SlideShare une entreprise Scribd logo
CHAPITRE II
LES CYBERATTAQUES ET LEURS
AUTEURS
Objectifs du CHAPITRE
• CLASSIFIER ET DECRIRE LES ACTEURS DE MENACE
•Décrire les types de programmes malveillants
•Expliquer comment les réseaux sont attaqués
•Décrire les différents types d'outils d'attaque utilisés par les hackers
•Expliquer comment les réseaux sont attaqués
CENTRE D’INFORMATIQUE ET DE RECHERCHE DE L’ARMEE ET DE LA
SECURITE
CENTRE DE FORMATION EN INFORMATIQUE
 Cyberattaque=action volontaire, malveillante, offensive, menée à
travers le cyberespace.
1- Opération « OLYMPIC GAMES »
Mise en place par le gouvernements américain et israéliens dans le but de
ralentir le programme nucléaire iranien via le ver Stuxnet.
Stuxnet: Ver extrêmement sophistiqué lancé en 2005 et conçu pour attaquer
le complexe d’enrichissement de Natanz (Iran). Il a été découvert en 2010.
Introduit dans le réseau par le biais d’une clé USB infectée.
Objectif: Modifier insidieusement la vitesse de rotation des centrifugeuses
Dégâts: un millier de centrifugeuses endommagé.
Selon les experts au regard de la sophistication de l’attaque les attaquants
ont sans doute reproduit une partie des équipements à l’identique pour tester
le ver.
La CYBERATTAQUE
2- Opération ORCHAD (2007)
 En 2007, dans le cadre de l’opération Orchad, Israël décide de mener
un raid aérien contre un réacteur nucléaire syrien (Dayr ez-Zor).
 Les avions des forces israéliennes ont pénétré sur le territoire syrien et
en sont ressortis sans avoir été détectés par le système de défense
aérienne intégré syrien.
 Pour réaliser cette opération d’aveuglement l’armée israélienne a eu
recours à la technologie Suter.
 Suter lance un virus opérant au niveau du système de combat en
utilisant le retour des ondes radars que le système adverse émet
permettant ainsi de falsifier, de déplacer ou de supprimer
virtuellement la signature d’une escadre des écrans radars.
La CYBERATTAQUE
Le terme «acteur de menace» est utilisé pour désigner les individus ou les
groupes qui pourraient être considérés comme des hackers au chapeau gris
ou chapeau noir.
Hackers au chapeau blanc:
•Programmateurs éthiques dont
les activités sont bénéfiques,
éthiques et légales.
Hackers au chapeau gris:
•Personnes qui commettent des
délits ou effectuent des actions
non éthiques, mais pas à des fins
de profit financier ni pour infliger
des dommages.
Hackers au chapeau noir:
•Criminels qui compromettent la
sécurité des systèmes
informatiques et des réseaux à des
fins de profit personnel.
LES ACTEURS DE MENACE
 Pirate est un terme commun utilisé pour décrire un acteur de menace.
Il existe de nombreux types d’acteurs de menace
 Script kiddies: désigne des adolescents ou des acteurs de menace
inexpérimentés exécutant des scripts, des outils ou des exploits (mécanisme ou
plus précisément un code permettant d’exploiter une vulnérabilité) afin de
provoquer des dommages, mais généralement sans motivation financière.
 Les courtiers en vulnérabilités(faille dans un système susceptible d'être exploitée
par une menace): sont généralement des hackers chapeau gris qui recherchent
des vulnérabilités (0day) pour les signaler aux fournisseurs, parfois en
contrepartie d’un prix ou d’une récompense.
 Les hacktivistes : sont des hackers chapeau gris qui se regroupent pour
s’opposer aux idées politiques et sociales contraires à leurs propres convictions.
Ils protestent publiquement contre certaines entreprises ou certains
gouvernements en publiant des articles et des vidéos, en divulguant des
informations sensibles ou en lançant des attaques DDoS (ou attaques par déni de
service distribué).
LES ACTEURS DE MENACE
 On parle de « cybercriminels » pour désigner des hackers chapeau noir qui
travaillent à leur compte ou pour d’importantes organisations vouées à la
cybercriminalité.
 Les hackers financés par un État sont des acteurs de menace qui volent des
secrets d’État, collectent des informations stratégiques et mènent des actions de
sabotage visant des réseaux ou des gouvernements étrangers, des groupes
terroristes ou des entreprises.
 La plupart des pays du monde financent, dans des proportions variables, des
hackers financés par un État Ces activités relèvent du hacking chapeau blanc ou
chapeau noir, selon le point de vue des personnes concernées.
LES ACTEURS DE MENACE
A- Classifiez les individus par types de hackers:
1- Un individu a piraté un distributeur automatique de billets sans l’autorisation du fabricant et
découvert plusieurs vulnérabilités. Il a ensuite contacté le fabricant pour lui faire part de ses
découvertes.
2- Un individu installe un dispositif de flashage des cartes de crédits sur un DAB. Après récupération
des plusieurs numéros de compte et de leurs codes PIN, il transfère les fonds de ces comptes sur son
compte.
3- Un spécialiste dont le travail est d’identifier les faiblesses d’un système informatique.
4- Un attaquant qui utilise un programme malveillant pour compromettre un système et voler des
données sensibles pour les vendre sur le darkweb au plus offrant.
5-Un analyste cyber travaillant au SOC d’une entreprise découvre une vulnérabilité de sécurité sur
son réseau.
6-Un administrateur réseau de la banque HEC découvre une faille de sécurité dans le système
informatique de la banque FINY et copie plusieurs fichiers.
B- Répondez par Vrai ou Faux
- Un consultant en sécurité informatique pour une société spécialisée est acteur de menace.
- Un consultant en sécurité informatique pour une société spécialisée est un pirate.
- Les activités d’un pirate sont toujours malveillantes.
- Les activités d’un pirate ne sont pas toujours illicites.
LES ACTEURS DE MENACE
Le mot « malware » est un mot formé à partir des termes « malicious » et
« software ». Il désigne un logiciel ou du code créé pour endommager,
perturber, voler ou effectuer une action illégitime ou malveillante sur des
données, des hôtes ou des réseaux.
Les principaux types de malwares:
 Un virus est un type de logiciel malveillant qui se propage en insérant une
copie de lui-même dans un autre programme. La plupart des virus ne
peuvent proliférer sans intervention humaine. Par exemple, lorsqu’un
utilisateur connecte une clé USB infectée à son PC, le virus pénètre dans
ce PC. Il peut alors infecter une nouvelle clé USB, puis se propager sur
d’autres ordinateurs.
 Actuellement, la plupart des virus sont propagés par des lecteurs USB, des
CD, des DVD, des partages réseau ou des e-mails. Les virus par e-mail
sont actuellement les plus répandus.
LES MALWARES
 Un Cheval de Troie: Le terme de cheval de Troie vient d’un épisode de
l’Odyssée où Ulysse se remémore la guerre de Troie. Il y raconte comment
il fit bâtir un large cheval de bois et le plaça devant l’enceinte de la ville.
Trahis par un espion grec, les Troyens acceptèrent l’offrande et firent
pénétrer le cheval (avec les soldats qui s’y étaient cachés) dans l’enceinte
de leur ville. Une fois la nuit tombée et les Troyens endormis, Ulysse et ses
hommes sortirent du cheval et ouvrirent les portes de la cité à leur armée,
qui mit ainsi fin à trois ans de siège.
 En cybersécurité, un cheval de Troie est un logiciel qui semble légitime,
mais contient du code malveillant.
 Ils sont fréquemment associés à des jeux en ligne. Les utilisateurs sont
régulièrement incités à télécharger et à exécuter ces chevaux de Troie sur
leurs systèmes à leur insu. Les jeux continuent de fonctionner sans
problème. Mais les chevaux de Troie s’installent sur les systèmes en
arrière-plan. Leur code malveillant poursuit son action même après la
fermeture des jeux.
LES MALWARES
Les Chevaux de Troie peuvent provoquer les dégâts:
 Envoi de données: Fournit à l’acteur de menace des données sensibles,
telles que des mots de passe.
 Destructeur: Endommage ou supprime des fichiers.
 Procuration: Utilise l’ordinateur de la victime pour lancer des attaques et
pratiquer d’autres activités illégales.
 Désactivation des logiciels de sécurité: Empêche les logiciels antivirus ou
les pare-feu de fonctionner.
 Déni de service (DoS): Ralentit ou interrompt l’activité réseau.
 Enregistreur de frappe: Tente activement de dérober des informations
confidentielles, telles que des numéros de carte de paiement, en
enregistrant des frappes de touches dans un formulaire web.
LES MALWARES
 Les vers sont des programmes autonomes qui attaquent un système afin
d’exploiter une vulnérabilité connue. Les vers informatiques ressemblent aux virus,
car ils se répliquent et provoquent le même genre de dommages. Mais les vers ont
la capacité de se répliquer eux-mêmes en exploitant, en toute autonomie, les
vulnérabilités des réseaux.
