Le document traite des risques et menaces informatiques, en mettant l'accent sur la sécurité des systèmes d'information, qui comprend la confidentialité, l'intégrité et la disponibilité des données. Il aborde également les types de menaces telles que l'espionnage, la perturbation, le vol, et les techniques d'attaques telles que les intrusions et les logiciels malveillants. Enfin, il décrit les différents profils d'attaquants, notamment les pirates, fraudeurs et espions, et les méthodes qu'ils emploient pour compromettre la sécurité des systèmes.

1. Institut Supérieur de Comptabilité
et d’Administration des Entreprises
SECURITE DU SYSTEME
D’INFORMATION (SSI)
3 IAG
1
2010-2011

2. CHAPITRE 2
Les risques et menaces
informatique
2

3. Protection et sécurité
3

4. Sécurité informatique
• La confidentialité
– Contraintes sur la divulgation d’informations
• P.ex. qu’un fichier ne soit pas lu par un utilisateur n’ayant pas les droits
d’accès
– P.ex: que personne d’autre que le commerçant apprenne un numéro de carte
de crédit dans une transaction de commerce électronique
• L’intégrité
– Contraintes sur les modifications d’informations
• P.ex. que seul le propriétaire d’un fichier puisse changer les droits d’accès
– P.ex: seule la banque peut modifier le contenu d’un compte
• La disponibilité
– Contraintes sur l’accessibilité d’informations et de services
• P.ex: un utilisateur ne doit pas être empêché de lire ses propres mails
– P.ex: que le serveur de banque soit toujours accessibles aux participants
4
d’une transaction de commerce électronique

5. Sécurité informatique
• La protection
– Ensemble des mécanismes qui contrôlent les actions
des utilisateurs (processus/programmes)
• P.ex. le chiffrement des données sur disque ou sur le réseau,
mots de passe, matériel du processeur qui restreint l’adresse
générée et qui empêche les programmes utilisateurs de
communiquer avec le contrôleur de disque
• La sécurité
– La préservation de la confidentialité et de l’intégrité des
informations du système
• Une attaque est une action qui peut violer la sécurité
• Une attaque peut être intentionnelle ou accidentelle
• La sécurité est mise en œuvre par des mécanismes de
protection
5

6. 6

7. 7

8. 8

9. 9

10. 10

11. Les menaces
11

12. Les menaces
- L'espionnage
• Principalement d'origine étatique cette menace concerne particulièrement les
informations stratégiques d'une nation. Les renseignements d'ordre militaire,
diplomatique, mais aussi, économiques, industriels, technologiques, scientifiques,
financiers et commerciaux seront recherchés en priorité.
• S'il est moins fréquent, mais surtout non avoué que des entreprises ou des sociétés aient
recours à l'espionnage, nous pouvons imaginer l'intérêt que cela représente pour leur
activités en gain de temps et d'investissement. Les techniques restent les mêmes et la
différence se fera sur l'ampleur des moyens utilisés. Il est concevable de penser que des
États utilisent leurs services de renseignement pour fournir des informations à leurs
industriels. Il est aussi de notoriété publique que des sociétés privées offrent leur
services pour obtenir des renseignements.
• L'espionnage va tenter d'enfreindre les mesures de sécurité qui protègent la
confidentialité des informations.
- La perturbation
• L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de
fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des
erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible.
• La perturbation va influer sur la disponibilité et l'intégrité des services 12 des
et
informations d'un SI.

13. Les menaces (suite)
- Le vol
• Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il
s'agit de données et encore plus de ressources informatiques. En effet une simple
copie suffit pour s'approprier une information. Cette opération n'est pas toujours
facile à déceler.
• Le vol de données va permettre d'enfreindre les mesures de sécurité protègent la
confidentialité des informations. Le vol de ressources est plus insidieux, car il se
peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à la
disponibilité des informations et des services.
- La fraude physique
• Elle peut consister à récupérer les informations oubliées ou non détruites par
l'adversaire ou le concurrent. l'attaquant portera une attention particulière aux
listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques
classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers
des organismes visés.
• Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de
sécurité qui protègent la confidentialité des informations.
13

14. Les menaces (suite)
- Le chantage
• Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que de
nombreuses données concernant la vie privée des personnes ou les activités d'une
organisation sont gardées sur des ordinateurs.
• Le chantage peut aussi porter sur une menace de sabotage à l'encontre des installations
d'une organisation.
• La chantage peut mettre en cause aussi bien la confidentialité, l'intégrité, que la
disponibilité des informations et des services.
- Le sabotage
• Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou
une de ses composantes.
• Le sabotage porte atteinte à l'intégrité des informations mais surtout à la disponibilité
des services.
- Les accès illégitimes
• Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant
son identité. Elle vise tout particulièrement l'informatique.
• Les accès illégitimes portent atteinte à la confidentialité des informations.
14

