1 réseaux et protocoles-sécurité-partie 1 v2

Réseaux & Protocoles

ENSA-Khouribga

S é c u r i t é d e s r é s e a u x Slide 1

Y. I. KHAMLICHI

Youness IDRISSI KHAMLICHI

(ykhamlichi@gmail.com)

2012/2013

Sécurité des réseaux

ENSA-Khouribga

Y. I. KHAMLICHI

Sommaire

Partie II: Sécurité des réseaux

Connaître les ennemis

Les attaques réseaux

La cryptographie

ENSA-Khouribga

Y. I. KHAMLICHI

Problématique

La vulnérabilité de réseau (Internet):

Ordinateurs constamment connectés à Internet par modems, câbles ou lignes d’abonnés numériques

Vulnérables puisqu’ils utilisent une adresse Internet permanente qui permet de les repérer facilement

La voix sur IP, très souvent non cryptée, peut être écoutée par toute personne reliée au réseau

L’usage accru du courriel pouvant comporter des virus en pièce jointe et de la messagerie instantanée (MI) dont les messages texte sont non sécurisés, augmentent la vulnérabilité

ENSA-Khouribga

Y. I. KHAMLICHI

Introduction à la sécurité

La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés

Il peut s'agir :

d'empêcher des personnes non autorisées d'agir sur le

système de façon malveillante

d'empêcher les utilisateurs d'effectuer des opérations

involontaires capables de nuire au système

de sécuriser les données en prévoyant les pannes

de garantir la non-interruption d'un service

ENSA-Khouribga

Y. I. KHAMLICHI

Les causes d’insécurité

On distingue généralement deux types d'insécurité :

l'état actif d'insécurité: la non-connaissance par

l'utilisateur des fonctionnalités du système, dont certaines

pouvant lui être nuisibles (ex: la non-désactivation de

services réseaux non nécessaires à l'utilisateur)

l'état passif d'insécurité: lorsque l'administrateur (ou

l'utilisateur) d'un système ne connaît pas les dispositifs

de sécurité dont il dispose

ENSA-Khouribga

Y. I. KHAMLICHI

Le but des agresseurs

Les motivations des agresseurs que l'on appelle "pirates" peuvent être multiples :

l'attirance de l'interdit

le désir d'argent (ex: violer un système bancaire)

le besoin de renommée (impressionner des amis)

l'envie de nuire (détruire des données, empêcher un système de

fonctionner)

Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens :

l'obtention d'informations utiles pour effectuer des attaques

utiliser les failles d'un système

l'utilisation de la force pour casser un système

ENSA-Khouribga

Y. I. KHAMLICHI

Problèmes de sécurité

Les problèmes de sécurité des réseaux peuvent être classés en 4 catégories:

La confidentialité: seuls les utilisateurs autorisés

peuvent accéder à l’information

L’authentification: avoir la certitude que l’entité avec

laquelle on dialogue est bien celle que l’on croit

Non-répudiation: concerne les signatures

Contrôle d’intégrité: comment être sûr que le message

reçu est bien celui qui a été envoyé (celui-ci n’a pas été

altéré et modifié)

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques, services et mécanismes

L’administrateur doit tenir compte des 3 aspects de la sécurité de l’information:

Service de sécurité: pour contrer les attaques de sécurité

et améliorer la sécurité des SI

Mécanisme de sécurité: pour détecter, prévenir ou

rattraper une attaque de sécurité

• Usage des techniques cryptographiques

Attaque de sécurité: une action qui compromet la sécurité

de l’information possédé par une organisation

• Obtenir un accès non-autorisé, modifier

ENSA-Khouribga

Y. I. KHAMLICHI

Définition

La sécurité Informatique consiste à la protection: de l’information des services des systèmes Contre Les menaces volontaires Les menaces involontaires Influençant leur Confidentialité Intégrité Disponibilité

Confidentialité

Intégrité Disponibilité

Sécurité du

Système

d’information

ENSA-Khouribga

Y. I. KHAMLICHI

Propriété de base : sécurité

Sécurité = confidentialité + intégrité + disponibilité

Perte de confidentialité = divulgation non-autorisée d’information

Perte d’intégrité = altération de l'information

Perte de disponibilité = interruption d'accès à l'information ou interruption du service d'un système d'information

