Téléverser un fichier

securite informatique

81
1 SECURITE DU SYSTEME D’INFORMATION (SSI) 3 IAG Institut Supérieur de Comptabilité et d’Administration des Entreprises 2010- 2011

Upload: souhaib-el

Post on 30-Nov-2014

1.095 views

Category:

Education


12 download

Report

DESCRIPTION

http://g-networks.blogspot.com/

TRANSCRIPT

  • 1. Institut Suprieur de Comptabilit et dAdministration des EntreprisesSECURITE DU SYSTEME DINFORMATION (SSI) 3 IAG1 2010-2011

2. CHAPITRE 2 Les risques et menaces informatique2 3. Protection et scurit3 4. Scurit informatique La confidentialit Contraintes sur la divulgation dinformations P.ex. quun fichier ne soit pas lu par un utilisateur nayant pas les droits daccs P.ex: que personne dautre que le commerant apprenne un numro de carte de crdit dans une transaction de commerce lectronique Lintgrit Contraintes sur les modifications dinformations P.ex. que seul le propritaire dun fichier puisse changer les droits daccs P.ex: seule la banque peut modifier le contenu dun compte La disponibilit Contraintes sur laccessibilit dinformations et de services P.ex: un utilisateur ne doit pas tre empch de lire ses propres mails P.ex: que le serveur de banque soit toujours accessibles aux participants 4 dune transaction de commerce lectronique 5. Scurit informatique La protection Ensemble des mcanismes qui contrlent les actions des utilisateurs (processus/programmes) P.ex. le chiffrement des donnes sur disque ou sur le rseau, mots de passe, matriel du processeur qui restreint ladresse gnre et qui empche les programmes utilisateurs de communiquer avec le contrleur de disque La scurit La prservation de la confidentialit et de lintgrit des informations du systme Une attaque est une action qui peut violer la scurit Une attaque peut tre intentionnelle ou accidentelle La scurit est mise en uvre par des mcanismes de protection5 6. 6 7. 7 8. 8 9. 9 10. 10 11. Les menaces11 12. Les menaces - L'espionnage Principalement d'origine tatique cette menace concerne particulirement les informations stratgiques d'une nation. Les renseignements d'ordre militaire, diplomatique, mais aussi, conomiques, industriels, technologiques, scientifiques, financiers et commerciaux seront recherchs en priorit. S'il est moins frquent, mais surtout non avou que des entreprises ou des socits aient recours l'espionnage, nous pouvons imaginer l'intrt que cela reprsente pour leur activits en gain de temps et d'investissement. Les techniques restent les mmes et la diffrence se fera sur l'ampleur des moyens utiliss. Il est concevable de penser que des tats utilisent leurs services de renseignement pour fournir des informations leurs industriels. Il est aussi de notorit publique que des socits prives offrent leur services pour obtenir des renseignements. L'espionnage va tenter d'enfreindre les mesures de scurit qui protgent la confidentialit des informations. - La perturbation L'agresseur va essayer de fausser le comportement du SI ou de l'empcher de fonctionner en le saturant, en modifiant ses temps de rponse ou en provoquant des erreurs. L'agresseur veut dsorganiser, affaiblir ou ralentir le systme cible. La perturbation va influer sur la disponibilit et l'intgrit des services 12 des et informations d'un SI. 13. Les menaces (suite) - Le vol Le vol, visible quand l'objet du dlit est matriel, est difficile dtecter quand il s'agit de donnes et encore plus de ressources informatiques. En effet une simple copie suffit pour s'approprier une information. Cette opration n'est pas toujours facile dceler. Le vol de donnes va permettre d'enfreindre les mesures de scurit protgent la confidentialit des informations. Le vol de ressources est plus insidieux, car il se peut qu'il soit ralis sans porter atteinte la confidentialit, l'intgrit ou la disponibilit des informations et des services. - La fraude physique Elle peut consister rcuprer les informations oublies ou non dtruites par l'adversaire ou le concurrent. l'attaquant portera une attention particulire aux listages, aux supports physiques usags (bandes magntiques, disquettes, disques classiques ou optiques...), et s'intressera aux armoires, aux tiroirs et aux dossiers des organismes viss. Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de scurit qui protgent la confidentialit des informations. 13 14. Les menaces (suite) - Le chantage Soutirer de l'argent un organisme ou une personne est d'autant plus tentant que de nombreuses donnes concernant la vie prive des personnes ou les activits d'une organisation sont gardes sur des ordinateurs. Le chantage peut aussi porter sur une menace de sabotage l'encontre des installations d'une organisation. La chantage peut mettre en cause aussi bien la confidentialit, l'intgrit, que la disponibilit des informations et des services. - Le sabotage Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou une de ses composantes. Le sabotage porte atteinte l'intgrit des informations mais surtout la disponibilit des services. - Les accs illgitimes Cette menace est le fait d'une personne qui se fait passer pour une autre en usurpant son identit. Elle vise tout particulirement l'informatique. Les accs illgitimes portent atteinte la confidentialit des informations. 