Cours

Chapitre II
Panorama des menaces et

attaques de sécurité
Fondements de la sécurité
Chapitre II
Panorama des menaces
Les menaces
Fondements de la sécurité 3
Accidents
 incendie, explosion, implosion,
 dégât des eaux
 problème d’intégrité du bâtiment
 catastrophes naturelles
 pannes
 internes (composant)
 logiciel de base
 externes (ex : climatisation, alimentation, · · · )
 arrêt de services (Electricité, Télécom, eau, · · · )
 choc, collision, chute, pollution, rayonnement, · · ·
Erreurs
 erreurs de saisie, de transmission de données
 erreurs d’exploitation
 erreurs de conception dans la réalisation ou la mise en

œuvre des :
 logiciels
 procédures
 ··
Malveillance (1)
 fraude, sabotage
 détournement à son avantage (versement, chantage, corruption,…)
 sabotage immatériel (destruction dans le seul but de nuire)
 dénis de service
 indiscrétion ou écoute de ligne
 détournement
 copie de message
 espionnage
 actions indésirables
 spams ou inondation (saturation par envoi des e-mails)
 stockage ”pirate”
Malveillance (2)
 actions mal intentionnées
 curiosité, jeu, · · ·
 Décodage des chaines (canal+, Aljazeera sport,…)
 craquage de codes (cartes crédits, · · · )
 piratage de logiciel
 craquage de sécurité
 copie illicite
 gravure
 menaces dues aux télécommunications
Malveillance (3)
 Menaces dues aux télécommunications
 interruptions de service ou disfonctionnement

 altération des données transmises
 usurpation d’identité
 divulgation d’informations à un tiers
 action malveillante transmise
Evolution des menaces
 accidents 24% :
en baisse (effets matériels palpables)
 erreurs 14% :
en forte baisse (amélioration de la qualité des logiciels)
 malveillance 62% :
en forte hausse (en progression constante)
Chapitre II
Panorama des attaques
Introduction
 Rappel de l’objectif de la sécurité des réseaux:
 Sécuriser le système d’information contre les attaques de
sécurité.
 Réduire le risque associé à chaque composante du système
d’information en mettant en place des mécanismes et des
pratiques.
 Une attaque peut faire appel à un ou plusieurs
(distribuée) acteurs.
 Les attaques de sécurité sont de deux types :
 Attaques passives  prévention
 Attaques actives  prévention, détection, réaction
Scénario d’attaque suivi par un intrus
Reconnaissance
Scan de la cible
Enumération
Gain d’accès
Remonter en privilège
Maintenir l’accès
Cacher les traces
Attaques de sécurité - Exemples
Falsification (Tampering)
 Description : Modification ou la destruction des
données.
 Moyens : mauvaise utilisation des privilèges par les
utilisateurs internes, ou accès non autorisé par des agents
externes.
 Risques :
 Introduction des modifications sur des enregistrements (salaire,
inscription, etc.)
 Effacement des logs par un intrus.
 Installer des chevaux de Troie pour la collecte des mots de passe,
ou pour d’autres utilisations.
Spoofing
 Description : Se faire passer pour d’autres utilisateurs ou
machines pour obtenir des privilèges.
 Moyens :
 Vol de comptes, deviner des mots de passe (password guessing),
social engeneering.
 IP spoofing, E-mail forging, détournement des connexions IP
(Hijacking)
 Risques :
 Des messages erronés (« l’examen a été reporté»).
 Déni de service (IP attacks, SYN attacks, Ping-of-Death)
Ecoute
(Eavesdropping and Packet Sniffing)
 Description : Collecte des informations à partir du trafic
sans introduire des modifications.
 Moyens :
 Sniffers, les routeurs, les passerelles, capture et filtrage des
paquets.
 Risques :
 L’écoute peut être utilisé pour collecter un ensemble
d’informations envoyés à travers le réseau.
 Login + mot de passe.
 Numéros des cartes de crédit.
 E-mails et d’autres messages
 Analyse du trafic.
Password Guessing
 Une recherche exhaustive (Brute force)
 Essai de toutes les combinaisons possibles.
 Peut aboutir à un résultat rapidement si la longueur du
mot de passe est faible.
 Une recherche intelligente
 Recherche des mots de passe possibles dans un
espace restreint.
 A partir d’informations relatives à l’utilisateur : son
nom, son numéro de téléphone, sa date de naissance,
etc.
 Générique : des mots ou des phrases significatives,
attaque selon un dictionnaire.
Les attaques de déni de service
(DoS/DDoS)
 Attaques les plus populaires.
 L’objectif de ces attaques est de créer une situation
où la victime est incapable de fournir un service à
ces clients.
 Réalisé généralement suite à l’épuisement physique
ou logique des ressources au niveau des serveurs ou
des réseaux de la victime ou à travers le lien de
communication liant la victime au FSI.
 Attaques de Déni de Service Distribué
 Utilisation des esclaves: machines disposant des
vulnérabilités qui sont exploitées par un intrus.
 Utilisation des réflecteurs: envoient des réponses
à des paquets spoofés (destination : victime)
Ping flooding, Smurf
 Principe : Inonder la cible avec un flux maximal de ping

