SOMMAIRE

Listes Des Figures...................................................................2

Liste Des Tableaux................................................................................................4
Remerciements.....................................................................................................5
Dédicaces.................................................................................................................6
Introduction générale............................................................................................8
Problématique.........................................................................................................9
ETUDE PRELIMINAIRE...................................................................................10
Présentation de l’entreprise MANDIGO SARL..........................................................11
Présentation du projet principal................................................................................23
ETUDE TECHNIQUE.........................................................................................25
Notions générales sur les réseaux et la sécurité informatique.....................................26
La Sécurité informatique..........................................................................................33
Système de détection et de prevention d’intrusion...............................................51
MISE EN PLACE DE SYSTEME DEDETECTION D’INTRUSION ET
RESULTAT...........................................................................................................70
Présentation et configuration de PfSense..................................................................72
Installation et configuration de Snort........................................................................78
Test de la solution....................................................................................................86
Conclusion générale................................................................................................89
 Listes Des Figures

Listes Des Figures

1.1 attaque directe [1]..................................................................................................................

1.2 attaque indirecte par rebond [2]..............................................................................................
1.3 attaques indirectes par réponse [3]..........................................................................................

1.4 attaque par balayage ICMP [4]..............................................................................................

1.5 attaque par balayage TCP [5]................................................................................................
1.6 attaque IP spoofing [3]..........................................................................................................
1.7 principe de DDOS [6]............................................................................................................

1.8 l’emplacement d’un pare-feu dans un réseau [7]......................................................................

1.9 l’emplacement d’un proxy dans un réseau [8].........................................................................
1.10 la DMZ entre LAN et WAN [9]............................................................................................

1.11 organigramme de général emballage.........................................................................................

1.12 organigramme de service informatique dans Général Emballage.............................................
1.13 architecture du réseau.............................................................................................................

2.1 Exemple de HIDS [10]..........................................................................................................

2.2 Exemple de NIDS [10]..........................................................................................................
2.3 Exemple d’Hybride [10].........................................................................................................

2.4 architecture fonctionnelle d’un IDS [11]................................................................................

2.5 classification d’un système de détection d’intrusion [12].........................................................
2.6 illustration de l’approche scénario [13]...................................................................................

2.7 illustration de l’approche comportementale [14]......................................................................

2.8 architecture fonctionnelle d’un IPS [15].................................................................................

3.1 configuration l’interface du WAN...........................................................................................

 Listes Des Figures

3.2 attribution d’une adresse ip pour l’interface du WAN.............................................................

3.3 attribution d’une adresse ipv6 pour l’interface du WAN........................................................
3.4 configuration l’interface du LAN............................................................................................

3.5 l’enchainement du reseau........................................................................................................

3.6 configuration l’interface de pfsense.........................................................................................

3.7 maquet de test........................................................................................................................

3.8 installation package de snort...................................................................................................

3.9 création de compte sur le site de snort...................................................................................
3.10 code d’activation des régles de snort.......................................................................................

3.11 mise à jour des paquets des règles..........................................................................................

3.12 télécharger les règles de snort.................................................................................................
3.13 activation des règles...............................................................................................................

3.14 ajouter l’interface du WAN...................................................................................................

3.15 modification les paramétres du WAN.....................................................................................
3.16 La liste des alertes.................................................................................................................

3.17 La liste des adresses IP bloquées...........................................................................................

3.18 test de fiabilité d’IDS et IPS..................................................................................................
3.19 La liste des alertes aprés le test..............................................................................................
3.20 La liste des adresses ip bloquées aprés le test.........................................................................
 Listes Des Tableaux

Liste Des Tableaux

1.1 architecture du modèle OSI....................................................................................................

1.2 le modèle OSI et le modèle TCP/IP.......................................................................................

2.1la comparaison entre types

d’IDS........................................................................................52
 Remerciement

Remerciements

Nous tenons à remercier tous ceux qui nous permis que nous réalisions ce travail.