14 15. Attaquants Pirates Fraudeurs Espions Terroristes 15 16. Pirates Nous proposons les deux profils de pirate les plus souvent identifies : - hacker : individu curieux, qui cherche se faire plaisir. Pirate par jeu ou par dfi, il ne nuit pas intentionnellement et possde souvent un code d'honneur et de conduite [1]. Plutt jeune, avec des comptences non ngligeables, il est patient et tenace ; - cracker : plus dangereux que le hacker, cherche nuire et montrer qu'il est le plus fort. Souvent mal dans sa peau et dans son environnement, il peut causer de nombreux dgts en cherchant se venger d'une socit - ou d'individus - qui l'a rejet ou qu'il dteste. Il veut prouver sa supriorit et fait partie de clubs o il peut changer des informations avec ses semblables. 16 17. Fraudeurs Les fraudeurs se rpartissent en deux catgories avec des comptences similaires : - le fraudeur interne : possdant de bonnes comptences sur le plan technique, il est de prfrence informaticien et sans antcdents judiciaires. Il pense que ses qualits ne sont pas reconnues, qu'il n'est pas apprci sa juste valeur. Il veut se venger de son employeur et chercher lui nuire en lui faisant perdre de l'argent. Pour parvenir ses fins il possde les moyens mis sa disposition par son entreprise qu'il connat parfaite- ment. - le fraudeur externe : bnficiant presque toujours d'une complicit, volontaire ou non, chez ses victimes, il cherche gagner de l'argent par tous les moyens. Son profil est proche de celui du malfaiteur traditionnel. Parfois li au grand banditisme, il peut attaquer une banque, falsifier des cartes de crdit ou se placer sur des rseaux de trans- fert de fonds, et si c'est un particulier il peut vouloir fausser sa facture d'lectricit ou de tlphone.17 18. Espions Ils travaillent pour un tat ou pour un concurrent. Choisis pour leur sang-froid et leur haut niveau de qualification, il sont difficiles reprer. - l'espion d'tat : professionnel, entran, rompu toutes les techniques, il dispose de nombreux moyens d'attaque et d'une importante puissance de calcul. Il peut aller jusqu' acqurir, lgalement ou non, une copie du systme qu'il veut attaquer pour l'analyser et l'tudier sous toutes ses coutures. Il est patient et motiv. Il exploite les vulnrabilits les plus enfouies d'un SI car elles seront les plus difficiles dtecter et il pourra les utiliser longtemps. Il sait garder le secret de sa russite pour ne pas veiller les soupons et continuer son travail dans l'ombre. - l'espion priv : souvent ancien espion d'tat reconverti, il a moins de moyens mais une aussi bonne formation.TerroristesMoins courant, le terroriste est aid dans sa tche par l'interconnexion et l'ouverture des rseaux. - le terroriste : trs motiv, il veut faire peur et faire parler de lui. Ses actions se veulent spectaculaires. 18 19. Techniques dattaque19 20. Techniques dattaque - Attaques physiques Nous plaons ici les attaques qui ncessitent un accs physique aux installations ou qui se ser- vent de caractristiques physiques particulires. La destruction pure et simple ou la coupure d'une ligne ne sont pas voques car non spcifiques l'informatique - Attaques Logiques20 21. Attaques physiques - Interception L'attaquant va tenter de rcuprer un signal lectromagntique et de l'interprter pour en dduire des informations comprhensibles. L'interception peut porter sur des signaux hyper- frquences ou hertziens, mis, rayonns, ou conduits. L'agresseur se mettra ainsi la recher- che des missions satellites, et radio, mais aussi des signaux parasites mis par les SI, principalement par les terminaux, les cbles et les lments conducteurs entourant les SI. Les techniques d'interception seront trs varies pour les diffrents cas voqus. - Brouillage Utilise en tlcommunication, cette technique rend le SI inoprant. C'est une attaque de haut niveau, car elle ncessite des moyens importants, qui se dtectent facilement. Elle est surtout utilise par les militaires en temps de crise ou de guerre. - coute L'coute consiste se placer sur un rseau informatique ou de tlcommunication et analyser et sauvegarder les informations qui transitent. De nombreux appareils du commerce facilitent les analyses et permettent notamment d'interprter en temps rel les trames qui circulent sur un rseau informatique. 