15. Attaquants
•Pirates
•Fraudeurs
•Espions
•Terroristes
15

16. Pirates
Nous proposons les deux profils de pirate les plus souvent identifiées :
- hacker :
individu curieux, qui cherche à se faire plaisir. Pirate par jeu ou par
défi, il ne nuit pas intentionnellement et possède souvent un code
d'honneur et de conduite [1]. Plutôt jeune, avec des compétences non
négligeables, il est patient et tenace ;
- cracker :
plus dangereux que le hacker, cherche à nuire et montrer qu'il est le
plus fort. Souvent mal dans sa peau et dans son environnement, il peut
causer de nombreux dégâts en cherchant à se venger d'une société - ou
d'individus - qui l'a rejeté ou qu'il déteste. Il veut prouver sa
supériorité et fait partie de clubs où il peut échanger des informations
avec ses semblables.
16

17. Fraudeurs
Les fraudeurs se répartissent en deux catégories avec des compétences similaires :
- le fraudeur interne :
possédant de bonnes compétences sur le plan technique, il est de préférence
informaticien et sans antécédents judiciaires. Il pense que ses qualités ne sont
pas reconnues, qu'il n'est pas apprécié à sa juste valeur. Il veut se venger de
son employeur et chercher à lui nuire en lui faisant perdre de l'argent. Pour
parvenir à ses fins il possède les moyens mis à sa disposition par son
entreprise qu'il connaît parfaite- ment.
- le fraudeur externe :
bénéficiant presque toujours d'une complicité, volontaire ou non, chez ses
victimes, il cherche à gagner de l'argent par tous les moyens. Son profil est
proche de celui du malfaiteur traditionnel. Parfois lié au grand banditisme, il
peut attaquer une banque, falsifier des cartes de crédit ou se placer sur des
réseaux de trans- fert de fonds, et si c'est un particulier il peut vouloir fausser
sa facture d'électricité ou de téléphone.
17

18. Espions
Ils travaillent pour un État ou pour un concurrent. Choisis pour leur sang-froid et leur
haut niveau de qualification, il sont difficiles à repérer.
- l'espion d'État : professionnel, entraîné, rompu à toutes les techniques, il dispose de
nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller
jusqu'à acquérir, légalement ou non, une copie du système qu'il veut attaquer pour
l'analyser et l'étudier sous toutes ses coutures. Il est patient et motivé. Il exploite les
vulnérabilités les plus enfouies d'un SI car elles seront les plus difficiles à détecter
et il pourra les utiliser longtemps. Il sait garder le secret de sa réussite pour ne pas
éveiller les soupçons et continuer son travail dans l'ombre.
- l'espion privé : souvent ancien espion d'État reconverti, il a moins de moyens mais une
aussi bonne formation.
Terroristes
Moins courant, le terroriste est aidé dans sa tâche par l'interconnexion et l'ouverture des
réseaux.
- le terroriste : très motivé, il veut faire peur et faire parler de lui. Ses actions se veulent
spectaculaires.
18

19. Techniques d’attaque
19

20. Techniques d’attaque
- Attaques physiques
Nous plaçons ici les attaques qui nécessitent un accès
physique aux installations ou qui se ser- vent de
caractéristiques physiques particulières. La destruction
pure et simple ou la coupure d'une ligne ne sont pas
évoquées car non spécifiques à l'informatique
- Attaques Logiques
20

21. Attaques physiques
- Interception
L'attaquant va tenter de récupérer un signal électromagnétique et de
l'interpréter pour en déduire des informations compréhensibles. L'interception
peut porter sur des signaux hyper- fréquences ou hertziens, émis, rayonnés, ou
conduits. L'agresseur se mettra ainsi à la recher- che des émissions satellites,
et radio, mais aussi des signaux parasites émis par les SI, principalement par
les terminaux, les câbles et les éléments conducteurs entourant les SI. Les
techniques d'interception seront très variées pour les différents cas évoqués.
- Brouillage
Utilisée en télécommunication, cette technique rend le SI inopérant. C'est une
attaque de haut niveau, car elle nécessite des moyens importants, qui se
détectent facilement. Elle est surtout utilisée par les militaires en temps de
crise ou de guerre.
- Écoute
L'écoute consiste à se placer sur un réseau informatique ou de
télécommunication et à analyser et à sauvegarder les informations qui
transitent. De nombreux appareils du commerce facilitent les analyses et
permettent notamment d'interpréter en temps réel les trames qui circulent sur
un réseau informatique.
21

