1

SECURITE DU SYSTEME D’INFORMATION (SSI)

3 IAG

Institut Supérieur de Comptabilité

et d’Administration des Entreprises

2010-2011

2

CHAPITRE 2 Les risques et menaces

informatique

3

Protection et sécurité

4

Sécurité informatique• La confidentialité

– Contraintes sur la divulgation d’informations• P.ex. qu’un fichier ne soit pas lu par un utilisateur n’ayant pas les droits d’accès

– P.ex: que personne d’autre que le commerçant apprenne un numéro de carte de crédit dans une transaction de commerce électronique

• L’intégrité– Contraintes sur les modifications d’informations

• P.ex. que seul le propriétaire d’un fichier puisse changer les droits d’accès– P.ex: seule la banque peut modifier le contenu d’un compte

• La disponibilité– Contraintes sur l’accessibilité d’informations et de services

• P.ex: un utilisateur ne doit pas être empêché de lire ses propres mails– P.ex: que le serveur de banque soit toujours accessibles aux participants d’une transaction de

commerce électronique

5

Sécurité informatique

• La protection– Ensemble des mécanismes qui contrôlent les actions des

utilisateurs (processus/programmes)• P.ex. le chiffrement des données sur disque ou sur le réseau, mots de

passe, matériel du processeur qui restreint l’adresse générée et qui empêche les programmes utilisateurs de communiquer avec le contrôleur de disque

• La sécurité– La préservation de la confidentialité et de l’intégrité des

informations du système• Une attaque est une action qui peut violer la sécurité• Une attaque peut être intentionnelle ou accidentelle• La sécurité est mise en œuvre par des mécanismes de protection

6

7

8

9

10

11

Les menaces

12

Les menaces- L'espionnage• Principalement d'origine étatique cette menace concerne particulièrement les informations

stratégiques d'une nation. Les renseignements d'ordre militaire, diplomatique, mais aussi, économiques, industriels, technologiques, scientifiques, financiers et commerciaux seront recherchés en priorité.

• S'il est moins fréquent, mais surtout non avoué que des entreprises ou des sociétés aient recours à l'espionnage, nous pouvons imaginer l'intérêt que cela représente pour leur activités en gain de temps et d'investissement. Les techniques restent les mêmes et la différence se fera sur l'ampleur des moyens utilisés. Il est concevable de penser que des États utilisent leurs services de renseignement pour fournir des informations à leurs industriels. Il est aussi de notoriété publique que des sociétés privées offrent leur services pour obtenir des renseignements.

• L'espionnage va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations.

- La perturbation• L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de fonctionner en le

saturant, en modifiant ses temps de réponse ou en provoquant des erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible.

• La perturbation va influer sur la disponibilité et l'intégrité des services et des informations d'un SI.

13

- Le vol• Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il

s'agit de données et encore plus de ressources informatiques. En effet une simple copie suffit pour s'approprier une information. Cette opération n'est pas toujours facile à déceler.

• Le vol de données va permettre d'enfreindre les mesures de sécurité protègent la confidentialité des informations. Le vol de ressources est plus insidieux, car il se peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à la disponibilité des informations et des services.

- La fraude physique• Elle peut consister à récupérer les informations oubliées ou non détruites par

l'adversaire ou le concurrent. l'attaquant portera une attention particulière aux listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers des organismes visés.

• Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de sécurité qui protègent la confidentialité des informations.

Les menaces (suite)

14

- Le chantage• Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que de

nombreuses données concernant la vie privée des personnes ou les activités d'une organisation sont gardées sur des ordinateurs.

• Le chantage peut aussi porter sur une menace de sabotage à l'encontre des installations d'une organisation.

• La chantage peut mettre en cause aussi bien la confidentialité, l'intégrité, que la disponibilité des informations et des services.

- Le sabotage• Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou

une de ses composantes.• Le sabotage porte atteinte à l'intégrité des informations mais surtout à la disponibilité

des services.- Les accès illégitimes• Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant

son identité. Elle vise tout particulièrement l'informatique.• Les accès illégitimes portent atteinte à la confidentialité des informations.