21 22. Attaques logiques - intrusion Forme d'accs illgitime, il s'agit d'une attaque informatique qui consiste se faire passer pour quelqu'un d'autre et obtenir les privilge ou des droits de celui dont on usurpe l'identit. Un utilisateur est caractris par : ce qu'il est, (empreintes, digitales ou rtiniennes, vocales, ou toute autre authentifiant biomtrique), ce qu'il possde (un badge, une carte mag- ntique, puce, un jeton, un bracelet...) ce qu'il sait (un mot de passe, sa date de naissance, le prnom de ses parents...). Pour se faire passer pour lui, un agresseur doit donc s'emparer d'un ou plusieurs lments propres l'utilisateur. Si le contrle d'accs au SI se fait par mot de passe, l'attaquant tentera de le lire quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le rseau. Si le contrle d'accs se fait avec une carte puce, l'attaquant cherchera 22 reproduire une. 23. Attaques logiques - Substitution Ce type d'attaque est ralisable sur un rseau ou sur un SI comportant des terminaux distants. L'agresseur coute une ligne et intercepte la demande de dconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se substituer ce dernier et continuer une session normale sans que le systme note un changement d'utilisateur. Un cas bien connu est celui des ordinateurs sur un rseau local qui ne sont dclars que par leur adresse Internet. Un attaquant peut alors attendre qu'une machine soit arrte pour se faire passer pour elle en usurpant l'adresse de la machine teinte. - Saturation (denie de service) Cette attaque contre la disponibilit consiste remplir une zone de stockage ou un canal de communication jusqu' ce que l'on ne puisse plus l'utiliser. Il en rsultera un dni de service. 23 24. 24 25. Les infections informatique Virus Cheval de troie Ver Bombe Spam Spayware keylogger 25 26. Virus Nomm ainsi parce qu'il possde de nombreuses similitudes avec ceux qui attaquent le corps humain, un virus est un programme malicieux capable de se reproduire et qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose de fonctions qui lui permettent de tester s'il a dj contamin un programme, de se propager en se recopiant sur un programme et de se dclencher comme une bombe logique quand un vnement se produit. Ses actions ont gnralement comme consquence la perte d'intgrit des informations d'un SI et/ou une dgradation ou une interruption du service fourni.26 27. Cheval de Troie On appelle Cheval de Troie (en anglais trojan horse) un programme informatique effectuant des oprations malicieuses l'insu de l'utilisateur. Le nom Cheval de Troie provient d'une lgende La lgende veut que les Grecs, n'arrivant pas pntrer dans de la ville Troie , eurent l'ide de donner en cadeau un norme cheval de bois en offrande la ville en abandonnant le sige. 27 28. Cheval de Troie (suite) Les troyens (peuple de la ville de Troie), apprcirent cette offrande priori inoffensive et la ramenrent dans les murs de la ville. Cependant le cheval tait rempli de soldats cachs qui s'empressrent d'en sortir la tombe de la nuit, alors que la ville entire tait endormie, pour ouvrir les portes de la cit et en donner l'accs au reste de l'arme ... 28 29. Cheval de Troie (suite) Un cheval de Troie peut par exemple : - copier des donnes sensibles, - excuter tout autre action nuisible, - voler des mots de passe . Pire, un tel programme peut crer, de l'intrieur de votre rseau, une brche volontaire dans la scurit pour autoriser des accs des parties protges du rseau des personnes se connectant de l'extrieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est--dire permettant son concepteur de s'introduire sur votre machine par le rseau en ouvrant une porte drobe. C'est la raison pour laquelle on parle gnralement de backdoor 29 30. Cheval de Troie (suite) Le principe des chevaux de Troie tant gnralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre un pirate d'en prendre le contrle (par exemple voler des donnes personnelles stockes sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infect contenant le troyen et dans un second temps d'accder votre machine par le port qu'il a ouvert. 30 31. Cheval de Troie (suite) Fonctions rseau Ordinateur65536 portsPort WWW Port SMTP Port POP3InternetPort FTPLe protocole TCP/IP dfinit 65536 ports de communication par lesquels des messages peuvent entrer et sortir dun ordinateur. Ces ports sont un peu comme des extensions tlphoniques. Quand un message arrive par Internet, il est associ un port particulier qui permet de savoir quel type de service il appartient. Le port pour le Web porte le numro 80; celui du protocole FTP, 21; celui du courrier entrant, SMTP: 25; et ainsi de 31 suite. Quand un message se prsente, votre logiciel de rseau vrifie si un programme lui est associ et, le cas chant, sil est actif, auquel cas le message lui est transmis. 32. Cheval de Troie (suite) Fonctions rseau Ordinateur65536 portsPort WWW Port SMTP Port POP3 Port associ un logiciel pirateInternetPort FTP32 33. Cheval de Troie (suite)Partie affiche publiquement, allchante pour les utilisateursPartie secrte lusage du pirateLogiciel offert gratuitement sur Internet prtendant vous rendre service 33 34. Les bombes logiques Les bombes logiques sont des dispositifs programms dont le dclenchement s'effectue un moment dtermin en exploitant la date du systme, le lancement d'une commande, ou n'importe quel appel au systme.Ainsi ce type de virus est capable de s'activer un moment prcis sur un grand nombre de machines (on parle alors de bombe retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un vnement majeur : la bombe logique Tchernobyl s'est active le 26 avril 1999, jour du 3me anniversaire de la catastrophe nuclaire ...Les bombes logiques sont gnralement utilises dans le but de crer un dni de service en saturant les connexions rseau d'un site, d'un service en ligne ou d'une entreprise. 