22. Attaques logiques
- intrusion
Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire
passer pour quelqu'un d'autre et obtenir les privilège ou des droits de celui dont on
usurpe l'identité.
Un utilisateur est caractérisé par :
– ce qu'il est, (empreintes, digitales ou rétiniennes, vocales, ou toute autre
authentifiant biométrique),
– ce qu'il possède (un badge, une carte mag- nétique, à puce, un jeton, un
bracelet...)
– ce qu'il sait (un mot de passe, sa date de naissance, le prénom de ses parents...).
Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs
éléments propres à l'utilisateur.
Si le contrôle d'accès au SI se fait par mot de passe, l'attaquant tentera de le lire
quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le réseau.
Si le contrôle d'accès se fait avec une carte à puce, l'attaquant cherchera à
22
reproduire une.

23. Attaques logiques
- Substitution
•
Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant
des terminaux distants. L'agresseur écoute une ligne et intercepte la
demande de déconnexion d'un utilisateur travaillant sur une machine
distante. Il peut alors se substituer à ce dernier et continuer une session
normale sans que le système note un changement d'utilisateur.
• Un cas bien connu est celui des ordinateurs sur un réseau local qui ne
sont déclarés que par leur adresse Internet. Un attaquant peut alors
attendre qu'une machine soit arrêtée pour se faire passer pour elle en
usurpant l'adresse de la machine éteinte.
- Saturation (denie de service)
• Cette attaque contre la disponibilité consiste à remplir une zone de
stockage ou un canal de communication jusqu'à ce que l'on ne puisse
plus l'utiliser. Il en résultera un déni de service.
23

24. 24

25. Les infections informatique
•
•
•
•
•
•
•
Virus
Cheval de troie
Ver
Bombe
Spam
Spayware
keylogger
25

26. Virus
•
•
Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent le
corps humain, un virus est un programme malicieux capable de se reproduire et qui
comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de
fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se
propager en se recopiant sur un programme et de se déclencher comme une bombe
logique quand un événement se produit.
Ses actions ont généralement comme conséquence la perte d'intégrité des informations
d'un SI et/ou une dégradation ou une interruption du service fourni.
26

27. Cheval de Troie
• On appelle « Cheval de Troie » (en anglais trojan
horse) un programme informatique effectuant des
opérations malicieuses à l'insu de l'utilisateur.
• Le nom « Cheval de Troie » provient d'une
légende
• La légende veut que les Grecs, n'arrivant pas à
pénétrer dans de la ville Troie , eurent l'idée de
donner en cadeau un énorme cheval de bois en
offrande à la ville en abandonnant le siège.
27

28. Cheval de Troie (suite)
Les troyens (peuple de la ville de Troie),
apprécièrent cette offrande à priori inoffensive et
la ramenèrent dans les murs de la ville.
Cependant le cheval était rempli de soldats cachés
qui s'empressèrent d'en sortir à la tombée de la
nuit, alors que la ville entière était endormie, pour
ouvrir les portes de la cité et en donner l'accès au
reste de l'armée ...
28

29. Cheval de Troie (suite)
Un cheval de Troie peut par exemple :
- copier des données sensibles,
- exécuter tout autre action nuisible,
- voler des mots de passe .
Pire, un tel programme peut créer, de l'intérieur de votre
réseau, une brèche volontaire dans la sécurité pour
autoriser des accès à des parties protégées du réseau à des
personnes se connectant de l'extérieur.
Les principaux chevaux de Troie sont des programmes
ouvrant des ports de la machine, c'est-à-dire permettant à
son concepteur de s'introduire sur votre machine par le
réseau en ouvrant une porte dérobée. C'est la raison pour
laquelle on parle généralement de backdoor
29

30. Cheval de Troie (suite)
• Le principe des chevaux de Troie étant
généralement (et de plus en plus) d'ouvrir un port
de votre machine pour permettre à un pirate d'en
prendre le contrôle (par exemple voler des
données personnelles stockées sur le disque), le
but du pirate est dans un premier temps d'infecter
votre machine en vous faisant ouvrir un fichier
infecté contenant le troyen et dans un second
temps d'accéder à votre machine par le port qu'il a
ouvert.
30

31. Cheval de Troie (suite)
Fonctions réseau
Ordinateur
65536 ports
Port WWW
Port SMTP
Port POP3
Internet
Port FTP
Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et
sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive
par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port
pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de
31
suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas
échéant, s’il est actif, auquel cas le message lui est transmis.

