvent ancien espion d'État reconverti, il a moins de moyens mais une aussi bonne formation. Terroristes Moins courant, le terroriste est aidé dans sa tâche par l'interconnexion et l'ouverture des réseaux. - le terroriste : très motivé, il veut faire peur et faire parler de lui. Ses actions se veulent spectaculaires. 18
  • 20. Techniques d’attaque - Attaques physiques Nous plaçons ici les attaques qui nécessitent un accès physique aux installations ou qui se ser- vent de caractéristiques physiques particulières. La destruction pure et simple ou la coupure d'une ligne ne sont pas évoquées car non spécifiques à l'informatique - Attaques Logiques 20
  • 21. Attaques physiques - Interception L'attaquant va tenter de récupérer un signal électromagnétique et de l'interpréter pour en déduire des informations compréhensibles. L'interception peut porter sur des signaux hyper- fréquences ou hertziens, émis, rayonnés, ou conduits. L'agresseur se mettra ainsi à la recher- che des émissions satellites, et radio, mais aussi des signaux parasites émis par les SI, principalement par les terminaux, les câbles et les éléments conducteurs entourant les SI. Les techniques d'interception seront très variées pour les différents cas évoqués. - Brouillage Utilisée en télécommunication, cette technique rend le SI inopérant. C'est une attaque de haut niveau, car elle nécessite des moyens importants, qui se détectent facilement. Elle est surtout utilisée par les militaires en temps de crise ou de guerre. - Écoute L'écoute consiste à se placer sur un réseau informatique ou de télécommunication et à analyser et à sauvegarder les informations qui transitent. De nombreux appareils du commerce facilitent les analyses et permettent notamment d'interpréter en temps réel les trames qui circulent sur un réseau informatique. 21
  • 22. Attaques logiques - intrusion Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire passer pour quelqu'un d'autre et obtenir les privilège ou des droits de celui dont on usurpe l'identité. Un utilisateur est caractérisé par : – ce qu'il est, (empreintes, digitales ou rétiniennes, vocales, ou toute autre authentifiant biométrique), – ce qu'il possède (un badge, une carte mag- nétique, à puce, un jeton, un bracelet...) – ce qu'il sait (un mot de passe, sa date de naissance, le prénom de ses parents...). Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs éléments propres à l'utilisateur. Si le contrôle d'accès au SI se fait par mot de passe, l'attaquant tentera de le lire quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le réseau. Si le contrôle d'accès se fait avec une carte à puce, l'attaquant cherchera à 22 reproduire une.
  • 23. Attaques logiques - Substitution • Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant des terminaux distants. L'agresseur écoute une ligne et intercepte la demande de déconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se substituer à ce dernier et continuer une session normale sans que le système note un changement d'utilisateur. • Un cas bien connu est celui des ordinateurs sur un réseau local qui ne sont déclarés que par leur adresse Internet. Un attaquant peut alors attendre qu'une machine soit arrêtée pour se faire passer pour elle en usurpant l'adresse de la machine éteinte. - Saturation (denie de service) • Cette attaque contre la disponibilité consiste à remplir une zone de stockage ou un canal de communication jusqu'à ce que l'on ne puisse plus l'utiliser. Il en résultera un déni de service. 23
  • 24. 24
  • 25. Les infections informatique • • • • • • • Virus Cheval de troie Ver Bombe Spam Spayware keylogger 25
  • 26. Virus • • Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent le corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se propager en se recopiant sur un programme et de se déclencher comme une bombe logique quand un événement se produit. Ses actions ont généralement comme conséquence la perte d'intégrité des informations d'un SI et/ou une dégradation ou une interruption du service fourni. 26
  • 27. Cheval de Troie • On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. • Le nom « Cheval de Troie » provient d'une légende • La légende veut que les Grecs, n'arrivant pas à pénétrer dans de la ville Troie , eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège. 27
  • 28. Cheval de Troie (suite) Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ... 28
  • 29. Cheval de Troie (suite) Un cheval de Troie peut par exemple : - copier des données sensibles, - exécuter tout autre action nuisible, - voler des mots de passe . Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor 29
  • 30. Cheval de Troie (suite) • Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accéder à votre machine par le port qu'il a ouvert. 30
  • 31. Cheval de Troie (suite) Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Port POP3 Internet Port FTP Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de 31 suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas échéant, s’il est actif, auquel cas le message lui est transmis.