34 35. Ver Un ver informatique (en anglais worm) est un programme qui peut s'auto reproduire et se dplacer travers un rseau en utilisant les mcanismes rseau, sans avoir rellement besoin d'un support physique ou logique (disque dur, programme hte, fichier, etc.) pour se propager; un ver est donc un virus rseau.Les vers actuels se propagent principalement grce la messagerie (et notamment par le client de messagerie Outlook) grce des fichiers attachs contenant des instructions permettant de rcuprer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies tous ces destinataires.Ces vers sont la plupart du temps des scripts (gnralement VBScript) ou des fichiers excutables envoys en pice jointe et se dclenchant lorsque l'utilisateur destinataire clique sur le fichier attach.Il est simple de se protger d'une infection par ver. La meilleure mthode consiste ne pas ouvrir " l'aveugle" les fichiers qui vous sont envoys en 35 fichier attachs. 36. Spams Le spamming consiste envoyer massivement des e-mails de type gnralement publicitaire (dit aussi "junk mail"), un grand nombre de personnes n'ayant pas sollicit ce type d'envoi publicitaires, engorgeant ainsi les serveurs de messagerie et vos boites lettres de messages publicitaires inutiles, non sollicits et gnralement mensongers. Les e-mails "spamms" constituent actuellement la quasi-moiti des e-mails "circulant" l'chelle plantaire Le but premier du spam est gnralement de faire de la publicit moindre cout. Toutefois, Il est aussi source d'essai d'abus, via des offres allchantes (vous avez gagn ...) et bien sures mensongres, dont le but est de vous attirer acheter un produit ou un service douteux, ou bien d'essayer de vous abuser, en vous extorquant de l'argent (grce dieu, peu de personnes de chez nous possdent des cartes de crdit en devises ..). Il est aussi parfois question de publicit "politique" ou "religieuse" dangereuses pour les enfants (l'glise de Scientologie avait rcemment envoy 1200 spams en 15 jours sur un groupe de discussion). Il est intressant de noter ce sujet le nouveau phnomne apparu, consistant dans l'exploitation de virus Internet (vers) pour leur jouer le rle de diffuseurs (relais) de spam, dans un essai de contourner l'efficacit des outils anti-spam. 36 37. Spams Le principal inconvnient du "Spam" est la gne et la perte de temps induites aux internautes : Gaspillage de temps (et donc d'argent) des utilisateurs, qui doivent trier leur courrier et nettoyer leurs boites lettres plus frquemment, Risque de leurrer un message important, "cach" entre les multiples messages de "spam", "Corruption" des utilisateurs non avertis, avec des offres allchantes, et bien sr fausses, Atteinte la morale, via des messages de publicit sexuels, politiques ou religieux ... - Le second inconvnient, non moins important, du spamming touche la bande rseau qu'il consomme inutilement, monopolisant "inutilement" une bonne partie de la bande passante et rendant ainsi l'Internet moins rapide (AOL avait une fois reu 1.8 million d 'e-mails de spams de "Cyberpromotion" : le plus important "spammeur" du rseau Internet). Cela induit des cots supplmentaires pour les fournisseurs de service et d'accs Internet car ils doivent acheter des ordinateurs supplmentaires, pour renforcer leurs serveurs de courrier et mettre en place une plus grande largeur de bande pour contrecarrer la consommation de bande induite par le Spam. 37 38. Spyware Un espiogiciel (en anglais spyware) est un programme charg de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est install ( on l'appelle donc parfois mouchard) afin de les envoyer la socit qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).38 39. Spyware (suite) Les rcoltes d'informations peuvent ainsi tre : - la traabilit des URL des sites visits, - le traquage des mots-cls saisis dans les moteurs de recherche, - l'analyse des achats raliss via internet, - voire les informations de paiement bancaire (numro de carte bleue / VISA) - ou bien des informations personnelles. 39 40. Spyware (suite) Les spywares s'installent gnralement en mme temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modle conomique dans lequel la gratuit est obtenue contre la cession de donnes caractre personnel. 40 41. Keylogger Un keylogger (littralement enregistreur de touches) est un dispositif charg d'enregistrer les frappes de touches du clavier et de les enregistrer, l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage. Certains keyloggers sont capables d'enregistrer les URL visites, les courriers lectroniques consults ou envoys, les fichiers ouverts, voire de crer une vido retraant toute l'activit de l'ordinateur . 