 Ping (echo request, echo reply)
 Le smurf est une variante du ping flooding
 Autre variante : Ping Of Death Tous les hôtes
du réseau
répondent à
l’adresse réelle
L’attaquant envoie une requête ICMP echo adresse
source : celle de l’hôte victime adresse destination :
broadcast
Principe du Smurf
Victime
TCP SYN Flooding
 Ce type d’attaques consomment les ressources du système.

 Utilisation du mécanisme d’établissement de connexion et
le spoofing des adresses IP.
 Le serveur envoi l’accusé (SYN ACK) sans réception du
ACK du client.  ressource allouées sans établissement de
connexion ou réception du RST.
@IP spoofée
Source d’attaque Victime
Mail bombing, Spamming
 Envoyer un nombre important de courrier électronique

jusqu’à saturation de sa boîte au lettres.
 Le spamming est une variante du mail-bombing.
L’attaquant envoie un message ayant comme

adresse mail source celle de l’hôte victime
Les récepteurs du
message
répondent à
l’adresse réelle
Principe du Spamming
Hôte victime
Web spoofing
Modification du
contenu de la page
Requête page web
Web Spoofing
Exploitation des failles de sécurité
 Exploiter des vulnérabilités au niveau des logiciels afin de
prendre accès au système
 Buffer overflow
 Failles de sécurité relatives au code Java, ActiveX.
 Les informations sur les failles se propagent plus
rapidement que les remèdes
 Les bulletins des hackers
 Des outils disponibles pour détecter les vulnérabilités (Nessus,
ISS, MBSA, etc.)
 Mais, ils sont utilisés plus par les intrus.
 Des outils développés par les intrus, publiés sur Internet (ex :
rootkits, exploits).
Dépassement de capacité d’un buffer
(Buffer Overflow)
 Principe : Un programme tente de placer
d’avantage de données dans une zone de mémoire
qu’elle peut en contenir.
 Les informations excédentaires risquent d’écraser ce
qui se trouve au voisinage de la zone du buffer.
 Une des principales causes de cette attaque découle
de l’emploi des bibliothèques système qui ne
contrôlent pas suffisamment la portée de leurs
actions.
 Ex. La bibliothèque libc du langage C (les
routines chargées de manipuler des chaînes de
caractères).
Dépassement de capacité d’un buffer (1)
 Exemple d’un programme :
int main () {
int buffer[10];
buffer[20] = 10;
}
 Un programme valide qui est compilé sans erreur.
 Ce programme tente d’écrire au-delà de la zone mémoire allouée pour
le buffer, qui peut causer un comportement inattendu.
 La pile
 Un ensemble de blocs contigus de la mémoire contenant des données.
 Un pointeur SP (Stack Pointer) pointe sur la tête de la pile.
 Lorsqu’un appel de fonction est réalisé, les paramètres de la fonction sont
insérés au niveau de la pile.
 Puis, l’adresse de retour (adresse qui sera exécutée après le retour de
fonction), suivi par les variables locales de la fonction.
 Un exemple en C :
void function (char *str) {
char buffer[16];
strcpy (buffer, str);
}
int main () {
char *str = « Chaîne supérieur à 16 bytes"; // taille de str = 27 bytes
function (str);
Tête de
} *str @ret buffer
la pile
 Le programme se comporte de façon inattendu, car:
 La chaîne str de 27 octets a été copiée dans une zone (buffer) qui est
allouée uniquement pour 16 octets.
 Les octets en plus écrasent l’espace alloué à FP, l’adresse de retour de la
fonction, etc.
 La fonction strcpy, utilisée pour la copie de la chaîne ne vérifie pas la
taille de la chaîne en paramètre.
 L’exemple montre qu’un dépassement de capacité peut écraser
l’adresse de retour pour une fonction (adresse de l’instruction
suivante au niveau de la mémoire)  possibilité d’altération du
chemin d’exécution d’un programme.
 Un intrus qui tente de lancer un shell(avec les privilèges root)
par la réalisation d’un saut du chemin d’exécution pour le code
adéquat (qui correspond au shell).
Cheval de Troie (Trojan Horse)
 Un programme apparemment « innocent » qui
contient des instructions cachées.
 Fonctionnement normal/attendu
 Les actions cachées violent la politique de sécurité.
 Les actions sont exécutées avec le privilège de
l’utilisateur.
 Exemple : login modifié
 Le programme login d’ouverture de session est modifié
afin qu’il ouvre une session mais il enregistre au niveau
d’un fichier le nom utilisateur et le mot de passe entré.
 Possibilité d’envoi par email des informations collectées
à un intrus (collecte des informations).
Les virus
 Un programme qui en infecte un autre en se dupliquant
dans ce programme.
 Quelques types de virus:
 Virus parasite : Le virus s’attaque aux fichiers exécutables
comme partie de leurs code. Il se réplique lorsque le fichier
infecté est exécuté, et cherche s’il y a d’autres fichiers à
infecter.
 Virus résident en mémoire : hébergé en mémoire comme
partie des programmes principaux du système. Il infecte tout
programme qui s’exécute.
 Virus sur secteur de Boot (Boot Sector Virus): Infecte le
secteur de boot du disque, et se propage lorsque le système
d’exploitation démarre (premiers virus sur DOS).
Bombe logique
 Un programme qui reste à l’état inactif tant qu’il n’est pas