 Rançongiciels: Actuellement, le type de malware le plus répandu est le
ransomware. Il s’agit d’un malware qui bloque l’accès aux données ou au système
d’un ordinateur infecté. Les cybercriminels exigent alors une rançon contre le
nettoyage du système infecté.
 Les ransomwares sont devenus le type de malware le plus profitable de l’histoire.
Le premier semestre 2016 a connu un véritable essor des campagnes de
ransomware, qui ciblaient aussi bien les particuliers que les entreprises avec une
efficacité redoutable.
 Ils utilisent un algorithme pour chiffrer les systèmes de fichiers et les données. Les
algorithmes de chiffrement connus peuvent rarement être déchiffrés, ce qui
contraint les plus souvent les victimes à payer la rançon demandée
LES MALWARES
 L’e-mail et la publicité malveillante, parfois appelée « malvertising », sont souvent
utilisés pour lancer des attaques de ransomware.
 Logiciel espion (spyware): Utilisé pour collecter des informations sur l’utilisateur et
les envoyer vers une autre entité, sans le consentement de l’utilisateur.
 Scareware: Comprend un logiciel utilisant une méthode basée sur l’ingénierie
sociale pour choquer ou angoisser l’utilisateur en simulant une menace. Ce type
d’attaque cible généralement les utilisateurs non avertis en les incitant à infecter
un ordinateur en réagissant à une menace factice.
 Rootkits: Installés sur un système compromis. Une fois installés, ils restent
dissimulés et fournissent un accès privilégié au cyberpirate.
LES MALWARES
Attaques de mot de passe
Attaque par déni de service (DoS)
Une attaque DoS empêche les utilisateurs autorisés à utiliser normalement un ordinateur ou un
réseau. Après avoir pénétré votre réseau, une attaque DoS peut provoquer la défaillance de certains
services réseau ou applications. Une attaque DoS peut également inonder un ordinateur ou
l’ensemble du réseau avec du trafic jusqu’à ce que la surcharge provoque une panne. Une attaque
DoS peut également bloquer le trafic et donc empêcher les utilisateurs autorisés d’accéder aux
ressources du réseau.
Attaques de l’homme-au-milieu (MiTM)
Cette attaque se produit lorsque les acteurs de menace se sont positionnés entre une source et une
destination. Ils peuvent désormais surveiller, capturer et contrôler les communications de manière
dynamique et transparente.
Compromission des clés
Une attaque par compromission des clés a lieu lorsqu’un acteur de menace s’approprie une clé
secrète, que l’on qualifie alors de compromise. C’est ce qu’on appelle une clé compromise. Une clé
compromise peut être utilisée pour accéder à une communication sécurisée sans que l’expéditeur ou
le destinataire ne soit au courant de l’attaque.
Attaque de renifleur
Un analyseur réseau est une application ou un appareil capable de lire, de surveiller
et de capturer les échanges de données sur le réseau, et de lire les paquets réseau.
Si les paquets ne sont pas chiffrés, l’analyseur offre une visibilité complète sur les
données qu’ils contiennent. Même les paquets encapsulés (ou « tunnelisés »)
peuvent être ouverts et lus sauf s’ils sont chiffrés et que le cyberpirate n’a pas accès
à leur clé.
Un malware est un outil permettant d’acheminer une charge utile. Une fois cette
charge utile libérée et installée, elle peut être utilisée pour lancer un grand nombre
d’attaques provenant de l’intérieur du réseau ciblé. Les acteurs de menace puissent
également attaquer un réseau de l’extérieur.
Pourquoi les cyberpirates s’en prennent-ils aux réseaux ? Leurs motivations varient,
mais peuvent inclure l’appât du gain, la vengeance, ou des convictions politiques,
religieuses ou sociales. Les professionnels de la sécurité du réseau doivent connaître
les types d’attaques utilisés pour les contrer et assurer la sécurité des réseaux
locaux.
Pour contrer les attaques, il est utile de savoir identifier la catégorie à laquelle elles
appartiennent. On pourra ainsi lutter contre des types d’attaques plutôt que contre
des attaques individuelles.
Types d’attaques d’un réseau
Attaque par interception
Une attaque par interception a lieu lorsqu’un cyberpirate capte et peut visualiser le
trafic réseau. Cette attaque est aussi appelée « attaque par analyse ou par
surveillance du réseau ».
Attaque par modification de données
On parle d’attaque par modification de données lorsqu’un acteur de menace capte
un trafic d’entreprise et modifie des données de paquets à l’insu de l’expéditeur et
du destinataire.
Attaque par usurpation d’adresse IP
Une attaque par usurpation d’adresse IP requiert la création d’un paquet IP qui
semble provenir d’une adresse valide associée à l’intranet d’une entreprise.
Bien qu’il n’existe aucune classification standardisée des attaques
réseau, nous les répartirons ici dans trois grandes catégories.
Attaques de reconnaissance
Attaques par accès
Attaques DoS
TYPES D’ATTAQUE D’UN RESEAU
ATTAQUES DE RECONNAISSANCE
La reconnaissance est la collecte d’informations. Les acteurs de
menace utilisent des attaques de reconnaissance (ou de recon) pour
effectuer la découverte et la cartographie non autorisées de
systèmes, de services ou de vulnérabilités.
Les attaques Recon précèdent les attaques d’accès ou les attaques
DoS.
Certaines des techniques utilisées par les acteurs de menace
malveillants pour mener des attaques de reconnaissance sont
ATTAQUES DE RECONNAISSANCE
Technique Description
Effectuer une
requête
d’informations sur
une cible
L’acteur de menace recherche les premières informations sur une cible. Divers outils peuvent
être utilisés, notamment la recherche Google, le site Web des organisations, le whois, etc.
Lancer un balayage
ping du réseau
cible
La requête d’informations révèle généralement l’adresse réseau de la cible. L’acteur de menace
peut désormais lancer un balayage ping pour déterminer quelles adresses IP sont actives.
Lancer l’analyse des
ports des adresses
IP actives
Ceci est utilisé pour déterminer quels ports ou services sont disponibles. Exemples d’analyseurs
de ports: Nmap, SuperScan, Angry IP Scanner et NetScanTools.
Exécuter des
scanners de
vulnérabilité
Il s’agit d’interroger les ports identifiés pour déterminer le type et la version de l’application et
du système d’exploitation qui s’exécutent sur l’hôte. Nipper, Secunia PSI, Core Impact, Nessus v6,
SAINT et Open VAS sont quelques exemples de ces outils.
Exécuter des outils
d’exploitation
L’acteur de menace tente maintenant de découvrir des services vulnérables qui peuvent être
exploités. Des exemples d’outils d’exploitation de vulnérabilité comprennent Metasploit, Core
Impact, Sqlmap, Social Engineer Toolkit et Netsparker.
ATTAQUES PAR ACCES
Les attaques d’accès exploitent les vulnérabilités connues des services
d’authentification, des services FTP et des services Web.
Le but de ces types d’attaques est d’accéder à des comptes Web, à des
bases de données confidentielles et à d’autres informations sensibles.
Les acteurs de menace utilisent des attaques d’accès sur les périphériques
réseau et les ordinateurs pour récupérer des données, y accéder ou pour
augmenter les privilèges d’accès au statut d’administrateur.
Attaques par mot de passe
Attaques par usurpation
ATTAQUES PAR ACCES
Attaques par mot de passe
Dans une attaque par mot de passe, l’acteur de menace tente de découvrir les mots de passe des
systèmes critiques en utilisant diverses méthodes. Les attaques par mot de passe sont très courantes et
peuvent être lancées à l’aide d’une variété d’outils de craquage de mot de passe.
Attaques parusurpation
Dans les attaques d’usurpation d’identité, le dispositif d’acteur de menace tente de se faire passer pour un
autre dispositif en falsifiant les données. Les attaques d’usurpation d’identité courantes incluent
l’usurpation d’adresse IP, l’usurpation d’adresse MAC et l’usurpation d’identité DHCP.
Types d’attaques d’un réseau
Les autres attaques d’accès incluent:
Redirection de port
Attaques de l’homme-au-milieu
Attaques par débordement de la mémoire tampon
Dans une attaque de redirection de port, un acteur
de menace utilise un système compromis comme
base d’attaques contre d’autres cibles.
L’exemple de la figure montre un acteur de menace
utilisant SSH (port 22) pour se connecter à un hôte A
compromis. L’hôte A est approuvé par l’hôte B et, par
conséquent, l’acteur de menace peut utiliser Telnet
(port 23) pour y accéder.
REDIRECTION DE PORTS
L’exemple de la figure montre un acteur de menace utilisant SSH (port 22) pour
se connecter à un hôte A compromis. L’hôte A est approuvé par l’hôte B et, par
conséquent, l’acteur de menace peut utiliser Telnet (port 23) pour y accéder.
REDIRECTION DE PORTS
Types d’attaques d’un réseau