41 42. Keylogger (suite) Dans la mesure o les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir des personnes malintentionnes pour rcuprer les mots de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut tre particulirement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accs dans une entreprise, une cole ou un lieu public tel qu'un cybercaf). 42 43. Droulement dune attaque informatique43 44. 44 45. Mthodologie dune intrusion sur un rseau Pour s'introduire dans un systme informatique les pirates utilisent une mthodologie, il ne faut pas connatre comment compromettre un systme mais comprendre la faon dont il peut l'tre afin de mieux pouvoir s'en prmunir. En effet, la meilleure faon de protger son systme est de procder de la mme manire que les pirates afin de cartographier les vulnrabilits du systme. Le principe de la protection est de ne pas donner aucune prcision sur la manire dont les failles sont exploites, mais expliquer comment faire pour les dceler et les corriger. 45 46. Mthodologie globale Les pirates (hackers) ayant l'intention de s'introduire dans les systmes informatiques recherchent dans un premier temps des failles, c'est--dire des vulnrabilits nuisibles la scurit du systme, dans les protocoles, les systmes d'exploitations, les applications ou mme le personnel 'une entreprise. Les termes de vulnrabilit ( brche ou en langage plus familier - trou de scurit en anglais security hole ) sont galement utiliss pour dsigner les failles de scurit. 46 47. Mthodologie globale Pour pouvoir mettre en oeuvre un EXPLOIT il s'agit du terme technique signifiant exploiter une vulnrabilit), la premire tape du pirate consiste rcuprer le maximum d'informations sur l'architecture du rseau et sur les systmes d'exploitations et applications fonctionnant sur celui-ci. La plupart des attaques sont l'oeuvre de script kiddies essayant btement des exploits trouvs sur Internet, sans aucune connaissance du systme, ni des risques lis leur acte. Une fois que le pirate a tabli une cartographie du systme, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recenses. Un premier accs une machine lui permettra d'tendre son action afin de rcuprer d'autres informations, et ventuellement d'tendre ses privilges sur la machine. 47 48. Mthodologie globale Lorsqu'un accs administrateur (le terme anglais root est gnralement utilis) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systmes sont susceptibles d'avoir t modifis. Le pirate possde alors le plus haut niveau de droit sur la machine. S'il s'agit d'un pirate, la dernire tape consiste effacer ses traces, afin d'viter tout soupon de la part de l'administrateur du rseau compromis et de telle manire pouvoir garder le plus longtemps possible le contrle des machines compromises. 48 49. La rcupration d'informations sur le systme L'obtention d'informations sur l'adressage du rseau vis, gnralement qualifie de prise d'empreinte, est un pralable toute attaque. Elle consiste rassembler le maximum d'informations concernant les infrastructures de communication du rseau cible : Adressage IP, Noms de domaine, Protocoles de rseau, Services activs, Architecture des serveurs, 49 50. Consultation de bases publiques En connaissant ladresse IP publique d'une des machines du rseau ou bien tout simplement le nom de domaine de lentreprise, un pirate est potentiellement capable de connatre l'adressage du rseau tout entier, c'est--dire la plage d'adresses IP publiques appartenant lentreprise vise et son dcoupage en sous rseaux. Pour cela il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine : http://www.iana.net http://www.ripe.net pour l'Europe http://www.arin.net pour les Etats-Unis 50 51. Consultation de moteurs de recherche La simple consultation des moteurs de recherche permet parfois de rcuprer des informations sur la structure d'une entreprise, le nom de ses principaux produits, voire le nom de certains personnels.51 52. Balayage du rseau Lorsque la topologie du rseau est connue par le pirate, il peut le scanner (le terme balayer est galement utilis), c'est--dire dterminer l'aide d'un outil logiciel (appel scanner ou scanneur en franais) quelles sont les adresses IP actives sur le rseau, les ports ouverts correspondant des services accessibles, et le systme d'exploitation utilis par ces serveurs. L'un des outils les plus connus pour scanner un rseau est Nmap , reconnu par de nombreux administrateurs rseaux comme un outil indispensable la scurisation d'un rseau. Cet outil agit en envoyant des paquets TCP et/ou UDP un ensemble de machines sur un rseau (dtermin par une adresse rseau et un masque), puis il analyse les rponses. Selon l'allure des paquets TCP reus, il lui est possible de dterminer le systme d'exploitation distant pour chaque 52 machine scanne. 53. Lecture de bannires Lorsque le balayage du rseau est termin, il suffit au pirate d'examiner le fichier journal (log) des outils utiliss pour connatre les adresses IP des machines connectes au rseau et les ports ouverts sur celles-ci. Les numros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l'inviter interroger le service afin d'obtenir des informations supplmentaires sur la version du serveur dans les informations dites de bannire . 