1 réseaux et protocoles-sécurité-partie 1 v2

Réseaux & Protocoles
Sécurité des réseaux Slide 1

Sécurité des réseaux

Youness IDRISSI KHAMLICHI

(ykhamlichi@gmail.com)
2012/2013

ENSA-Khouribga Y. I. KHAMLICHI


Sommaire

Partie II: Sécurité des réseaux
 Connaître les ennemis
 Les attaques réseaux
 La cryptographie



Problématique
La vulnérabilité de réseau (Internet):
 Ordinateurs constamment connectés à Internet par modems,
câbles ou lignes d’abonnés numériques

 Vulnérables puisqu’ils utilisent une adresse Internet permanente
qui permet de les repérer facilement

 La voix sur IP, très souvent non cryptée, peut être écoutée par
toute personne reliée au réseau

 L’usage accru du courriel pouvant comporter des virus en pièce
jointe et de la messagerie instantanée (MI) dont les messages
texte sont non sécurisés, augmentent la vulnérabilité



Introduction à la sécurité

 La sécurité d'un réseau est un niveau de garantie que
l'ensemble des machines du réseau fonctionnent de façon
optimale et que les utilisateurs possèdent uniquement les
droits qui leur ont été octroyés

 Il peut s'agir :
 d'empêcher des personnes non autorisées d'agir sur le
système de façon malveillante
 d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système
 de sécuriser les données en prévoyant les pannes
 de garantir la non-interruption d'un service


Les causes d’insécurité

 On distingue généralement deux types d'insécurité :
 l'état actif d'insécurité: la non-connaissance par
l'utilisateur des fonctionnalités du système, dont certaines
pouvant lui être nuisibles (ex: la non-désactivation de
services réseaux non nécessaires à l'utilisateur)
 l'état passif d'insécurité: lorsque l'administrateur (ou
l'utilisateur) d'un système ne connaît pas les dispositifs
de sécurité dont il dispose



Le but des agresseurs

 Les motivations des agresseurs que l'on appelle "pirates"
peuvent être multiples :
 l'attirance de l'interdit
 le désir d'argent (ex: violer un système bancaire)
 le besoin de renommée (impressionner des amis)
 l'envie de nuire (détruire des données, empêcher un système de
fonctionner)
 Le but des agresseurs est souvent de prendre le contrôle d'une
machine afin de pouvoir réaliser les actions qu'ils désirent. Pour
cela il existe différents types de moyens :
 l'obtention d'informations utiles pour effectuer des attaques
 utiliser les failles d'un système
 l'utilisation de la force pour casser un système


Problèmes de sécurité

 Les problèmes de sécurité des réseaux peuvent être
classés en 4 catégories:
 La confidentialité: seuls les utilisateurs autorisés
peuvent accéder à l’information
 L’authentification: avoir la certitude que l’entité avec
laquelle on dialogue est bien celle que l’on croit
 Non-répudiation: concerne les signatures
 Contrôle d’intégrité: comment être sûr que le message
reçu est bien celui qui a été envoyé (celui-ci n’a pas été
altéré et modifié)



Attaques, services et mécanismes

 L’administrateur doit tenir compte des 3 aspects de la
sécurité de l’information:
 Service de sécurité: pour contrer les attaques de sécurité
et améliorer la sécurité des SI
 Mécanisme de sécurité: pour détecter, prévenir ou
rattraper une attaque de sécurité
• Usage des techniques cryptographiques
 Attaque de sécurité: une action qui compromet la sécurité
de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier



Définition

La sécurité Informatique consiste à la protection:
 de l’information
 des services Confidentialité
 des systèmes

Contre
 Les menaces volontaires
Sécurité du
 Les menaces involontaires Système
d’information
Influençant leur
 Confidentialité
 Intégrité Intégrité Disponibilité
 Disponibilité


