Fondements de la sécurité
Chapitre II
Fondements de la sécurité
Les menaces
Fondements de la sécurité 3
Accidents
incendie, explosion, implosion,
dégât des eaux
problème d’intégrité du bâtiment
catastrophes naturelles
pannes
internes (composant)
logiciel de base
externes (ex : climatisation, alimentation, · · · )
arrêt de services (Electricité, Télécom, eau, · · · )
choc, collision, chute, pollution, rayonnement, · · ·
Fondements de la sécurité 4
Erreurs
erreurs de saisie, de transmission de données
erreurs d’exploitation
Fondements de la sécurité 5
Malveillance (1)
fraude, sabotage
détournement à son avantage (versement, chantage, corruption,…)
sabotage immatériel (destruction dans le seul but de nuire)
dénis de service
indiscrétion ou écoute de ligne
détournement
copie de message
espionnage
actions indésirables
spams ou inondation (saturation par envoi des e-mails)
stockage ”pirate”
Fondements de la sécurité 6
Malveillance (2)
actions mal intentionnées
curiosité, jeu, · · ·
Décodage des chaines (canal+, Aljazeera sport,…)
craquage de codes (cartes crédits, · · · )
piratage de logiciel
craquage de sécurité
copie illicite
gravure
menaces dues aux télécommunications
Fondements de la sécurité 7
Malveillance (3)
Fondements de la sécurité 8
Evolution des menaces
accidents 24% :
en baisse (effets matériels palpables)
erreurs 14% :
en forte baisse (amélioration de la qualité des logiciels)
malveillance 62% :
en forte hausse (en progression constante)
Fondements de la sécurité 9
Chapitre II
Fondements de la sécurité
Introduction
Rappel de l’objectif de la sécurité des réseaux:
Sécuriser le système d’information contre les attaques de
sécurité.
Réduire le risque associé à chaque composante du système
d’information en mettant en place des mécanismes et des
pratiques.
Une attaque peut faire appel à un ou plusieurs
(distribuée) acteurs.
Les attaques de sécurité sont de deux types :
Attaques passives prévention
Attaques actives prévention, détection, réaction
Fondements de la sécurité 11
Scénario d’attaque suivi par un intrus
Reconnaissance
Scan de la cible
Enumération
Gain d’accès
Remonter en privilège
Maintenir l’accès
Fondements de la sécurité 12
Attaques de sécurité - Exemples
Fondements de la sécurité 13
Falsification (Tampering)
Description : Modification ou la destruction des
données.
Moyens : mauvaise utilisation des privilèges par les
utilisateurs internes, ou accès non autorisé par des agents
externes.
Risques :
Introduction des modifications sur des enregistrements (salaire,
inscription, etc.)
Effacement des logs par un intrus.
Installer des chevaux de Troie pour la collecte des mots de passe,
ou pour d’autres utilisations.
Fondements de la sécurité 14
Spoofing
Description : Se faire passer pour d’autres utilisateurs ou
machines pour obtenir des privilèges.
Moyens :
Vol de comptes, deviner des mots de passe (password guessing),
social engeneering.
IP spoofing, E-mail forging, détournement des connexions IP
(Hijacking)
Risques :
Des messages erronés (« l’examen a été reporté»).
Déni de service (IP attacks, SYN attacks, Ping-of-Death)
Fondements de la sécurité 15
Ecoute
(Eavesdropping and Packet Sniffing)
Description : Collecte des informations à partir du trafic
sans introduire des modifications.
Moyens :
Sniffers, les routeurs, les passerelles, capture et filtrage des
paquets.
Risques :
L’écoute peut être utilisé pour collecter un ensemble
d’informations envoyés à travers le réseau.
Login + mot de passe.
Numéros des cartes de crédit.
E-mails et d’autres messages
Analyse du trafic.
Fondements de la sécurité 16
Password Guessing
Une recherche exhaustive (Brute force)
Essai de toutes les combinaisons possibles.