53 54. Lecture de bannires Ainsi, pour connatre la version d'un serveur HTTP, il suffit de se connecter au serveur Web en Telnet sur le port 80 : - telnet www.iscae.rnu.tn 80 - puis de demander la page d'accueil : GET / HTTP/1.0 Le serveur rpond alors les premires lignes suivantes : HTTP/1.1 200 OK Date: Thu, 21 Mar 2006 18:22:57 GMTServer: Apache/1.3.20 (Unix) Debian/GNU Le systme d'exploitation, le serveur et sa version sont alors connus. 54 55. Ingnierie sociale L ingnierie sociale (en anglais Social Engineering ) consiste manipuler les tres humains, c'est--dire d'utiliser la navet et la gentillesse exagre des utilisateurs du rseau, pour obtenir des informations sur ce dernier. Ce procd consiste entrer en contact avec un utilisateur du rseau, en se faisant passer en gnral pour quelqu'un d'autre, afin d'obtenir des renseignements sur le systme d'information ou ventuellement pour obtenir directement un mot de passe. De la mme faon une faille de scurit peut tre cre dans le systme distant en envoyant un cheval de Troie certains utilisateurs du rseau. Il suffit qu'un des utilisateurs excute la pice jointe pour qu'un accs au rseau interne soit donn l'agresseur extrieur. 55 56. Le reprage des failles Aprs avoir tabli l'inventaire du parc logiciel et ventuellement matriel, il reste au pirate dterminer si des failles existent. Il existe ainsi des scanneurs de vulnrabilit permettant aux administrateurs de soumettre leur rseau des tests d'intrusion afin de constater si certaines applications possdent des failles de scurit. Les deux principaux scanneurs de failles sont : Nessus et SAINT . 56 57. L'intrusion Lorsque le pirate a dress une cartographie des ressources et des machines prsentes sur le rseau, il est en mesure de prparer son intrusion. Pour pouvoir s'introduire dans le rseau, le pirate a besoin d'accder des comptes valides sur les machines qu'il a recenses. 57 58. L'intrusion Plusieurs mthodes sont utilises par les pirates : - L'ingnierie sociale, c'est--dire en contactant directement certains utilisateurs du rseau (par mail ou par tlphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe,ceci est gnralement fait en se faisant passer pour l'administrateur rseau. - La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides - Les attaques par force brute (brute force cracking), consistant essayer de faon automatique diffrents mots de passe sur une liste de compte (par exemple l'identifiant, ventuellement suivi d'un chiffre, ou bien le mot de passe 58 password, ou passwd, etc). 59. Extension de privilges Lorsque le pirate a obtenu un ou plusieurs accs sur le rseau en se logeant sur un ou plusieurs comptes peu protgs, celui-ci va chercher augmenter ses privilges en obtenant l'accs root (en franais super utilisateur ou super administrateur), on parle ainsi d'extension de privilges. Ds qu'un accs root a t obtenu sur une machine, l'attaquant a la possibilit d'examiner le rseau la recherche d'informations supplmentaires. 59 60. Extension de privilges Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est--dire un logiciel capable d'couter (le terme reniffler, ou en anglais sniffing, est galement employ) le trafic rseau en provenance ou destination des machines situes sur le mme cble. Grce cette technique, le pirate peut esprer rcuprer les couples identifiants/mots de passe lui permettant d'accder des comptes possdant des privilges tendus sur d'autres machines du rseau (par exemple l'accs au compte d'un administrateur) afin de contrler une plus grande partie du rseau. 60 61. Compromission Grce aux tapes prcdentes, le pirate a pu dresser une cartographie complte du rseau, des machines s'y trouvant, de leurs failles et possde un accs root sur au moins l'une d'entre-elles. Il lui est alors possible d'tendre encore son action en exploitant les relations d'approbation existant entre les diffrentes machines. Cette technique d'usurpation d'identit, appele spoofing, permet au pirate de pntrer des rseaux privilgis auxquels la machine compromise a accs .61 62. Porte drobe Lorsqu'un pirate a russi infiltrer un rseau d'entreprise et compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir, pour atteindre ce but le pirate va installer une application afin de crer artificiellement une faille de scurit, on parle alors de porte drobe (en anglais backdoor, le terme trappe est parfois galement employ).62 63. Nettoyage des traces Lorsque l'intrus a obtenu un niveau de matrise suffisant sur le rseau, il lui reste effacer les traces de son passage en supprimant les fichiers qu'il a crs et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit, c'est-dire en supprimant les lignes d'activit concernant ses actions. Par ailleurs, il existe des logiciels, appels kits racine (en anglais rootkits ) permettant de remplacer les outils d'administration du systme par des versions modifies afin de masquer la prsence du pirate sur le systme. En effet, si l'administrateur se connecte en mme temps que le pirate, il est susceptible de remarquer les services que le pirate a lanc ou tout simplement qu'une autre personne que lui est connecte simultanment. L'objectif d'un rootkit est donc de tromper l'administrateur en lui masquant la ralit. 