Propriété de base : sécurité

 Sécurité = confidentialité + intégrité + disponibilité
 Perte de confidentialité = divulgation non-autorisée
d’information
 Perte d’intégrité = altération de l'information
 Perte de disponibilité = interruption d'accès à l'information ou
interruption du service d'un système d'information

"For most distributed systems, the security objectives of confidentiality, integrity, and
availability of information apply. A loss of confidentiality is the unauthorized disclosure
of information. A loss of integrity is the unauthorized modification or destruction of
information. A loss of availability is the disruption of access to or use of information or
an information system." [NIST]



Définition
Seuls les personnes habilités
peuvent accéder aux
informations

Confidentialité

Sécurité du Les données ne sont pas
Assurer l’accès aux
Système altérées ni altérables
informations
d’information

Intégrité Disponibilité



Propriété de base : 1 – Confidentialité

 Les données ne doivent être accessibles qu’aux
personnes autorisées, de la manière autorisée.
 Afin de permettre ces accès discriminatoires, il est
nécessaire de :
• Pouvoir identifier les utilisateurs.
• Définir des niveaux d’accès aux données.
• Associer les utilisateurs aux droits d’accès.
• Vérifier les tentatives d’accès



Propriété de base: 2 – Intégrité

 Les données ne doivent pas être altérées durant la
communication.
 La confidentialité ne peut s’appliquer en milieu ouvert ;
les données doivent être protégées d’une autre manière
(cryptage).
 Lors d’échange d’informations entre tiers, l’intégrité est
essentielle. Il est aussi indispensable de garantir
l’identité des intervenants : NON REPUDIATION.



Propriétés de base: 3 – Disponibilité

 Les données doivent être disponibles en permanence.

 Pour garantir cette disponibilité,
 les données doivent être protégées contre les
erreurs de manipulation.
 Les moyens d’accès (réseau, modem, …) seront
toujours opérationnels.



Besoins de sécurité selon les secteurs

 Défense, gouvernement :
 confidentialité >> intégrité, disponibilité
 Finance :
 intégrité >> disponibilité > confidentialité
 Autres : industrie, administrations, médecine, …
 ça dépend!

 Il faut définir les besoins spécifiques de l'application : Politique
de sécurité



CONNAÎTRE LES ENNEMIES



Trojan (cheval de troie)

 Logiciel qui permet de prendre le contrôle à distance d'un autre
ordinateur.

 le pirate infecte sa cible avec un logiciel serveur qui permettra
de copier, lire, voir ce qui se passe sur la machine infectée.

 Un trojan ne peut fonctionner que si la machine à pirater
possède le serveur du trojan et que cette machine est
connectée sur le Web.

 Les trojan les plus connus et utilisés sont : Back Orifice,
NetBus, Subseven…



Trojan (cheval de troie) : Description

 C’est un programme ayant deux caractéristiques:

 Un comportement apparent utile à l’utilisateur de l’ordinateur
(c'est le porteur, la partie visible du cheval que les grecs
exhibèrent devant Troie).

 Un comportement caché, malveillant, conduisant à la
destruction ou la divulgation des données ou à l'ouverture
d'une porte dans le système de communication et à
l'espionnage ou à la publicité etc. ... (c'est la cohorte des grecs
sortant en cachette du cheval pour ouvrir les portes de Troie et
permettre au reste de l'armée grecque d'entrer et totalement
détruire Troie).



Trojan (cheval de Troie) : Types

 Les chevaux de Troie se répartissent en plusieurs sous-
catégories:
1. Les portes dérobées
2. Les chevaux de Troie PSW
3. Les chevaux de Troie cliqueurs
4. Les chevaux de Troie droppers
5. Les chevaux de Troie proxy
6. Les chevaux de Troie espion
7. Les chevaux de Troie notificateurs
8. Les bombes d’archives
9. Les Man in the Browser
Source : http://fr.wikipedia.org/wiki/Cheval_de_Troie_(informatique)#Types_et_modes_op.C3.A9ratoires



Trojan : Porte dérobée « Backdoor »

 Outil de pirate créant une faille de sécurité en maintenant ouvert
un port de communication afin de permettre dans un second
temps, quelquefois plusieurs mois plus tard (ou jamais),
d'attaquer une machine.

