Le document aborde les menaces informatiques, leurs types, ainsi que des stratégies de protection et de cryptologie. Il décrit des attaques spécifiques telles que le phishing et les dénis de service, ainsi que des logiciels malveillants comme les virus et les spywares. De plus, il insiste sur l'importance de la sécurité organisationnelle et des pratiques de mise à jour pour prévenir les violations de sécurité.

1. MANSOURI SEIFEDDINE
FERJANI SABER
8 février 2012

2. 1.
2.
3.
4.
5.
6.
Introduction
Motivation
Types de menaces
Cryptologie
Entretien à l’ANSI
Contre mesures
2

3. 



Protéger la réputation
Satisfaire aux exigences légales
Eviter des pertes financières
La sécurité = {mesures} permettant d’assurer
la protection de l’information & Systèmes
Interception: vise la confidentialité des informations
 Modification: vise l’intégrité des informations
 Interruption: vise la disponibilité des informations
 Fabrication: vise l’authenticité des informations

3

4. 
Externes






Pirates
Saboteurs
Concurrents
Anciens employés
Organisations criminelles
Internes
Employés mécontents
 Fraudeurs
 Complices / Espions
 Innocents employés

4

5. Un risque ne peut être éliminé. Il peut seulement
être réduit soit par la mise en place de meilleures
protections soit en réduisant l’impact.
Risque = Vulnérabilité  Menace  Impact
Contre mesure
Vulnérabilité:
Clés sous le tapis.
Impact: Cambrioleur casse
Menace:
Cambrioleur essaie d’entrer. l’armoire, vole de l’argent,
crée des ennuis.
5

6. SINON???
6

7. 1.
2.
3.
4.
5.
6.
Introduction
Motivation
Types de menaces
Cryptologie
Entretien à l’ANSI
Contre mesures
7

8. 



Le gain financier: Récupération de num de
cartes bancaires, ...
Vengeance: Site www.aljazeera.net lors de la
couverture de la guerre d'irak
Curiosité: Attaques d'étudiants du MIT sur le
premier ordinateur IBM 704 au MIT en 1959.
Recherche d'émotions fortes
8

9. 9

10. Stuxnet est un ver de complexité très inhabituelle
pour un malware. Il a été décrit par différents
experts comme une cyber arme, conçue pour
attaquer une cible industrielle déterminée. Il
s'agirait d'une première dans l'histoire.
Découvert en juin 2010, il a affecté 45 000
systèmes informatiques, dont 30 000 situés en
Iran.
Le général israélien Gabi Ashkenazi a affirmé,
lors de son départ à la retraite, être le père du ver
Stuxnet.
11

11. http://www.youtube.com/watch?v=7g0pi4J8au
Q&feature=youtube_gdata_player
12

12. 1.
2.
3.
4.
5.
6.
Introduction
Motivation
Types de menaces
Cryptologie
Entretien à l’ANSI
Contre mesures
13

13. 1.
•
•
•
•
•
2.
•
•
•
•
•
Programmes malveillants
Virus
Vers
Spyware
porte dérobée/Backdoors
Cheval de Troie
Techniques d’attaques
ARP/DNS Poisoning
Phishing
Injection
Déni de services
IP Spoofing
14

14. Un virus est un logiciel qui s’attache à tout type
de document électronique, et dont le but est
d’infecter ceux-ci et de se propager sur d’autres
documents
et
d’autres
ordinateurs.
Un virus a besoin d’une intervention humaine
pour se propager.
15

15. Un ver se reproduit en s’envoyant à travers un
réseau
(e-mail,
Bluetooth,
chat..)
Le ver n’a pas besoin de l’interaction humaine
pour pouvoir se proliférer
16

16. Les spywares sont des logiciels parasites
indétectables. Ils n'ont pas une action destructive
(comme les virus), mais servent à espionner vos
habitudes et vos "besoins", pour des buts
"commerciaux malsains".
17

17. Programme bénin (jeux, documents…) cachant
un autre programme. Lorsque le programme est
exécuté, le programme caché s’exécute aussi et
pourrait ouvrir une « porte cachée ».
18

18. Moyen de contourner les mécanismes de sécurité ;
il s’agit d’une faille du système de sécurité due à
une faute de conception accidentelle ou
intentionnelle (cheval de Troie en particulier).
Ces passages secrets sont ménagés par les
concepteurs de logiciels pour fournir des accès
privilégiés pour les tests ou la maintenance.
19

19. 