"For most distributed systems, the security objectives of confidentiality, integrity, and availability of information apply. A loss of confidentiality is the unauthorized disclosure of information. A loss of integrity is the unauthorized modification or destruction of information. A loss of availability is the disruption of access to or use of information or an information system." [NIST]

ENSA-Khouribga

Y. I. KHAMLICHI

Définition

Confidentialité

Intégrité Disponibilité

Sécurité du

Système

d’information

Seuls les personnes habilités

peuvent accéder aux

informations

Assurer l’accès aux

informations

Les données ne sont pas

altérées ni altérables

ENSA-Khouribga

Y. I. KHAMLICHI

Propriété de base : 1 – Confidentialité

Les données ne doivent être accessibles qu’aux personnes autorisées, de la manière autorisée.

Afin de permettre ces accès discriminatoires, il est nécessaire de :

• Pouvoir identifier les utilisateurs.

• Définir des niveaux d’accès aux données.

• Associer les utilisateurs aux droits d’accès.

• Vérifier les tentatives d’accès

ENSA-Khouribga

Y. I. KHAMLICHI

Propriété de base: 2 – Intégrité

Les données ne doivent pas être altérées durant la communication.

La confidentialité ne peut s’appliquer en milieu ouvert ; les données doivent être protégées d’une autre manière (cryptage).

Lors d’échange d’informations entre tiers, l’intégrité est essentielle. Il est aussi indispensable de garantir l’identité des intervenants : NON REPUDIATION.

ENSA-Khouribga

Y. I. KHAMLICHI

Propriétés de base: 3 – Disponibilité

Les données doivent être disponibles en permanence.

Pour garantir cette disponibilité,

les données doivent être protégées contre les

erreurs de manipulation.

Les moyens d’accès (réseau, modem, …) seront

toujours opérationnels.

ENSA-Khouribga

Y. I. KHAMLICHI

Besoins de sécurité selon les secteurs

Défense, gouvernement :

confidentialité >> intégrité, disponibilité

Finance :

intégrité >> disponibilité > confidentialité

Autres : industrie, administrations, médecine, …

ça dépend!

Il faut définir les besoins spécifiques de l'application : Politique de sécurité

ENSA-Khouribga

Y. I. KHAMLICHI

CONNAÎTRE LES ENNEMIES

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan (cheval de troie)

Logiciel qui permet de prendre le contrôle à distance d'un autre ordinateur.

le pirate infecte sa cible avec un logiciel serveur qui permettra

de copier, lire, voir ce qui se passe sur la machine infectée.

Un trojan ne peut fonctionner que si la machine à pirater

possède le serveur du trojan et que cette machine est

connectée sur le Web.

Les trojan les plus connus et utilisés sont : Back Orifice,

NetBus, Subseven…

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan (cheval de troie) : Description

C’est un programme ayant deux caractéristiques:

Un comportement apparent utile à l’utilisateur de l’ordinateur

(c'est le porteur, la partie visible du cheval que les grecs

exhibèrent devant Troie).

Un comportement caché, malveillant, conduisant à la

destruction ou la divulgation des données ou à l'ouverture

d'une porte dans le système de communication et à

l'espionnage ou à la publicité etc. ... (c'est la cohorte des grecs

sortant en cachette du cheval pour ouvrir les portes de Troie et

permettre au reste de l'armée grecque d'entrer et totalement

détruire Troie).

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan (cheval de Troie) : Types

Les chevaux de Troie se répartissent en plusieurs sous-catégories:

1. Les portes dérobées

2. Les chevaux de Troie PSW

3. Les chevaux de Troie cliqueurs

4. Les chevaux de Troie droppers

5. Les chevaux de Troie proxy

6. Les chevaux de Troie espion

7. Les chevaux de Troie notificateurs

8. Les bombes d’archives

9. Les Man in the Browser

Source : http://fr.wikipedia.org/wiki/Cheval_de_Troie_(informatique)#Types_et_modes_op.C3.A9ratoires

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Porte dérobée « Backdoor »

Outil de pirate créant une faille de sécurité en maintenant ouvert un port de communication afin de permettre dans un second temps, quelquefois plusieurs mois plus tard (ou jamais), d'attaquer une machine.