Tout d’abord nos remerciements vont à l’endroit de :

Monsieur KOFFI Kouadio Eric, directeur général de Mandigo pour sa confiance, de nous
avoir permis de travailler avec autonomie, d’avoir proposé ce sujet de mise en place d’un
système de détection d’intrusion réseau, de m’avoir conseillé et aidé lorsque des problèmes
se posaient.

Ensuite, nous voudrions remercier aussi Monsieur ASSAVEDO Emmanuel, responsable

des ressources humaines et Monsieur AMANY Christophe, responsable administratif
grâce à qui j’ai pu comprendre le fonctionnement de l’entreprise et qui ont toujours été
disponible pour me renseigner ou répondre à mes interrogations.

Enfin, nos remerciements aux enseignants de HETEC Bouake, pour m’avoir offert une
formation enrichissante dans le domaine des réseaux informatiques et de
télécommunications.
 Dédicaces

Dédicaces
²
Je dédie ce modeste travail accompagné d'un profond amour
À celle qui m'a arrosé de tendresse et d'espoir, à la source d'amour
Inaccessible, à la mère des sentiments fragiles qui m'a béni par ses prières
Ma mère
À mon soutien dans ma vie, qui m'a soutenu et guidé vers la gloire... Mon père
À mes chères sœurs
À tous mes amis d'HETEC et au Dieu tout-puissant.
 Introduction

INTRODUCTION
 Introduction Génerale

Introduction générale
Les systèmes et réseaux informatiques contiennent diverses formes de vulnéra-
bilité, donc la sécurité est, de nos jours devenue un problème majeur dans la gestion
des réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se
connecter à Internet.

Pour faire face à ces problèmes de sécurité informatique, différents mécanismes

ont été mis en place pour prévenir toute sort d’attaque comme les pare-feux,
antivirus, qui s’avèrent limités face au développement rapide des techniques de
piratage, d’où la nécessité de mettre en place un système de détection et de
prévention d’intrusion.

Le système de détection et de prévention d’intrusion, est une technique per-

mettant de détecter les intrusions de les prévenir, ce système nous aide à prévoir
,surveiller ou à identifier toute activité non autorisée dans un réseau.

Ce mémoire sera organisé comme suite :

Dans le premier chapitre, nous allons détailler des généralités sur la sécurité
informatique, et en suite nous présentons l’organisme d’accueil qui nous a pris en
charge durant toute la période de notre stage pratique.
Dans le second chapitre, nous allons donner une description bien détaillée des sys-
tèmes de détection et de prévention d’intrusion (leurs différents types, leurs principes
de fonctionnement, une comparaison entre IDS et IPS).
Enfin, dans le dernier chapitre, nous expliquerons le fonctionnement de l’outil de
détection et de prévention d’intrusion snort sous pfsense.
 Problématique

Problématique

La sécurité des réseaux informatiques constitue un enjeu majeur à l'ère de

l'évolution technologique. Malgré les avancées significatives dans les systèmes de
sécurité, il est essentiel de reconnaître que la sécurité absolue à 100 % demeure
une illusion. Chaque plateforme de sécurité présente des vulnérabilités, qu'elles
soient d'origine physique ou logique, ce qui expose les réseaux informatiques à
des risques d'intrusions frauduleuses.

L'infiltration d'un réseau par un pirate informatique peut entraîner des

conséquences dévastatrices, telles que l'introduction de virus, l'accès non autorisé
à des données sensibles, le vol ou la destruction d'informations, voire même des
activités d'espionnage. Face à ces menaces omniprésentes, il est crucial de mettre
en place des mécanismes de détection d'intrusion efficaces.

Ainsi, la problématique se pose : comment garantir un niveau de sécurité

optimal dans les réseaux informatiques en détectant rapidement et précisément les
intrusions potentielles ? L'étude se concentre sur l'examen des outils de détection
d'intrusion réseau, qui ont pour objectif de surveiller en permanence l'identité des
requêtes circulant sur le réseau. Ces outils jouent un rôle fondamental dans la
protection des réseaux en identifiant les intrus parmi le flux de trafic, en exploitant
les failles potentielles au niveau des pare-feu.