  • 32. Cheval de Troie (suite) Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Port POP3 Port associé à un logiciel pirate Internet Port FTP 32
  • 33. Cheval de Troie (suite) Partie affichée publiquement, alléchante pour les utilisateurs Partie secrète à l’usage du pirate Logiciel offert gratuitement sur Internet prétendant vous rendre service 33
  • 34. Les bombes logiques • Les bombes logiques sont des dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. • Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 3ème anniversaire de la catastrophe nucléaire ... • Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise. 34
  • 35. Ver • Un ver informatique (en anglais worm) est un programme qui peut s'auto reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus réseau. • Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies à tous ces destinataires. • Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier attaché. • Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en 35 fichier attachés.
  • 36. Spams • • • Le spamming consiste à envoyer massivement des e-mails de type généralement publicitaire (dit aussi "junk mail"), à un grand nombre de personnes n'ayant pas sollicité ce type d'envoi publicitaires, engorgeant ainsi les serveurs de messagerie et vos boites à lettres de messages publicitaires inutiles, non sollicités et généralement mensongers. Les e-mails "spammés" constituent actuellement la quasi-moitié des e-mails "circulant" à l'échelle planétaire Le but premier du spam est généralement de faire de la publicité à moindre cout. Toutefois, Il est aussi source d'essai d'abus, via des offres alléchantes (vous avez gagné ...) et bien sures mensongères, dont le but est de vous attirer à acheter un produit ou un service douteux, ou bien d'essayer de vous abuser, en vous extorquant de l'argent (grâce à dieu, peu de personnes de chez nous possèdent des cartes de crédit en devises ..). Il est aussi parfois question de publicité "politique" ou "religieuse" dangereuses pour les enfants (l'église de Scientologie avait récemment envoyé 1200 spams en 15 jours sur un groupe de discussion). Il est intéressant de noter à ce sujet le nouveau phénomène apparu, consistant dans l'exploitation de virus Internet (vers) pour leur jouer le rôle de diffuseurs (relais) de spam, dans un essai de contourner l'efficacité des outils anti-spam. • 36
  • 37. Spams • • • • • • Le principal inconvénient du "Spam" est la gêne et la perte de temps induites aux internautes : Gaspillage de temps (et donc d'argent) des utilisateurs, qui doivent trier leur courrier et nettoyer leurs boites à lettres plus fréquemment, Risque de leurrer un message important, "caché" entre les multiples messages de "spam", "Corruption" des utilisateurs non avertis, avec des offres alléchantes, et bien sûr fausses, Atteinte à la morale, via des messages de publicité sexuels, politiques ou religieux ... - Le second inconvénient, non moins important, du spamming touche la bande réseau qu'il consomme inutilement, monopolisant "inutilement" une bonne partie de la bande passante et rendant ainsi l'Internet moins rapide (AOL avait une fois reçu 1.8 million d 'e-mails de spams de "Cyberpromotion" : le plus important "spammeur" du réseau Internet). Cela induit des coûts supplémentaires pour les fournisseurs de service et d'accès à Internet car ils doivent acheter des ordinateurs supplémentaires, pour renforcer leurs serveurs de courrier et mettre en place une plus grande largeur de bande pour contrecarrer la consommation de bande induite par le Spam. 37
  • 38. Spyware • Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé ( on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage). 38
  • 39. Spyware (suite) • Les récoltes d'informations peuvent ainsi être : - la traçabilité des URL des sites visités, - le traquage des mots-clés saisis dans les moteurs de recherche, - l'analyse des achats réalisés via internet, - voire les informations de paiement bancaire (numéro de carte bleue / VISA) - ou bien des informations personnelles. 39