Le backdoor est diffusé par les mêmes voies que les virus afin d'infester un maximum de machines.

Il va ensuite s'arranger pour être lancé automatiquement à chaque démarrage de la machine infestée puis va maintenir un port ouvert dès qu'il y a connexion.

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Porte dérobée « Backdoor »: description

La personne connaissant la porte dérobée peut l’utiliser pour:

surveiller les activités du logiciel

voire en prendre le contrôle (par contournement de

l'authentification)

contrôler l'ensemble des opérations de l'ordinateur.

Certains s'attaquent à des canaux de communications particuliers comme IRC (protocole Internet Relay Chat)...

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Les chevaux de Troie PSW

Recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.)

Puis envoient les données recueillies à la personne malintentionnée par mail.

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Les chevaux de Troie cliqueurs

Redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet.

Ils peuvent détourner le fichier hosts (sous Windows).

Ils ont pour but d'augmenter le trafic sur un site Web, à des fins

publicitaires ;

d'organiser une attaque par déni de service ;

ou de conduire le navigateur web vers une ressource infectée

(par des virus, chevaux de Troie, etc.).

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Les chevaux de Troie droppers

Installent d'autres logiciels malveillants à l'insu de l'utilisateur.

Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile.

Il l'installe sans afficher d'avertissement ou de message d'erreur (dans un fichier archivé ou dans le système d'exploitation).

Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour but de détourner l'attention de l'utilisateur ou à lui faire croire que l'activité du dropper est inoffensive.

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Les chevaux de Troie proxy

Servent de serveur proxy pour diffuser massivement des messages électroniques de spam.

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Les chevaux de Troie espion

Sont des logiciels espions et d'enregistrement des frappes (clavier), qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur,

puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant.

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Les chevaux de Troie notificateurs

Sont inclus dans la plupart des chevaux de Troie.

Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées (adresse IP, ports ouverts, adresses de courrier électronique, etc.) sur l'ordinateur attaqué.

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Bombes d’archives

Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir.

Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs.

ENSA-Khouribga

Y. I. KHAMLICHI

Trojan : Les Man in the Browser

Les Man in the Browser infectent les navigateurs web

ENSA-Khouribga

Y. I. KHAMLICHI

Password cracking

Il est très souvent facile d'obtenir le mot de passe d'un utilisateur peu avisé. Même les plus prudents ne sont pas à l'abri d'un regard attentif au-dessus de l'épaule.

Evitez spécialement les mots de passe faits de mouvements réguliers sur le clavier du type azerty.

Une autre erreur classique est d'utiliser comme mot de passe le nom d'utilisateur comme guest - guest.

Il faut également se méfier des faux programmes de login ou des programmes qui utilisent la force brute pour détecter un mot de passe à partir d'un dictionnaire. Les plus redoutables crackers auront même recours au "eavesdropping » (L'écoute clandestine) pour capturer votre mot de passe en "sniffant" les paquets réseau.

ENSA-Khouribga

Y. I. KHAMLICHI

Social engineering

Un pirate informatique a quelquefois bien plus de talents psychologiques que de compétences informatiques.

Toutes les attaques informatiques n'ont pas l'efficacité d'un simple coup de fil donné d'un ton assuré pour réclamer un mot de passe oublié ou égaré.

ENSA-Khouribga

Y. I. KHAMLICHI

Keylogger

Les Keyloggers sont des programmes, commerciaux ou non, d'espionnage.

Ils peuvent être installés silencieusement et être actifs de manière totalement furtive sur votre poste de travail.

Ils effectuent une surveillance invisible et totale, en arrière-plan, en notant dans des fichiers cachés et compressés le moindre détail de votre activité sur un ordinateur dont toutes les touches frappées au clavier, d'où leur nom de "key-logger".

ENSA-Khouribga

Y. I. KHAMLICHI

Keylogger

Ils sont aussi capables de faire un film de tout ce qui se passe à l'écran, en continu ou par capture d'écran à intervalles réguliers...