La recherche d'une solution à cette problématique revêt une importance cruciale

pour préserver la sécurité des réseaux informatiques, assurer la confidentialité des
données et minimiser les risques liés aux intrusions frauduleuses.
 PARTIE I

PARTIE I

ETUDE
PRELIMINAIRE
Chapitre 1 : Présentation de l’entreprise Abouaké.net

Chapitre 1
Présentation de l’entreprise MANDIGO
SARL
 Chapitre 1 : Présentation de l’entreprise Abouaké.net

I. PRESENTATION GENERALE DE MANDIGO SARL

1) Fiche signalétique de l’entreprise MANDIGO SARL

Rubriques Références

MANDIGO
Raison sociale
Par abréviation MDG

Société A Responsabilité Limité Pluripersonnelle

Statut Juridique
Par abréviation SARL P

N° RCCM CI-ABJ-2016-B-25168

Objet Ingénierie informatique

Capital social : 1 .000.000 FCFA

N° CC 1648842 Q / Centre des impôts de Angré 7è tranche

N° CNPS 299175

Nom & Prénoms Fonctions

Dirigeants
KOFFI KOUADIO ERIC Directeur Général

Siège social République de Côte d’Ivoire, Abidjan Cocody Angré Luminance

Siege Agence République de Côte d’Ivoire, Bouaké, Dougouba Immeuble Hadja Sereba

Cel : + 225 09 10 78 49 / + 225 07 38 56 35

Contacts E-mail : [Link]@[Link]

Boite postale : 11 BP 2045 Abidjan 11

 Chapitre 1 : Présentation de l’entreprise Abouaké.net

Axes de développement Développer des orientations nouvelles de nos prestations afin de proposer
une offre conforme aux normes internationales tout en partageant
efficacement une relation gagnant-gagnant durable avec nos partenaires.

Banque  EASY BANK/ compte N° 470897961100001

2) Présentation de la société
MANDIGO SARL est une société de services et d’ingénierie en
informatiques spécialisée dans la conception de logiciels, la formation, la
conception et l’administration des bases de données, l’administration réseaux et
divers travaux informatiques.
Son siège social est situé à Abidjan Angré luminance mais dispose d’une agence à
Bouaké Dougouba Immeuble Hadja Sereba 1er étage près de la clinique sans
frontière.
Elle est dirigée par M. ERIC KOFFI ingénieur en développement d’application.

3) Vision – Valeurs – Mission - Stratégie

Vision « ce pourquoi nous travaillons »

Vous offrir des solutions empruntes d’innovations technologiques.

Valeurs « les principes qui sous-tendent notre vision »

Les principes qui guident nos actions :
Compétence : Nous prônons la culture du travail bien fait, exécuté sans
délai, avec la même constance tout le temps.
Intégrité : Une honnêteté ouverte et sincère dans toutes nos démarches.
Confiance : Un sérieux affiché dans toutes nos actions.
Innovation : Une amélioration régulière et constante dans ce que nous
faisons.
Chapitre 1 : Présentation de l’entreprise Abouaké.net

Mission « ce que nous faisons »

Nous nous révélons être un partenaire digne de confiance, apportant des solutions
empreintes de valeurs ajoutées et créant ainsi une plus-value pour toutes les
parties prenantes.