 Le backdoor est diffusé par les mêmes voies que les virus afin
d'infester un maximum de machines.

 Il va ensuite s'arranger pour être lancé automatiquement à
chaque démarrage de la machine infestée puis va maintenir un
port ouvert dès qu'il y a connexion.



Trojan : Porte dérobée « Backdoor »: description

 La personne connaissant la porte dérobée peut l’utiliser pour:
 surveiller les activités du logiciel
 voire en prendre le contrôle (par contournement de
l'authentification)
 contrôler l'ensemble des opérations de l'ordinateur.

 Certains s'attaquent à des canaux de communications
particuliers comme IRC (protocole Internet Relay Chat)...



Trojan : Les chevaux de Troie PSW

 Recherchent les fichiers système qui contiennent des
informations confidentielles (comme les mots de passe, les
détails du système, les adresses IP, les mots de passe pour les
jeux en ligne, etc.)

 Puis envoient les données recueillies à la personne
malintentionnée par mail.



Trojan : Les chevaux de Troie cliqueurs

 Redirigent les utilisateurs vers des sites Web ou d'autres
ressources Internet.

 Ils peuvent détourner le fichier hosts (sous Windows).

 Ils ont pour but d'augmenter le trafic sur un site Web, à des fins
 publicitaires ;
 d'organiser une attaque par déni de service ;
 ou de conduire le navigateur web vers une ressource infectée
(par des virus, chevaux de Troie, etc.).



Trojan : Les chevaux de Troie droppers

 Installent d'autres logiciels malveillants à l'insu de l'utilisateur.
 Le dropper contient un code permettant l'installation et
l'exécution de tous les fichiers qui constituent la charge utile.
 Il l'installe sans afficher d'avertissement ou de message d'erreur
(dans un fichier archivé ou dans le système d'exploitation).
 Cette charge utile renferme généralement d'autres chevaux de
Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour
but de détourner l'attention de l'utilisateur ou à lui faire croire
que l'activité du dropper est inoffensive.



Trojan : Les chevaux de Troie proxy

 Servent de serveur proxy pour diffuser massivement des
messages électroniques de spam.



Trojan : Les chevaux de Troie espion

 Sont des logiciels espions et d'enregistrement des frappes
(clavier), qui surveillent et enregistrent les activités de
l'utilisateur sur l'ordinateur,
 puis transmettent les informations obtenues (frappes du clavier,
captures d'écran, journal des applications actives, etc.) à
l'attaquant.



Trojan : Les chevaux de Troie notificateurs

 Sont inclus dans la plupart des chevaux de Troie.
 Ils confirment à leurs auteurs la réussite d'une infection et leur
envoient (par mail ou ICQ) des informations dérobées (adresse
IP, ports ouverts, adresses de courrier électronique, etc.) sur
l'ordinateur attaqué.



Trojan : Bombes d’archives

 Les bombes d'archives sont des fichiers archivés infectés, codés
pour saboter l'utilitaire de décompression (par
exemple, Winrar ou Winzip) qui tente de l'ouvrir.

 Son explosion entraîne le ralentissement ou le plantage de
l'ordinateur, et peut également noyer le disque avec des données
inutiles. Ces bombes sont particulièrement dangereuses pour les
serveurs.



Trojan : Les Man in the Browser

 Les Man in the Browser infectent les navigateurs web



Password cracking

 Il est très souvent facile d'obtenir le mot de passe d'un utilisateur
peu avisé. Même les plus prudents ne sont pas à l'abri d'un regard
attentif au-dessus de l'épaule.
 Evitez spécialement les mots de passe faits de mouvements
réguliers sur le clavier du type azerty.
 Une autre erreur classique est d'utiliser comme mot de passe le
nom d'utilisateur comme guest - guest.
 Il faut également se méfier des faux programmes de login ou des
programmes qui utilisent la force brute pour détecter un mot de
passe à partir d'un dictionnaire. Les plus redoutables crackers
auront même recours au "eavesdropping » (L'écoute clandestine)
pour capturer votre mot de passe en "sniffant" les paquets
réseau.