Ils notent quels programmes sont utilisés et pendant combien de temps, les URL visitées, les e-mails lus ou envoyés, les conversations de toutes natures... dès la mise sous tension de la machine.

Ils permettent, par la même occasion, de lire les champs habituellement cachés comme les mots de passe, les codes secrets etc. ...

ENSA-Khouribga

Y. I. KHAMLICHI

Profiler et Profiling

Espionnage pour établissement des profils des internautes.

Le profiling, mené par des profilers, est l'activité d'espionnage la plus répandue sur le NET.

savoir tout de moi, ce que j'achète, les sites que je visite, ce

que je dit, ce que je regarde, ce que je pense, mes convictions

religieuses, politiques, économiques, sociales, mon revenu,

mon patrimoine, mes amis, ma famille, ce que je mange, mes

e-mails, mes intensions, mes projets, mes vacances, mes

goûts, mes photos, mes films, mes livres, l'historique de mes

achats, etc. ...."

ENSA-Khouribga

Y. I. KHAMLICHI

Profiler et Profiling

La règle du jeu est simple :

surveillance et contrôle de manière continue des individus,

Obtenir toutes ses informations

et faire un rapport de ces informations.

Les différents outils de profiling:

Adservers

Adwares

Spywares (spy)

Index.dat

Web-Bug (Weacon)

Traces (Traceur, Tracing)

ENSA-Khouribga

Y. I. KHAMLICHI

Adservers

Les cannons à publicités , Adserver (Advertising server - Serveur de publicités)

Ils représentent l'acharnement agressif des publicistes à polluer nos sites, notre surf, notre bande passante et nos yeux (et même nos oreilles avec certaines publicités en "reach media").

Ce sont des couples matériel / logiciel mais, essentiellement, en ce qui nous concerne, ce sont des ordinateurs appelés "serveurs", sur le net, ayant un nom de domaine et une adresse ip.

ENSA-Khouribga

Y. I. KHAMLICHI

Adwares

Les gestionnaires de publicités

Deux définition pour adware :

Un adware est un programme qui dirige les publicités ciblées

vers votre ordinateur,

Un adware est un "petit" utilitaire gratuit - un "freeware" ou

"shareware" - supporté par un peu de publicité, en incrustant

de bannières publicitaires gérées par un adware incorporé

• L'adware est donc alors un freeware dont le créateur conserve la

propriété intellectuelle (copyright) et ne nous réclame pas de droit

d'usage. En contrepartie, il perçoit une compensation monétaire en

insérant un (ou des) bandeau(x) publicitaires dans son programme.

Plusieurs de ces programmes n'ont pas besoin de fonctionner en ligne

• Ex epmle : Go!zilla, KaZaA etc

ENSA-Khouribga

Y. I. KHAMLICHI

Spywares

Spyware et un acronyme anglais venant de "Spy" (espion / espionne en anglais) et "ware" qui désigne une classe de logiciels (freeware, shareware, payware etc. ...). La traduction française en Logiciel Espion a donné Espiogiciel ou Espiongiciel.

C’est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).

ENSA-Khouribga

Y. I. KHAMLICHI

Spywares : Types

On distingue généralement deux types de spywares :

Les spywares internes (ou spywares intégrés) comportant

directement des lignes de codes dédiées aux fonctions de

collecte de données.

Les spywares externes, programmes de collectes autonomes

installés,

Une liste non exhaustive de spywares non intégrés :

Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin,

Conducent Timesink, Cydoor, Comet Cursor, Doubleclick,

DSSAgent, EverAd, eZula/KaZaa Toptext,

Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar,

ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy,

Xupiter, Web3000 et WebHancer

ENSA-Khouribga

Y. I. KHAMLICHI

Les fichiers index.dat

Ces fichiers représentent un condensé de toute notre activité (en ligne et hors ligne).

Ils peuvent être lu par n'importe qui.

Il y a les traces de notre activité que nous laissons un peu partout dans notre ordinateur et que nous tentons d'effacer de temps en temps (les historiques, les cookies, les répertoires temporaires, les derniers documents manipulés, etc. ...).