 Dans une attaque de redirection de port, un acteur de
menace utilise un système compromis comme base
d’attaques contre d’autres cibles. L’exemple de la
figure montre un acteur de menace utilisant SSH (port
22) pour se connecter à un hôte A compromis. L’hôte A
est approuvé par l’hôte B et, par conséquent, l’acteur
de menace peut utiliser Telnet (port 23) pour y
accéder.
Types d’attaques d’un réseau
Ingénierie Sociale
L’ingénierie sociale est une attaque d’accès qui tente de
manipuler des individus pour effectuer des actions ou
divulguer des informations confidentielles. Certaines
techniques d’ingénierie sociale sont réalisées en
personne tandis que d’autres peuvent utiliser le téléphone
ou l’Internet.
Les cyberpirates employant ce type d’attaque exploitent
souvent la serviabilité de leurs victimes. Ils profitent aussi
de leur faiblesse. Par exemple, un cyberpirate appelle un
employé accrédité en prétendant qu’un problème urgent
nécessite un accès réseau immédiat. Le cyberpirate va
alors flatter la vanité de l’employé, faire valoir son autorité
en invoquant des noms de responsables, voire exploiter la
cupidité de cet employé.
Types d’attaques d’un réseau
Attaque d’ingénierie sociale Description
Prétexte
Un acteur de menace prétend avoir besoin de données personnelles ou financières pour confirmer
l’identité du destinataire.
Hameçonnage (hameçonnage)
Un acteur de menace envoie un e-mail frauduleux déguisé en une source légitime et fiable pour inciter le
destinataire à installer un logiciel malveillant sur son appareil ou pour partager des informations
personnelles ou financières.
Hameçonnage ciblé
Un acteur de menace crée une attaque de phishing ciblée adaptée à un individu ou une organisation
spécifique.
Courrier indésirable
Également appelé « courrier indésirable », le spam est un e-mail non sollicité qui contient souvent des
liens malveillants, des malwares ou du contenu trompeur.
Contrepartie
Parfois appelé « Quid pro quo », c’est lorsqu’un acteur de menace demande des informations
personnelles à une partie en échange de quelque chose comme un cadeau.
Appâtage
Un acteur de menace laisse un lecteur flash infecté par un logiciel malveillant dans un lieu public. Une
victime trouve le lecteur et l’insère sans méfiance dans son ordinateur portable, installant
involontairement des logiciels malveillants.
Usurpation d’identité
Ce type d’attaque est l’endroit où un acteur de menace prétend être quelqu’un qu’il ne doit pas gagner la
confiance d’une victime.
Accès non autorisé
C’est là qu’un acteur de menace suit rapidement une personne autorisée dans un endroit sécurisé pour
accéder à une zone sécurisée.
Espionnage par-dessus l'épaule
(Shoulder Surfing)
C’est là qu’un acteur de menace regarde discrètement par-dessus l’épaule de quelqu’un pour voler ses
mots de passe ou d’autres informations.
Fouille de poubelles (Dumpster
Diving)
C’est là qu’un acteur de menace fouille dans des poubelles pour découvrir des documents confidentiels
Une attaque par déni de service (DoS) crée une sorte d'interruption des services réseau
pour les utilisateurs, les appareils ou les applications. Il existe deux principaux types
d'attaques DoS:
Quantité de trafic écrasante - L'acteur de menace envoie une énorme quantité de données
à un débit que le réseau, l'hôte ou l'application ne peut pas gérer. Cela ralentit la
transmission et le temps de réponse. Il peut également faire tomber en panne un appareil
ou un service.
Paquets formatés de manière malveillante - L'acteur de menace envoie un paquet formaté
de manière malveillante à un hôte ou une application et le récepteur n'est pas en mesure
de le gérer. L'appareil récepteur est alors très lent ou s'écrase.
Si les cyberpirates ont la capacité de compromettre plusieurs hôtes, il leur est possible
d'effectuer une attaque DoS distribuée (DDoS). Les attaques DDoS suivent la même logique
que les attaques DoS, mais ont une ampleur bien plus importante, car elles proviennent de
sources multiples et coordonnées, comme illustré dans la figure. Une attaque DDoS utilise
des centaines ou des milliers de sources, comme c'est le cas avec les attaques DDoS
s'appuyant sur l'IoT.
Types d’attaques d’un réseau
Types d’attaques d’un réseau
Types d’attaques d’un réseau
Types d’attaques d’un réseau
L'objectif d'un acteur de menace lors d'une attaque DoS par dépassement de la
mémoire tampon consiste à trouver une faille associée à la mémoire système d'un
serveur en vue de l'exploiter.
Un cyberpirate peut ainsi saisir une entrée plus élevée que celle qui est attendue
par l'application qui s'exécute sur un serveur. L'application accepte alors cette valeur
et l'enregistre dans sa mémoire. Cela peut entraîner une consommation importante
de mémoire tampon, voire écraser des données dans la mémoire adjacente, ce qui
finit par corrompre le système et entraîner une défaillance.
L'un des premiers exemples d'utilisation de paquets mal formatés s'appelait le Ping
de la mort. Lors de cette ancienne attaque, le ping de la mort envoyé par le
cyberpirate était une requête d'écho dans un paquet IP dont la taille dépassait le
maximum autorisé (65 535 octets). L'hôte destinataire était incapable de traiter un
paquet de cette taille, ce qui le mettait hors service.
Types d’attaques d’un réseau
Outils de Sécurité
Types d’attaques d’un réseau
piratage de mots de
passe
Les mots de passe représentent la vulnérabilité la plus importante pour la cybersécurité. Les outils de piratage de
mot de passe, souvent appelés outils de récupération de mot de passe, peuvent être utilisés pour décoder ou
récupérer un mot de passe. La technique utilisée consiste à supprimer le mot de passe initial après avoir contourné
le processus de chiffrement des données ou simplement à découvrir le mot de passe. Les outils de piratage de mot
de passe enchaînent les tentatives de découverte jusqu’à arriver à décoder le mot de passe pour accéder au
système. John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack et Medusa en sont quelques exemples.
Des outils d’analyse du
réseau et de piratage
Les outils d’analyse du réseau recherchent des ports TCP ou UDP ouverts sur les appareils réseau, les serveurs et les
hôtes. Nmap, SuperScan, Angry IP Scanner et NetScanTools en sont quelques exemples.
Outils de création de
paquets
Les outils de création de paquets servent à inspecter et à tester la fiabilité d’un pare-feu à l’aide de faux paquets
spécialement conçus à cet effet. Hping, Scapy, Socat, Yersinia, Netcat, Nping et Nemesis en sont quelques exemples.
analyse de paquets
Les analyseurs de paquets sont des outils permettant de capturer et d’analyser des paquets sur des LAN Ethernet ou
Wi-Fi. Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy et SSLstrip en sont quelques
exemples.
Détecteurs de rootkit
Un détecteur de rootkit est utilisé par des hackers chapeau blanc pour vérifier l’intégrité des répertoires et des
fichiers et pour détecter la présence de rootkits installés. AIDE, Netfilter et PF : OpenBSD Packet Filter en sont
quelques exemples.
Débogueurs
Les outils de débogage peuvent être utilisés par des hackers chapeau noir pour reconstituer des fichiers binaires
lorsqu’ils créent des exploits. Ils sont également utilisés par les hackers chapeau blanc pour analyser les malwares.
GDB, WinDbg, IDA Pro et Immunity Debugger sont quelques exemples d’outils de débogage.
Piratage de systèmes
d’exploitation
Certains systèmes d’exploitation sont conçus spécialement pour le hacking et contiennent des outils et des
technologies réservés à cette activité. Kali Linux, SELinux, Parrot OS, Knoppix et BackBox Linux en sont quelques
exemples.
Outils de Sécurité
Types d’attaques d’un réseau
Outils de chiffrement
Ces outils protègent le contenu des données d’une organisation lorsqu’elles sont stockées ou transmises. Ces outils
de chiffrement utilisent des algorithmes pour encoder les données afin d’empêcher tout accès non autorisé aux
données chiffrées. VeraCrypt, CipherShed, OpenSHH, OpenSSL, Tor, OpenVPN et Stunnel en sont quelques
exemples.
Outils d’exploitation
des vulnérabilités
Ces outils déterminent si un hôte distant est vulnérable à une attaque. Des exemples d’outils d’exploitation de
vulnérabilité comprennent Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit et Netsparker.
scanners de
vulnérabilités
Ces outils analysent un réseau ou un système pour identifier les ports ouverts. Ils peuvent également rechercher des
vulnérabilités connues et analyser des machines virtuelles, des appareils BYOD et des bases de données clientes. Des
exemples de ces outils incluent Nipper, Core Impact, Nessus, SAINT et Open VAS.