Social engineering

 Un pirate informatique a quelquefois bien plus de talents
psychologiques que de compétences informatiques.

 Toutes les attaques informatiques n'ont pas l'efficacité d'un
simple coup de fil donné d'un ton assuré pour réclamer un mot de
passe oublié ou égaré.



Keylogger

 Les Keyloggers sont des programmes, commerciaux ou non,
d'espionnage.

 Ils peuvent être installés silencieusement et être actifs de
manière totalement furtive sur votre poste de travail.

 Ils effectuent une surveillance invisible et totale, en arrière-plan,
en notant dans des fichiers cachés et compressés le moindre
détail de votre activité sur un ordinateur dont toutes les touches
frappées au clavier, d'où leur nom de "key-logger".



Keylogger

 Ils sont aussi capables de faire un film de tout ce qui se passe à
l'écran, en continu ou par capture d'écran à intervalles réguliers...

 Ils notent quels programmes sont utilisés et pendant combien de
temps, les URL visitées, les e-mails lus ou envoyés, les
conversations de toutes natures... dès la mise sous tension de la
machine.

 Ils permettent, par la même occasion, de lire les champs
habituellement cachés comme les mots de passe, les codes
secrets etc. ...



Profiler et Profiling

 Espionnage pour établissement des profils des internautes.

 Le profiling, mené par des profilers, est l'activité d'espionnage la
plus répandue sur le NET.
 savoir tout de moi, ce que j'achète, les sites que je visite, ce
que je dit, ce que je regarde, ce que je pense, mes convictions
religieuses, politiques, économiques, sociales, mon revenu,
mon patrimoine, mes amis, ma famille, ce que je mange, mes
e-mails, mes intensions, mes projets, mes vacances, mes
goûts, mes photos, mes films, mes livres, l'historique de mes
achats, etc. ...."



Profiler et Profiling

 La règle du jeu est simple :
 surveillance et contrôle de manière continue des individus,
 Obtenir toutes ses informations
 et faire un rapport de ces informations.
 Les différents outils de profiling:
 Adservers
 Adwares
 Spywares (spy)
 Index.dat
 Web-Bug (Weacon)
 Traces (Traceur, Tracing)



Adservers

 Les cannons à publicités , Adserver (Advertising server - Serveur
de publicités)

 Ils représentent l'acharnement agressif des publicistes à polluer
nos sites, notre surf, notre bande passante et nos yeux (et même
nos oreilles avec certaines publicités en "reach media").

 Ce sont des couples matériel / logiciel mais, essentiellement, en
ce qui nous concerne, ce sont des ordinateurs appelés "serveurs",
sur le net, ayant un nom de domaine et une adresse ip.



Adwares

 Les gestionnaires de publicités
 Deux définition pour adware :
 Un adware est un programme qui dirige les publicités ciblées
vers votre ordinateur,
 Un adware est un "petit" utilitaire gratuit - un "freeware" ou
"shareware" - supporté par un peu de publicité, en incrustant
de bannières publicitaires gérées par un adware incorporé
• L'adware est donc alors un freeware dont le créateur conserve la
propriété intellectuelle (copyright) et ne nous réclame pas de droit
d'usage. En contrepartie, il perçoit une compensation monétaire en
insérant un (ou des) bandeau(x) publicitaires dans son programme.
Plusieurs de ces programmes n'ont pas besoin de fonctionner en ligne
• Ex epmle : Go!zilla, KaZaA etc


Spywares

 Spyware et un acronyme anglais venant de "Spy" (espion /
espionne en anglais) et "ware" qui désigne une classe de logiciels
(freeware, shareware, payware etc. ...). La traduction française
en Logiciel Espion a donné Espiogiciel ou Espiongiciel.