Les menaces (suite)

15

Attaquants

•Pirates•Fraudeurs•Espions•Terroristes

16

Pirates

Nous proposons les deux profils de pirate les plus souvent identifiées :- hacker :

individu curieux, qui cherche à se faire plaisir. Pirate par jeu ou par défi, il ne nuit pas intentionnellement et possède souvent un code d'honneur et de conduite [1]. Plutôt jeune, avec des compétences non négligeables, il est patient et tenace ;

- cracker : plus dangereux que le hacker, cherche à nuire et montrer qu'il est le plus fort. Souvent mal dans sa peau et dans son environnement, il peut causer de nombreux dégâts en cherchant à se venger d'une société - ou d'individus - qui l'a rejeté ou qu'il déteste. Il veut prouver sa supériorité et fait partie de clubs où il peut échanger des informations avec ses semblables.

17

Fraudeurs

Les fraudeurs se répartissent en deux catégories avec des compétences similaires :- le fraudeur interne :

possédant de bonnes compétences sur le plan technique, il est de préférence informaticien et sans antécédents judiciaires. Il pense que ses qualités ne sont pas reconnues, qu'il n'est pas apprécié à sa juste valeur. Il veut se venger de son employeur et chercher à lui nuire en lui faisant perdre de l'argent. Pour parvenir à ses fins il possède les moyens mis à sa disposition par son entreprise qu'il connaît parfaite- ment.

- le fraudeur externe : bénéficiant presque toujours d'une complicité, volontaire ou non, chez ses victimes, il cherche à gagner de l'argent par tous les moyens. Son profil est proche de celui du malfaiteur traditionnel. Parfois lié au grand banditisme, il peut attaquer une banque, falsifier des cartes de crédit ou se placer sur des réseaux de trans- fert de fonds, et si c'est un particulier il peut vouloir fausser sa facture d'électricité ou de téléphone.

18

Ils travaillent pour un État ou pour un concurrent. Choisis pour leur sang-froid et leur haut niveau de qualification, il sont difficiles à repérer.

- l'espion d'État : professionnel, entraîné, rompu à toutes les techniques, il dispose de nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller jusqu'à acquérir, légalement ou non, une copie du système qu'il veut attaquer pour l'analyser et l'étudier sous toutes ses coutures. Il est patient et motivé. Il exploite les vulnérabilités les plus enfouies d'un SI car elles seront les plus difficiles à détecter et il pourra les utiliser longtemps. Il sait garder le secret de sa réussite pour ne pas éveiller les soupçons et continuer son travail dans l'ombre.

- l'espion privé : souvent ancien espion d'État reconverti, il a moins de moyens mais une aussi bonne formation.

Espions

Moins courant, le terroriste est aidé dans sa tâche par l'interconnexion et l'ouverture des réseaux.

- le terroriste : très motivé, il veut faire peur et faire parler de lui. Ses actions se veulent spectaculaires.

Terroristes

19

Techniques d’attaque

20

Techniques d’attaque

- Attaques physiques

Nous plaçons ici les attaques qui nécessitent un accès physique aux installations ou qui se ser- vent de caractéristiques physiques particulières. La destruction pure et simple ou la coupure d'une ligne ne sont pas évoquées car non spécifiques à l'informatique

- Attaques Logiques

21

Attaques physiques

- InterceptionL'attaquant va tenter de récupérer un signal électromagnétique et de l'interpréter pour en déduire des informations compréhensibles. L'interception peut porter sur des signaux hyper- fréquences ou hertziens, émis, rayonnés, ou conduits. L'agresseur se mettra ainsi à la recher- che des émissions satellites, et radio, mais aussi des signaux parasites émis par les SI, principalement par les terminaux, les câbles et les éléments conducteurs entourant les SI. Les techniques d'interception seront très variées pour les différents cas évoqués.