Contenu connexe

Similaire à CHAPITRE 2 SECURITE INFORMATIQUE.pptx

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
oussama Hafid
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
Abdeljalil AGNAOU
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
OPcyberland
 
Les malwares
Les malwaresLes malwares
Les malwares
meryemnaciri1
 
cybercrimesecurity-160820101530 (1).pdf
cybercrimesecurity-160820101530 (1).pdfcybercrimesecurity-160820101530 (1).pdf
cybercrimesecurity-160820101530 (1).pdf
Kira Dess
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
Amadou Dary diallo
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
NRC
 
Veille sans video
Veille sans videoVeille sans video
Veille sans video
equipe-virus
 
les logiciels malveillant
les logiciels malveillantles logiciels malveillant
les logiciels malveillant
fehmi arbi
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
OPcyberland
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
OPcyberland
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
Commonwealth Telecommunications Organisation
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
Bahaty1
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
Blandine Delaporte
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
Zyxel France
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
onyikondi
 
Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016
Blandine Delaporte
 

Similaire à CHAPITRE 2 SECURITE INFORMATIQUE.pptx (20)

Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
 
Les malwares
Les malwaresLes malwares
Les malwares
 
cybercrimesecurity-160820101530 (1).pdf
cybercrimesecurity-160820101530 (1).pdfcybercrimesecurity-160820101530 (1).pdf
cybercrimesecurity-160820101530 (1).pdf
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
Veille sans video
Veille sans videoVeille sans video
Veille sans video
 
les logiciels malveillant
les logiciels malveillantles logiciels malveillant
les logiciels malveillant
 
Conférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numériqueConférence IIRCO - Projection des conflits sur l'espace numérique
Conférence IIRCO - Projection des conflits sur l'espace numérique
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
 
Les Pirates 2005 2
Les Pirates 2005 2Les Pirates 2005 2
Les Pirates 2005 2
 
Logiciel Malveillant Et Le Virus
Logiciel Malveillant Et Le VirusLogiciel Malveillant Et Le Virus
Logiciel Malveillant Et Le Virus
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
 
Guide Ransomware 2018
Guide Ransomware 2018Guide Ransomware 2018
Guide Ransomware 2018
 
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
Modul de lafradqbqvqjiaoaooakkskkskskzkkakzkzkzkkakakzkzkzlzlzlzlzllzaiiakaka...
 
Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016Rapport Threat Intelligence Check Point du 15 août 2016
Rapport Threat Intelligence Check Point du 15 août 2016
 

Dernier

Les Français et les élections législatives
Les Français et les élections législativesLes Français et les élections législatives
Les Français et les élections législatives
contact Elabe
 
Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024
contact Elabe
 
Estimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABEEstimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABE
contact Elabe
 
Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024
contact Elabe
 
Productivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointementProductivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointement
La Fabrique de l'industrie
 
Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024
contact Elabe
 
Webinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptxWebinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptx
Institut de l'Elevage - Idele
 
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
contact Elabe
 
Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?
Institut de l'Elevage - Idele
 
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
contact Elabe
 
Les Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vagueLes Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vague
contact Elabe
 

Dernier (11)

Les Français et les élections législatives
Les Français et les élections législativesLes Français et les élections législatives
Les Français et les élections législatives
 
Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024Deuxième actualisation estimation élections européennes 2024
Deuxième actualisation estimation élections européennes 2024
 
Estimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABEEstimation élections européennes 2024 ELABE
Estimation élections européennes 2024 ELABE
 
Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024Comprendre le vote aux élections européennes du 9 juin 2024
Comprendre le vote aux élections européennes du 9 juin 2024
 
Productivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointementProductivité et politique industrielles: deux défis à relever conjointement
Productivité et politique industrielles: deux défis à relever conjointement
 
Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024Actualisation estimation élections européennes 2024
Actualisation estimation élections européennes 2024
 
Webinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptxWebinaire_les aides aux investissements.pptx
Webinaire_les aides aux investissements.pptx
 
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
Etat de l’opinion - Journée CCR CAT « Protégeons l’assurabilité »
 
Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?Webinaire Qui sont les jeunes installés avec un bac +5 ?
Webinaire Qui sont les jeunes installés avec un bac +5 ?
 
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024Estimations ELABE BFMTV ABSTENTION élections européennes 2024
Estimations ELABE BFMTV ABSTENTION élections européennes 2024
 
Les Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vagueLes Français et les élections européennes - 9ème vague
Les Français et les élections européennes - 9ème vague
 

