Securite informatique

3 419 vues

Publié le

Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.

Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv

Publié dans : Formation
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 419
Sur SlideShare
0
Issues des intégrations
0
Intégrations
470
Actions
Partages
0
Téléchargements
208
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notre troisième exemple de vulnérabilité procède d’une approche complètement différente: Le « Cheval de Troie ».
    Pour le comprendre, il faut avoir une idée de comment fonctionne un réseau TCP/IP.
    Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas échéant, s’il est actif, auquel cas le message lui est transmis. Par exemple, si nous sommes occupés à naviguer sur le Web, chaque page qui entre est acheminé à notre fureteur et pas ailleurs. Quand nous téléversons nos messages de courriel, ils sont acheminés vers notre logiciel de courrier et pas ailleurs. Ça fonctionne quel que soit le nombre de programmes actifs en même temps dans la mémoire de notre ordinateur.
  • Une bonne stratégie pour prendre le contrôle de notre ordinateur à travers Internet consiste, pour un pirate, à implanter sur notre ordinateur un logiciel de sa fabrication qui va utiliser un port libre pour attendre les ordres du pirate. Un tel logiciel pourrait être configuré pour être toujours chargé en mémoire dès que notre ordinateur serait mis en marche si bien qu’il serait toujours actif.
    Avec un tel logiciel, le pirate pourrait faire n’importe quoi à notre ordinateur, selon ce qu’il y aurait programmé. Il pourrait probablement se promener dans tous nos répertoires et acheminer au pirate n’importe quel fichier, il pourrait effacer ou renommer nos fichiers, peut-être pourrait-il remettre le contrôle de notre connexion Internet à ce pirate, laissant croire au monde que ses mauvais coups viennent de nous.
    Mais pour y parvenir, le pirate doit nous convaincre d’installer son logiciel sur notre ordinateur. Comment diable peut-il s’y prendre?
  • Pour nous inciter à charger le cheval de Troie dans notre ordinateur, les pirates vont créer un logiciel à deux parties.
    La première partie nous offre une application anodine et alléchante. Par exemple, un logiciel qui affiche un petit dessin animé très drôle, pour que nous soyons tentés de le poster à tous nos amis.
    Mais le logiciel comporte aussi une seconde partie qui s’installe secrètement en même temps que la première. Typiquement, cette partie secrète dépose un programme dans notre répertoire Windows, là où nous n’osons pas aller effacer quoi que ce soit. Elle place aussi un lien dans notre répertoire d’auto-démarrage, pour que l’application secrète soit toujours chargée en mémoire.
    Tout est désormais en place de façon permanente, même si nous nous débarrassons du fichier contenant la blague animée.
    La prochaine fois que nous allons ouvrir notre ordinateur, le logiciel secret va être chargé en mémoire et faire ce qu’il a été conçu pour faire. Ça peut être n’importe quoi, mais il y a gros à parier qu’il va se mettre à l’écoute d’un port inutilisé pour se mettre aux ordres du pirate.
    Pour avoir laissé le Cheval pénétrer dans Troie, vous avez aussi accueillis les soldats Grecs qui étaient cachés dedans. Il faut donc se méfier des cadeaux trop alléchants quand leur provenance initiale est douteuse.