  • 40. Spyware (suite) • Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). • En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel. 40
  • 41. Keylogger Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage. Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur . 41
  • 42. Keylogger (suite) Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un lieu public tel qu'un cybercafé). 42
  • 44. 44
  • 45. Méthodologie d’une intrusion sur un réseau Pour s'introduire dans un système informatique les pirates utilisent une méthodologie, il ne faut pas connaître comment compromettre un système mais comprendre la façon dont il peut l'être afin de mieux pouvoir s'en prémunir. En effet, la meilleure façon de protéger son système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système. Le principe de la protection est de ne pas donner aucune précision sur la manière dont les failles sont exploitées, mais expliquer comment faire pour les déceler et les corriger. 45
  • 46. Méthodologie globale Les pirates (hackers) ayant l'intention de s'introduire dans les systèmes informatiques recherchent dans un premier temps des failles, c'est-à-dire des vulnérabilités nuisibles à la sécurité du système, dans les protocoles, les systèmes d'exploitations, les applications ou même le personnel 'une entreprise. Les termes de vulnérabilité ( brèche ou en langage plus familier - trou de sécurité « en anglais security hole ») sont également utilisés pour désigner les failles de sécurité. 46
  • 47. Méthodologie globale • Pour pouvoir mettre en oeuvre un EXPLOIT il s'agit du terme technique signifiant exploiter une vulnérabilité), la première étape du pirate consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci. La plupart des attaques sont l'oeuvre de script kiddies essayant bêtement des exploits trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte. • Une fois que le pirate a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine. 47
  • 48. Méthodologie globale • Lorsqu'un accès administrateur (le terme anglais root est généralement utilisé) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés. Le pirate possède alors le plus haut niveau de droit sur la machine. • S'il s'agit d'un pirate, la dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises. 48
  • 49. La récupération d'informations sur le système L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations concernant les infrastructures de communication du réseau cible : • Adressage IP, • Noms de domaine, • Protocoles de réseau, • Services activés, • Architecture des serveurs, 49
  • 50. Consultation de bases publiques • En connaissant l‘adresse IP publique d'une des machines du réseau ou bien tout simplement le nom de domaine de l‘entreprise, un pirate est potentiellement capable de connaître l'adressage du réseau tout entier, c'est-à-dire la plage d'adresses IP publiques appartenant à l‘entreprise visée et son découpage en sous réseaux. • Pour cela il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine : http://www.iana.net http://www.ripe.net pour l'Europe http://www.arin.net pour les Etats-Unis 50
  • 51. Consultation de moteurs de recherche • La simple consultation des moteurs de recherche permet parfois de récupérer des informations sur la structure d'une entreprise, le nom de ses principaux produits, voire le nom de certains personnels. 51
  • 52. Balayage du réseau • Lorsque la topologie du réseau est connue par le pirate, il peut le scanner (le terme balayer est également utilisé), c'est-à-dire déterminer à l'aide d'un outil logiciel (appelé scanner ou scanneur en français) quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs. • L'un des outils les plus connus pour scanner un réseau est « Nmap », reconnu par de nombreux administrateurs réseaux comme un outil indispensable à la sécurisation d'un réseau. Cet outil agit en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur un réseau (déterminé par une adresse réseau et un masque), puis il analyse les réponses. Selon l'allure des paquets TCP reçus, il lui est possible de déterminer le système d'exploitation distant pour chaque 52 machine scannée.