CHAPITRE 2 SECURITE INFORMATIQUE.pptx

  • 1. CHAPITRE II LES CYBERATTAQUES ET LEURS AUTEURS Objectifs du CHAPITRE • CLASSIFIER ET DECRIRE LES ACTEURS DE MENACE •Décrire les types de programmes malveillants •Expliquer comment les réseaux sont attaqués •Décrire les différents types d'outils d'attaque utilisés par les hackers •Expliquer comment les réseaux sont attaqués CENTRE D’INFORMATIQUE ET DE RECHERCHE DE L’ARMEE ET DE LA SECURITE CENTRE DE FORMATION EN INFORMATIQUE
  • 2.  Cyberattaque=action volontaire, malveillante, offensive, menée à travers le cyberespace. 1- Opération « OLYMPIC GAMES » Mise en place par le gouvernements américain et israéliens dans le but de ralentir le programme nucléaire iranien via le ver Stuxnet. Stuxnet: Ver extrêmement sophistiqué lancé en 2005 et conçu pour attaquer le complexe d’enrichissement de Natanz (Iran). Il a été découvert en 2010. Introduit dans le réseau par le biais d’une clé USB infectée. Objectif: Modifier insidieusement la vitesse de rotation des centrifugeuses Dégâts: un millier de centrifugeuses endommagé. Selon les experts au regard de la sophistication de l’attaque les attaquants ont sans doute reproduit une partie des équipements à l’identique pour tester le ver. La CYBERATTAQUE
  • 3. 2- Opération ORCHAD (2007)  En 2007, dans le cadre de l’opération Orchad, Israël décide de mener un raid aérien contre un réacteur nucléaire syrien (Dayr ez-Zor).  Les avions des forces israéliennes ont pénétré sur le territoire syrien et en sont ressortis sans avoir été détectés par le système de défense aérienne intégré syrien.  Pour réaliser cette opération d’aveuglement l’armée israélienne a eu recours à la technologie Suter.  Suter lance un virus opérant au niveau du système de combat en utilisant le retour des ondes radars que le système adverse émet permettant ainsi de falsifier, de déplacer ou de supprimer virtuellement la signature d’une escadre des écrans radars. La CYBERATTAQUE
  • 4. Le terme «acteur de menace» est utilisé pour désigner les individus ou les groupes qui pourraient être considérés comme des hackers au chapeau gris ou chapeau noir. Hackers au chapeau blanc: •Programmateurs éthiques dont les activités sont bénéfiques, éthiques et légales. Hackers au chapeau gris: •Personnes qui commettent des délits ou effectuent des actions non éthiques, mais pas à des fins de profit financier ni pour infliger des dommages. Hackers au chapeau noir: •Criminels qui compromettent la sécurité des systèmes informatiques et des réseaux à des fins de profit personnel. LES ACTEURS DE MENACE
  • 5.  Pirate est un terme commun utilisé pour décrire un acteur de menace. Il existe de nombreux types d’acteurs de menace  Script kiddies: désigne des adolescents ou des acteurs de menace inexpérimentés exécutant des scripts, des outils ou des exploits (mécanisme ou plus précisément un code permettant d’exploiter une vulnérabilité) afin de provoquer des dommages, mais généralement sans motivation financière.  Les courtiers en vulnérabilités(faille dans un système susceptible d'être exploitée par une menace): sont généralement des hackers chapeau gris qui recherchent des vulnérabilités (0day) pour les signaler aux fournisseurs, parfois en contrepartie d’un prix ou d’une récompense.  Les hacktivistes : sont des hackers chapeau gris qui se regroupent pour s’opposer aux idées politiques et sociales contraires à leurs propres convictions. Ils protestent publiquement contre certaines entreprises ou certains gouvernements en publiant des articles et des vidéos, en divulguant des informations sensibles ou en lançant des attaques DDoS (ou attaques par déni de service distribué). LES ACTEURS DE MENACE
  • 6.  On parle de « cybercriminels » pour désigner des hackers chapeau noir qui travaillent à leur compte ou pour d’importantes organisations vouées à la cybercriminalité.  Les hackers financés par un État sont des acteurs de menace qui volent des secrets d’État, collectent des informations stratégiques et mènent des actions de sabotage visant des réseaux ou des gouvernements étrangers, des groupes terroristes ou des entreprises.  La plupart des pays du monde financent, dans des proportions variables, des hackers financés par un État Ces activités relèvent du hacking chapeau blanc ou chapeau noir, selon le point de vue des personnes concernées. LES ACTEURS DE MENACE
  • 7. A- Classifiez les individus par types de hackers: 1- Un individu a piraté un distributeur automatique de billets sans l’autorisation du fabricant et découvert plusieurs vulnérabilités. Il a ensuite contacté le fabricant pour lui faire part de ses découvertes. 2- Un individu installe un dispositif de flashage des cartes de crédits sur un DAB. Après récupération des plusieurs numéros de compte et de leurs codes PIN, il transfère les fonds de ces comptes sur son compte. 3- Un spécialiste dont le travail est d’identifier les faiblesses d’un système informatique. 4- Un attaquant qui utilise un programme malveillant pour compromettre un système et voler des données sensibles pour les vendre sur le darkweb au plus offrant. 5-Un analyste cyber travaillant au SOC d’une entreprise découvre une vulnérabilité de sécurité sur son réseau. 6-Un administrateur réseau de la banque HEC découvre une faille de sécurité dans le système informatique de la banque FINY et copie plusieurs fichiers. B- Répondez par Vrai ou Faux - Un consultant en sécurité informatique pour une société spécialisée est acteur de menace. - Un consultant en sécurité informatique pour une société spécialisée est un pirate. - Les activités d’un pirate sont toujours malveillantes. - Les activités d’un pirate ne sont pas toujours illicites. LES ACTEURS DE MENACE
  • 8. Le mot « malware » est un mot formé à partir des termes « malicious » et « software ». Il désigne un logiciel ou du code créé pour endommager, perturber, voler ou effectuer une action illégitime ou malveillante sur des données, des hôtes ou des réseaux. Les principaux types de malwares:  Un virus est un type de logiciel malveillant qui se propage en insérant une copie de lui-même dans un autre programme. La plupart des virus ne peuvent proliférer sans intervention humaine. Par exemple, lorsqu’un utilisateur connecte une clé USB infectée à son PC, le virus pénètre dans ce PC. Il peut alors infecter une nouvelle clé USB, puis se propager sur d’autres ordinateurs.  Actuellement, la plupart des virus sont propagés par des lecteurs USB, des CD, des DVD, des partages réseau ou des e-mails. Les virus par e-mail sont actuellement les plus répandus. LES MALWARES
  • 9.  Un Cheval de Troie: Le terme de cheval de Troie vient d’un épisode de l’Odyssée où Ulysse se remémore la guerre de Troie. Il y raconte comment il fit bâtir un large cheval de bois et le plaça devant l’enceinte de la ville. Trahis par un espion grec, les Troyens acceptèrent l’offrande et firent pénétrer le cheval (avec les soldats qui s’y étaient cachés) dans l’enceinte de leur ville. Une fois la nuit tombée et les Troyens endormis, Ulysse et ses hommes sortirent du cheval et ouvrirent les portes de la cité à leur armée, qui mit ainsi fin à trois ans de siège.  En cybersécurité, un cheval de Troie est un logiciel qui semble légitime, mais contient du code malveillant.  Ils sont fréquemment associés à des jeux en ligne. Les utilisateurs sont régulièrement incités à télécharger et à exécuter ces chevaux de Troie sur leurs systèmes à leur insu. Les jeux continuent de fonctionner sans problème. Mais les chevaux de Troie s’installent sur les systèmes en arrière-plan. Leur code malveillant poursuit son action même après la fermeture des jeux. LES MALWARES
  • 10. Les Chevaux de Troie peuvent provoquer les dégâts:  Envoi de données: Fournit à l’acteur de menace des données sensibles, telles que des mots de passe.  Destructeur: Endommage ou supprime des fichiers.  Procuration: Utilise l’ordinateur de la victime pour lancer des attaques et pratiquer d’autres activités illégales.  Désactivation des logiciels de sécurité: Empêche les logiciels antivirus ou les pare-feu de fonctionner.  Déni de service (DoS): Ralentit ou interrompt l’activité réseau.  Enregistreur de frappe: Tente activement de dérober des informations confidentielles, telles que des numéros de carte de paiement, en enregistrant des frappes de touches dans un formulaire web. LES MALWARES