  • Securite informatique

    1. 1. Institut Supérieur de Comptabilité et d’Administration des Entreprises SECURITE DU SYSTEME D’INFORMATION (SSI) 3 IAG 1 2010-2011
    2. 2. CHAPITRE 2 Les risques et menaces informatique 2
    3. 3. Protection et sécurité 3
    4. 4. Sécurité informatique • La confidentialité – Contraintes sur la divulgation d’informations • P.ex. qu’un fichier ne soit pas lu par un utilisateur n’ayant pas les droits d’accès – P.ex: que personne d’autre que le commerçant apprenne un numéro de carte de crédit dans une transaction de commerce électronique • L’intégrité – Contraintes sur les modifications d’informations • P.ex. que seul le propriétaire d’un fichier puisse changer les droits d’accès – P.ex: seule la banque peut modifier le contenu d’un compte • La disponibilité – Contraintes sur l’accessibilité d’informations et de services • P.ex: un utilisateur ne doit pas être empêché de lire ses propres mails – P.ex: que le serveur de banque soit toujours accessibles aux participants 4 d’une transaction de commerce électronique
    5. 5. Sécurité informatique • La protection – Ensemble des mécanismes qui contrôlent les actions des utilisateurs (processus/programmes) • P.ex. le chiffrement des données sur disque ou sur le réseau, mots de passe, matériel du processeur qui restreint l’adresse générée et qui empêche les programmes utilisateurs de communiquer avec le contrôleur de disque • La sécurité – La préservation de la confidentialité et de l’intégrité des informations du système • Une attaque est une action qui peut violer la sécurité • Une attaque peut être intentionnelle ou accidentelle • La sécurité est mise en œuvre par des mécanismes de protection 5
    6. 6. 6
    7. 7. 7
    8. 8. 8
    9. 9. 9
    10. 10. 10
    11. 11. Les menaces 11
    12. 12. Les menaces - L'espionnage • Principalement d'origine étatique cette menace concerne particulièrement les informations stratégiques d'une nation. Les renseignements d'ordre militaire, diplomatique, mais aussi, économiques, industriels, technologiques, scientifiques, financiers et commerciaux seront recherchés en priorité. • S'il est moins fréquent, mais surtout non avoué que des entreprises ou des sociétés aient recours à l'espionnage, nous pouvons imaginer l'intérêt que cela représente pour leur activités en gain de temps et d'investissement. Les techniques restent les mêmes et la différence se fera sur l'ampleur des moyens utilisés. Il est concevable de penser que des États utilisent leurs services de renseignement pour fournir des informations à leurs industriels. Il est aussi de notoriété publique que des sociétés privées offrent leur services pour obtenir des renseignements. • L'espionnage va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations. - La perturbation • L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible. • La perturbation va influer sur la disponibilité et l'intégrité des services 12 des et informations d'un SI.
    13. 13. Les menaces (suite) - Le vol • Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il s'agit de données et encore plus de ressources informatiques. En effet une simple copie suffit pour s'approprier une information. Cette opération n'est pas toujours facile à déceler. • Le vol de données va permettre d'enfreindre les mesures de sécurité protègent la confidentialité des informations. Le vol de ressources est plus insidieux, car il se peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité des informations et des services. - La fraude physique • Elle peut consister à récupérer les informations oubliées ou non détruites par l'adversaire ou le concurrent. l'attaquant portera une attention particulière aux listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers des organismes visés. • Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations. 13
    14. 14. Les menaces (suite) - Le chantage • Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que de nombreuses données concernant la vie privée des personnes ou les activités d'une organisation sont gardées sur des ordinateurs. • Le chantage peut aussi porter sur une menace de sabotage à l'encontre des installations d'une organisation. • La chantage peut mettre en cause aussi bien la confidentialité, l'intégrité, que la disponibilité des informations et des services. - Le sabotage • Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou une de ses composantes. • Le sabotage porte atteinte à l'intégrité des informations mais surtout à la disponibilité des services. - Les accès illégitimes • Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant son identité. Elle vise tout particulièrement l'informatique. • Les accès illégitimes portent atteinte à la confidentialité des informations. 14
    15. 15. Attaquants •Pirates •Fraudeurs •Espions •Terroristes 15