- BrouillageUtilisée en télécommunication, cette technique rend le SI inopérant. C'est une attaque de haut niveau, car elle nécessite des moyens importants, qui se détectent facilement. Elle est surtout utilisée par les militaires en temps de crise ou de guerre.

- ÉcouteL'écoute consiste à se placer sur un réseau informatique ou de télécommunication et à analyser et à sauvegarder les informations qui transitent. De nombreux appareils du commerce facilitent les analyses et permettent notamment d'interpréter en temps réel les trames qui circulent sur un réseau informatique.

22

Attaques logiques

- intrusion

Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire passer pour quelqu'un d'autre et obtenir les privilège ou des droits de celui dont on usurpe l'identité.

Un utilisateur est caractérisé par :– ce qu'il est, (empreintes, digitales ou rétiniennes, vocales, ou toute autre

authentifiant biométrique), – ce qu'il possède (un badge, une carte mag- nétique, à puce, un jeton, un

bracelet...) – ce qu'il sait (un mot de passe, sa date de naissance, le prénom de ses parents...). Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs

éléments propres à l'utilisateur. Si le contrôle d'accès au SI se fait par mot de passe, l'attaquant tentera de le lire

quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le réseau. Si le contrôle d'accès se fait avec une carte à puce, l'attaquant cherchera à

reproduire une.

23

- Substitution• Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant

des terminaux distants. L'agresseur écoute une ligne et intercepte la demande de déconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se substituer à ce dernier et continuer une session normale sans que le système note un changement d'utilisateur.

• Un cas bien connu est celui des ordinateurs sur un réseau local qui ne sont déclarés que par leur adresse Internet. Un attaquant peut alors attendre qu'une machine soit arrêtée pour se faire passer pour elle en usurpant l'adresse de la machine éteinte.

- Saturation (denie de service)• Cette attaque contre la disponibilité consiste à remplir une zone de

stockage ou un canal de communication jusqu'à ce que l'on ne puisse plus l'utiliser. Il en résultera un déni de service.

Attaques logiques

24

25

Les infections informatique

• Virus

• Cheval de troie

• Ver

• Bombe

• Spam

• Spayware

• keylogger

26

Virus• Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent le

corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se propager en se recopiant sur un programme et de se déclencher comme une bombe logique quand un événement se produit.

• Ses actions ont généralement comme conséquence la perte d'intégrité des informations d'un SI et/ou une dégradation ou une interruption du service fourni.

27

Cheval de Troie

• On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur.

• Le nom « Cheval de Troie » provient d'une légende

• La légende veut que les Grecs, n'arrivant pas à pénétrer dans de la ville Troie , eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège.

28

Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville.

Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...

Cheval de Troie (suite)

29

Un cheval de Troie peut par exemple :- copier des données sensibles,- exécuter tout autre action nuisible,- voler des mots de passe .

Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur.

Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor

Cheval de Troie (suite)

30

• Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accéder à votre machine par le port qu'il a ouvert.

Cheval de Troie (suite)

31

Ordinateur

Internet

Fonctions réseau

65536 ports

Port WWW

Port SMTP

Port POP3

Port FTP

Le protocole TCP/IP définit 65536 « ports » de communication par lesquels des messages peuvent entrer et sortir d’un ordinateur. Ces ports sont un peu comme des extensions téléphoniques. Quand un message arrive par Internet, il est associé à un port particulier qui permet de savoir à quel type de service il appartient. Le port pour le Web porte le numéro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de suite. Quand un message se présente, votre logiciel de réseau vérifie si un programme lui est associé et, le cas échéant, s’il est actif, auquel cas le message lui est transmis.

Cheval de Troie (suite)

32

Ordinateur

Internet

Fonctions réseau

65536 ports

Port WWW

Port SMTP

Port POP3

Port FTP

Port associéà un logiciel pirate

Cheval de Troie (suite)

33

Partie secrèteà l’usage du pirate

Partie affichée publiquement,alléchante pour les utilisateurs

Logiciel offert gratuitement sur Internetprétendant vous rendre service

Cheval de Troie (suite)

34

Les bombes logiques

• Les bombes logiques sont des dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.

• Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 3ème anniversaire de la catastrophe nucléaire ...

• Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.

35

• Un ver informatique (en anglais worm) est un programme qui peut s'auto reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier, etc.) pour se propager; un ver est donc un virus réseau.

• Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies à tous ces destinataires.

• Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier attaché.

• Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en fichier attachés.

Ver

36

• Le spamming consiste  à envoyer massivement des  e-mails  de type généralement publicitaire (dit aussi "junk mail"), à un grand nombre de personnes n'ayant pas sollicité ce type d'envoi publicitaires, engorgeant ainsi les serveurs de messagerie et vos boites à lettres de messages publicitaires inutiles, non sollicités et généralement mensongers. Les e-mails "spammés" constituent  actuellement la quasi-moitié des e-mails "circulant" à l'échelle planétaire

• Le but premier du spam est généralement  de faire de la publicité à moindre cout. Toutefois, Il est aussi source d'essai d'abus, via des offres alléchantes (vous avez gagné ...) et bien sures mensongères, dont le but est de vous attirer à acheter un produit ou un service douteux, ou bien d'essayer de vous abuser, en vous extorquant de l'argent (grâce à dieu, peu de personnes de chez nous possèdent des cartes de crédit en devises ..).Il est aussi parfois question de publicité "politique" ou "religieuse" dangereuses pour les enfants (l'église de Scientologie avait récemment envoyé 1200 spams en 15 jours sur un groupe de discussion).

• Il est intéressant de noter à ce sujet le nouveau phénomène apparu, consistant dans l'exploitation de virus Internet (vers) pour leur jouer le rôle de diffuseurs (relais) de spam, dans un essai de contourner l'efficacité des outils anti-spam.

• 

Spams

37

• Le principal inconvénient du "Spam" est la gêne et la perte de temps induites aux internautes :

• Gaspillage de temps (et donc d'argent) des utilisateurs, qui doivent trier leur courrier et nettoyer leurs boites à lettres plus fréquemment,

• Risque de leurrer un message important, "caché" entre les multiples messages de "spam",

• "Corruption" des utilisateurs non avertis, avec des offres alléchantes, et bien sûr fausses,

• Atteinte à la morale, via des messages de publicité sexuels, politiques ou religieux ...

• - Le second inconvénient, non moins important, du spamming touche la bande réseau qu'il consomme inutilement, monopolisant "inutilement" une bonne partie de la bande passante et rendant ainsi l'Internet moins rapide (AOL avait une fois reçu 1.8 million d 'e-mails de spams de "Cyberpromotion" : le plus important "spammeur" du réseau Internet). Cela induit des coûts supplémentaires pour les fournisseurs de service et d'accès à Internet car ils doivent acheter des ordinateurs supplémentaires, pour renforcer leurs serveurs de courrier et mettre en place une plus grande largeur de bande pour contrecarrer la consommation de bande induite par le Spam.

Spams

38

• Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé ( on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).

Spyware

39

• Les récoltes d'informations peuvent ainsi être :

- la traçabilité des URL des sites visités,

- le traquage des mots-clés saisis dans les moteurs de recherche,

- l'analyse des achats réalisés via internet,

- voire les informations de paiement bancaire (numéro de carte bleue / VISA)

- ou bien des informations personnelles.

Spyware (suite)

40

• Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares).

• En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Spyware (suite)

41

Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.

Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur .

Keylogger

42

Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un lieu public tel qu'un cybercafé).

Keylogger (suite)

43

Déroulement d’une attaque informatique

44

45

Méthodologie d’une intrusion sur un réseau

Pour s'introduire dans un système informatique les pirates utilisent une méthodologie, il ne faut pas connaître comment compromettre un système mais comprendre la façon dont il peut l'être afin de mieux pouvoir s'en prémunir.

En effet, la meilleure façon de protéger son système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système.

Le principe de la protection est de ne pas donner aucune précision sur la manière dont les failles sont exploitées, mais expliquer comment faire pour les déceler et les corriger.