ENSA-Khouribga

Y. I. KHAMLICHI

Web-Bug (Web Bug, Webug, Weacon)

Web-Bug : mouchard caché en micro-image invisible dans une page web ou un e-mail, servant à déclencher l'exécution d'un script depuis un site extérieur.

Le Web Bug est une astuce d'utilisation d'une forme publicitaire, la bannière ou la pop-up, dans le but exclusif de traquer (tracking), tracer ou espionner (spyware).

ENSA-Khouribga

Y. I. KHAMLICHI

Traces, Traceur, Tracking

Capture par espionnage de tous vos faits et gestes en matière de navigation et activité afin de déterminer vos centres d'intérêt pour établir vos profils :

de consommateur (afin de vous jeter à la figure la bonne

publicité au bon moment !),

psychologique (êtes-vous une personne facilement

manipulable et influençable) - très grand intérêt pour les

"maîtres" de toutes sortes comme les sectes, les réseaux

terroristes etc. ,

socio professionnel (vos revenus m’intéressent), culturel (les

sites visités, vos livres, films, musés, expos, théâtres,

manifestations etc. ... visités)...

ENSA-Khouribga

Y. I. KHAMLICHI

Les virus

Qu’est ce qu’un virus

Un petit programme ou un élément d’un

programme développés à des fins

nuisibles, qui s'installe secrètement

sur des ordinateurs et parasite des

programmes.

Les traces

Les virus infectent des applications,

copient leur code dans ces

programmes. Pour ne pas infecté

plusieurs fois le même fichier ils

intègrent dans l’application infectée

une signature virale.

ENSA-Khouribga

Y. I. KHAMLICHI

Qu’est qu’un ver ?

Programme capable de se copier

vers un autre emplacement par ses

propres moyens ou en employant

d'autres applications.

ENSA-Khouribga

Y. I. KHAMLICHI

Les bombes logiques

Les bombes logiques sont programmées pour

s'activer quand survient un événement précis.

De façon générale, les bombes logiques visent

à faire le plus de dégât possible sur le système

en un minimum de temps.

ENSA-Khouribga

Y. I. KHAMLICHI

LES ATTAQUES RÉSEAUX

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques réseaux

L’administrateur doit tenir compte des 3 aspects de

la sécurité de l’information:

Service de sécurité: pour contrer les attaques de

sécurité et améliorer la sécurité des SI

Mécanisme de sécurité: pour détecter, prévenir ou

rattraper une attaque de sécurité

• Usage des techniques cryptographiques

Attaque de sécurité: une action qui risque la sécurité

de l’information possédé par une organisation

• Obtenir un accès non-autorisé, modifier,

ENSA-Khouribga

Y. I. KHAMLICHI

Schéma classique d’une attaque

Collecte

d’informations

Intrusion

Repérage

des failles Balayage

Compromission Extension

des privilèges

Nettoyage

des traces Porte dérobée

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques réseaux

ENSA-Khouribga

Y. I. KHAMLICHI

Buts des attaques

Interruption : vise la disponibilité des informations

Interception: vise la confidentialité des Informations

Modification: vise l’intégrité des Informations

Fabrication: vise l’authenticité des informations

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : niveaux

Une entreprise peut être victime d’une attaque à trois niveaux.

L’ attaque externe. L’attaque est réalisée depuis l’extérieur et utilise les points d’ouverture (serveur mail, serveurs Web, …). Très médiatisée, elle est délicate et ne produit que très rarement un résultat.

L’attaque interne. Elle se produit depuis l’intérieur du réseau, elle est généralement le fait d’un collaborateur. « Pour hacker, fais-toi engager ». Elle représente 87% des attaques efficaces.

L’attaque physique. Partir avec les machines reste toujours la méthode la plus efficace.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : Menaces

Attaques passives: • Capture de contenu de message et analyse de trafic

• écoutes indiscrètes ou surveillance de transmission

Attaques actives: • Mascarade, déguisement

• modifications des données,

• déni de service pour empêcher l’utilisation normale ou la gestion

de fonctionnalités de communication

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : auteurs

Les attaques peuvent être l’œuvre de plusieurs types de profiles:

L’employé curieux. Il est ‘intéressé’ par l’informatique pour voir ce qu’il peut trouver. Il n’est pas malveillant et communiquera souvent les éventuelles failles qu’il découvre.