réveillé.
 Ce réveil peut être provoqué par un événement que le
système d’exploitation peut détecter.
 Souvent, une date ou l’absence de certaines données (ex. le
nom du programmeur ne figurant plus dans le fichier de la
paie)
 Une fois activée, exécution d’un programme destructif qui
pourrait être l’effacement de tous les fichiers du système.
 Les bombes logiques sont généralement utilisées avec des
virus (porteur de la bombe logique).
 Le virus porte le nom de la date à laquelle la bombe logique
est activée.
Les vers – Nimda
 Propriété : possibilité de duplication d’une machine à une

autre à travers le réseau.
 Ce ver a causé des dégâts énormes dès 18 septembre 2001.
 Cause de déni de service (DoS) pour plusieurs organismes.
 Il se propage à travers plusieurs méthodes:
 Exploitation d’une vulnérabilité relative à IIS.
 Email
 Navigation du web
 Partage des fichiers Windows.
 Plusieurs modes de propagation  infection :
 Serveur-Serveur, Serveur-Client, Client-Client
Attaques de sécurité – Signes
d’attaques
L’occurrence de quelques événements ou l’apparition des

modifications dans le fonctionnement normal d’un
système peuvent être des signes qui renseignent sur la
possibilité d’exposition du système à une attaque de
sécurité.
Attaques de sécurité – Signes d’attaques
 Fichiers inhabituels
 La présence de fichiers inhabituels, tout spécialement dans
les répertoires où ne se trouvent que des programmes ou des
fichiers de configuration.
 Possibilité de création des procédures pour comparer la liste
courante des fichiers d’un répertoire avec une liste
précédente réputée saine.
 Consommation anormale des ressources
 Une consommation anormale des ressources d’un système
(temps de calcul, mémoire vive, espace disponible sur le
disque, etc.)
Attaques de sécurité – Signes d’attaques (1)
 Crashes du système
 Des crashes du système inexpliqués peuvent être l’indice
d’une attaque de sécurité.
 Si le système présente des vulnérabilités, un intrus va essayer
différentes façons de l’exploiter, et ces tâtonnements risquent
de provoquer des défauts de comportement du système
d’exploitation résultant très souvent en crashes.
 Présence de nouveaux comptes utilisateur
 Pour accéder aux ressources d’un système, le plus simple
pour un intrus est d’avoir un compte ouvert sur ce système.
 Il crée un compte à son usage exclusif afin que ses activités
ne semblent pas suspectes.
Attaques de sécurité – Signes d’attaques (2)
 Existence de connexions réseaux à des ports inconnus
 Des connexions établies utilisant des ports inconnus au
niveau de la machine peuvent être relatives à des backdoors.
 Un administrateur doit vérifier les connexions établies au
niveau d’une machine ou un serveur ainsi que les services en
exécution sur ces derniers.
 Désactivation du service d’enregistrement des
événements (log)
 Généralement, un intrus cherche à cacher ses actions avant
de mener des actions malveillantes.
 Le moyen : désactivation du service d’enregistrement des
événements.
Attaques de sécurité – Outils de
détection
Des outils qui aident un administrateur système à la