 C’est un programme chargé de recueillir des informations sur
l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle
donc parfois mouchard) afin de les envoyer à la société qui le
diffuse pour lui permettre de dresser le profil des internautes (on
parle de profilage).



Spywares : Types

 On distingue généralement deux types de spywares :
 Les spywares internes (ou spywares intégrés) comportant
directement des lignes de codes dédiées aux fonctions de
collecte de données.
 Les spywares externes, programmes de collectes autonomes
installés,
 Une liste non exhaustive de spywares non intégrés :
 Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin,
Conducent Timesink, Cydoor, Comet Cursor, Doubleclick,
DSSAgent, EverAd, eZula/KaZaa Toptext,
Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar,
ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy,
Xupiter, Web3000 et WebHancer



Les fichiers index.dat

 Ces fichiers représentent un condensé de toute notre activité (en
ligne et hors ligne).
 Ils peuvent être lu par n'importe qui.
 Il y a les traces de notre activité que nous laissons un peu partout
dans notre ordinateur et que nous tentons d'effacer de temps en
temps (les historiques, les cookies, les répertoires temporaires,
les derniers documents manipulés, etc. ...).



Web-Bug (Web Bug, Webug, Weacon)

 Web-Bug : mouchard caché en micro-image invisible dans une
page web ou un e-mail, servant à déclencher l'exécution d'un
script depuis un site extérieur.

 Le Web Bug est une astuce d'utilisation d'une forme publicitaire,
la bannière ou la pop-up, dans le but exclusif de traquer
(tracking), tracer ou espionner (spyware).



Traces, Traceur, Tracking

 Capture par espionnage de tous vos faits et gestes en matière de
navigation et activité afin de déterminer vos centres d'intérêt
pour établir vos profils :
 de consommateur (afin de vous jeter à la figure la bonne
publicité au bon moment !),
 psychologique (êtes-vous une personne facilement
manipulable et influençable) - très grand intérêt pour les
"maîtres" de toutes sortes comme les sectes, les réseaux
terroristes etc. ,
 socio professionnel (vos revenus m’intéressent), culturel (les
sites visités, vos livres, films, musés, expos, théâtres,
manifestations etc. ... visités)...



Les virus

 Qu’est ce qu’un virus
 Un petit programme ou un élément d’un
programme développés à des fins
nuisibles, qui s'installe secrètement
sur des ordinateurs et parasite des
programmes.
 Les traces
 Les virus infectent des applications,
copient leur code dans ces
programmes. Pour ne pas infecté
plusieurs fois le même fichier ils
intègrent dans l’application infectée
une signature virale.


Qu’est qu’un ver ?

 Programme capable de se copier
vers un autre emplacement par ses
propres moyens ou en employant
d'autres applications.



Les bombes logiques

 Les bombes logiques sont programmées pour
s'activer quand survient un événement précis.

 De façon générale, les bombes logiques visent
à faire le plus de dégât possible sur le système
en un minimum de temps.



LES ATTAQUES RÉSEAUX



Attaques réseaux

 L’administrateur doit tenir compte des 3 aspects de
la sécurité de l’information:
 Service de sécurité: pour contrer les attaques de
sécurité et améliorer la sécurité des SI
 Mécanisme de sécurité: pour détecter, prévenir ou
rattraper une attaque de sécurité
• Usage des techniques cryptographiques
 Attaque de sécurité: une action qui risque la sécurité
de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier,



