Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à
une attaque.
Une « attaque » est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par
l'exploitant du système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par
minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées
automatiquement à partir de machines infectées (par des virus, chevaux de Troie, vers,
etc.), à l'insu de leur propriétaire. Plus rarement il s'agit de l'action de pirates
informatiques.
Afin de contrer ces attaques il est indispensable de connaître les principaux types
d'attaques afin de mettre en oeuvre des dispositions préventives.
1. Audit et Sécurité Informatique
Les attaque informatique
Réalisé par:
Nadia Sassi
2. Les attaques
Les attaques constituent une famille d'attaques
de système d'information qui consistent à utiliser un ou des
systèmes intermédiaires, participant à leur insu, et
permettant à un assaillant de rester caché
3. Le "Denial-of-service" ou déni de service est une attaque très évoluée
visant à rendre muette une machine en la submergeant de trafic inutile.
Il peut y avoir plusieurs machines à l'origine de cette attaque qui vise à
anéantir des serveurs, des sous-réseaux, etc.
4. exemple des dénis de service
• le service de courrier électronique
• d'accès à Internet
• de ressources partagées (pages Web)
• ou tout autre service à caractère commercial comme Yahoo! ou
EBay
5. Le principe des attaques par déni de
service
Consiste à envoyer des paquets IP ou des données de taille ou de
constitution inhabituelle, afin de provoquer une saturation ou un état
instable des machines victimes et de les empêcher ainsi d'assurer les
services réseau qu'elles proposent.
6. attaque par réflexion
C'est une attaque axée réseaux, faisant partie de la grande famille des
Refus De Service (DOS : Denial Of Service).
La technique dite « attaque par réflexion » (en anglais « smurf ») est
basée sur l'utilisation de serveurs de diffusion (broadcast) pour
paralyser un réseau. Un serveur broadcast est un serveur capable de
dupliquer un message et de l'envoyer à toutes les machines présentes
sur le même réseau.
8. Le scénario d'une telle attaque est le
suivant
• la machine attaquante envoie une requête ping (ping est un outil
exploitant le protocole ICMP, permettant de tester les connexions
sur un réseau en envoyant un paquet et en attendant la réponse) à
un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source
(adresse à laquelle le serveur doit théoriquement répondre) et en
fournissant l'adresse IP d'une machine cible.
• le serveur de diffusion répercute la requête sur l'ensemble du
réseau ;
• toutes les machines du réseau envoient une réponse au server de
diffusion,
• le serveur broadcast redirige les réponses vers la machine cible.
• Ainsi, lorsque la machine attaquante adresse une requête à
plusieurs serveurs de diffusion situés sur des réseaux différents,
l'ensemble des réponses des ordinateurs des différents réseaux
vont être routées sur la machine cible.
9. le protocole ICMP
Le protocole ICMP (Internet Control Message Protocol) est un protocole qui
permet de gérer les informations relatives aux erreurs aux machines
connectées. Etant donné le peu de contrôles que le protocole IP réalise, il
permet non pas de corriger ces erreurs mais de faire part de ces erreurs aux
protocoles des couches voisines. Ainsi, le protocole ICMP est utilisé par tous
les routeurs, qui l'utilisent pour signaler une erreur (appelé Delivery
Problem).
10. Attaque par HAMEÇONNAGE (PHISHING)
L’hameçonnage, ou le Phishing est une technique utilisée par les
hackers pour obtenir des renseignements personnels sur une tierce
personne. le Phishing consiste à faire croire à une personne qu’elle est
connectée sur un site web qu’elle croit légitime et en profite pour lui
soutirer des renseignements personnels, comme des mots de passes,
numéro de carte bancaire
11. Comment les hackers réalisent t’ils une attaque de
Phishing ?
vous devez savoir que le phishing est une combinaison de plusieurs
autres attaques de hacking à savoir : le « ARP spoofing » et le « DNS
spoofing ».
12. Qu’est ce que le ARP spoofing ?
L’ « ARP spoofing », ou « ARP poisoning » est une technique utilisée
par les hackers pour détourner des flux de communications transitant
entre une machine cible et un routeur au sein d’un réseau local où le
protocol ARP (Address Resolution Protocol) est implémenté.
Cette attaque permet au hacker d’observer, modifier ou même
supprimer les messages (paquets) envoyés par une machine cible à sa
passerelle (le routeur).
13.
14. Qu’est ce que le DNS spoofing
Le DNS spoofing est une technique permettant de faire passer de
fausses requêtes à des serveurs DNS (Domain Name Server), qui les
exécuteront en pensant qu’elles sont valides, une fois que l’attaque est
réussie un hacker peut rediriger un internaute vers un faux site infesté
de virus ou encore pour lui usurper des informations personnelles
15. Réalisation d’une attaque de Phishing
Pour vous montrer comment les hackers réalisent ce genre d’attaque,
nous allons utiliser l’architecture suivante :
16. EXEMPLE
Le contexte est le suivant :
• Le réseau est constitué d’un routeur qui est la passerelle (Gateway),
d’une machine cible, d’un serveur où est configuré un service DNS
et dans lequel est hébergé le site web (www.sparda.dmc) dont la
page d’accueil est la suivante :
17. Dans l’architecturevous remarquerez également qu’on retrouve également
une machine nommé « hacker », c’est à partir de cette machine que nous
lancerons notre attaque de Phishing, dans le but de récupérer les identifiants
(nom d’utilisateur et mot de passe) entrer par notre cible.
Notre cible à pour adresse IP: 192.168.1.12 comme le montre la capture
suivante :
19. Notre hacker est connecté au même réseau et à pour
adresse IP 192.168.1.13
20. Lorsque notre cible souhaite se connecter au site web
www.sparda.dmc, il lui suffit d’ouvrir son navigateur web et d’entrer
l’URL (Uniform Ressource Locator) www.sparda.dmc pour accéder au
site. Une fois cela effectué, notre cible entre son nom d’utilisateur et
son mot de passe pour avoir accès à sa session de travail (comme
pour avoir accès à son compte utilisateur sur un réseau social comme
facebook, son compte de messagerie gmail par exemple, son compte
bancaire en ligne, …).
21. Au niveau de « l’invite de commande » de notre cible lorsqu’on effectue
un « Ping » suivi de l’url du site on constate bien que c’est le serveur
web (192.168.1.69) qui répond à sa requête :
22. Les virus batch
Les virus de type batch, apparu à l'époque où MS-DOS était le système
d'exploitation en vogue, sont des virus « primitifs ». Bien que capables
de se reproduire et d'infecter d'autres fichiers batch, ils sont lents et ont
un pouvoir infectant très faible. Certains programmeurs ont été jusqu'à
créer des virus batch cryptés et polymorphes, ce qui peut être qualifié
de « prouesse technique » tant le langage batch est simple et primitif