    16. 16. Pirates Nous proposons les deux profils de pirate les plus souvent identifiées : - hacker : individu curieux, qui cherche à se faire plaisir. Pirate par jeu ou par défi, il ne nuit pas intentionnellement et possède souvent un code d'honneur et de conduite [1]. Plutôt jeune, avec des compétences non négligeables, il est patient et tenace ; - cracker : plus dangereux que le hacker, cherche à nuire et montrer qu'il est le plus fort. Souvent mal dans sa peau et dans son environnement, il peut causer de nombreux dégâts en cherchant à se venger d'une société - ou d'individus - qui l'a rejeté ou qu'il déteste. Il veut prouver sa supériorité et fait partie de clubs où il peut échanger des informations avec ses semblables. 16
    17. 17. Fraudeurs Les fraudeurs se répartissent en deux catégories avec des compétences similaires : - le fraudeur interne : possédant de bonnes compétences sur le plan technique, il est de préférence informaticien et sans antécédents judiciaires. Il pense que ses qualités ne sont pas reconnues, qu'il n'est pas apprécié à sa juste valeur. Il veut se venger de son employeur et chercher à lui nuire en lui faisant perdre de l'argent. Pour parvenir à ses fins il possède les moyens mis à sa disposition par son entreprise qu'il connaît parfaite- ment. - le fraudeur externe : bénéficiant presque toujours d'une complicité, volontaire ou non, chez ses victimes, il cherche à gagner de l'argent par tous les moyens. Son profil est proche de celui du malfaiteur traditionnel. Parfois lié au grand banditisme, il peut attaquer une banque, falsifier des cartes de crédit ou se placer sur des réseaux de trans- fert de fonds, et si c'est un particulier il peut vouloir fausser sa facture d'électricité ou de téléphone. 17
    18. 18. Espions Ils travaillent pour un État ou pour un concurrent. Choisis pour leur sang-froid et leur haut niveau de qualification, il sont difficiles à repérer. - l'espion d'État : professionnel, entraîné, rompu à toutes les techniques, il dispose de nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller jusqu'à acquérir, légalement ou non, une copie du système qu'il veut attaquer pour l'analyser et l'étudier sous toutes ses coutures. Il est patient et motivé. Il exploite les vulnérabilités les plus enfouies d'un SI car elles seront les plus difficiles à détecter et il pourra les utiliser longtemps. Il sait garder le secret de sa réussite pour ne pas éveiller les soupçons et continuer son travail dans l'ombre. - l'espion privé : souvent ancien espion d'État reconverti, il a moins de moyens mais une aussi bonne formation. Terroristes Moins courant, le terroriste est aidé dans sa tâche par l'interconnexion et l'ouverture des réseaux. - le terroriste : très motivé, il veut faire peur et faire parler de lui. Ses actions se veulent spectaculaires. 18
    19. 19. Techniques d’attaque 19
    20. 20. Techniques d’attaque - Attaques physiques Nous plaçons ici les attaques qui nécessitent un accès physique aux installations ou qui se ser- vent de caractéristiques physiques particulières. La destruction pure et simple ou la coupure d'une ligne ne sont pas évoquées car non spécifiques à l'informatique - Attaques Logiques 20
    21. 21. Attaques physiques - Interception L'attaquant va tenter de récupérer un signal électromagnétique et de l'interpréter pour en déduire des informations compréhensibles. L'interception peut porter sur des signaux hyper- fréquences ou hertziens, émis, rayonnés, ou conduits. L'agresseur se mettra ainsi à la recher- che des émissions satellites, et radio, mais aussi des signaux parasites émis par les SI, principalement par les terminaux, les câbles et les éléments conducteurs entourant les SI. Les techniques d'interception seront très variées pour les différents cas évoqués. - Brouillage Utilisée en télécommunication, cette technique rend le SI inopérant. C'est une attaque de haut niveau, car elle nécessite des moyens importants, qui se détectent facilement. Elle est surtout utilisée par les militaires en temps de crise ou de guerre. - Écoute L'écoute consiste à se placer sur un réseau informatique ou de télécommunication et à analyser et à sauvegarder les informations qui transitent. De nombreux appareils du commerce facilitent les analyses et permettent notamment d'interpréter en temps réel les trames qui circulent sur un réseau informatique. 21
    22. 22. Attaques logiques - intrusion Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire passer pour quelqu'un d'autre et obtenir les privilège ou des droits de celui dont on usurpe l'identité. Un utilisateur est caractérisé par : – ce qu'il est, (empreintes, digitales ou rétiniennes, vocales, ou toute autre authentifiant biométrique), – ce qu'il possède (un badge, une carte mag- nétique, à puce, un jeton, un bracelet...) – ce qu'il sait (un mot de passe, sa date de naissance, le prénom de ses parents...). Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs éléments propres à l'utilisateur. Si le contrôle d'accès au SI se fait par mot de passe, l'attaquant tentera de le lire quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le réseau. Si le contrôle d'accès se fait avec une carte à puce, l'attaquant cherchera à 22 reproduire une.