Schéma classique d’une attaque

Collecte Repérage
Balayage
d’informations des failles

Extension
Intrusion Compromission
des privilèges

Nettoyage
Porte dérobée
des traces



Attaques réseaux



Buts des attaques

 Interruption : vise la disponibilité des informations

 Interception: vise la confidentialité des Informations

 Modification: vise l’intégrité des Informations

 Fabrication: vise l’authenticité des informations



Attaques : niveaux

 Une entreprise peut être victime d’une attaque à trois
niveaux.
 L’ attaque externe. L’attaque est réalisée depuis l’extérieur
et utilise les points d’ouverture (serveur mail, serveurs Web,
…). Très médiatisée, elle est délicate et ne produit que très
rarement un résultat.
 L’attaque interne. Elle se produit depuis l’intérieur du
réseau, elle est généralement le fait d’un collaborateur.
« Pour hacker, fais-toi engager ». Elle représente 87% des
attaques efficaces.
 L’attaque physique. Partir avec les machines reste toujours
la méthode la plus efficace.


Attaques : Menaces

 Attaques passives:
• Capture de contenu de message et analyse de trafic
• écoutes indiscrètes ou surveillance de transmission
 Attaques actives:
• Mascarade, déguisement
• modifications des données,
• déni de service pour empêcher l’utilisation normale ou la gestion
de fonctionnalités de communication



Attaques : auteurs

 Les attaques peuvent être l’œuvre de plusieurs types de
profiles:
 L’employé curieux. Il est ‘intéressé’ par l’informatique pour
voir ce qu’il peut trouver. Il n’est pas malveillant et
communiquera souvent les éventuelles failles qu’il
découvre.
 L’employé vengeur. Il s’estime floué par l’entreprise
(renvoi ‘non justifié’, pas de promotion, ….). Il veut causer
un maximum de dégâts, parfois même sans se cacher. S’il
s’agit d’un informaticien, il peut causer des dégâts
considérables. S’il s’agit d’un responsable sécurité, il peut
causer des dégâts irrémédiables.



Attaques : auteurs

 Un hacker. Le hacker est un spécialiste de très haut niveau.
Généralement programmeur,
• il porte un énorme intérêt à maîtriser tous les mécanismes de
fonctionnement interne d’un système.
• Il peut découvrir des failles dans un système et leur origine.
• Il cherche à améliorer ses connaissances,
• partage généralement ses découvertes et ne CHERCHE PAS A NUIRE.
 Les hackers sont fréquemment amenés à concevoir des outils
d’analyse des systèmes.
 Un hacker produit des attaques pour mettre au point la sécurité.



Attaques : auteurs

 Le Cracker. Il s’agit d’un individu qui cherche à forcer
l’intégrité d’un système à des fins malveillantes (vol de
données, destruction de données, corruption de
données, destruction de matériel, espionnage …).

 Il peut posséder un degré de connaissances élevé,
parfois équivalent à celui d’un hacker.

 Il peut aussi ne pas être spécialiste et se contenter
d’utiliser les outils développés par un Hacker.


Attaques : Hacking

 Hacking : c’est l’ensemble des techniques visant à
attaquer un réseau, un site ou un équipement
 Les attaques sont divers, on y trouve:
 L’envoie de bombe logiciel, chevaux de Troie
 La recherche de trou de sécurité
 Détournement d’identité
 Les changements des droits d’accès d’un utilisateur d’un
PC
 Provocation des erreurs



Attaques : Hacking

 Les attaques et les méthodes utilisées peuvent être
offensives ou passives:
 Les attaques passives consistent à écouter une ligne de
communication et à interpréter les données qu’ils interceptent
 Les attaques offensives peuvent être regrouper en :
• Attaques directes: c’est le plus simple des attaques,
– le Hacker attaque directement sa victime à partir de son
ordinateur.
– Dans ce type d’attaque, il y a possibilité de pouvoir remonter à
l’origine de l’attaque et à identifier l’identité du Hacker
• Attaques indirectes (par ruban): passif, cette attaque présente 2
avantages:
– Masquer l’identité (@ IP du Hacker)
– Éventuellement utiliser les ressources du PC intermédiaire



Attaques : types
Les attaques informatives.
 Elles visent à obtenir des informations sur le système.
 Ces informations seront ensuite utilisables pour définir
des failles dans la sécurité.
Les attaques de déni de service (DoS : Denial of Service).
 Elles visent à surcharger le système avec des requêtes
inutiles.
 Elles permettent de remplir les logs et de rendre l’audit
ingérable.
 Elles peuvent aussi masquer d’autres attaques.
Les attaques destructrices.
 Elles visent à rendre inopérant soit les applications, soit
le système.