L’employé vengeur. Il s’estime floué par l’entreprise (renvoi ‘non justifié’, pas de promotion, ….). Il veut causer un maximum de dégâts, parfois même sans se cacher. S’il s’agit d’un informaticien, il peut causer des dégâts considérables. S’il s’agit d’un responsable sécurité, il peut causer des dégâts irrémédiables.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : auteurs

Un hacker. Le hacker est un spécialiste de très haut niveau. Généralement programmeur,

• il porte un énorme intérêt à maîtriser tous les mécanismes de

fonctionnement interne d’un système.

• Il peut découvrir des failles dans un système et leur origine.

• Il cherche à améliorer ses connaissances,

• partage généralement ses découvertes et ne CHERCHE PAS A NUIRE.

Les hackers sont fréquemment amenés à concevoir des outils d’analyse des systèmes.

Un hacker produit des attaques pour mettre au point la sécurité.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : auteurs

Le Cracker. Il s’agit d’un individu qui cherche à forcer l’intégrité d’un système à des fins malveillantes (vol de données, destruction de données, corruption de données, destruction de matériel, espionnage …).

Il peut posséder un degré de connaissances élevé, parfois équivalent à celui d’un hacker.

Il peut aussi ne pas être spécialiste et se contenter d’utiliser les outils développés par un Hacker.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : Hacking

Hacking : c’est l’ensemble des techniques visant à attaquer un réseau, un site ou un équipement

Les attaques sont divers, on y trouve:

L’envoie de bombe logiciel, chevaux de Troie

La recherche de trou de sécurité

Détournement d’identité

Les changements des droits d’accès d’un utilisateur d’un

Provocation des erreurs

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : Hacking

Les attaques et les méthodes utilisées peuvent être offensives ou passives: Les attaques passives consistent à écouter une ligne de

communication et à interpréter les données qu’ils interceptent

Les attaques offensives peuvent être regrouper en :

• Attaques directes: c’est le plus simple des attaques, – le Hacker attaque directement sa victime à partir de son

ordinateur.

– Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de l’attaque et à identifier l’identité du Hacker

• Attaques indirectes (par ruban): passif, cette attaque présente 2 avantages:

– Masquer l’identité (@ IP du Hacker)

– Éventuellement utiliser les ressources du PC intermédiaire

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques : types

Les attaques informatives. Elles visent à obtenir des informations sur le système.

Ces informations seront ensuite utilisables pour définir des failles dans la sécurité.

Les attaques de déni de service (DoS : Denial of Service). Elles visent à surcharger le système avec des requêtes

inutiles.

Elles permettent de remplir les logs et de rendre l’audit ingérable.

Elles peuvent aussi masquer d’autres attaques.

Les attaques destructrices. Elles visent à rendre inopérant soit les applications, soit

le système.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques informatives – « Social engineering »

Il ne s’agit nullement d’une technique informatique. Il s’agit d’essayer d’obtenir des informations sur le réseau en … posant des questions!

Exemples :

Je suis « X », le nouveau membre du service informatique, j’ai besoin de votre mot de passe pour ….

Je procède à un sondage pour Datatrucinfo, pouvez-vous me dire si vous utilisez un firewall, si oui quel type, …

Cette technique est très efficace !

PARADE : Education des utilisateurs

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques informatives – « sniffing »

Ecouter tout ce qui passe sur le réseau. Méthode très efficace pour collecter des données.

PARADE : parade

• Segmentation et routage.

• Réseau switché.

• Cryptage.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques informatives - « Internet queries »

Requêtes HOST

Requêtes WHOIS

(Recherche de nom de domaine)

Requêtes FINGER

finger courriel@unix.darpa.net (sous linux): pour recevoir une

réponse contenant habituellement le nom de la personne, leur

numéro de téléphone, et l'entreprise pour laquelle ils

travaillaient. Cette information était entièrement configurable

par l'usager (cette commande est généralement désactivée

par défaut)

Requêtes PING

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Port scanning »

Le port scanning permet d’obtenir la liste de tous les ports ‘ouverts’.