  • 11.  Les vers sont des programmes autonomes qui attaquent un système afin d’exploiter une vulnérabilité connue. Les vers informatiques ressemblent aux virus, car ils se répliquent et provoquent le même genre de dommages. Mais les vers ont la capacité de se répliquer eux-mêmes en exploitant, en toute autonomie, les vulnérabilités des réseaux.  Rançongiciels: Actuellement, le type de malware le plus répandu est le ransomware. Il s’agit d’un malware qui bloque l’accès aux données ou au système d’un ordinateur infecté. Les cybercriminels exigent alors une rançon contre le nettoyage du système infecté.  Les ransomwares sont devenus le type de malware le plus profitable de l’histoire. Le premier semestre 2016 a connu un véritable essor des campagnes de ransomware, qui ciblaient aussi bien les particuliers que les entreprises avec une efficacité redoutable.  Ils utilisent un algorithme pour chiffrer les systèmes de fichiers et les données. Les algorithmes de chiffrement connus peuvent rarement être déchiffrés, ce qui contraint les plus souvent les victimes à payer la rançon demandée LES MALWARES
  • 12.  L’e-mail et la publicité malveillante, parfois appelée « malvertising », sont souvent utilisés pour lancer des attaques de ransomware.  Logiciel espion (spyware): Utilisé pour collecter des informations sur l’utilisateur et les envoyer vers une autre entité, sans le consentement de l’utilisateur.  Scareware: Comprend un logiciel utilisant une méthode basée sur l’ingénierie sociale pour choquer ou angoisser l’utilisateur en simulant une menace. Ce type d’attaque cible généralement les utilisateurs non avertis en les incitant à infecter un ordinateur en réagissant à une menace factice.  Rootkits: Installés sur un système compromis. Une fois installés, ils restent dissimulés et fournissent un accès privilégié au cyberpirate. LES MALWARES
  • 13. Attaques de mot de passe Attaque par déni de service (DoS) Une attaque DoS empêche les utilisateurs autorisés à utiliser normalement un ordinateur ou un réseau. Après avoir pénétré votre réseau, une attaque DoS peut provoquer la défaillance de certains services réseau ou applications. Une attaque DoS peut également inonder un ordinateur ou l’ensemble du réseau avec du trafic jusqu’à ce que la surcharge provoque une panne. Une attaque DoS peut également bloquer le trafic et donc empêcher les utilisateurs autorisés d’accéder aux ressources du réseau. Attaques de l’homme-au-milieu (MiTM) Cette attaque se produit lorsque les acteurs de menace se sont positionnés entre une source et une destination. Ils peuvent désormais surveiller, capturer et contrôler les communications de manière dynamique et transparente. Compromission des clés Une attaque par compromission des clés a lieu lorsqu’un acteur de menace s’approprie une clé secrète, que l’on qualifie alors de compromise. C’est ce qu’on appelle une clé compromise. Une clé compromise peut être utilisée pour accéder à une communication sécurisée sans que l’expéditeur ou le destinataire ne soit au courant de l’attaque.
  • 14. Attaque de renifleur Un analyseur réseau est une application ou un appareil capable de lire, de surveiller et de capturer les échanges de données sur le réseau, et de lire les paquets réseau. Si les paquets ne sont pas chiffrés, l’analyseur offre une visibilité complète sur les données qu’ils contiennent. Même les paquets encapsulés (ou « tunnelisés ») peuvent être ouverts et lus sauf s’ils sont chiffrés et que le cyberpirate n’a pas accès à leur clé.
  • 15. Un malware est un outil permettant d’acheminer une charge utile. Une fois cette charge utile libérée et installée, elle peut être utilisée pour lancer un grand nombre d’attaques provenant de l’intérieur du réseau ciblé. Les acteurs de menace puissent également attaquer un réseau de l’extérieur. Pourquoi les cyberpirates s’en prennent-ils aux réseaux ? Leurs motivations varient, mais peuvent inclure l’appât du gain, la vengeance, ou des convictions politiques, religieuses ou sociales. Les professionnels de la sécurité du réseau doivent connaître les types d’attaques utilisés pour les contrer et assurer la sécurité des réseaux locaux. Pour contrer les attaques, il est utile de savoir identifier la catégorie à laquelle elles appartiennent. On pourra ainsi lutter contre des types d’attaques plutôt que contre des attaques individuelles. Types d’attaques d’un réseau
  • 16. Attaque par interception Une attaque par interception a lieu lorsqu’un cyberpirate capte et peut visualiser le trafic réseau. Cette attaque est aussi appelée « attaque par analyse ou par surveillance du réseau ». Attaque par modification de données On parle d’attaque par modification de données lorsqu’un acteur de menace capte un trafic d’entreprise et modifie des données de paquets à l’insu de l’expéditeur et du destinataire. Attaque par usurpation d’adresse IP Une attaque par usurpation d’adresse IP requiert la création d’un paquet IP qui semble provenir d’une adresse valide associée à l’intranet d’une entreprise.
  • 17. Bien qu’il n’existe aucune classification standardisée des attaques réseau, nous les répartirons ici dans trois grandes catégories. Attaques de reconnaissance Attaques par accès Attaques DoS TYPES D’ATTAQUE D’UN RESEAU
  • 18. ATTAQUES DE RECONNAISSANCE La reconnaissance est la collecte d’informations. Les acteurs de menace utilisent des attaques de reconnaissance (ou de recon) pour effectuer la découverte et la cartographie non autorisées de systèmes, de services ou de vulnérabilités. Les attaques Recon précèdent les attaques d’accès ou les attaques DoS. Certaines des techniques utilisées par les acteurs de menace malveillants pour mener des attaques de reconnaissance sont
  • 19. ATTAQUES DE RECONNAISSANCE Technique Description Effectuer une requête d’informations sur une cible L’acteur de menace recherche les premières informations sur une cible. Divers outils peuvent être utilisés, notamment la recherche Google, le site Web des organisations, le whois, etc. Lancer un balayage ping du réseau cible La requête d’informations révèle généralement l’adresse réseau de la cible. L’acteur de menace peut désormais lancer un balayage ping pour déterminer quelles adresses IP sont actives. Lancer l’analyse des ports des adresses IP actives Ceci est utilisé pour déterminer quels ports ou services sont disponibles. Exemples d’analyseurs de ports: Nmap, SuperScan, Angry IP Scanner et NetScanTools. Exécuter des scanners de vulnérabilité Il s’agit d’interroger les ports identifiés pour déterminer le type et la version de l’application et du système d’exploitation qui s’exécutent sur l’hôte. Nipper, Secunia PSI, Core Impact, Nessus v6, SAINT et Open VAS sont quelques exemples de ces outils. Exécuter des outils d’exploitation L’acteur de menace tente maintenant de découvrir des services vulnérables qui peuvent être exploités. Des exemples d’outils d’exploitation de vulnérabilité comprennent Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit et Netsparker.
  • 20. ATTAQUES PAR ACCES Les attaques d’accès exploitent les vulnérabilités connues des services d’authentification, des services FTP et des services Web. Le but de ces types d’attaques est d’accéder à des comptes Web, à des bases de données confidentielles et à d’autres informations sensibles. Les acteurs de menace utilisent des attaques d’accès sur les périphériques réseau et les ordinateurs pour récupérer des données, y accéder ou pour augmenter les privilèges d’accès au statut d’administrateur. Attaques par mot de passe Attaques par usurpation
  • 21. ATTAQUES PAR ACCES Attaques par mot de passe Dans une attaque par mot de passe, l’acteur de menace tente de découvrir les mots de passe des systèmes critiques en utilisant diverses méthodes. Les attaques par mot de passe sont très courantes et peuvent être lancées à l’aide d’une variété d’outils de craquage de mot de passe. Attaques parusurpation Dans les attaques d’usurpation d’identité, le dispositif d’acteur de menace tente de se faire passer pour un autre dispositif en falsifiant les données. Les attaques d’usurpation d’identité courantes incluent l’usurpation d’adresse IP, l’usurpation d’adresse MAC et l’usurpation d’identité DHCP.
  • 22. Types d’attaques d’un réseau Les autres attaques d’accès incluent: Redirection de port Attaques de l’homme-au-milieu Attaques par débordement de la mémoire tampon
  • 23. Dans une attaque de redirection de port, un acteur de menace utilise un système compromis comme base d’attaques contre d’autres cibles. L’exemple de la figure montre un acteur de menace utilisant SSH (port 22) pour se connecter à un hôte A compromis. L’hôte A est approuvé par l’hôte B et, par conséquent, l’acteur de menace peut utiliser Telnet (port 23) pour y accéder. REDIRECTION DE PORTS
  • 24. L’exemple de la figure montre un acteur de menace utilisant SSH (port 22) pour se connecter à un hôte A compromis. L’hôte A est approuvé par l’hôte B et, par conséquent, l’acteur de menace peut utiliser Telnet (port 23) pour y accéder. REDIRECTION DE PORTS