    23. 23. Attaques logiques - Substitution • Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant des terminaux distants. L'agresseur écoute une ligne et intercepte la demande de déconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se substituer à ce dernier et continuer une session normale sans que le système note un changement d'utilisateur. • Un cas bien connu est celui des ordinateurs sur un réseau local qui ne sont déclarés que par leur adresse Internet. Un attaquant peut alors attendre qu'une machine soit arrêtée pour se faire passer pour elle en usurpant l'adresse de la machine éteinte. - Saturation (denie de service) • Cette attaque contre la disponibilité consiste à remplir une zone de stockage ou un canal de communication jusqu'à ce que l'on ne puisse plus l'utiliser. Il en résultera un déni de service. 23
    24. 24. 24
    25. 25. Les infections informatique • • • • • • • Virus Cheval de troie Ver Bombe Spam Spayware keylogger 25
    26. 26. Virus • • Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent le corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se propager en se recopiant sur un programme et de se déclencher comme une bombe logique quand un événement se produit. Ses actions ont généralement comme conséquence la perte d'intégrité des informations d'un SI et/ou une dégradation ou une interruption du service fourni. 26
    27. 27. Cheval de Troie • On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. • Le nom « Cheval de Troie » provient d'une légende • La légende veut que les Grecs, n'arrivant pas à pénétrer dans de la ville Troie , eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège. 27
    28. 28. Cheval de Troie (suite) Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ... 28
    29. 29. Cheval de Troie (suite) Un cheval de Troie peut par exemple : - copier des données sensibles, - exécuter tout autre action nuisible, - voler des mots de passe . Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor 29
    30. 30. Cheval de Troie (suite) • Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accéder à votre machine par le port qu'il a ouvert. 30
    31. 31. Cheval de Troie (suite) Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Port POP3 Internet Port FTP Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de 31 suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas échéant, s’il est actif, auquel cas le message lui est transmis.
    32. 32. Cheval de Troie (suite) Fonctions réseau Ordinateur 65536 ports Port WWW Port SMTP Port POP3 Port associé à un logiciel pirate Internet Port FTP 32
    33. 33. Cheval de Troie (suite) Partie affichée publiquement, alléchante pour les utilisateurs Partie secrète à l’usage du pirate Logiciel offert gratuitement sur Internet prétendant vous rendre service 33
    34. 34. Les bombes logiques • Les bombes logiques sont des dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. • Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 3ème anniversaire de la catastrophe nucléaire ... • Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise. 34
    35. 35. Ver • Un ver informatique (en anglais worm) est un programme qui peut s'auto reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus réseau. • Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies à tous ces destinataires. • Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier attaché. • Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en 35 fichier attachés.