32. Cheval de Troie (suite)
Fonctions réseau
Ordinateur
65536 ports
Port WWW
Port SMTP
Port POP3
Port associé
à un logiciel pirate
Internet
Port FTP
32

33. Cheval de Troie (suite)
Partie affichée publiquement,
alléchante pour les utilisateurs
Partie secrète
à l’usage du pirate
Logiciel offert gratuitement sur Internet
prétendant vous rendre service
33

34. Les bombes logiques
•
Les bombes logiques sont des dispositifs programmés dont le
déclenchement s'effectue à un moment déterminé en exploitant la date
du système, le lancement d'une commande, ou n'importe quel appel au
système.
•
Ainsi ce type de virus est capable de s'activer à un moment précis sur
un grand nombre de machines (on parle alors de bombe à retardement
ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou
la date anniversaire d'un événement majeur : la bombe logique
Tchernobyl s'est activée le 26 avril 1999, jour du 3ème anniversaire de
la catastrophe nucléaire ...
•
Les bombes logiques sont généralement utilisées dans le but de créer
un déni de service en saturant les connexions réseau d'un site, d'un
service en ligne ou d'une entreprise.
34

35. Ver
•
Un ver informatique (en anglais worm) est un programme qui peut s'auto
reproduire et se déplacer à travers un réseau en utilisant les mécanismes
réseau, sans avoir réellement besoin d'un support physique ou logique (disque
dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus
réseau.
•
Les vers actuels se propagent principalement grâce à la messagerie (et
notamment par le client de messagerie Outlook) grâce à des fichiers attachés
contenant des instructions permettant de récupérer l'ensemble des adresses de
courrier contenues dans le carnet d'adresse et en envoyant des copies à tous
ces destinataires.
•
Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des
fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque
l'utilisateur destinataire clique sur le fichier attaché.
•
Il est simple de se protéger d'une infection par ver. La meilleure méthode
consiste à ne pas ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en
35
fichier attachés.

36. Spams
•
•
•
Le spamming consiste à envoyer massivement des e-mails de type généralement publicitaire
(dit aussi "junk mail"), à un grand nombre de personnes n'ayant pas sollicité ce type d'envoi
publicitaires, engorgeant ainsi les serveurs de messagerie et vos boites à lettres de messages
publicitaires inutiles, non sollicités et généralement mensongers. Les e-mails "spammés"
constituent actuellement la quasi-moitié des e-mails "circulant" à l'échelle planétaire
Le but premier du spam est généralement de faire de la publicité à moindre cout. Toutefois, Il
est aussi source d'essai d'abus, via des offres alléchantes (vous avez gagné ...) et bien sures
mensongères, dont le but est de vous attirer à acheter un produit ou un service douteux, ou bien
d'essayer de vous abuser, en vous extorquant de l'argent (grâce à dieu, peu de personnes de chez
nous
possèdent
des
cartes
de
crédit
en
devises
..).
Il est aussi parfois question de publicité "politique" ou "religieuse" dangereuses pour les enfants
(l'église de Scientologie avait récemment envoyé 1200 spams en 15 jours sur un groupe de
discussion).
Il est intéressant de noter à ce sujet le nouveau phénomène apparu, consistant dans l'exploitation
de virus Internet (vers) pour leur jouer le rôle de diffuseurs (relais) de spam, dans un essai de
contourner l'efficacité des outils anti-spam.
•
36

37. Spams
•
•
•
•
•
•
Le principal inconvénient du "Spam" est la gêne et la perte de temps induites
aux internautes :
Gaspillage de temps (et donc d'argent) des utilisateurs, qui doivent trier leur
courrier et nettoyer leurs boites à lettres plus fréquemment,
Risque de leurrer un message important, "caché" entre les multiples messages
de "spam",
"Corruption" des utilisateurs non avertis, avec des offres alléchantes, et bien
sûr fausses,
Atteinte à la morale, via des messages de publicité sexuels, politiques ou
religieux ...
- Le second inconvénient, non moins important, du spamming touche la bande
réseau qu'il consomme inutilement, monopolisant "inutilement" une bonne
partie de la bande passante et rendant ainsi l'Internet moins rapide (AOL
avait une fois reçu 1.8 million d 'e-mails de spams de "Cyberpromotion" : le
plus important "spammeur" du réseau Internet). Cela induit des coûts
supplémentaires pour les fournisseurs de service et d'accès à Internet car ils
doivent acheter des ordinateurs supplémentaires, pour renforcer leurs serveurs
de courrier et mettre en place une plus grande largeur de bande pour
contrecarrer la consommation de bande induite par le Spam.
37

38. Spyware
• Un espiogiciel (en anglais spyware) est un
programme chargé de recueillir des informations
sur l'utilisateur de l'ordinateur sur lequel il est
installé ( on l'appelle donc parfois mouchard) afin
de les envoyer à la société qui le diffuse pour lui
permettre de dresser le profil des internautes (on
parle de profilage).
38