  • 25.
  • 26. Types d’attaques d’un réseau  Dans une attaque de redirection de port, un acteur de menace utilise un système compromis comme base d’attaques contre d’autres cibles. L’exemple de la figure montre un acteur de menace utilisant SSH (port 22) pour se connecter à un hôte A compromis. L’hôte A est approuvé par l’hôte B et, par conséquent, l’acteur de menace peut utiliser Telnet (port 23) pour y accéder.
  • 27. Types d’attaques d’un réseau Ingénierie Sociale L’ingénierie sociale est une attaque d’accès qui tente de manipuler des individus pour effectuer des actions ou divulguer des informations confidentielles. Certaines techniques d’ingénierie sociale sont réalisées en personne tandis que d’autres peuvent utiliser le téléphone ou l’Internet. Les cyberpirates employant ce type d’attaque exploitent souvent la serviabilité de leurs victimes. Ils profitent aussi de leur faiblesse. Par exemple, un cyberpirate appelle un employé accrédité en prétendant qu’un problème urgent nécessite un accès réseau immédiat. Le cyberpirate va alors flatter la vanité de l’employé, faire valoir son autorité en invoquant des noms de responsables, voire exploiter la cupidité de cet employé.
  • 28. Types d’attaques d’un réseau Attaque d’ingénierie sociale Description Prétexte Un acteur de menace prétend avoir besoin de données personnelles ou financières pour confirmer l’identité du destinataire. Hameçonnage (hameçonnage) Un acteur de menace envoie un e-mail frauduleux déguisé en une source légitime et fiable pour inciter le destinataire à installer un logiciel malveillant sur son appareil ou pour partager des informations personnelles ou financières. Hameçonnage ciblé Un acteur de menace crée une attaque de phishing ciblée adaptée à un individu ou une organisation spécifique. Courrier indésirable Également appelé « courrier indésirable », le spam est un e-mail non sollicité qui contient souvent des liens malveillants, des malwares ou du contenu trompeur. Contrepartie Parfois appelé « Quid pro quo », c’est lorsqu’un acteur de menace demande des informations personnelles à une partie en échange de quelque chose comme un cadeau. Appâtage Un acteur de menace laisse un lecteur flash infecté par un logiciel malveillant dans un lieu public. Une victime trouve le lecteur et l’insère sans méfiance dans son ordinateur portable, installant involontairement des logiciels malveillants. Usurpation d’identité Ce type d’attaque est l’endroit où un acteur de menace prétend être quelqu’un qu’il ne doit pas gagner la confiance d’une victime. Accès non autorisé C’est là qu’un acteur de menace suit rapidement une personne autorisée dans un endroit sécurisé pour accéder à une zone sécurisée. Espionnage par-dessus l'épaule (Shoulder Surfing) C’est là qu’un acteur de menace regarde discrètement par-dessus l’épaule de quelqu’un pour voler ses mots de passe ou d’autres informations. Fouille de poubelles (Dumpster Diving) C’est là qu’un acteur de menace fouille dans des poubelles pour découvrir des documents confidentiels
  • 29. Une attaque par déni de service (DoS) crée une sorte d'interruption des services réseau pour les utilisateurs, les appareils ou les applications. Il existe deux principaux types d'attaques DoS: Quantité de trafic écrasante - L'acteur de menace envoie une énorme quantité de données à un débit que le réseau, l'hôte ou l'application ne peut pas gérer. Cela ralentit la transmission et le temps de réponse. Il peut également faire tomber en panne un appareil ou un service. Paquets formatés de manière malveillante - L'acteur de menace envoie un paquet formaté de manière malveillante à un hôte ou une application et le récepteur n'est pas en mesure de le gérer. L'appareil récepteur est alors très lent ou s'écrase. Si les cyberpirates ont la capacité de compromettre plusieurs hôtes, il leur est possible d'effectuer une attaque DoS distribuée (DDoS). Les attaques DDoS suivent la même logique que les attaques DoS, mais ont une ampleur bien plus importante, car elles proviennent de sources multiples et coordonnées, comme illustré dans la figure. Une attaque DDoS utilise des centaines ou des milliers de sources, comme c'est le cas avec les attaques DDoS s'appuyant sur l'IoT. Types d’attaques d’un réseau
  • 33. L'objectif d'un acteur de menace lors d'une attaque DoS par dépassement de la mémoire tampon consiste à trouver une faille associée à la mémoire système d'un serveur en vue de l'exploiter. Un cyberpirate peut ainsi saisir une entrée plus élevée que celle qui est attendue par l'application qui s'exécute sur un serveur. L'application accepte alors cette valeur et l'enregistre dans sa mémoire. Cela peut entraîner une consommation importante de mémoire tampon, voire écraser des données dans la mémoire adjacente, ce qui finit par corrompre le système et entraîner une défaillance. L'un des premiers exemples d'utilisation de paquets mal formatés s'appelait le Ping de la mort. Lors de cette ancienne attaque, le ping de la mort envoyé par le cyberpirate était une requête d'écho dans un paquet IP dont la taille dépassait le maximum autorisé (65 535 octets). L'hôte destinataire était incapable de traiter un paquet de cette taille, ce qui le mettait hors service. Types d’attaques d’un réseau
  • 34. Outils de Sécurité Types d’attaques d’un réseau piratage de mots de passe Les mots de passe représentent la vulnérabilité la plus importante pour la cybersécurité. Les outils de piratage de mot de passe, souvent appelés outils de récupération de mot de passe, peuvent être utilisés pour décoder ou récupérer un mot de passe. La technique utilisée consiste à supprimer le mot de passe initial après avoir contourné le processus de chiffrement des données ou simplement à découvrir le mot de passe. Les outils de piratage de mot de passe enchaînent les tentatives de découverte jusqu’à arriver à décoder le mot de passe pour accéder au système. John the Ripper, Ophcrack, L0phtCrack, THC Hydra, RainbowCrack et Medusa en sont quelques exemples. Des outils d’analyse du réseau et de piratage Les outils d’analyse du réseau recherchent des ports TCP ou UDP ouverts sur les appareils réseau, les serveurs et les hôtes. Nmap, SuperScan, Angry IP Scanner et NetScanTools en sont quelques exemples. Outils de création de paquets Les outils de création de paquets servent à inspecter et à tester la fiabilité d’un pare-feu à l’aide de faux paquets spécialement conçus à cet effet. Hping, Scapy, Socat, Yersinia, Netcat, Nping et Nemesis en sont quelques exemples. analyse de paquets Les analyseurs de paquets sont des outils permettant de capturer et d’analyser des paquets sur des LAN Ethernet ou Wi-Fi. Wireshark, Tcpdump, Ettercap, Dsniff, EtherApe, Paros, Fiddler, Ratproxy et SSLstrip en sont quelques exemples. Détecteurs de rootkit Un détecteur de rootkit est utilisé par des hackers chapeau blanc pour vérifier l’intégrité des répertoires et des fichiers et pour détecter la présence de rootkits installés. AIDE, Netfilter et PF : OpenBSD Packet Filter en sont quelques exemples. Débogueurs Les outils de débogage peuvent être utilisés par des hackers chapeau noir pour reconstituer des fichiers binaires lorsqu’ils créent des exploits. Ils sont également utilisés par les hackers chapeau blanc pour analyser les malwares. GDB, WinDbg, IDA Pro et Immunity Debugger sont quelques exemples d’outils de débogage. Piratage de systèmes d’exploitation Certains systèmes d’exploitation sont conçus spécialement pour le hacking et contiennent des outils et des technologies réservés à cette activité. Kali Linux, SELinux, Parrot OS, Knoppix et BackBox Linux en sont quelques exemples.
  • 35. Outils de Sécurité Types d’attaques d’un réseau Outils de chiffrement Ces outils protègent le contenu des données d’une organisation lorsqu’elles sont stockées ou transmises. Ces outils de chiffrement utilisent des algorithmes pour encoder les données afin d’empêcher tout accès non autorisé aux données chiffrées. VeraCrypt, CipherShed, OpenSHH, OpenSSL, Tor, OpenVPN et Stunnel en sont quelques exemples. Outils d’exploitation des vulnérabilités Ces outils déterminent si un hôte distant est vulnérable à une attaque. Des exemples d’outils d’exploitation de vulnérabilité comprennent Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit et Netsparker. scanners de vulnérabilités Ces outils analysent un réseau ou un système pour identifier les ports ouverts. Ils peuvent également rechercher des vulnérabilités connues et analyser des machines virtuelles, des appareils BYOD et des bases de données clientes. Des exemples de ces outils incluent Nipper, Core Impact, Nessus, SAINT et Open VAS.