  • 53. Lecture de bannières • Lorsque le balayage du réseau est terminé, il suffit au pirate d'examiner le fichier journal (log) des outils utilisés pour connaître les adresses IP des machines connectées au réseau et les ports ouverts sur celles-ci. • Les numéros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l'inviter à interroger le service afin d'obtenir des informations supplémentaires sur la version du serveur dans les informations dites de « bannière ». 53
  • 54. Lecture de bannières Ainsi, pour connaître la version d'un serveur HTTP, il suffit de se connecter au serveur Web en Telnet sur le port 80 : - telnet www.iscae.rnu.tn 80 - puis de demander la page d'accueil : GET / HTTP/1.0 Le serveur répond alors les premières lignes suivantes : HTTP/1.1 200 OK Date: Thu, 21 Mar 2006 18:22:57 GMTServer: Apache/1.3.20 (Unix) Debian/GNU Le système d'exploitation, le serveur et sa version sont alors connus. 54
  • 55. Ingénierie sociale • L‘ ingénierie sociale (en anglais « Social Engineering ») consiste à manipuler les êtres humains, c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir des informations sur ce dernier. • Ce procédé consiste à entrer en contact avec un utilisateur du réseau, en se faisant passer en général pour quelqu'un d'autre, afin d'obtenir des renseignements sur le système d'information ou éventuellement pour obtenir directement un mot de passe. • De la même façon une faille de sécurité peut être créée dans le système distant en envoyant un cheval de Troie à certains utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute la pièce jointe pour qu'un accès au réseau interne soit donné à l'agresseur extérieur. 55
  • 56. Le repérage des failles • Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au pirate à déterminer si des failles existent. • Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de sécurité. Les deux principaux scanneurs de failles sont : Nessus et SAINT . 56
  • 57. L'intrusion • Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le réseau, il est en mesure de préparer son intrusion. • Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées. 57
  • 58. L'intrusion • Plusieurs méthodes sont utilisées par les pirates : - L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe,ceci est généralement fait en se faisant passer pour l'administrateur réseau. - La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides - Les attaques par force brute (brute force cracking), consistant à essayer de façon automatique différents mots de passe sur une liste de compte (par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe 58 password, ou passwd, etc).
  • 59. Extension de privilèges • Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root (en français super utilisateur ou super administrateur), on parle ainsi d'extension de privilèges. • Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires. 59
  • 60. Extension de privilèges • Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est-à-dire un logiciel capable d'écouter (le terme reniffler, ou en anglais sniffing, est également employé) le trafic réseau en provenance ou à destination des machines situées sur le même câble. • Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines du réseau (par exemple l'accès au compte d'un administrateur) afin de contrôler une plus grande partie du réseau. 60
  • 61. Compromission • Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines. • Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de pénétrer des réseaux privilégiés auxquels la machine compromise a accès . 61
  • 62. Porte dérobée • Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir, pour atteindre ce but le pirate va installer une application afin de créer artificiellement une faille de sécurité, on parle alors de porte dérobée (en anglais backdoor, le terme trappe est parfois également employé). 62
  • 63. Nettoyage des traces • Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit, c'est-àdire en supprimant les lignes d'activité concernant ses actions. • Par ailleurs, il existe des logiciels, appelés « kits racine » (en anglais « rootkits ») permettant de remplacer les outils d'administration du système par des versions modifiées afin de masquer la présence du pirate sur le système. • En effet, si l'administrateur se connecte en même temps que le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement qu'une autre personne que lui est connectée simultanément. L'objectif d'un rootkit est donc de tromper l'administrateur en lui masquant la réalité. 63