Stratégie
Elle repose sur une surveillance constante de l’environnement de travail
afin de nous assurer la complaisance et la fidélité de nos clients et partenaires,
d’anticiper également tout changement.
Nous sommes constamment au fait des activités du Marché pour en déceler les
opportunités et les convertir au profit de toutes les parties prenantes ;
Les activités de nos concurrents sont aussi passées en revue pour en ressortir les
lacunes, repérer et façonner les stratégies d’amélioration de la productivité afin de
gagner une bonne tête d’avance sur la concurrence

4) Notre Modèle d’Entreprise

Nos activités

Elles indiquent la voie spécifique de l’exécution de notre politique

d’Entreprise.
Nos équipes techniques et de marketing assurent une interface sans accrocs avec
nos clients, veillent au respect scrupuleux des délais, et assurent un excellent
service à notre clientèle.
Le marché est segmenté pour mieux mettre en relief et identifier les besoins de
notre clientèle et de nos différents partenaires. Nos produits sont agencés pour
satisfaire les attentes de nos clients.
La mentalité « client centre d’intérêt " incite notre entreprise à rester très proche
de sa clientèle en vue de la maintenir et de la développer.
Chapitre 1 : Présentation de l’entreprise Abouaké.net

Le pouls de la clientèle est également senti et maintenu à travers un système de

remontée des informations. MANDIGO SARL est également équipée d’un
système d’information, de communication et de technologie très moderne, rendant
la gestion plus efficace.

Les personnes

Le capital humain de MANDIGO SARL est capable de mener les

opérations à seule fin d'exécuter les stratégies mises en place. Les Dirigeants
et le personnel bénéficient sans cesse de formation afin de rehausser leurs
qualités professionnelles.
La culture de MANDIGO SARL est définie par le souci constant du travail
accompli à travers une attitude correcte et un esprit d'équipe, créant ainsi une
valeur compétitive pour les parties prenantes.

Les Forces

Nous sommes professionnellement guidés par une structure qui met

l'accent sur la réactivité pour peser sur les forces suivantes :
 Un créneau bien défini
 Des Dirigeants très professionnels et un personnel bien formé
 Des alliances stratégiques très puissantes.
 Des départements structurés, et dotés de moyens conséquents
pour mieux répondre aux différentes attentes de nos clients.
 Une technologie de communication et d'information moderne
pour une gestion plus efficace.
 Une exécution active des initiatives de la Responsabilité Sociale
de l'Entreprise
II- ORGANIGRAMME DE L’ENTREPRISE
Chapitre 1 : Présentation de l’entreprise Abouaké.net

III- ORGANISATION STRUCTURELLE

1) Direction Générale (DG)Direction

Générale
La Direction Générale est conduite par M. KOFFI Kouadio Eric. Il a pour
rôle de superviser l’ensemble du personnel de la société, contrôle leurs activités
Assistante
puis dirige les opérations avec les partenaires ainsi que les différentes missions de
Direction
l’entreprise. Il est secondé par le Directeur Général Adjoint M. ATSE Yapi Ange
Michael.

Direction Direction
Direction
2) Assistante de Direction (AD)
Administrative Commerciale et
Technique
et Général,
Sous le contrôle du Directeur Financière Marketing
la titulaire a pour missions de tenir
l'agenda, de préparer et suivre l'exécution des dossiers confiés par le Directeur
General, de gérer le courrier confidentiel, de répondre directement aux requêtes
Service
des interlocuteurs, etc. Service Service
Informatique Comptabilité Commercial
3) Direction Administrative et Financière (DAF)

Sous le contrôle du Directeur Service

Général, il des Service
revient à l’administration
Service
Ressources
d'élaborer et de mettre en place les systèmes de gestion comptable etFormation
financière, et
Logistique
de contrôler la fiabilité des informationsHumaines Stage
produites et la conformité légale des
opérations réalisées, de mettre à disposition les ressources financières. Il est
compris des :
a- Service des Ressources Humaines (SRH)

Sous le contrôle du Directeur Général, Ce service a pour mission de mettre

à disposition un personnel compétent, performant et motivé par le biais d'actions
de recrutement, de la mobilité interne, ainsi que par la mise en œuvre d'outils de
gestion des ressources humaines. Il a pour mission de mettre en œuvre la politique
de gestion administrative, prévisionnelle et de formation du personnel.
Chapitre 1 : Présentation de l’entreprise Abouaké.net

Il veille à la fiabilité des éléments constitutifs de la rémunération versée au

personnel

Il est chargé d'assurer le traitement et l'application des opérations de paie du

personnel, de l’enregistrement et du suivi administratif des dossiers du
personnel.