Code malicieux permettant à un attaquant de
maintenir en temps réel un accès frauduleux à un
système informatique, se greffant généralement
dans le noyau du système d'exploitation.
A la différence d'un virus ou d'un ver, un rootkit
ne se réplique pas.
Agit sur une machine déjà compromise. Il est
utilisé dans une étape après intrusion et
l'installation d'une porte dérobée pour cacher tous
les changements effectués lors de l'intrusion afin
de préserver l'accès à la machine.
20

20. 1.
•
•
•
•
•
2.
•
•
•
•
•
Programmes malveillants
Virus
Vers
Spyware
porte dérobée/Backdoors
Cheval de Troie
Techniques d’attaques
ARP/DNS Poisoning
Phishing
Injection
Déni de services
IP Spoofing
21

21. L'objectif de l'attaque consiste à s'interposer entre
deux machines du réseau et de transmettre à
chacune un paquet falsifié indiquant que l'adresse
MAC de l'autre machine a changé, l'adresse ARP
fournie étant celle de l'attaquant.
De cette manière, à chaque fois qu'une des deux
machines souhaitera communiquer avec la
machine distante, les paquets seront envoyés à
l'attaquant, qui les transmettra de manière
transparente à la machine destinatrice.
22

22. L'«usurpation d'adresse IP» (spoofing IP) est
une technique consistant à remplacer l'adresse
IP de l'expéditeur IP par l'adresse IP d'une autre
machine.
En effet, un système pare-feu fonctionne la
plupart du temps grâce à des règles de filtrage
indiquant les adresses IP autorisées à
communiquer avec les machines internes au
réseau. L’usurpation d’IP permet de contourner
le mur de feu.
23

23. Ainsi, un paquet spoofé avec l'adresse IP d'une
machine interne semblera provenir du réseau
interne et sera relayé à la machine cible, tandis
qu'un paquet contenant une adresse IP externe
sera automatiquement rejeté par le pare-feu.
24

24. Le phishing traduit parfois en
«hameçonnage», est une technique
frauduleuse utilisée par les pirates
informatiques pour récupérer des
informations (généralement bancaires)
auprès d'internautes.
La technique du phishing est une
technique d'ingénierie sociale, c'est-àdire consistant à exploiter non pas une
faille informatique mais la « faille
humaine » en dupant les internautes
par le biais d'un courrier électronique
semblant provenir d'une entreprise de
confiance, typiquement une banque ou
un site de commerce.
25

25. Une « attaque par déni de service » est un type
d'attaque visant à rendre indisponible pendant un
temps indéterminé les services ou ressources
d'une organisation. Il s'agit la plupart du temps
d'attaques à l'encontre des serveurs d'une
entreprise, afin qu'ils ne puissent être utilisés et
consultés, On distingue deux types:
 Les dénis de service par saturation
 Les dénis de service par exploitation de
vulnérabilités
26

26. 27

27. Une faille d'injection, telle l'injection SQL, se
produit quand une donnée non fiable est envoyée
à un interpréteur en tant qu'élément d'une
commande ou d'une requête. Les données hostiles
de l'attaquant peuvent duper l'interpréteur afin
de l'amener à exécuter des commandes fortuites
ou accéder à des données non autorisées.
28

28. Le cross-site scripting, abrégé XSS, est un type de
faille de sécurité des sites Web, que l'on trouve
typiquement dans les applications Web qui
peuvent être utilisées par un attaquant pour
provoquer un comportement du site Web
différent de celui désiré par le créateur de la page
(redirection vers un site, vol d'informations, etc.).
Il est abrégé XSS pour ne pas être confondu avec
le CSS (feuilles de style), X étant une abréviation
commune pour « cross » (croix) en anglais.
29

29. 30

30. Le
dépassement
de
tampon
ou
débordement de tampon (en anglais, buffer
overflow) est un bug par lequel un
processus, lors de l'écriture dans un
tampon, écrit à l'extérieur de l'espace alloué
au tampon, écrasant ainsi des informations
nécessaires au processus.
Lorsque
le
bug
se
produit
non
intentionnellement, le comportement de
l'ordinateur devient imprévisible. Il en
résulte
souvent
un
blocage
du
programme, voire de tout le système.
31

31. Un pirate peut craquer (cible) le mot de passe de
la session. Mais si vous choisissez un mot de
passe robuste, cela lui prendra beaucoup de
temps. Alors pourquoi ne pas attendre que la
victime se connecte sur la session et prendre sa
place ?
32

32. 33

33. 1.
2.
3.
4.
5.
6.
Introduction
Motivation
Types de menaces
Cryptologie
Entretien à l’ANSI
Contre mesures
34

34. 