46

Méthodologie globale

Les pirates (hackers) ayant l'intention de s'introduire dans les systèmes informatiques recherchent dans un premier temps des failles, c'est-à-dire des vulnérabilités nuisibles à la sécurité du système, dans les protocoles, les systèmes d'exploitations, les applications ou même le personnel 'une entreprise.

Les termes de vulnérabilité ( brèche ou en langage plus familier - trou de sécurité « en anglais security hole ») sont également utilisés pour désigner les failles de sécurité.

47

Méthodologie globale

• Pour pouvoir mettre en oeuvre un EXPLOIT il s'agit du terme technique signifiant exploiter une vulnérabilité), la première étape du pirate consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci. La plupart des attaques sont l'oeuvre de script kiddies essayant bêtement des exploits trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte.

• Une fois que le pirate a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine.

48

Méthodologie globale • Lorsqu'un accès administrateur (le terme anglais

root est généralement utilisé) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés. Le pirate possède alors le plus haut niveau de droit sur la machine.

• S'il s'agit d'un pirate, la dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises.

49

La récupération d'informations sur le système

L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations concernant les infrastructures de communication du réseau cible :

• Adressage IP,• Noms de domaine,• Protocoles de réseau,• Services activés,• Architecture des serveurs,

50

Consultation de bases publiques

• En connaissant l‘adresse IP publique d'une des machines du réseau ou bien tout simplement le nom de domaine de l‘entreprise, un pirate est potentiellement capable de connaître l'adressage du réseau tout entier, c'est-à-dire la plage d'adresses IP publiques appartenant à l‘entreprise visée et son découpage en sous réseaux.

• Pour cela il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine :

http://www.iana.nethttp://www.ripe.net pour l'Europehttp://www.arin.net pour les Etats-Unis

51

Consultation de moteurs de recherche

• La simple consultation des moteurs de recherche permet parfois de récupérer des informations sur la structure d'une entreprise, le nom de ses principaux produits, voire le nom de certains personnels.

52

Balayage du réseau

• Lorsque la topologie du réseau est connue par le pirate, il peut le scanner (le terme balayer est également utilisé), c'est-à-dire déterminer à l'aide d'un outil logiciel (appelé scanner ou scanneur en français) quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs.

• L'un des outils les plus connus pour scanner un réseau est « Nmap », reconnu par de nombreux administrateurs réseaux comme un outil indispensable à la sécurisation d'un réseau. Cet outil agit en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur un réseau (déterminé par une adresse réseau et un masque), puis il analyse les réponses. Selon l'allure des paquets TCP reçus, il lui est possible de déterminer le système d'exploitation distant pour chaque machine scannée.

53

Lecture de bannières

• Lorsque le balayage du réseau est terminé, il suffit au pirate d'examiner le fichier journal (log) des outils utilisés pour connaître les adresses IP des machines connectées au réseau et les ports ouverts sur celles-ci.

• Les numéros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l'inviter à interroger le service afin d'obtenir des informations supplémentaires sur la version du serveur dans les informations dites de « bannière ».

54

Lecture de bannières

Ainsi, pour connaître la version d'un serveur HTTP, il suffit de se connecter au serveur Web en Telnet sur le port 80 :

- telnet www.iscae.rnu.tn 80- puis de demander la page d'accueil : GET / HTTP/1.0

Le serveur répond alors les premières lignes suivantes :HTTP/1.1 200 OK Date: Thu, 21 Mar 2006 18:22:57GMTServer: Apache/1.3.20 (Unix) Debian/GNU

Le système d'exploitation, le serveur et sa version sont alors connus.

55

Ingénierie sociale • L‘ ingénierie sociale (en anglais « Social Engineering »)

consiste à manipuler les êtres humains, c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir des informations sur ce dernier.

• Ce procédé consiste à entrer en contact avec un utilisateur du réseau, en se faisant passer en général pour quelqu'un d'autre, afin d'obtenir des renseignements sur le système d'information ou éventuellement pour obtenir directement un mot de passe.