  • 65. 65
  • 66. Attaque TCP TCP – Orienté connexion; – Acquittement de remise des paquets; • Connexion TCP – Connexion par « Three Way Handshake »; – Échange entre deux processus; – Fermeture • Friendly close : flag [tcp end]; • Lors d’un erreur (par exemple interruption d’un des process). • Attaque – L’attaque consiste à utiliser la fermeture lors d’une erreur • La norme pose qu’un paquet est valide si son n° de séquence est situé dans la fenêtre; • Or ce n° de séquence est situé dans un champ d’en-tête; • TCP acquitte ses paquets par un paquet ACK connaissant ce n° de séquence; • Il est alors possible d’utiliser un outils forgeant des paquets sur mesure; • Il faut être positionné dans un environnement où il est possible de sniffer les paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ». • Outil – L’outil utilisable est : WinTCPKill. 66
  • 67. 67
  • 68. 68
  • 69. Les protocoles ARP et RARP • Chaque interface réseau possède une adresse physique unique dépendante du type d’architecture (les adresses MAC sont différentes suivant la norme mise en place). • L’adressage sur Internet est basé sur des adresses IP, de niveau réseau. • Il faut donc faire le lien entre les deux adresses (IP et MAC) d’une même machine : les protocoles ARP (Address Resolution Protocol) et RARP (Reverse Address Resolution Protocol) • ARP permet de faire correspondre une adresse MAC à une adresse IP donnée et RARP permet l’inverse. 69
  • 70. Les protocoles ARP et RARP (suite) • La résolution d’adresses est effectuée en trois étape : 1. Le protocole ARP émet un datagramme particulier par diffusion à toutes les stations du réseau et qui contient entre autre l’adresse IP à convertir. 2. La station qui se reconnaît retourne un message (réponse ARP) à l’émetteur avec son adresse MAC. 3. L’émetteur dispose alors de l’adresse physique du destinataire et ainsi la couche liaison de données peut émettre les trames directement vers cette adresse physique. • Les adresses résolues sont placées dans un cache ce qui évite de déclencher plusieurs requêtes lorsque plusieurs datagramme doivent être envoyés. 70
  • 71. 71
  • 72. Le principe de l’attaque « ARP cache poisoning » Mise à jour entre les Tout le traficdes entrées créées grâce aux hôtes 2 et 3 doit @ réponsesIP:192.168.0.1 obligatoirement ARP passer @ MAC:mac1 par l’hôte 1 pirate L’entrée @IP=192.168.0.2; @MAC=mac1 est crée @ cache ARP dans le IP:192.168.0.3 @ MAC:mac3 Requête ARP. Requête ARP.ARP. Réponse Eth dst =mac3, MAC src =mac1 ETH dstdst =mac2, MAC src=mac1 Eth =mac3, MAC src=mac1 et IP src=192.168.0.2 et Et IP src =192.168.0.2 IP src=192.168.0.3 MAC ?  ?IP3 mac3. MAC 192.168.0.3  192.168.0.2 Réponse ARP. ETH dst =mac2, MAC src =mac1 L’entrée Et IP src =192.168.0.3 @IP=192.168.0.3; IP2 mac2. @MAC=mac1 est crée dans le cache @ IP:192.168.0.2 ARP @ MAC:mac2 72
  • 73. Empoisonnement du cache ARP @ IP:192.168.0.1 @ MAC:mac1 Pirate Host 1 Fausse entrée est crée dans la cache ARP @IP=192.168.0.2 -- @MAC=mac1 @ IP:192.168.0.3 @ MAC:mac3 L’hôte 3 veut communiquer avec l’hôte2 Fausse Requête ARP (Fake ARP request) Paquet TCP vers 192.168.0.2 MAC src=mac1 et IP src=192.168.0.2 MAC ?  192.168.0.3 Host 3 Host 2 @ IP:192.168.0.2 @ MAC:mac2 73
  • 74. 74
  • 75. 75
  • 76. 76
  • 77. 77
  • 78. • Effets : – si les deux ports sont sur la même machine les performances de celle-ci se dégradent – si les deux ports sont sur des machines différentes ceci provoque la congestion du réseau • Parades : – filtrage de tous les services sur UDP à l ’exception du port 53 (dns) – désactiver tous les ports udp inutiles 78