Toute information circulant sur Internet peut
être capturée et enregistrée et/ou modifiée
Problème de confidentialité et d’intégrité
Toute personne peut falsifier son adresse IP
(spoofing) ce qui engendre une fausse
identification
Problème d’authentification
35

35. La cryptographie est une des disciplines de la
cryptologie s'attachant à protéger des messages
en s'aidant souvent de secrets ou clés.
La cryptanalyse est la science qui consiste à tenter
de déchiffrer un message ayant été chiffré sans
posséder la clé de chiffrement.
36

36. 
Algorithmes de chiffrement faibles


Algorithmes de cryptographie symétrique


Chiffre de Vernam, DES, 3DES, AES, RC4, RC5
Algorithmes de cryptographie asymétrique


ROT13, Chiffre de César, Chiffre de Vigenère.
RSA (chiffrement et signature), DSA (signature)
Diffie-Hellman (échange de clé)
Fonctions de hachage

MD5, SHA-1, SHA-256 ;
37

37. 38

38. 

Utilise des opérations de base: Substitution,
Transposition, Opérations algébriques simples
DES : Data Encryption Standard



Développé par IBM
Utilise des clé de taille 56 bits.
AES : Advanced Encryption Standard


Standard cryptographique depuis 2000
Utilise des clés de tailles 128, 192 et 256 bits
39

39. 
Chaque personne dispose d’une paire de clé :





Clé privée : connue uniquement par son propriétaire
Clé publique : publiée dans des annuaires publiques
Si on crypte avec l’une de ces clés le décryptage
se fait uniquement avec l’autre
Les algorithmes asymétriques sont des
fonctions mathématiques basées sur des
problèmes mathématiques très compliqués
La résolution de ces problèmes est
pratiquement impossible sans connaître un
paramètre (l’une des clés)
40

40. Ce mode assure la confidentialité des données
41

41. Ce mode assure l’authenticité de l’émetteur
42

42. 



Fonctions à sens unique : pour un entier x, il est
simple de calculer H(x), mais étant donner
H(x), il est pratiquement impossible de
déterminer x
La fonction de hashage permet d’extraire une
empreinte qui caractérise les données
Une empreinte a toujours une taille fixe
indépendamment de la taille des données
Il est pratiquement impossible de trouver deux
données ayant la même empreinte
43

43. Exemples:
• MD5 : Message Digest 5
(empreinte de taille 128
bits)
• SHA-1 : Secure Hash
algorithm (empreinte de
taille 160 bits)
44

44. Les crypto-systèmes asymétriques souffrent d’une
vulnérabilité dite : Man In The Middle Attack
 Solution :
Certificats électroniques
45

45. D'après Zimmermann :
« Que se passerait-il si tout le monde estimait que les
citoyens honnêtes devraient utiliser des cartes postales
pour leur courrier ? Si un non-conformiste s’avisait alors
d’imposer le respect de son intimité en utilisant une
enveloppe, cela attirerait la suspicion. Peut-être que les
autorités ouvriraient son courrier pour voir ce que cette
personne cache. De la même manière, ce serait excellent si
tout le monde utilisait la cryptographie de manière
systématique pour tous ses e-mails, qu’ils soient innocents
ou non, de telle sorte que personne n’attirerait la suspicion
en protégeant l’intimité de ses e-mails par la cryptographie.
Pensez à le faire comme une forme de solidarité. »

46

46. 








L'analyse fréquentielle
L'indice de coïncidence
L'attaque par mot probable
L'attaque par dictionnaire
L'attaque par force brute
Cryptanalyse linéaire
Cryptanalyse différentielle
Cryptanalyse différentielle-linéaire
Cryptanalyse quadratique et modulo N
47

47. 

En 2005, une équipe du FBI des États-Unis
d'Amérique fit la démonstration qu'il est
possible de pénétrer un réseau protégé par du
WEP en 3 minutes en utilisant des outils
disponibles publiquement (Aircrack)
Depuis juillet 2006, il est possible de pénétrer
les réseaux protégés par WEP en quelques
secondes seulement, en tirant parti de la
fragmentation des paquets pour accélérer le
cassage de la clé.
48

48. En novembre 2008, deux chercheurs allemands en
sécurité ont annoncé avoir découvert une faille de
sécurité dans le mécanisme de sécurité WPA
utilisé avec l'algorithme TKIP.
A la fin du mois d'août 2009, deux japonais
mettent au point une attaque permettant, en une
minute, de falsifier des paquets de type ARP ou
DNS. Celle-ci utilise une amélioration de l'attaque
Beck-Tews en la combinant à une attaque de type
"middle-man".
49

49. 1.
2.
3.
4.
5.
6.
Introduction
Motivation
Types de menaces
Cryptologie
Entretien à l’ANSI
Contre mesures
50

50. 51

51. 