Attaques informatives – « Social engineering »

 Il ne s’agit nullement d’une technique informatique. Il
s’agit d’essayer d’obtenir des informations sur le réseau
en … posant des questions!
 Exemples :
 Je suis « X », le nouveau membre du service
informatique, j’ai besoin de votre mot de passe pour
….
 Je procède à un sondage pour Datatrucinfo, pouvez-
vous me dire si vous utilisez un firewall, si oui quel
type, …
 Cette technique est très efficace !
 PARADE : Education des utilisateurs


Attaques informatives – « sniffing »

Ecouter tout ce qui passe sur le réseau. Méthode très efficace pour
collecter des données.
PARADE : parade
• Segmentation et routage.
• Réseau switché.
• Cryptage.



Attaques informatives - « Internet queries »

 Requêtes HOST
 Requêtes WHOIS
 (Recherche de nom de domaine)
 Requêtes FINGER
 finger courriel@unix.darpa.net (sous linux): pour recevoir une
réponse contenant habituellement le nom de la personne, leur
numéro de téléphone, et l'entreprise pour laquelle ils
travaillaient. Cette information était entièrement configurable
par l'usager (cette commande est généralement désactivée
par défaut)
 Requêtes PING
 …



Attaques de déni de service – « Port scanning »

 Le port scanning permet d’obtenir la liste de tous les ports
‘ouverts’.
 Cette liste va permettre :
• De savoir quelles sont les applications qui sont exécutées par
les systèmes cible.
• D’estimer correctement le système d’exploitation, et donc
d’essayer les attaques spécifiques connues pour celui-ci.



Attaques de déni de service – « Consommation de bande »

Cette attaque vise à saturer la bande passante d’un réseau avec du
trafic pirate, ne laissant plus de place au trafic ‘normal’.
Ce type d’attaque peut être interne ou externe.

Dans le cas d’attaque externe, il faut:
• Soit disposer d’une connexion supérieure à celle que l’on veut
saturer.
• Soit utiliser plusieurs connexions dont le débit cumulé sera
supérieur à celui de la connexion à saturer.



Attaques de déni de service – « Epuisement des ressources »

 Plutôt que de saturer la ligne, on vise à saturer la
machine (CPU, mémoire, disques).



Attaques de déni de service – « Routage et DNS »

 Ce type d’attaque vise à modifier les entrées d’un
serveur DNS pour faire pointer un nom ‘dans le vide’ ou
vers une machine incorrecte.



Attaques de déni de service – « Défaut de programmation »

 Tous les systèmes d’exploitation, les cpu, les logiciels
d’applications ont présentés ou présentent en général
un ou plusieurs défauts.
 Les hackers ont analysés ceux-ci et établi des correctifs.
 Cependant, si ces correctifs ne sont pas mis en place,
ces défauts permettent de bloquer le système



Attaques de déni de service – « Smurf »

 Une attaque smurf inclus trois acteurs : la cible, le pirate et le réseau
amplificateur.
 Le pirate envoie au réseau amplificateur une requête demandant une
réponse (type ICMP ECHO ou UDP ECHO). Cette requête est fabriquée
pour sembler provenir de la cible. Chaque machine du réseau
amplificateur va donc répondre à la machine source (la cible).
 La cible va donc être submergée.