  • 79. DNS Spoofing • DNS – Gestion des correspondance entre les noms de machines et leur adresse IP; – Un client lance une requête DNS au serveur pour connaître l’adresse IP à partir d’un nom. Le serveur lui répond par un paquet DNS; – La relation entre la requête et la réponse est une clé contenant un n° d’identification; – Ce protocole utilise le port UDP 53; Attaque – L’attaque DNS Spoofing est basée sur l’interception du paquet réponse, forger un nouveau avec la même clé et modifier l’adresse IP; – Cette nouvelle adresse IP est une redirection sur la machine pirate; – Il faut être positionné dans un environnement où il est possible de sniffer les paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ». Outil – Pour ce genre d’attaque, un des outils est : WinDNSSpoof. 79
  • 80. Les détournements et interceptions Web spoofing • Attaque de type man in middle : le serveur de l ’attaquant détourne les requêtes HTTP de la victime • La victime navigue dans un faux web • Initialisation de l ’attaque: – l ’attaquant amène la victime à visiter son site (par email ou par sa figuration dans une indexation d ’un moteur de recherche) – la victime télécharche un script java • Ce script java détourne toutes les requêtes de la victime vers l ’attaquant 80
  • 81. Les détournements et interceptions Web spoofing • Effets : – surveillance de l ’activité de la victime, et vol de données – altération des données, • Parades : – désactivation de javascript – proxy : repère et refuse des echanges HTTP avec réécriture des URL 81

Notes de l'éditeur

  1. Notre troisième exemple de vulnérabilité procède d’une approche complètement différente: Le « Cheval de Troie ». Pour le comprendre, il faut avoir une idée de comment fonctionne un réseau TCP/IP. Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas échéant, s’il est actif, auquel cas le message lui est transmis. Par exemple, si nous sommes occupés à naviguer sur le Web, chaque page qui entre est acheminé à notre fureteur et pas ailleurs. Quand nous téléversons nos messages de courriel, ils sont acheminés vers notre logiciel de courrier et pas ailleurs. Ça fonctionne quel que soit le nombre de programmes actifs en même temps dans la mémoire de notre ordinateur.
  2. Une bonne stratégie pour prendre le contrôle de notre ordinateur à travers Internet consiste, pour un pirate, à implanter sur notre ordinateur un logiciel de sa fabrication qui va utiliser un port libre pour attendre les ordres du pirate. Un tel logiciel pourrait être configuré pour être toujours chargé en mémoire dès que notre ordinateur serait mis en marche si bien qu’il serait toujours actif. Avec un tel logiciel, le pirate pourrait faire n’importe quoi à notre ordinateur, selon ce qu’il y aurait programmé. Il pourrait probablement se promener dans tous nos répertoires et acheminer au pirate n’importe quel fichier, il pourrait effacer ou renommer nos fichiers, peut-être pourrait-il remettre le contrôle de notre connexion Internet à ce pirate, laissant croire au monde que ses mauvais coups viennent de nous. Mais pour y parvenir, le pirate doit nous convaincre d’installer son logiciel sur notre ordinateur. Comment diable peut-il s’y prendre?
  3. Pour nous inciter à charger le cheval de Troie dans notre ordinateur, les pirates vont créer un logiciel à deux parties. La première partie nous offre une application anodine et alléchante. Par exemple, un logiciel qui affiche un petit dessin animé très drôle, pour que nous soyons tentés de le poster à tous nos amis. Mais le logiciel comporte aussi une seconde partie qui s’installe secrètement en même temps que la première. Typiquement, cette partie secrète dépose un programme dans notre répertoire Windows, là où nous n’osons pas aller effacer quoi que ce soit. Elle place aussi un lien dans notre répertoire d’auto-démarrage, pour que l’application secrète soit toujours chargée en mémoire. Tout est désormais en place de façon permanente, même si nous nous débarrassons du fichier contenant la blague animée. La prochaine fois que nous allons ouvrir notre ordinateur, le logiciel secret va être chargé en mémoire et faire ce qu’il a été conçu pour faire. Ça peut être n’importe quoi, mais il y a gros à parier qu’il va se mettre à l’écoute d’un port inutilisé pour se mettre aux ordres du pirate. Pour avoir laissé le Cheval pénétrer dans Troie, vous avez aussi accueillis les soldats Grecs qui étaient cachés dedans. Il faut donc se méfier des cadeaux trop alléchants quand leur provenance initiale est douteuse.