détection des vulnérabilités au niveau d’un système mais
elles sont aussi disponibles pour des agents malveillants
ou intrus.
Outils de détection– Wireshark
 Analyseur réseaux
 Capture de trafic réseau en
temps réel
 Affichage des informations et
du contenu des paquets
capturés
 Open source
 Fonctionnel sous UNIX et
Windows
 CLI (Command Line Interface) et
GUI (Graphical User Interface)
 www.wireshark.org
Outils de détection– NMAP
 NMAP : Network MAPper

@IP ou plages d’@
 Outil très connu.
 Détermination des ports ouverts
sur un système (65535 ports TCP
et 65535 ports UDP)
 La détection de l'OS : nmap peut
identifier l’OS des hôtes ciblés
 Open Source
 Plateformes multiples UNIX et
Windows
Outils de détection– NMAP (1)
Scan de tous les ports Scan de quelques services
Outils de détection– Nessus
 Outil open source de détection
de vulnérabilités.
 Utilisation de l’outil
 Un serveur Nessus doit être
lancé avant utilisation de
l’outil.
 Utilisation d’un client Nessus
pour lancer des scans.
Outils de détection– Nessus (1)
 Nessus indique le niveau de la
vulnérabilité détectée:
 Low severity
 Medium severity
 High severity
 Description de la vulnérabilité
 Référence au BD
internationales (ex. CVE
number)
 Possibilité d’exportation du
résultat sous plusieurs formats
(html, XML, etc.)
Les outils de Hacking- Matasploit

Exploitation des vulnérabilités : Metasploit Framework

Le Metasploit Framework est un outil de développement et
d’exécution d’exploits. Metasploit fonctionne ainsi :

Choisir et configurer un exploit (code permettant de pénétrer un
système cible en profitant de l’un de ses bogues ; des centaines
d’exploits sont disponibles pour les systèmes Windows, Unix/Linux et
Mac OS X) ;

Vérifier si le système cible visée est sensible à l’exploit choisi ;

Choisir et configurer un payload (code qui s’exécutera après s’être
introduit dans la machine cible, par exemple pour avoir accès à un
shell distant ou un serveur VNC) ;

Choisir la technique d’encodage pour encoder le payload de sorte que
les systèmes de préventions IDS ne le détectent pas ;

Exécuter l’exploit.
Les outils de Hacking- Backtrack
 Backtrack est une distribution Linux (open Source)
 Contient des outils de sécurité en partant du scanner de port jusqu'aux crackers de mot-de-
passe.
 Il est favorablement connue et utilisé à des fins d'audit de réseaux sans fil Wi-Fi
 Les outils qu‘il regroupe mettent en évidence le manque de fiabilité des chiffrements WEP
et WPA.
 BackTrack organise ses outils dans 11 catégories:
 Collecte de l'information
 Mapping Network
 L'identification des vulnérabilités
 Analyse des applications Web
 Analyse de réseau radio (802.11, Bluetooth, RFID)
 Pénétration (Exploit & Toolkit ingénierie sociale)
 Élévation de Privilèges
 Maintenir l'accès
 Digital Forensics
 Reverse Engineering
 Voice Over IP
Exercice
 Rappeler les trois catégories de menace

 Rappeler les étapes d’un scénario d’attaque
 Quelle est la différence entre attaque active et attaque
passive ?
 Après le gain d’accès à la victime, que peut faire le hacker ?
 Donner quatre signes d’attaques qui peuvent renseigner sur
la possibilité d’exposition d’un E-service à une attaque de
sécurité.
Exercice (suite)
 Exercice 1 :
 Un campus universitaire a mis en place un réseau afin d’interconnecter
l’ensemble de ses ressources. Quelques besoins ont été définis et qui sont les
suivants :
 Partage de ressources entre étudiants (serveur interne n°1).
 Partage de ressources entre enseignants (serveur interne n°2).
 Accès à Internet pour les enseignants et les étudiants.
 Accès des utilisateurs externes au serveur web de l’université.
 Accès au serveur d’impression uniquement aux enseignants.
 Selon l’architecture mise en place (Cf. Figure 1), le routeur assure uniquement le
routage du trafic. Un étudiant disposant d’un ordinateur portable pourra se
connecter au réseau WiFi, s’il se trouve dans la zone de couverture. L’équipe
responsable de la mise en place du réseau a acquis des Hubs pour assurer
l’interconnexion des différentes ressources décrites au niveau de la Figure 1. Une
adresse IP publique est affectée à chaque poste ou serveur connecté au réseau
de l’université.