    36. 36. Spams • • • Le spamming consiste à envoyer massivement des e-mails de type généralement publicitaire (dit aussi "junk mail"), à un grand nombre de personnes n'ayant pas sollicité ce type d'envoi publicitaires, engorgeant ainsi les serveurs de messagerie et vos boites à lettres de messages publicitaires inutiles, non sollicités et généralement mensongers. Les e-mails "spammés" constituent actuellement la quasi-moitié des e-mails "circulant" à l'échelle planétaire Le but premier du spam est généralement de faire de la publicité à moindre cout. Toutefois, Il est aussi source d'essai d'abus, via des offres alléchantes (vous avez gagné ...) et bien sures mensongères, dont le but est de vous attirer à acheter un produit ou un service douteux, ou bien d'essayer de vous abuser, en vous extorquant de l'argent (grâce à dieu, peu de personnes de chez nous possèdent des cartes de crédit en devises ..). Il est aussi parfois question de publicité "politique" ou "religieuse" dangereuses pour les enfants (l'église de Scientologie avait récemment envoyé 1200 spams en 15 jours sur un groupe de discussion). Il est intéressant de noter à ce sujet le nouveau phénomène apparu, consistant dans l'exploitation de virus Internet (vers) pour leur jouer le rôle de diffuseurs (relais) de spam, dans un essai de contourner l'efficacité des outils anti-spam. • 36
    37. 37. Spams • • • • • • Le principal inconvénient du "Spam" est la gêne et la perte de temps induites aux internautes : Gaspillage de temps (et donc d'argent) des utilisateurs, qui doivent trier leur courrier et nettoyer leurs boites à lettres plus fréquemment, Risque de leurrer un message important, "caché" entre les multiples messages de "spam", "Corruption" des utilisateurs non avertis, avec des offres alléchantes, et bien sûr fausses, Atteinte à la morale, via des messages de publicité sexuels, politiques ou religieux ... - Le second inconvénient, non moins important, du spamming touche la bande réseau qu'il consomme inutilement, monopolisant "inutilement" une bonne partie de la bande passante et rendant ainsi l'Internet moins rapide (AOL avait une fois reçu 1.8 million d 'e-mails de spams de "Cyberpromotion" : le plus important "spammeur" du réseau Internet). Cela induit des coûts supplémentaires pour les fournisseurs de service et d'accès à Internet car ils doivent acheter des ordinateurs supplémentaires, pour renforcer leurs serveurs de courrier et mettre en place une plus grande largeur de bande pour contrecarrer la consommation de bande induite par le Spam. 37
    38. 38. Spyware • Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé ( on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage). 38
    39. 39. Spyware (suite) • Les récoltes d'informations peuvent ainsi être : - la traçabilité des URL des sites visités, - le traquage des mots-clés saisis dans les moteurs de recherche, - l'analyse des achats réalisés via internet, - voire les informations de paiement bancaire (numéro de carte bleue / VISA) - ou bien des informations personnelles. 39
    40. 40. Spyware (suite) • Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). • En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel. 40
    41. 41. Keylogger Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage. Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur . 41
    42. 42. Keylogger (suite) Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un lieu public tel qu'un cybercafé). 42
    43. 43. Déroulement d’une attaque informatique 43
    44. 44. 44
    45. 45. Méthodologie d’une intrusion sur un réseau Pour s'introduire dans un système informatique les pirates utilisent une méthodologie, il ne faut pas connaître comment compromettre un système mais comprendre la façon dont il peut l'être afin de mieux pouvoir s'en prémunir. En effet, la meilleure façon de protéger son système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système. Le principe de la protection est de ne pas donner aucune précision sur la manière dont les failles sont exploitées, mais expliquer comment faire pour les déceler et les corriger. 45
    46. 46. Méthodologie globale Les pirates (hackers) ayant l'intention de s'introduire dans les systèmes informatiques recherchent dans un premier temps des failles, c'est-à-dire des vulnérabilités nuisibles à la sécurité du système, dans les protocoles, les systèmes d'exploitations, les applications ou même le personnel 'une entreprise. Les termes de vulnérabilité ( brèche ou en langage plus familier - trou de sécurité « en anglais security hole ») sont également utilisés pour désigner les failles de sécurité. 46
    47. 47. Méthodologie globale • Pour pouvoir mettre en oeuvre un EXPLOIT il s'agit du terme technique signifiant exploiter une vulnérabilité), la première étape du pirate consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci. La plupart des attaques sont l'oeuvre de script kiddies essayant bêtement des exploits trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte. • Une fois que le pirate a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine. 47