• De la même façon une faille de sécurité peut être créée dans le système distant en envoyant un cheval de Troie à certains utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute la pièce jointe pour qu'un accès au réseau interne soit donné à l'agresseur extérieur.

56

Le repérage des failles

• Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au pirate à déterminer si des failles existent.

• Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de sécurité. Les deux principaux scanneurs de failles sont : Nessus et SAINT .

57

L'intrusion

• Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le réseau, il est en mesure de préparer son intrusion.

• Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées.

58

L'intrusion

• Plusieurs méthodes sont utilisées par les pirates :- L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe,ceci est généralement fait en se faisant passer pour l'administrateur réseau.- La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides- Les attaques par force brute (brute force cracking), consistant à essayer de façon automatique différents mots de passe sur une liste de compte (par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe password, ou passwd, etc).

59

Extension de privilèges

• Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root (en français super utilisateur ou super administrateur), on parle ainsi d'extension de privilèges.

• Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires.

60

Extension de privilèges

• Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est-à-dire un logiciel capable d'écouter (le terme reniffler, ou en anglais sniffing, est également employé) le trafic réseau en provenance ou à destination des machines situées sur le même câble.

• Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines du réseau (par exemple l'accès au compte d'un administrateur) afin de contrôler une plus grande partie du réseau.

61

Compromission

• Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines.

• Cette technique d'usurpation d'identité, appeléespoofing, permet au pirate de pénétrer des réseaux privilégiés auxquels la machine compromise a accès .

62

Porte dérobée

• Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir, pour atteindre ce but le pirate va installer une application afin de créer artificiellement une faille de sécurité, on parle alors de porte dérobée (en anglais backdoor, le terme trappe est parfois également employé).

63

Nettoyage des traces

• Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit, c'est-à-dire en supprimant les lignes d'activité concernant ses actions.

• Par ailleurs, il existe des logiciels, appelés « kits racine » (en anglais « rootkits ») permettant de remplacer les outils d'administration du système par des versions modifiées afin de masquer la présence du pirate sur le système.

• En effet, si l'administrateur se connecte en même temps que le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement qu'une autre personne que lui est connectée simultanément. L'objectif d'un rootkit est donc de tromper l'administrateur en lui masquant la réalité.

64

Exemple d’attaque informatique

65

66

Attaque TCP

TCP – Orienté connexion;– Acquittement de remise des paquets;

• Connexion TCP– Connexion par « Three Way Handshake »;– Échange entre deux processus;– Fermeture

• Friendly close : flag [tcp end];• Lors d’un erreur (par exemple interruption d’un des process).

• Attaque– L’attaque consiste à utiliser la fermeture lors d’une erreur

• La norme pose qu’un paquet est valide si son n° de séquence est situé dans la fenêtre;

• Or ce n° de séquence est situé dans un champ d’en-tête;• TCP acquitte ses paquets par un paquet ACK connaissant ce n° de séquence;• Il est alors possible d’utiliser un outils forgeant des paquets sur mesure;• Il faut être positionné dans un environnement où il est possible de sniffer les

paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ».• Outil

– L’outil utilisable est : WinTCPKill.

67

68

69

Les protocoles ARP et RARP

• Chaque interface réseau possède une adresse physique unique dépendante du type d’architecture (les adresses MAC sont différentes suivant la norme mise en place).

• L’adressage sur Internet est basé sur des adresses IP, de niveau réseau.

• Il faut donc faire le lien entre les deux adresses (IP et MAC) d’une même machine : les protocoles ARP (Address Resolution Protocol) et RARP (Reverse Address Resolution Protocol)

• ARP permet de faire correspondre une adresse MAC à une adresse IP donnée et RARP permet l’inverse.

70

• La résolution d’adresses est effectuée en trois étape :1. Le protocole ARP émet un datagramme particulier par

diffusion à toutes les stations du réseau et qui contient entre autre l’adresse IP à convertir.