39. Spyware (suite)
• Les récoltes d'informations peuvent ainsi être :
- la traçabilité des URL des sites visités,
- le traquage des mots-clés saisis dans les moteurs
de recherche,
- l'analyse des achats réalisés via internet,
- voire les informations de paiement bancaire
(numéro de carte bleue / VISA)
- ou bien des informations personnelles.
39

40. Spyware (suite)
• Les spywares s'installent généralement en même
temps que d'autres logiciels (la plupart du temps
des freewares ou sharewares).
• En effet, cela permet aux auteurs des dits logiciels
de rentabiliser leur programme, par de la vente
d'informations statistiques, et ainsi permettre de
distribuer leur logiciel gratuitement. Il s'agit donc
d'un modèle économique dans lequel la gratuité
est obtenue contre la cession de données à
caractère personnel.
40

41. Keylogger
Un keylogger (littéralement enregistreur de touches)
est un dispositif chargé d'enregistrer les frappes de
touches du clavier et de les enregistrer, à l'insu de
l'utilisateur. Il s'agit donc d'un dispositif
d'espionnage.
Certains keyloggers sont capables d'enregistrer les
URL visitées, les courriers électroniques consultés
ou envoyés, les fichiers ouverts, voire de créer une
vidéo retraçant toute l'activité de l'ordinateur .
41

42. Keylogger (suite)
Dans la mesure où les keyloggers enregistrent toutes
les frappes de clavier, ils peuvent servir à des
personnes malintentionnées pour récupérer les
mots de passe des utilisateurs du poste de travail !
Cela signifie donc qu'il faut être particulièrement
vigilant lorsque vous utilisez un ordinateur en
lequel vous ne pouvez pas avoir confiance (poste
en libre accès dans une entreprise, une école ou un
lieu public tel qu'un cybercafé).
42

43. Déroulement d’une attaque
informatique
43

44. 44

45. Méthodologie d’une intrusion sur
un réseau
Pour s'introduire dans un système informatique les pirates
utilisent une méthodologie, il ne faut pas connaître
comment compromettre un système mais comprendre la
façon dont il peut l'être afin de mieux pouvoir s'en
prémunir.
En effet, la meilleure façon de protéger son système est de
procéder de la même manière que les pirates afin de
cartographier les vulnérabilités du système.
Le principe de la protection est de ne pas donner aucune
précision sur la manière dont les failles sont exploitées,
mais expliquer comment faire pour les déceler et les
corriger.
45

46. Méthodologie globale
Les pirates (hackers) ayant l'intention de s'introduire
dans les systèmes informatiques recherchent dans
un premier temps des failles, c'est-à-dire des
vulnérabilités nuisibles à la sécurité du système,
dans les protocoles, les systèmes d'exploitations,
les applications ou même le personnel 'une
entreprise.
Les termes de vulnérabilité ( brèche ou en langage
plus familier - trou de sécurité « en anglais
security hole ») sont également utilisés pour
désigner les failles de sécurité.
46

47. Méthodologie globale
• Pour pouvoir mettre en oeuvre un EXPLOIT il s'agit du
terme technique signifiant exploiter une vulnérabilité), la
première étape du pirate consiste à récupérer le maximum
d'informations sur l'architecture du réseau et sur les
systèmes d'exploitations et applications fonctionnant sur
celui-ci. La plupart des attaques sont l'oeuvre de script
kiddies essayant bêtement des exploits trouvés sur Internet,
sans aucune connaissance du système, ni des risques liés à
leur acte.
• Une fois que le pirate a établi une cartographie du système,
il est en mesure de mettre en application des exploits
relatifs aux versions des applications qu'il a recensées. Un
premier accès à une machine lui permettra d'étendre son
action afin de récupérer d'autres informations, et
éventuellement d'étendre ses privilèges sur la machine. 47

48. Méthodologie globale
• Lorsqu'un accès administrateur (le terme anglais
root est généralement utilisé) est obtenu, on parle
alors de compromission de la machine (ou plus
exactement en anglais root compromise), car les
fichiers systèmes sont susceptibles d'avoir été
modifiés. Le pirate possède alors le plus haut
niveau de droit sur la machine.
• S'il s'agit d'un pirate, la dernière étape consiste à
effacer ses traces, afin d'éviter tout soupçon de la
part de l'administrateur du réseau compromis et de
telle manière à pouvoir garder le plus longtemps
possible le contrôle des machines compromises.
48

49. La récupération d'informations
sur le système
L'obtention d'informations sur l'adressage du réseau visé,
généralement qualifiée de prise d'empreinte, est un
préalable à toute attaque. Elle consiste à rassembler le
maximum d'informations concernant les infrastructures de
communication du réseau cible :
• Adressage IP,
• Noms de domaine,
• Protocoles de réseau,
• Services activés,
• Architecture des serveurs,
49