 L’attaque UDP echo s’appel :
 « Fraggle »



Attaques de déni de service – « Inondation Syn »

 L’attaque en ‘syn flood’ s’appuie sur le mécanisme
d’établissement de connexion réseau.
Ce mécanisme est le suivant :
Demande de connexion (Syn)

Confirmation réception (Syn/Ack)

Confirmation (Ack)



Attaques de déni de service – « Inondation Syn »

 Syn flood (suite)
 Si la machine qui émet le paquet de demande de connexion le
fait avec une adresse source correspondant à une machine
inexistante;
 La machine contactée répond à cette demande et envoie la
réponse ‘à la machine qui a demandé la connexion’; donc vers
nulle part.
 Comme personne ne répond , la machine reste en attente (de 75
secondes à 23 minutes).
 Si les machines acceptent des centaines de connexions
simultanées, elles ne supportent que quelques demandes.



Attaques de déni de service – «Email Bombs »

 Les ‘Email Bombs’
 Il s’agit d’envoyer un volume énorme de courrier électronique
vers une boîte aux lettres ou vers un serveur.
 La plupart des administrateurs constituent leurs adresses Email
sous la forme prénom.nom@domaine ; il est donc facile de
‘deviner’ vers quelles boîtes aux lettres envoyer du courrier.
 Les liaisons de liste
 Le principe est d’inscrire la cible sur des dizaines de listes de
distribution. De ce fait, il est surchargé de courrier provenant de
plusieurs sources.



Attaques de déni de service – « Spamming »

Mail Spamming

 Le mail spamming consiste à envoyer une quantité de messages
adressés à xcvdfgetr@domain ; xcvdfgetr pouvant varier.

 Le serveur va ainsi consommer des ressources pour répondre
‘xcvdfgetr’ est inconnu.



Attaques destructrices – « Virus »

Les Virus

AXIOMES :
Personne n’est à l’abri des virus.
Tous les points d’entrée doivent être équipés d’un anti-virus.
Aucun anti-virus n’est totalement efficace.

Les logiciels anti-virus doivent être mis à jour en permanence. Il
faut idéalement disposer d’un anti-virus qui peut fonctionner par
comportement en plus des recherches de signatures.




Virus (suite)

 La mise à jour de l’anti-virus peut se faire de manière
automatique. Soit par connexion distante, soit via Web.
 Les points d’entrée classiques des virus sont :
• Les lecteurs de disquette.
• Les lecteurs de cd, de dvd
• Les courriers électroniques et les messages attachés.
• Les sites Internet.
 Les virus constituent actuellement la préoccupation majeure des
entreprises.




 Le coût de protection contre les virus est important. Il est
cependant très inférieur aux coûts résultants des dégâts que le
virus peut entraîner.
 Rappelez-vous le virus « I Love You ».



Attaques destructrices – « Chevaux de Troie »

 Un cheval de Troie est un programme ou un code non autorisé
placé dans un programme « sain ».
 Ceci rend le cheval de Troie difficile à détecter. De plus, les
fonctions ‘non attendues’ des chevaux de Troie peuvent ne
s’exécuter qu’après une longue phase de ‘sommeil’.
 Les chevaux de Troie peuvent effectuer toute action. Ils peuvent
donc être des attaques informatives, des attaques de déni de
service ou des attaques destructrices.
 Ils sont particulièrement dévastateurs car ils s’exécutent souvent
de l’intérieur du réseau.
 Pour se protéger des chevaux de Troie : checksum, MD5



Attaques destructrices – « Password Attacks »

 Les attaques de mots de passe visent à obtenir une information
permettant l’accès à un système (Login + Password)
 Le password est toujours le point le plus faible d’une
infrastructure de sécurité. Différents outils existent selon les
environnements.
 L’obtention d’un mot de passe induit des failles de sécurité
directement proportionnelles aux privilèges de l’utilisateur ainsi
visé.
 L’obtention d’un mot de passe administrateur permet de TOUT
faire sur le réseau.


1 réseaux et protocoles-sécurité-partie 1 v2

Contenu connexe

Tendances

En vedette

Similaire à 1 réseaux et protocoles-sécurité-partie 1 v2

Dernier

1 réseaux et protocoles-sécurité-partie 1 v2