    48. 48. Méthodologie globale • Lorsqu'un accès administrateur (le terme anglais root est généralement utilisé) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés. Le pirate possède alors le plus haut niveau de droit sur la machine. • S'il s'agit d'un pirate, la dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises. 48
    49. 49. La récupération d'informations sur le système L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations concernant les infrastructures de communication du réseau cible : • Adressage IP, • Noms de domaine, • Protocoles de réseau, • Services activés, • Architecture des serveurs, 49
    50. 50. Consultation de bases publiques • En connaissant l‘adresse IP publique d'une des machines du réseau ou bien tout simplement le nom de domaine de l‘entreprise, un pirate est potentiellement capable de connaître l'adressage du réseau tout entier, c'est-à-dire la plage d'adresses IP publiques appartenant à l‘entreprise visée et son découpage en sous réseaux. • Pour cela il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine : http://www.iana.net http://www.ripe.net pour l'Europe http://www.arin.net pour les Etats-Unis 50
    51. 51. Consultation de moteurs de recherche • La simple consultation des moteurs de recherche permet parfois de récupérer des informations sur la structure d'une entreprise, le nom de ses principaux produits, voire le nom de certains personnels. 51
    52. 52. Balayage du réseau • Lorsque la topologie du réseau est connue par le pirate, il peut le scanner (le terme balayer est également utilisé), c'est-à-dire déterminer à l'aide d'un outil logiciel (appelé scanner ou scanneur en français) quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs. • L'un des outils les plus connus pour scanner un réseau est « Nmap », reconnu par de nombreux administrateurs réseaux comme un outil indispensable à la sécurisation d'un réseau. Cet outil agit en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur un réseau (déterminé par une adresse réseau et un masque), puis il analyse les réponses. Selon l'allure des paquets TCP reçus, il lui est possible de déterminer le système d'exploitation distant pour chaque 52 machine scannée.
    53. 53. Lecture de bannières • Lorsque le balayage du réseau est terminé, il suffit au pirate d'examiner le fichier journal (log) des outils utilisés pour connaître les adresses IP des machines connectées au réseau et les ports ouverts sur celles-ci. • Les numéros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l'inviter à interroger le service afin d'obtenir des informations supplémentaires sur la version du serveur dans les informations dites de « bannière ». 53
    54. 54. Lecture de bannières Ainsi, pour connaître la version d'un serveur HTTP, il suffit de se connecter au serveur Web en Telnet sur le port 80 : - telnet www.iscae.rnu.tn 80 - puis de demander la page d'accueil : GET / HTTP/1.0 Le serveur répond alors les premières lignes suivantes : HTTP/1.1 200 OK Date: Thu, 21 Mar 2006 18:22:57 GMTServer: Apache/1.3.20 (Unix) Debian/GNU Le système d'exploitation, le serveur et sa version sont alors connus. 54
    55. 55. Ingénierie sociale • L‘ ingénierie sociale (en anglais « Social Engineering ») consiste à manipuler les êtres humains, c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir des informations sur ce dernier. • Ce procédé consiste à entrer en contact avec un utilisateur du réseau, en se faisant passer en général pour quelqu'un d'autre, afin d'obtenir des renseignements sur le système d'information ou éventuellement pour obtenir directement un mot de passe. • De la même façon une faille de sécurité peut être créée dans le système distant en envoyant un cheval de Troie à certains utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute la pièce jointe pour qu'un accès au réseau interne soit donné à l'agresseur extérieur. 55
    56. 56. Le repérage des failles • Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au pirate à déterminer si des failles existent. • Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de sécurité. Les deux principaux scanneurs de failles sont : Nessus et SAINT . 56
    57. 57. L'intrusion • Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le réseau, il est en mesure de préparer son intrusion. • Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées. 57
    58. 58. L'intrusion • Plusieurs méthodes sont utilisées par les pirates : - L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe,ceci est généralement fait en se faisant passer pour l'administrateur réseau. - La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides - Les attaques par force brute (brute force cracking), consistant à essayer de façon automatique différents mots de passe sur une liste de compte (par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe 58 password, ou passwd, etc).