Peut aboutir à un résultat rapidement si la longueur du
mot de passe est faible.
Une recherche intelligente
Recherche des mots de passe possibles dans un
espace restreint.
A partir d’informations relatives à l’utilisateur : son
nom, son numéro de téléphone, sa date de naissance,
etc.
Générique : des mots ou des phrases significatives,
attaque selon un dictionnaire.
Fondements de la sécurité 17
Les attaques de déni de service
(DoS/DDoS)
Attaques les plus populaires.
L’objectif de ces attaques est de créer une situation
où la victime est incapable de fournir un service à
ces clients.
Réalisé généralement suite à l’épuisement physique
ou logique des ressources au niveau des serveurs ou
des réseaux de la victime ou à travers le lien de
communication liant la victime au FSI.
Attaques de Déni de Service Distribué
Utilisation des esclaves: machines disposant des
vulnérabilités qui sont exploitées par un intrus.
Utilisation des réflecteurs: envoient des réponses
à des paquets spoofés (destination : victime)
Fondements de la sécurité 18
Ping flooding, Smurf
Principe du Smurf
Victime
Fondements de la sécurité 19
TCP SYN Flooding
Fondements de la sécurité 20
Mail bombing, Spamming
Les récepteurs du
message
répondent à
l’adresse réelle
Principe du Spamming
Hôte victime
Fondements de la sécurité 21
Web spoofing
Modification du
contenu de la page
Web Spoofing
Fondements de la sécurité 22
Exploitation des failles de sécurité
Exploiter des vulnérabilités au niveau des logiciels afin de
prendre accès au système
Buffer overflow
Failles de sécurité relatives au code Java, ActiveX.
Les informations sur les failles se propagent plus
rapidement que les remèdes
Les bulletins des hackers
Des outils disponibles pour détecter les vulnérabilités (Nessus,
ISS, MBSA, etc.)
Mais, ils sont utilisés plus par les intrus.
Des outils développés par les intrus, publiés sur Internet (ex :
rootkits, exploits).
Fondements de la sécurité 23
Dépassement de capacité d’un buffer
(Buffer Overflow)
Principe : Un programme tente de placer
d’avantage de données dans une zone de mémoire
qu’elle peut en contenir.
Les informations excédentaires risquent d’écraser ce
qui se trouve au voisinage de la zone du buffer.
Une des principales causes de cette attaque découle
de l’emploi des bibliothèques système qui ne
contrôlent pas suffisamment la portée de leurs
actions.
Ex. La bibliothèque libc du langage C (les
routines chargées de manipuler des chaînes de
caractères).
Fondements de la sécurité 24
Dépassement de capacité d’un buffer (1)
Exemple d’un programme :
int main () {
int buffer[10];
buffer[20] = 10;
}
Un programme valide qui est compilé sans erreur.
Ce programme tente d’écrire au-delà de la zone mémoire allouée pour
le buffer, qui peut causer un comportement inattendu.
La pile
Un ensemble de blocs contigus de la mémoire contenant des données.
Un pointeur SP (Stack Pointer) pointe sur la tête de la pile.
Lorsqu’un appel de fonction est réalisé, les paramètres de la fonction sont
insérés au niveau de la pile.
Fondements de la sécurité 25
Dépassement de capacité d’un buffer (2)
Puis, l’adresse de retour (adresse qui sera exécutée après le retour de
fonction), suivi par les variables locales de la fonction.
Un exemple en C :
void function (char *str) {
char buffer[16];
strcpy (buffer, str);
}
int main () {
char *str = « Chaîne supérieur à 16 bytes"; // taille de str = 27 bytes
function (str);
Tête de
} *str @ret buffer
la pile
Fondements de la sécurité 26
Dépassement de capacité d’un buffer (3)
Le programme se comporte de façon inattendu, car:
La chaîne str de 27 octets a été copiée dans une zone (buffer) qui est
allouée uniquement pour 16 octets.
Les octets en plus écrasent l’espace alloué à FP, l’adresse de retour de la
fonction, etc.