Un CSIRT est une équipe d’experts en sécurité
informatique ayant pour mission principale de
répondre aux incidents en proposant les
services nécessaires au traitement des attaques
et en aidant leurs parties prenantes à restaurer
les systèmes qui en ont fait l’objet.
Ils publient des bulletins et avis de
vulnérabilités concernant les logiciels et
matériels en usage, et informent les utilisateurs
des exploits et virus tirant parti des failles
constatées.
52

52. 


Bande passante : 37 Gbps
10395 sites
447 009 abonnés
Année
Plage IP
Nombre
2000
193.95.0.0 - 193.95.127.255
32768
2002
196.203.0.0 - 196.203.255.255
98304
2005
213.150.160.0 - 213.150.191.255
106496
2007
41.224.0.0 - 41.231.255.255
630784
2010
197.0.0.0 - 197.31.255.255
2727936
53

53. 54

54. 
Mr. Hassen BAHRI

Manager du tunCERT





NACS (2002 – 2005)
ENSI (1999 – 2002 )
IPEIT (1997 – 1999 )
Date de l’entretien: 27 janvier 2012
Durée: 1H30
tunCERT-Tunisian Computer Emergency Response Team
Agence Nationale de la Sécurité Informatique
Ministère des technologies de l'information et de la communication
Adresse: 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie
Tel: 71 843 200 Fax: 71 846 363
Site web: www.ansi.tn
55

55. 1.
2.
3.
4.
5.
6.
Introduction
Motivation
Types de menaces
Cryptologie
Entretien à l’ANSI
Contre mesures
56

56. Sécurité
Organisationnelle
Sécurité des utilisateurs
Sécurité Applicative
Sécurité des serveurs
La sécurité réseau
57

57. 


La mise à jour du système d’exploitation et même
pour les systèmes mobiles afin de s’assurer de
l’absence de toute faille connue qui pourrait être
utilisée par des pirates ou par des virus.
La mise à jour de l’antivirus.
Vérifiez s’il y a des symptômes indiquant que
votre ordinateur est infecté ou non (Lenteur
anormale,
paramètres
systèmes
modifiés, redirection du navigateur vers des sites
non
sollicités,
affichage
de
Popup, endommagement de fichier, logiciel qui
fonctionne anormalement). Au cas échéant lancez
un scan antiviral complet sur votre disque.
58

58. 





Sauvegarde régulière de vos fichiers sensibles sur des
supports amovibles.
Ne pas installer des logiciels douteux, et notamment
ceux de partage de fichiers ou de contrôle de PC à
distance.
Eviter la navigation sur les sites douteux, surtout ceux
qui offrent des logiciels craqués ou à contenu indécent.
Utiliser des mots de passe robustes et difficiles à
deviner. N’oublier pas de les changer périodiquement
ou en cas de soupçon.
Hors d’usage, il faut éteindre l’ordinateur.
Avoir le bon réflexe en cas d’incident : déconnectez
votre PC, lancez un scan antiviral et contacter le
tunCERT pour demander de l’assistance.
59

59. 






S’assurer de la sécurité au niveau de la plateforme d’hébergement ou
déléguer cette tâche à votre hébergeur.
Vérifier le déploiement des solutions de sécurité nécessaires: contrôle
antiviral, filtrage, détection d’intrusion et filtrage applicatif.
S’assurer de l’utilisation des dernières versions des systèmes de gestion
de contenu (CMS comme Joomla, Drupal, WordPress, Typo3), si le cas se
présente.
Auditer votre application web pour identifier les failles qui peuvent être
exploitées, en faisant appel à un expert dans le domaine si c’est possible.
Appliquer les bonnes règles de gestion : Contrôle d’accès à la zone
d’administration, gestion de mots de passe, vérification des logs,
sauvegarde des données, plan de secours en cas de problème majeur,
utilisation des protocoles sécurisés pour l’administration à distance
(HTTPS, SSH, SCP).
Avoir une procédure de veille pour s’informer sur les nouvelles failles et
appliquer les correctifs en un temps optimal (mailing-list du tunCERT).
Vérifier la sécurité de votre poste d’administration.
60

60. 


www.securinets.com
www.honeynet.tn
www.ansi.tn
61