50. Consultation de bases publiques
• En connaissant l‘adresse IP publique d'une des
machines du réseau ou bien tout simplement le nom de
domaine de l‘entreprise, un pirate est potentiellement
capable de connaître l'adressage du réseau tout entier,
c'est-à-dire la plage d'adresses IP publiques
appartenant à l‘entreprise visée et son découpage en
sous réseaux.
• Pour cela il suffit de consulter les bases publiques
d'attribution des adresses IP et des noms de domaine :
http://www.iana.net
http://www.ripe.net pour l'Europe
http://www.arin.net pour les Etats-Unis
50

51. Consultation de moteurs de
recherche
• La simple consultation des moteurs de
recherche permet parfois de récupérer
des informations sur la structure d'une
entreprise, le nom de ses principaux
produits, voire le nom de certains
personnels.
51

52. Balayage du réseau
• Lorsque la topologie du réseau est connue par le pirate, il peut
le scanner (le terme balayer est également utilisé), c'est-à-dire
déterminer à l'aide d'un outil logiciel (appelé scanner ou
scanneur en français) quelles sont les adresses IP actives sur le
réseau, les ports ouverts correspondant à des services
accessibles, et le système d'exploitation utilisé par ces serveurs.
• L'un des outils les plus connus pour scanner un réseau est
« Nmap », reconnu par de nombreux administrateurs
réseaux comme un outil indispensable à la sécurisation d'un
réseau. Cet outil agit en envoyant des paquets TCP et/ou UDP à
un ensemble de machines sur un réseau (déterminé par une
adresse réseau et un masque), puis il analyse les réponses.
Selon l'allure des paquets TCP reçus, il lui est possible de
déterminer le système d'exploitation distant pour chaque
52
machine scannée.

53. Lecture de bannières
• Lorsque le balayage du réseau est terminé, il suffit
au pirate d'examiner le fichier journal (log) des
outils utilisés pour connaître les adresses IP des
machines connectées au réseau et les ports ouverts
sur celles-ci.
• Les numéros de port ouverts sur les machines
peuvent lui donner des informations sur le type de
service ouvert et donc l'inviter à interroger le
service
afin
d'obtenir
des
informations
supplémentaires sur la version du serveur dans les
informations dites de « bannière ».
53

54. Lecture de bannières
Ainsi, pour connaître la version d'un serveur HTTP, il suffit
de se connecter au serveur Web en Telnet sur le port 80 :
- telnet www.iscae.rnu.tn 80
- puis de demander la page d'accueil : GET / HTTP/1.0
Le serveur répond alors les premières lignes suivantes :
HTTP/1.1 200 OK Date: Thu, 21 Mar 2006 18:22:57
GMTServer: Apache/1.3.20 (Unix) Debian/GNU
Le système d'exploitation, le serveur et sa version sont alors
connus.
54

55. Ingénierie sociale
• L‘ ingénierie sociale (en anglais « Social Engineering »)
consiste à manipuler les êtres humains, c'est-à-dire d'utiliser
la naïveté et la gentillesse exagérée des utilisateurs du réseau,
pour obtenir des informations sur ce dernier.
• Ce procédé consiste à entrer en contact avec un utilisateur du
réseau, en se faisant passer en général pour quelqu'un d'autre,
afin d'obtenir des renseignements sur le système
d'information ou éventuellement pour obtenir directement un
mot de passe.
• De la même façon une faille de sécurité peut être créée dans
le système distant en envoyant un cheval de Troie à certains
utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute
la pièce jointe pour qu'un accès au réseau interne soit donné à
l'agresseur extérieur.
55

56. Le repérage des failles
• Après avoir établi l'inventaire du parc logiciel et
éventuellement matériel, il reste au pirate à
déterminer si des failles existent.
• Il existe ainsi des scanneurs de vulnérabilité
permettant aux administrateurs de soumettre leur
réseau à des tests d'intrusion afin de constater si
certaines applications possèdent des failles de
sécurité. Les deux principaux scanneurs de failles
sont : Nessus et SAINT .
56

57. L'intrusion
• Lorsque le pirate a dressé une cartographie
des ressources et des machines présentes
sur le réseau, il est en mesure de préparer
son intrusion.
• Pour pouvoir s'introduire dans le réseau, le
pirate a besoin d'accéder à des comptes
valides sur les machines qu'il a recensées.
57

58. L'intrusion
• Plusieurs méthodes sont utilisées par les pirates :
- L'ingénierie sociale, c'est-à-dire en contactant
directement certains utilisateurs du réseau (par mail ou par
téléphone) afin de leur soutirer des informations
concernant leur identifiant de connexion et leur mot de
passe,ceci est généralement fait en se faisant passer pour
l'administrateur réseau.
- La consultation de l'annuaire ou bien des services de
messagerie ou de partage de fichiers, permettant de trouver
des noms d'utilisateurs valides
- Les attaques par force brute (brute force cracking),
consistant à essayer de façon automatique différents mots
de passe sur une liste de compte (par exemple l'identifiant,
éventuellement suivi d'un chiffre, ou bien le mot de passe
58
password, ou passwd, etc).