63 64. Exemple dattaque informatique64 65. 65 66. Attaque TCP TCP Orient connexion; Acquittement de remise des paquets; Connexion TCP Connexion par Three Way Handshake ; change entre deux processus; Fermeture Friendly close : flag [tcp end]; Lors dun erreur (par exemple interruption dun des process). Attaque Lattaque consiste utiliser la fermeture lors dune erreur La norme pose quun paquet est valide si son n de squence est situ dans la fentre; Or ce n de squence est situ dans un champ den-tte; TCP acquitte ses paquets par un paquet ACK connaissant ce n de squence; Il est alors possible dutiliser un outils forgeant des paquets sur mesure; Il faut tre positionn dans un environnement o il est possible de sniffer les paquets TCP. ventuellement utiliser une attaque de type ARP Cache Poisoning . Outil Loutil utilisable est : WinTCPKill. 66 67. 67 68. 68 69. Les protocoles ARP et RARP Chaque interface rseau possde une adresse physique unique dpendante du type darchitecture (les adresses MAC sont diffrentes suivant la norme mise en place). Ladressage sur Internet est bas sur des adresses IP, de niveau rseau. Il faut donc faire le lien entre les deux adresses (IP et MAC) dune mme machine : les protocoles ARP (Address Resolution Protocol) et RARP (Reverse Address Resolution Protocol) ARP permet de faire correspondre une adresse MAC une adresse IP donne et RARP permet linverse. 69 70. Les protocoles ARP et RARP (suite) La rsolution dadresses est effectue en trois tape : 1. Le protocole ARP met un datagramme particulier par diffusion toutes les stations du rseau et qui contient entre autre ladresse IP convertir. 2. La station qui se reconnat retourne un message (rponse ARP) lmetteur avec son adresse MAC. 3. Lmetteur dispose alors de ladresse physique du destinataire et ainsi la couche liaison de donnes peut mettre les trames directement vers cette adresse physique. Les adresses rsolues sont places dans un cache ce qui vite de dclencher plusieurs requtes lorsque plusieurs datagramme doivent tre envoys. 70 71. 71 72. Le principe de lattaque ARP cache poisoning Mise jour entre les Tout le traficdes entres cres grce aux htes 2 et 3 doit @ rponsesIP:192.168.0.1 obligatoirement ARP passer @ MAC:mac1 par lhte 1pirateLentre @IP=192.168.0.2; @MAC=mac1 est cre @ cache ARP dans le IP:192.168.0.3 @ MAC:mac3Requte ARP. Requte ARP.ARP. Rponse Eth dst =mac3, MAC src =mac1 ETH dstdst =mac2, MAC src=mac1 Eth =mac3, MAC src=mac1 et IP src=192.168.0.2 et Et IP src =192.168.0.2 IP src=192.168.0.3 MAC ? ?IP3 mac3. MAC 192.168.0.3 192.168.0.2Rponse ARP. ETH dst =mac2, MAC src =mac1 Lentre Et IP src =192.168.0.3 @IP=192.168.0.3; IP2 mac2. @MAC=mac1 est cre dans le cache @ IP:192.168.0.2 ARP @ MAC:mac272 73. Empoisonnement du cache ARP@ IP:192.168.0.1 @ MAC:mac1PirateHost 1Fausse entre est cre dans la cache ARP @IP=192.168.0.2 -- @MAC=mac1@ IP:192.168.0.3 @ MAC:mac3Lhte 3 veut communiquer avec lhte2Fausse Requte ARP (Fake ARP request) Paquet TCP vers 192.168.0.2 MAC src=mac1 et IP src=192.168.0.2 MAC ? 192.168.0.3Host 3Host 2 @ IP:192.168.0.2 @ MAC:mac273 74. 74 75. 75 76. 76 77. 77 78. Effets : si les deux ports sont sur la mme machine les performances de celle-ci se dgradent si les deux ports sont sur des machines diffrentes ceci provoque la congestion du rseau Parades : filtrage de tous les services sur UDP l exception du port 53 (dns) dsactiver tous les ports udp inutiles 78 79. DNS Spoofing DNS Gestion des correspondance entre les noms de machines et leur adresse IP; Un client lance une requte DNS au serveur pour connatre ladresse IP partir dun nom. Le serveur lui rpond par un paquet DNS; La relation entre la requte et la rponse est une cl contenant un n didentification; Ce protocole utilise le port UDP 53; Attaque Lattaque DNS Spoofing est base sur linterception du paquet rponse, forger un nouveau avec la mme cl et modifier ladresse IP; Cette nouvelle adresse IP est une redirection sur la machine pirate; Il faut tre positionn dans un environnement o il est possible de sniffer les paquets TCP. ventuellement utiliser une attaque de type ARP Cache Poisoning . Outil Pour ce genre dattaque, un des outils est : WinDNSSpoof.79 80. Les dtournements et interceptions Web spoofing Attaque de type man in middle : le serveur de l attaquant dtourne les requtes HTTP de la victime La victime navigue dans un faux web Initialisation de l attaque: l attaquant amne la victime visiter son site (par email ou par sa figuration dans une indexation d un moteur de recherche) la victime tlcharche un script java Ce script java dtourne toutes les requtes de la victime vers l attaquant 80 81. Les dtournements et interceptions Web spoofing Effets : surveillance de l activit de la victime, et vol de donnes altration des donnes, Parades : dsactivation de javascript proxy : repre et refuse des echanges HTTP avec rcriture des URL 81