Exercice (suite)
Figure 1: Architecture du réseau de l'université initialement conçu

Exercice (suite)
 1. Selon l’architecture initialement conçue et décrite par la Figure 1, donner
quatre situations d’attaques de sécurité possibles ayant comme cible le réseau de
l’université.
 2. Quelles sont les mécanismes et services de sécurité à mettre en place pour
assurer une protection contre l’introduction de la technologie WiFi au niveau du
réseau de l’université.
 3. Citer quatre mesures à mettre en place pour assurer la sécurisation du point
d’accès pour le réseau WiFi.
 4. Donner deux solutions possibles pour l’administration des équipements du
réseau de l’université de façon sécurisée.
 5. Citer une méthode à suivre pour la séparation des ressources et une technique
pratique pour implémenter cette séparation.
 6. Proposer une nouvelle architecture pour le réseau décrit par la Figure 1 qui
assure un niveau de sécurité acceptable tout en satisfaisant les besoins cités au
début de l’exercice. Commenter l’architecture proposée et mentionner s’il existe
des équipements qui doivent être remplacé ou éliminé et quelles sont les
fonctionnalités assurées par chaque équipement.
Exercice (suite)
 1- L’établissement d’une connexion TCP se fait,


 a) suite à l’échange de trois paquets entre le client et le serveur dont deux

parmi eux ayant
 le flag SYN mis à 1.
 b) suite à l’échange de données entre le client et le serveur (par exemple :
affichage de la
 page d’accueil d’un site web).
 c) suite au passage du serveur à l’état ESTABLISHED.
 d) suite à la réception du serveur du paquet ayant le flag SYN et ACK mis à 1.

Exercice (suite)
 2- Un firewall ne protège pas contre les attaques,


 a) lorsqu’il est de type logiciel et installé sur une machine performante.

 b) si la politique par défaut « ce qui n’est pas explicitement interdit est
permis » est appliquée.
 c) s’il est placé derrière le routeur.
 d) lorsqu’il est mal configuré.

Exercice (suite)
 3- Au niveau d’un scénario d’attaque:
 a) la première opération réalisée par un intrus contre la cible est l’installation

des backdoors pour cacher les traces.
 b) l’intrus tente de remonter en privilège si ces tentatives pour gagner l’accès
à la cible d’attaque échouent.
 c) La phase de scan de la cible se fait juste suite à la tentative de remontée
en privilège.
 d) Le gain d’accès à la cible d’attaque peut se faire suite à la collecte du trafic
comportant des mots de passe en clair.

Cours

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Cours

Diunggah oleh

Hak Cipta:

Format Tersedia

Chapitre II

Panorama des menaces et

Panorama des menaces

 erreurs de conception dans la réalisation ou la mise en

 Menaces dues aux télécommunications

 interruptions de service ou disfonctionnement

Panorama des attaques

Cacher les traces

 Principe : Inonder la cible avec un flux maximal de ping

 Ce type d’attaques consomment les ressources du système.

Source d’attaque Victime

 Envoyer un nombre important de courrier électronique

L’attaquant envoie un message ayant comme

Requête page web

 Un programme qui reste à l’état inactif tant qu’il n’est pas

 Propriété : possibilité de duplication d’une machine à une

L’occurrence de quelques événements ou l’apparition des

Des outils qui aident un administrateur système à la

 NMAP : Network MAPper

 Rappeler les trois catégories de menace

Figure 1: Architecture du réseau de l'université initialement conçu

 1- L’établissement d’une connexion TCP se fait,

 a) suite à l’échange de trois paquets entre le client et le serveur dont deux

 2- Un firewall ne protège pas contre les attaques,

 a) lorsqu’il est de type logiciel et installé sur une machine performante.

 3- Au niveau d’un scénario d’attaque:

 a) la première opération réalisée par un intrus contre la cible est l’installation

Anda mungkin juga menyukai