59. Extension de privilèges
• Lorsque le pirate a obtenu un ou plusieurs accès sur le
réseau en se logeant sur un ou plusieurs comptes peu
protégés, celui-ci va chercher à augmenter ses privilèges
en obtenant l'accès root (en français super utilisateur ou
super administrateur), on parle ainsi d'extension de
privilèges.
• Dès qu'un accès root a été obtenu sur une machine,
l'attaquant a la possibilité d'examiner le réseau à la
recherche d'informations supplémentaires.
59

60. Extension de privilèges
• Il lui est ainsi possible d'installer un sniffeur (en
anglais sniffer), c'est-à-dire un logiciel capable
d'écouter (le terme reniffler, ou en anglais sniffing, est
également employé) le trafic réseau en provenance ou
à destination des machines situées sur le même câble.
• Grâce à cette technique, le pirate peut espérer
récupérer les couples identifiants/mots de passe lui
permettant d'accéder à des comptes possédant des
privilèges étendus sur d'autres machines du réseau
(par exemple l'accès au compte d'un administrateur)
afin de contrôler une plus grande partie du réseau.
60

61. Compromission
• Grâce aux étapes précédentes, le pirate a pu dresser une
cartographie complète du réseau, des machines s'y
trouvant, de leurs failles et possède un accès root sur au
moins l'une d'entre-elles. Il lui est alors possible d'étendre
encore son action en exploitant les relations d'approbation
existant entre les différentes machines.
• Cette technique d'usurpation d'identité, appelée spoofing,
permet au pirate de pénétrer des réseaux privilégiés
auxquels la machine compromise a accès .
61

62. Porte dérobée
• Lorsqu'un pirate a réussi à infiltrer un réseau
d'entreprise et à compromettre une machine, il
peut arriver qu'il souhaite pouvoir revenir, pour
atteindre ce but le pirate va installer une
application afin de créer artificiellement une faille
de sécurité, on parle alors de porte dérobée (en
anglais backdoor, le terme trappe est parfois
également employé).
62

63. Nettoyage des traces
• Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le
réseau, il lui reste à effacer les traces de son passage en
supprimant les fichiers qu'il a créés et en nettoyant les fichiers
de logs des machines dans lesquelles il s'est introduit, c'est-àdire en supprimant les lignes d'activité concernant ses actions.
• Par ailleurs, il existe des logiciels, appelés « kits racine » (en
anglais « rootkits ») permettant de remplacer les outils
d'administration du système par des versions modifiées afin
de masquer la présence du pirate sur le système.
• En effet, si l'administrateur se connecte en même temps que le
pirate, il est susceptible de remarquer les services que le
pirate a lancé ou tout simplement qu'une autre personne que
lui est connectée simultanément. L'objectif d'un rootkit est
donc de tromper l'administrateur en lui masquant la réalité.
63

64. Exemple d’attaque informatique
64

65. 65

66. Attaque TCP
TCP
– Orienté connexion;
– Acquittement de remise des paquets;
• Connexion TCP
– Connexion par « Three Way Handshake »;
– Échange entre deux processus;
– Fermeture
• Friendly close : flag [tcp end];
• Lors d’un erreur (par exemple interruption d’un des process).
• Attaque
– L’attaque consiste à utiliser la fermeture lors d’une erreur
• La norme pose qu’un paquet est valide si son n° de séquence est situé dans la
fenêtre;
• Or ce n° de séquence est situé dans un champ d’en-tête;
• TCP acquitte ses paquets par un paquet ACK connaissant ce n° de séquence;
• Il est alors possible d’utiliser un outils forgeant des paquets sur mesure;
• Il faut être positionné dans un environnement où il est possible de sniffer les
paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ».
• Outil
– L’outil utilisable est : WinTCPKill.
66

67. 67

68. 68

69. Les protocoles ARP et RARP
• Chaque interface réseau possède une adresse physique
unique dépendante du type d’architecture (les adresses
MAC sont différentes suivant la norme mise en place).
• L’adressage sur Internet est basé sur des adresses IP, de
niveau réseau.
• Il faut donc faire le lien entre les deux adresses (IP et
MAC) d’une même machine : les protocoles ARP
(Address Resolution Protocol) et RARP (Reverse Address
Resolution Protocol)
• ARP permet de faire correspondre une adresse MAC à une
adresse IP donnée et RARP permet l’inverse.
69