    59. 59. Extension de privilèges • Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root (en français super utilisateur ou super administrateur), on parle ainsi d'extension de privilèges. • Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires. 59
    60. 60. Extension de privilèges • Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est-à-dire un logiciel capable d'écouter (le terme reniffler, ou en anglais sniffing, est également employé) le trafic réseau en provenance ou à destination des machines situées sur le même câble. • Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines du réseau (par exemple l'accès au compte d'un administrateur) afin de contrôler une plus grande partie du réseau. 60
    61. 61. Compromission • Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines. • Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de pénétrer des réseaux privilégiés auxquels la machine compromise a accès . 61
    62. 62. Porte dérobée • Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir, pour atteindre ce but le pirate va installer une application afin de créer artificiellement une faille de sécurité, on parle alors de porte dérobée (en anglais backdoor, le terme trappe est parfois également employé). 62
    63. 63. Nettoyage des traces • Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit, c'est-àdire en supprimant les lignes d'activité concernant ses actions. • Par ailleurs, il existe des logiciels, appelés « kits racine » (en anglais « rootkits ») permettant de remplacer les outils d'administration du système par des versions modifiées afin de masquer la présence du pirate sur le système. • En effet, si l'administrateur se connecte en même temps que le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement qu'une autre personne que lui est connectée simultanément. L'objectif d'un rootkit est donc de tromper l'administrateur en lui masquant la réalité. 63
    64. 64. Exemple d’attaque informatique 64
    65. 65. 65
    66. 66. Attaque TCP TCP – Orienté connexion; – Acquittement de remise des paquets; • Connexion TCP – Connexion par « Three Way Handshake »; – Échange entre deux processus; – Fermeture • Friendly close : flag [tcp end]; • Lors d’un erreur (par exemple interruption d’un des process). • Attaque – L’attaque consiste à utiliser la fermeture lors d’une erreur • La norme pose qu’un paquet est valide si son n° de séquence est situé dans la fenêtre; • Or ce n° de séquence est situé dans un champ d’en-tête; • TCP acquitte ses paquets par un paquet ACK connaissant ce n° de séquence; • Il est alors possible d’utiliser un outils forgeant des paquets sur mesure; • Il faut être positionné dans un environnement où il est possible de sniffer les paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ». • Outil – L’outil utilisable est : WinTCPKill. 66
    67. 67. 67
    68. 68. 68
    69. 69. Les protocoles ARP et RARP • Chaque interface réseau possède une adresse physique unique dépendante du type d’architecture (les adresses MAC sont différentes suivant la norme mise en place). • L’adressage sur Internet est basé sur des adresses IP, de niveau réseau. • Il faut donc faire le lien entre les deux adresses (IP et MAC) d’une même machine : les protocoles ARP (Address Resolution Protocol) et RARP (Reverse Address Resolution Protocol) • ARP permet de faire correspondre une adresse MAC à une adresse IP donnée et RARP permet l’inverse. 69
