Le document traite des techniques d'énumération utilisées par les attaquants pour collecter des informations sur les systèmes cibles, ce qui leur permet d'exploiter des failles de sécurité. Il présente également des mesures de contre-attaque contre l'usurpation d'identité et le phishing, notamment l'utilisation de pare-feu, la désactivation de certains protocoles et l'éducation des utilisateurs sur les dangers en ligne. Enfin, il souligne l'importance de sécuriser les communications à l'aide de protocoles cryptés et d'outils anti-phishing.

1. Exposant:
Aichétou Djimé GALLÉDOU
Sous la presence:
Dr. Elhaj Modou MBOUP

2. 1.Enumération
2.Contres mesures sur les énumérations
3.Attaque sur l’usurpation d’identité
4.Contres mesures sur l’usurpation
5.Démonstration
2
Introduction
Conclusion

3. 3

4.  L'énumération se produit après l'analyse c’est le
processus de collecte d’informations sur la cible,
l'attaquant crée des connexions actives au système et
effectue des requêtes dirigées;
 Les pirates utilisent les informations extraites pour
identifier les points d'attaque du système et effectuer
des attaques par mot de passe pour accéder sans
autorisation aux ressources du système d'information;
 Les techniques d'énumération sont effectuées dans un
environnement intranet.
4

5. Ressources réseau
Partages réseau
Tables de routage
Audit et paramètres de service
Détails SNMP et DNS
Noms de machines
Utilisateurs et groupe
Applications et bannières
5

6.  Extraire les noms d'utilisateur en utilisant les identifiants d'email
(IDs mail)
 Extraire des informations en utilisant les mots de passe par
défaut
 Extraire les noms d'utilisateur à l'aide de SNMP
 Rassemblez des informations sur l'hôte en utilisant des sessions
nulles.
 Extraire les groupes d'utilisateurs de Windows
 Extraire des informations à l'aide du transfert de zone DNS 6

7.  TCP / UDP 53: Transfert de zone DNS
 TCP / UDP 135: Mappeur de point de terminaison
Microsoft RPC
 UDP 137: Service de noms NetBIOS (NBNS)
 TCP 139: Service de session NetBIOS (SMB sur
NetBIOS)
 TCP / UDP 445: SMB sur TCP (hôte direct)
 UDP 161: Protocole de gestion de réseau simple (SNMP)
 TCP / UDP 389: protocole LDAP (Lightweight Directory
Access Protocol)
 TCP / UDP 3268: service de catalogue global
 TCP 25: protocole SMTP (Simple Mail Transfer Protocol)
 TCP / UDP 162: Piège SNMP
7

8. Le nom Netbios est une chaîne de 16 caractères ASCII
unique utilisée pour identifier les périphériques réseau sur
TCP / IP, 15 caractères sont utilisés pour le nom de
l'instrument et le 16ème caractère est réservé pour le
service.
Les attaques utilisent l'énumération Netbios pour:
 Lister les ordinateurs appartenant à un domaine
 Lister les partages sur les hôtes individuels du réseau
 Obtenir les politiques de sécurité et les mot de passe.
8

9.  SuperScan
 Hyena
 Winfingerprint
9

10.  L'énumération SNMP est le processus d'utilisation de SNMP
pour énumérer les comptes d'utilisateurs sur un système cible.
 SNMP utilise deux principaux types de composants logiciels
pour la communication: l'agent SNMP, situé sur le périphérique
de mise en réseau, et la station de gestion SNMP, qui
communique avec l'agent.
 SNMP contient deux mots de passe pour accéder et configurer
l'agent SNMP à partir de la station de gestion:
 Lire la chaîne de communauté: elle est publique par défaut;
permet de visualiser le SNMP de la configuration du système ou
du système.
 Chaîne de communauté en lecture / écriture: elle est privée par
défaut; permet l'édition à distance de la configuration.
10

11.  SNMPUtil peut lire les informations de compte
utilisateur à partir d'un système Windows activé via
SNMP dans les systèmes Windows les informations,
telles que:
 les tables de routage;
 les tables ARP;
 les adresses IP:
 les adresses MAC;
 les ports ouverts TCP et UDP;
 les comptes utilisateur et les partages.
 Le navigateur de réseau IP de SolarWinds Toolset
utilise également SNMP pour rassembler plus
d'informations sur un périphérique doté d'un agent
SNMP. 11