La fonction strcpy, utilisée pour la copie de la chaîne ne vérifie pas la
taille de la chaîne en paramètre.
L’exemple montre qu’un dépassement de capacité peut écraser
l’adresse de retour pour une fonction (adresse de l’instruction
suivante au niveau de la mémoire) possibilité d’altération du
chemin d’exécution d’un programme.
Un intrus qui tente de lancer un shell(avec les privilèges root)
par la réalisation d’un saut du chemin d’exécution pour le code
adéquat (qui correspond au shell).
Fondements de la sécurité 27
Cheval de Troie (Trojan Horse)
Un programme apparemment « innocent » qui
contient des instructions cachées.
Fonctionnement normal/attendu
Les actions cachées violent la politique de sécurité.
Les actions sont exécutées avec le privilège de
l’utilisateur.
Exemple : login modifié
Le programme login d’ouverture de session est modifié
afin qu’il ouvre une session mais il enregistre au niveau
d’un fichier le nom utilisateur et le mot de passe entré.
Possibilité d’envoi par email des informations collectées
à un intrus (collecte des informations).
Fondements de la sécurité 28
Les virus
Un programme qui en infecte un autre en se dupliquant
dans ce programme.
Quelques types de virus:
Virus parasite : Le virus s’attaque aux fichiers exécutables
comme partie de leurs code. Il se réplique lorsque le fichier
infecté est exécuté, et cherche s’il y a d’autres fichiers à
infecter.
Virus résident en mémoire : hébergé en mémoire comme
partie des programmes principaux du système. Il infecte tout
programme qui s’exécute.
Virus sur secteur de Boot (Boot Sector Virus): Infecte le
secteur de boot du disque, et se propage lorsque le système
d’exploitation démarre (premiers virus sur DOS).
Fondements de la sécurité 29
Bombe logique
Fondements de la sécurité 30
Les vers – Nimda
Fondements de la sécurité 31
Attaques de sécurité – Signes
d’attaques
Fondements de la sécurité 32
Attaques de sécurité – Signes d’attaques
Fichiers inhabituels
La présence de fichiers inhabituels, tout spécialement dans
les répertoires où ne se trouvent que des programmes ou des
fichiers de configuration.
Possibilité de création des procédures pour comparer la liste
courante des fichiers d’un répertoire avec une liste
précédente réputée saine.
Consommation anormale des ressources
Une consommation anormale des ressources d’un système
(temps de calcul, mémoire vive, espace disponible sur le
disque, etc.)
Fondements de la sécurité 33
Attaques de sécurité – Signes d’attaques (1)
Crashes du système
Des crashes du système inexpliqués peuvent être l’indice
d’une attaque de sécurité.
Si le système présente des vulnérabilités, un intrus va essayer
différentes façons de l’exploiter, et ces tâtonnements risquent
de provoquer des défauts de comportement du système
d’exploitation résultant très souvent en crashes.
Présence de nouveaux comptes utilisateur
Pour accéder aux ressources d’un système, le plus simple
pour un intrus est d’avoir un compte ouvert sur ce système.
Il crée un compte à son usage exclusif afin que ses activités
ne semblent pas suspectes.
Fondements de la sécurité 34
Attaques de sécurité – Signes d’attaques (2)
Existence de connexions réseaux à des ports inconnus
Des connexions établies utilisant des ports inconnus au
niveau de la machine peuvent être relatives à des backdoors.
Un administrateur doit vérifier les connexions établies au
niveau d’une machine ou un serveur ainsi que les services en
exécution sur ces derniers.
Désactivation du service d’enregistrement des
événements (log)
Généralement, un intrus cherche à cacher ses actions avant
de mener des actions malveillantes.
Le moyen : désactivation du service d’enregistrement des
événements.