    70. 70. Les protocoles ARP et RARP (suite) • La résolution d’adresses est effectuée en trois étape : 1. Le protocole ARP émet un datagramme particulier par diffusion à toutes les stations du réseau et qui contient entre autre l’adresse IP à convertir. 2. La station qui se reconnaît retourne un message (réponse ARP) à l’émetteur avec son adresse MAC. 3. L’émetteur dispose alors de l’adresse physique du destinataire et ainsi la couche liaison de données peut émettre les trames directement vers cette adresse physique. • Les adresses résolues sont placées dans un cache ce qui évite de déclencher plusieurs requêtes lorsque plusieurs datagramme doivent être envoyés. 70
    71. 71. 71
    72. 72. Le principe de l’attaque « ARP cache poisoning » Mise à jour entre les Tout le traficdes entrées créées grâce aux hôtes 2 et 3 doit @ réponsesIP:192.168.0.1 obligatoirement ARP passer @ MAC:mac1 par l’hôte 1 pirate L’entrée @IP=192.168.0.2; @MAC=mac1 est crée @ cache ARP dans le IP:192.168.0.3 @ MAC:mac3 Requête ARP. Requête ARP.ARP. Réponse Eth dst =mac3, MAC src =mac1 ETH dstdst =mac2, MAC src=mac1 Eth =mac3, MAC src=mac1 et IP src=192.168.0.2 et Et IP src =192.168.0.2 IP src=192.168.0.3 MAC ?  ?IP3 mac3. MAC 192.168.0.3  192.168.0.2 Réponse ARP. ETH dst =mac2, MAC src =mac1 L’entrée Et IP src =192.168.0.3 @IP=192.168.0.3; IP2 mac2. @MAC=mac1 est crée dans le cache @ IP:192.168.0.2 ARP @ MAC:mac2 72
    73. 73. Empoisonnement du cache ARP @ IP:192.168.0.1 @ MAC:mac1 Pirate Host 1 Fausse entrée est crée dans la cache ARP @IP=192.168.0.2 -- @MAC=mac1 @ IP:192.168.0.3 @ MAC:mac3 L’hôte 3 veut communiquer avec l’hôte2 Fausse Requête ARP (Fake ARP request) Paquet TCP vers 192.168.0.2 MAC src=mac1 et IP src=192.168.0.2 MAC ?  192.168.0.3 Host 3 Host 2 @ IP:192.168.0.2 @ MAC:mac2 73
    74. 74. 74
    75. 75. 75
    76. 76. 76
    77. 77. 77
    78. 78. • Effets : – si les deux ports sont sur la même machine les performances de celle-ci se dégradent – si les deux ports sont sur des machines différentes ceci provoque la congestion du réseau • Parades : – filtrage de tous les services sur UDP à l ’exception du port 53 (dns) – désactiver tous les ports udp inutiles 78
    79. 79. DNS Spoofing • DNS – Gestion des correspondance entre les noms de machines et leur adresse IP; – Un client lance une requête DNS au serveur pour connaître l’adresse IP à partir d’un nom. Le serveur lui répond par un paquet DNS; – La relation entre la requête et la réponse est une clé contenant un n° d’identification; – Ce protocole utilise le port UDP 53; Attaque – L’attaque DNS Spoofing est basée sur l’interception du paquet réponse, forger un nouveau avec la même clé et modifier l’adresse IP; – Cette nouvelle adresse IP est une redirection sur la machine pirate; – Il faut être positionné dans un environnement où il est possible de sniffer les paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ». Outil – Pour ce genre d’attaque, un des outils est : WinDNSSpoof. 79
    80. 80. Les détournements et interceptions Web spoofing • Attaque de type man in middle : le serveur de l ’attaquant détourne les requêtes HTTP de la victime • La victime navigue dans un faux web • Initialisation de l ’attaque: – l ’attaquant amène la victime à visiter son site (par email ou par sa figuration dans une indexation d ’un moteur de recherche) – la victime télécharche un script java • Ce script java détourne toutes les requêtes de la victime vers l ’attaquant 80
    81. 81. Les détournements et interceptions Web spoofing • Effets : – surveillance de l ’activité de la victime, et vol de données – altération des données, • Parades : – désactivation de javascript – proxy : repère et refuse des echanges HTTP avec réécriture des URL 81

    ×