12. 12

13.  Utilisez le pare-feu du réseau ou pare-feu Windows ou un
autre logiciel de pare-feu personnel sur chaque système.
 Désactiver NetBIOS - ou au moins de fichiers Windows et le
partage d`imprimante.
 Invalidantes NetBIOS pourrait ne pas être pratique dans un
réseau où les utilisateurs et les applications dépendent de
partage de fichiers ou dans un environnement mixte où les
systèmes Windows 2000 et NT anciens comptent sur
NetBIOS pour partage de fichiers et d`imprimante.
 Informez vos utilisateurs sur les dangers de permettre des
partages de fichiers ou tout le monde à l’accès.
13

14.  Supprimer l'agent SNMP ou désactiver le service SNMP
 Si la désactivation de SNMP n'est pas une option,
modifiez le nom de la chaîne de communauté par défaut
 Mettre à niveau vers SNMP3, qui crypte les mots de
passe et les messages
 Implémentez l'option de sécurité Stratégie de groupe
appelée « Restrictions supplémentaires pour les
connexions anonymes »
 Assurez-vous que l'accès aux canaux de session est nuls,
aux partages de session est nulle et que le filtrage IPSec
est restreint
14

15.  Désactiver les transferts de zone DNS vers les hôtes non
approuvés
 Assurez-vous que les hôtes privés et leurs adresses IP ne sont
pas publiés dans les fichiers de zone DNS du serveur DNS
public
 Utiliser des services d'enregistrement DNS premium qui
cachent des informations sensibles telles que HINFO du
public
 Utilisez les contacts d'administration réseau standard pour les
enregistrements DNS afin d'éviter les attaques d'ingénierie
sociale 15

16. Configurez les serveurs SMTP pour:
 Ignorer les e-mails à des destinataires inconnus
 Ne pas inclure les informations relatives au
serveur de messagerie sensible et à l'hôte local
dans les réponses au courrier
 Désactiver la fonction de relais ouverte
16

17.  Par défaut, le trafic LDAP est transmis non
sécurisé.
 Utiliser la technologie SSL pour crypter le
trafic
 Sélectionnez un nom d'utilisateur différent de
votre adresse e-mail et activez le verrouillage
du compte
17

18.  Désactiver le protocole SMB sur les serveurs Web et
DNS
 Désactiver le protocole SMB sur les serveurs
Internet
 Désactiver les ports TCP 139 et TCP 445 utilisés par
le protocole SMB
 Restreindre l'accès anonyme via le paramètre s du
registre Windows
18

19.  l’usurpation d’identité se réfère à l’identité volée, quand une
personne prétend être une autre personne, un organisme ou une
entreprise dans le but d’avoir accès aux renseignements
personnels parmi lesquels on peut citer:
 l’usurpation de l’adresse IP;
 l’usurpation des adresses internet;
 des courriers électroniques;
 l’usurpation DNS;
 l’usurpation du MAC.
 L’usurpation est à la fois une partie de la configuration pour le
hameçonnage (phishing).
19

20.  Le phishing est une technique frauduleuse
utilisée par les pirates informatiques pour
récupérer des informations sensibles,
personnelles et/ou confidentielles telles que:
 les noms d’utilisateur;
 les mots de passe;
 les comptes bancaires;
 et les numéros des cartes de crédit…
20

21.  On distingue deux types d'outils destinés à
contrer le phishing:
 La première catégorie est basée sur des blacklists
(listes d'exclusions);
 La seconde catégorie permet quand à elle
d'identifier des sites non répertoriés sur des listes ;
 La barre anti-phishing de Netcraft regroupe
pour sa part ces deux méthodes au sein d'un
même outil.
21

22.  Netcraft est une extension pour Firefox, Opera et
Google Chrome qui permet de vérifier l'intégrité
d'une page Internet lors de sa visite pour éviter d’être
victime de phishing, de sites c’est anti-phishing.
22

23.  Toujours saisir des informations personnelles (coordonnées
bancaires, identifiants, etc.) sur des sites internet sécurisés :
un cadenas apparaît dans le navigateur et l’adresse du site
commence par HTTPS au lieu de HTTP.
 Être vigilant lorsqu’un courriel demande des actions urgentes;
 Utiliser un logiciel de filtre anti-courriel ;
 Faire preuve de bon sens : ne pas croire que ce qui vient de
l’internet est forcément vrai.
23

24. 24

25. 25

26. 26
DE VOTRE
ATTENTION