Fondements de la sécurité 35
Attaques de sécurité – Outils de
détection
Fondements de la sécurité 36
Outils de détection– Wireshark
Analyseur réseaux
Capture de trafic réseau en
temps réel
Affichage des informations et
du contenu des paquets
capturés
Open source
Fonctionnel sous UNIX et
Windows
CLI (Command Line Interface) et
GUI (Graphical User Interface)
www.wireshark.org
Fondements de la sécurité 37
Outils de détection– NMAP
Fondements de la sécurité 38
Outils de détection– NMAP (1)
Scan de tous les ports Scan de quelques services
Fondements de la sécurité 39
Outils de détection– Nessus
Outil open source de détection
de vulnérabilités.
Utilisation de l’outil
Un serveur Nessus doit être
lancé avant utilisation de
l’outil.
Utilisation d’un client Nessus
pour lancer des scans.
Fondements de la sécurité 40
Outils de détection– Nessus (1)
Nessus indique le niveau de la
vulnérabilité détectée:
Low severity
Medium severity
High severity
Description de la vulnérabilité
Référence au BD
internationales (ex. CVE
number)
Possibilité d’exportation du
résultat sous plusieurs formats
(html, XML, etc.)
Fondements de la sécurité 41
Les outils de Hacking- Matasploit
Exploitation des vulnérabilités : Metasploit Framework
Le Metasploit Framework est un outil de développement et
d’exécution d’exploits. Metasploit fonctionne ainsi :
Choisir et configurer un exploit (code permettant de pénétrer un
système cible en profitant de l’un de ses bogues ; des centaines
d’exploits sont disponibles pour les systèmes Windows, Unix/Linux et
Mac OS X) ;
Vérifier si le système cible visée est sensible à l’exploit choisi ;
Choisir et configurer un payload (code qui s’exécutera après s’être
introduit dans la machine cible, par exemple pour avoir accès à un
shell distant ou un serveur VNC) ;
Choisir la technique d’encodage pour encoder le payload de sorte que
les systèmes de préventions IDS ne le détectent pas ;
Exécuter l’exploit.
Fondements de la sécurité 42
Les outils de Hacking- Backtrack
Backtrack est une distribution Linux (open Source)
Contient des outils de sécurité en partant du scanner de port jusqu'aux crackers de mot-de-
passe.
Il est favorablement connue et utilisé à des fins d'audit de réseaux sans fil Wi-Fi
Les outils qu‘il regroupe mettent en évidence le manque de fiabilité des chiffrements WEP
et WPA.
BackTrack organise ses outils dans 11 catégories:
Collecte de l'information
Mapping Network
L'identification des vulnérabilités
Analyse des applications Web
Analyse de réseau radio (802.11, Bluetooth, RFID)
Pénétration (Exploit & Toolkit ingénierie sociale)
Élévation de Privilèges
Maintenir l'accès
Digital Forensics
Reverse Engineering
Voice Over IP
Fondements de la sécurité 43
Exercice
Fondements de la sécurité 44
Exercice (suite)
Exercice 1 :
Un campus universitaire a mis en place un réseau afin d’interconnecter
l’ensemble de ses ressources. Quelques besoins ont été définis et qui sont les
suivants :
Partage de ressources entre étudiants (serveur interne n°1).
Partage de ressources entre enseignants (serveur interne n°2).
Accès à Internet pour les enseignants et les étudiants.
Accès des utilisateurs externes au serveur web de l’université.
Accès au serveur d’impression uniquement aux enseignants.
Selon l’architecture mise en place (Cf. Figure 1), le routeur assure uniquement le
routage du trafic. Un étudiant disposant d’un ordinateur portable pourra se
connecter au réseau WiFi, s’il se trouve dans la zone de couverture. L’équipe
responsable de la mise en place du réseau a acquis des Hubs pour assurer
l’interconnexion des différentes ressources décrites au niveau de la Figure 1. Une
adresse IP publique est affectée à chaque poste ou serveur connecté au réseau
de l’université.
Fondements de la sécurité 45
Exercice (suite)
Fondements de la sécurité 48
Exercice (suite)
Fondements de la sécurité 49
Exercice (suite)
Fondements de la sécurité 50