Cours Securite Informatique

SECURITE RESEAU INFORMATIQUE - … · existantes par rapport à un référentiel extérieur, ... La formation des équipes techniques ... Prise en compte des nomades et bureaux déportés

HACKING / SECURITE HAND-BOOK - index-of.co.uk/index-of.co.uk/Hacking/Hacking_Securite_HANDBOOK.pdfsécurité, ou encore comme un vrai cours de sécurité informatique (traitant de

SEMINAIRE DE FORMATION SUR LA SECURITE INFORMATIQUE

SECURITE ALIMENTAIRE

Module securite

La Securite Informatique (cours CNAM)

Securite Ineris

securite -

INGENIEUR INFORMATIQUE CYBER SECURITE (H/F) · Ingénieur Cyberdéfense - Expert en tehniques et produits de détetion d’intrusion (H/F) Référence : 2019/DPS-1 MINISTERE DES ARMEES

Securite Incendie

la securite

SECURITE VOIRIE

Pages de Audit Securite Systeme Informatique MTIC

Securite Informatique Orthez

Securite winxp

la Securite Informatique

SECURITE ELECTRIQUE

LA SÉCURITÉ INFORMATIQUE - Lagout securite informatique.pdf · 2016. 7. 7. · La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité

Securite Email

Securite industrielle.indd

La sécurité informatique - tony3d3.free.frtony3d3.free.fr/files/La-securite-informatique-dans-la-petite... · Avantpropos Ce livre sur la sécurité informatique dans les petites

SECURITE INFORMATIQUE ET TECHNOLOGIE DU WEB

Livret de préparation à l'ASSR 2008/2009media.eduscol.education.fr/file/Securite/97/8/c08_09securoutlivret... · Les épreuves de l’ASSR se déroulent depuis un poste informatique

LA CYBERLA CYBER--SECURITE DES SECURITE DES …

Securite Access

INGENIEUR INFORMATIQUE CYBER SECURITE (H/F) · 17. 2018/IAP-1 : Ingénieur produits de sécurité cyberdéfense architecte dans le cadre du développement des équipements de sécurité

Securite Electr

INDICATEURS DE SECURITE - x10Hostmeharipedia.x10host.com/wp/wp-content/uploads/2016/12/... · 2017. 4. 18. · AFAI (Association Française d™Audit et du conseil en informatique)

SECURITE INFORMATIQUE - … · SECURITE INFORMATIQUE RÉSUMÉ La sécurité est un enjeu majeur des technologies numériques

SECURITE TRANSFUSIONNELLE

Securite informatique

Plaquette securite informatique MGE

15776642 Le Grand Livre de Securite Informatique

STRASBOURG - qualite-securite-soins.fr · Mannequins pilotés par informatique ... progrès sur l’application des bonnes pratiques) ... La combinaison RMM et Simulation comme outil