Cette liste va permettre :

• De savoir quelles sont les applications qui sont exécutées par

les systèmes cible.

• D’estimer correctement le système d’exploitation, et donc

d’essayer les attaques spécifiques connues pour celui-ci.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Consommation de bande »

Cette attaque vise à saturer la bande passante d’un réseau avec du trafic pirate, ne laissant plus de place au trafic ‘normal’.

Ce type d’attaque peut être interne ou externe.

Dans le cas d’attaque externe, il faut:

• Soit disposer d’une connexion supérieure à celle que l’on veut

saturer.

• Soit utiliser plusieurs connexions dont le débit cumulé sera

supérieur à celui de la connexion à saturer.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Epuisement des ressources »

Plutôt que de saturer la ligne, on vise à saturer la machine (CPU, mémoire, disques).

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Routage et DNS »

Ce type d’attaque vise à modifier les entrées d’un serveur DNS pour faire pointer un nom ‘dans le vide’ ou vers une machine incorrecte.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Défaut de programmation »

Tous les systèmes d’exploitation, les cpu, les logiciels d’applications ont présentés ou présentent en général un ou plusieurs défauts.

Les hackers ont analysés ceux-ci et établi des correctifs.

Cependant, si ces correctifs ne sont pas mis en place, ces défauts permettent de bloquer le système

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Smurf »

Une attaque smurf inclus trois acteurs : la cible, le pirate et le réseau amplificateur.

Le pirate envoie au réseau amplificateur une requête demandant une réponse (type ICMP ECHO ou UDP ECHO). Cette requête est fabriquée pour sembler provenir de la cible. Chaque machine du réseau amplificateur va donc répondre à la machine source (la cible).

La cible va donc être submergée.

L’attaque UDP echo s’appel : « Fraggle »

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Inondation Syn »

L’attaque en ‘syn flood’ s’appuie sur le mécanisme d’établissement de connexion réseau.

Ce mécanisme est le suivant : Demande de connexion (Syn)

Confirmation réception (Syn/Ack)

Confirmation (Ack)

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Inondation Syn »

Syn flood (suite)

Si la machine qui émet le paquet de demande de connexion le fait avec une adresse source correspondant à une machine inexistante;

La machine contactée répond à cette demande et envoie la réponse ‘à la machine qui a demandé la connexion’; donc vers nulle part.

Comme personne ne répond , la machine reste en attente (de 75 secondes à 23 minutes).

Si les machines acceptent des centaines de connexions simultanées, elles ne supportent que quelques demandes.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – «Email Bombs »

Les ‘Email Bombs’

Il s’agit d’envoyer un volume énorme de courrier électronique vers une boîte aux lettres ou vers un serveur.

La plupart des administrateurs constituent leurs adresses Email sous la forme prénom.nom@domaine ; il est donc facile de ‘deviner’ vers quelles boîtes aux lettres envoyer du courrier.

Les liaisons de liste

Le principe est d’inscrire la cible sur des dizaines de listes de distribution. De ce fait, il est surchargé de courrier provenant de plusieurs sources.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques de déni de service – « Spamming »

Mail Spamming

Le mail spamming consiste à envoyer une quantité de messages adressés à xcvdfgetr@domain ; xcvdfgetr pouvant varier.

Le serveur va ainsi consommer des ressources pour répondre ‘xcvdfgetr’ est inconnu.

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques destructrices – « Virus »

Les Virus

AXIOMES :

Personne n’est à l’abri des virus.

Tous les points d’entrée doivent être équipés d’un anti-virus.

Aucun anti-virus n’est totalement efficace.

Les logiciels anti-virus doivent être mis à jour en permanence. Il faut idéalement disposer d’un anti-virus qui peut fonctionner par comportement en plus des recherches de signatures.

ENSA-Khouribga

Y. I. KHAMLICHI

Virus (suite)

La mise à jour de l’anti-virus peut se faire de manière automatique. Soit par connexion distante, soit via Web.