2. La station qui se reconnaît retourne un message (réponse ARP) à l’émetteur avec son adresse MAC.

3. L’émetteur dispose alors de l’adresse physique du destinataire et ainsi la couche liaison de données peut émettre les trames directement vers cette adresse physique.

• Les adresses résolues sont placées dans un cache ce qui évite de déclencher plusieurs requêtes lorsque plusieurs datagramme doivent être envoyés.

Les protocoles ARP et RARP (suite)

71

72

Le principe de l’attaque « ARP cache poisoning »

@ IP:192.168.0.1@ MAC:mac1

@ IP:192.168.0.3@ MAC:mac3

@ IP:192.168.0.2@ MAC:mac2

pirate

L’entrée@IP=192.168.0.2;

@MAC=mac1 est crée dans le cache ARP

Requête ARP.Eth dst =mac3, MAC src=mac1et IP src=192.168.0.2MAC ? 192.168.0.3

Requête ARP.Eth dst =mac2, MAC src=mac1et IP src=192.168.0.3MAC ? 192.168.0.2

L’entrée@IP=192.168.0.3;

@MAC=mac1 est crée dans le cache ARP

Tout le trafic entre les hôtes 2 et 3 doit

obligatoirement passer par l’hôte 1

Mise à jour des entrées créées grâce aux

réponses ARP

Réponse ARP.ETH dst =mac3, MAC src =mac1

Et IP src =192.168.0.2IP3 mac3.

Réponse ARP.ETH dst =mac2, MAC src =mac1

Et IP src =192.168.0.3IP2 mac2.

73

Empoisonnement du cache ARP

@ IP:192.168.0.1@ MAC:mac1

@ IP:192.168.0.3@ MAC:mac3

@ IP:192.168.0.2@ MAC:mac2

Fausse Requête ARP (Fake ARP request)MAC src=mac1 et IP src=192.168.0.2MAC ? 192.168.0.3

Fausse entrée est crée dans la cache ARP

@IP=192.168.0.2 -- @MAC=mac1

L’hôte 3 veut communiquer avec l’hôte2

Paquet TCP vers 192.168.0.2

Pirate

Host 1

Host 2

Host 3

74

75

76

77

78

• Effets :– si les deux ports sont sur la même machine les

performances de celle-ci se dégradent

– si les deux ports sont sur des machines différentes ceci provoque la congestion du réseau

• Parades :– filtrage de tous les services sur UDP à l ’exception du

port 53 (dns)

– désactiver tous les ports udp inutiles

79

DNS Spoofing

• DNS– Gestion des correspondance entre les noms de machines et leur adresse IP;– Un client lance une requête DNS au serveur pour connaître l’adresse IP à partir d’un nom. Le serveur lui répond par un paquet DNS;– La relation entre la requête et la réponse est une clé contenant un n° d’identification;– Ce protocole utilise le port UDP 53;

Attaque– L’attaque DNS Spoofing est basée sur l’interception du paquet réponse, forger un nouveau avec la même clé et modifier l’adresse IP;– Cette nouvelle adresse IP est une redirection sur la machine pirate;– Il faut être positionné dans un environnement où il est possible de sniffer les paquets TCP. Éventuellement utiliser une attaque de type « ARP Cache Poisoning ».

Outil– Pour ce genre d’attaque, un des outils est : WinDNSSpoof.

80

Les détournements et interceptions Web spoofing

• Attaque de type man in middle : le serveur de l ’attaquant détourne les requêtes HTTP de la victime

• La victime navigue dans un faux web• Initialisation de l ’attaque:

– l ’attaquant amène la victime à visiter son site (par email ou par sa figuration dans une indexation d ’un moteur de recherche)

– la victime télécharche un script java• Ce script java détourne toutes les requêtes de la victime

vers l ’attaquant

81

Les détournements et interceptions Web spoofing

• Effets :– surveillance de l ’activité de la victime, et vol

de données– altération des données,

• Parades :– désactivation de javascript– proxy : repère et refuse des echanges HTTP

avec réécriture des URL