70. Les protocoles ARP et RARP
(suite)
• La résolution d’adresses est effectuée en trois étape :
1. Le protocole ARP émet un datagramme particulier par
diffusion à toutes les stations du réseau et qui contient
entre autre l’adresse IP à convertir.
2. La station qui se reconnaît retourne un message (réponse
ARP) à l’émetteur avec son adresse MAC.
3. L’émetteur dispose alors de l’adresse physique du
destinataire et ainsi la couche liaison de données peut
émettre les trames directement vers cette adresse physique.
• Les adresses résolues sont placées dans un cache ce qui
évite de déclencher plusieurs requêtes lorsque plusieurs
datagramme doivent être envoyés.
70

71. 71

72. Le principe de l’attaque « ARP cache poisoning »
Mise à jour entre les
Tout le traficdes entrées
créées grâce aux
hôtes 2 et 3 doit
@
réponsesIP:192.168.0.1
obligatoirement ARP
passer
@ MAC:mac1
par l’hôte 1
pirate
L’entrée
@IP=192.168.0.2;
@MAC=mac1 est crée
@ cache ARP
dans le IP:192.168.0.3
@ MAC:mac3
Requête ARP.
Requête ARP.ARP.
Réponse
Eth dst =mac3, MAC src =mac1
ETH dstdst =mac2, MAC src=mac1
Eth =mac3, MAC src=mac1
et IP src=192.168.0.2
et Et IP src =192.168.0.2
IP src=192.168.0.3
MAC ?  ?IP3 mac3.
MAC 192.168.0.3
 192.168.0.2
Réponse ARP.
ETH dst =mac2, MAC src =mac1
L’entrée
Et IP src =192.168.0.3
@IP=192.168.0.3;
IP2 mac2.
@MAC=mac1 est crée
dans le cache @ IP:192.168.0.2
ARP
@ MAC:mac2
72

73. Empoisonnement du cache ARP
@ IP:192.168.0.1
@ MAC:mac1
Pirate
Host 1
Fausse entrée est crée dans la
cache ARP
@IP=192.168.0.2 -- @MAC=mac1
@ IP:192.168.0.3
@ MAC:mac3
L’hôte 3 veut communiquer avec l’hôte2
Fausse Requête ARP (Fake ARP
request)
Paquet TCP vers 192.168.0.2
MAC src=mac1 et IP src=192.168.0.2
MAC ?  192.168.0.3
Host 3
Host 2
@ IP:192.168.0.2
@ MAC:mac2
73

74. 74

75. 75

76. 76

77. 77

78. • Effets :
– si les deux ports sont sur la même machine les
performances de celle-ci se dégradent
– si les deux ports sont sur des machines différentes ceci
provoque la congestion du réseau
• Parades :
– filtrage de tous les services sur UDP à l ’exception du
port 53 (dns)
– désactiver tous les ports udp inutiles
78

79. DNS Spoofing
• DNS
– Gestion des correspondance entre les noms de machines et leur adresse IP;
– Un client lance une requête DNS au serveur pour connaître l’adresse IP à partir d’un
nom. Le serveur lui répond par un paquet DNS;
– La relation entre la requête et la réponse est une clé contenant un n° d’identification;
– Ce protocole utilise le port UDP 53;
Attaque
– L’attaque DNS Spoofing est basée sur l’interception du paquet réponse, forger un
nouveau avec la même clé et modifier l’adresse IP;
– Cette nouvelle adresse IP est une redirection sur la machine pirate;
– Il faut être positionné dans un environnement où il est possible de sniffer les paquets
TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ».
Outil
– Pour ce genre d’attaque, un des outils est : WinDNSSpoof.
79

80. Les détournements et
interceptions Web spoofing
• Attaque de type man in middle : le serveur de l ’attaquant
détourne les requêtes HTTP de la victime
• La victime navigue dans un faux web
• Initialisation de l ’attaque:
– l ’attaquant amène la victime à visiter son site (par
email ou par sa figuration dans une indexation d ’un
moteur de recherche)
– la victime télécharche un script java
• Ce script java détourne toutes les requêtes de la victime
vers l ’attaquant
80

81. Les détournements et
interceptions Web spoofing
• Effets :
– surveillance de l ’activité de la victime, et vol
de données
– altération des données,
• Parades :
– désactivation de javascript
– proxy : repère et refuse des echanges HTTP
avec réécriture des URL
81