Les points d’entrée classiques des virus sont : • Les lecteurs de disquette. • Les lecteurs de cd, de dvd • Les courriers électroniques et les messages attachés. • Les sites Internet.

Les virus constituent actuellement la préoccupation majeure des entreprises.

ENSA-Khouribga

Y. I. KHAMLICHI

Le coût de protection contre les virus est important. Il est cependant très inférieur aux coûts résultants des dégâts que le virus peut entraîner.

Rappelez-vous le virus « I Love You ».

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques destructrices – « Chevaux de Troie »

Un cheval de Troie est un programme ou un code non autorisé placé dans un programme « sain ».

Ceci rend le cheval de Troie difficile à détecter. De plus, les fonctions ‘non attendues’ des chevaux de Troie peuvent ne s’exécuter qu’après une longue phase de ‘sommeil’.

Les chevaux de Troie peuvent effectuer toute action. Ils peuvent donc être des attaques informatives, des attaques de déni de service ou des attaques destructrices.

Ils sont particulièrement dévastateurs car ils s’exécutent souvent de l’intérieur du réseau.

Pour se protéger des chevaux de Troie : checksum, MD5

ENSA-Khouribga

Y. I. KHAMLICHI

Attaques destructrices – « Password Attacks »

Les attaques de mots de passe visent à obtenir une information permettant l’accès à un système (Login + Password)

Le password est toujours le point le plus faible d’une infrastructure de sécurité. Différents outils existent selon les environnements.

L’obtention d’un mot de passe induit des failles de sécurité directement proportionnelles aux privilèges de l’utilisateur ainsi visé.

L’obtention d’un mot de passe administrateur permet de TOUT faire sur le réseau.

1 réseaux et protocoles-sécurité-partie 1 v2

Education

Les protocoles des réseaux

SÉCURITÉ DES RÉSEAUX SÉCURITÉ DES RÉSEAUX SANS FIL

Etat de l’Art Définition, Protocoles, Sécurité… · Objets Connectés - Etat de l’Art : Définition, Protocoles, Sécurité… patrice.wira@uha.fr Smart homes : • Prolongement

La sécurité des réseaux

UF9 - Architectures et protocoles de réseaux

les protocoles TCP/IP - cvardon.fr v4.pdf · LP Château-Blanc Section Bac Pro SEN TR Les réseaux locaux (LAN) 1 Les protocoles TCP/IP Les Réseaux les protocoles TCP/IP Version

PLAN DE COURS IFT-3201 : Sécurité dans les réseaux ... · Concepts de base de la sécurité dans les réseaux informatiques. Les faiblesses des protocoles réseau. Les principales

Réseaux et Protocoles NFP 104

TP 1 Configuration de routage OSPF - efreidoc.frefreidoc.fr/L3/Réseaux et Protocoles/Anglais/TP/2010-11/TP... · Laboratoire Télécom&Réseaux TP Protocoles-Interconnexions –

TD1 réseaux (les protocoles applicatifs de l'Internet)

Architectures et Protocoles des Réseaux - Chapitre 1 - Introduction

Introduction Réseaux Topologies Protocoles …mathieu.marleix.free.fr/Cours/Sarah/TD_Réseaux_ESIEE_11_12.pdf · Introduction Réseaux – Topologies – Protocoles ... TCP/IP, TCP

Architectures et Protocoles des Réseaux

1 - Réseaux Et Protocoles-Sécurité-partie 1 v2

Protocoles Localisés pour Réseaux de Capteurs

Réseau avec Java: M2 informatique Protocoles et réseaux

1 Les Réseaux locaux Classification des réseaux La topologie Interconnexion de réseaux Larchitecture Ethernet Les protocoles La supervision

(Protocoles, Architectures, Réseaux sans fil, · Editions ENI Réseaux informatiques Notions fondamentales (Protocoles, Architectures, Réseaux sans fil, Virtualisation, Sécurité,

Réseaux et sécurité, Réseaux, état de l'art

Simulation du protocole de routage binary waypoint sur WSNet · • Les réseaux locaux sans fils (802.11, Bluetooth, protocoles MAC avancés) • Les réseaux maillés (protocoles