Il coordonne les activités administratives, veille au respect de la législation au

sein de l'entreprise et assure la défense des intérêts de la structure face aux
tiers ; Il a pour mission d'assister les différentes fonctions de l'entreprise sur
les aspects juridiques de leurs activités, et de représenter la société pour tous
les problèmes juridiques,

Il gère la description des fonctions et tâches (organigramme)

b- Service Comptabilité (SC)

Sous l’autorité du DG, le service comptabilité supervise et coordonne les

activités comptables (générale et analytique), centralise les opérations et prépare
les documents périodiques de synthèse.

Contrôle et impute les pièces de caisse et de banque, participe à l'élaboration de la

situation journalière de trésorerie et effectue les rapprochements bancaires.

Tient la comptabilité (fournisseurs, balance, bilan)

4) Direction Technique (DT)

a) Service Informatique (SI)

Il est chargé de proposer la politique de l'entreprise en matière

d'informatique et d'en assurer la mise en œuvre.

Il gère l’ensemble des moyens matériels et logiciels nécessaires au bon

fonctionnement du système d’information de l’entreprise.

Il apporte une assistance efficace aux utilisateurs et assure la maintenance

(matériel et logiciels) du parc informatique
Chapitre 1 : Présentation de l’entreprise Abouaké.net

b) Service Logistique (SL)

Ce service se charge de la logistique de l’entreprise, des

dédouanements des marchandises et de la gestion de leur transport.

5) Direction Commerciale et Marketing (DCM)

Incontournable et stratégique, cette direction décroche la clientèle à

l’entreprise et la fidélise. Elle assure également les transactions d’achat et vente
avec les fournisseurs et les clients.
a) Service Formation et Stage (SFS)

Mandaté pour permettre une insertion socio-professionnelle, ce service

s’occupe de la gestion des stagiaires et des formations lancées par l’entreprise.
b) Service Commercial (SC)

C’est le service qui est en rapport direct avec la clientèle afin de leur
proposer les produits et services de l’entreprise.
 Chapitre 1 : Présentation de l’entreprise Abouaké.net

IV- NOTRE OFFRE

Microsoft Office Administration système Applications de gestion

MySQL Server Administration Réseau Application Web
Oracle DB Installation de serveurs Applications mobiles
WinDev Conception PAO Applications Embarquées
WebDev Reparation d'ordinateur Site Web
WinDev Mobile Maintenance

SERVICES CREATION DE
FORMATIONS INFORMATIQUES LOGICIEL

Ordinateurs Consulting
Imprimantes Etudes et réalisation de
Tablettes projets informatiques
Consommables Integration de solution
Connectiques informatique
Accessoires

VENTE D'
AUDITS ET
EQUIPEMENTS
CONSEILS
INFORMATIQUES
Chapitre 1 : Présentation de l’entreprise Abouaké.net

V- PRESENTATION DU PROJET ET DE LA
METHODOLOGIE

1) Objectif du projet

L’objectif soumis à notre étude est la suivante : « MISE EN PLACE D’UNE

APPLICATION DE COMMERCE ELECTRONIQUE ».
2) Cahier des charges

En cette fin de période de stage, il nous est demandé par l’entreprise

MANDIGO SARL de créer une application destinée au commerce électronique à
travers le thème : « MISE EN PLACE D’UNE APPLICATION DE COMMERCE
ELECTRONIQUE ». Ce site permettra aux entreprises commerçantes de fournir
une meilleure qualité de service en communication et en commerce. Cette
application doit obéir aux cahiers des charges suivant :
D’abord, Ce site devra contenir deux interfaces séparées :
Partie administrateur du site :
Cette partie permettra le stockage des documents et leur publication
sur internet.
Ce mécanisme est accompli par l’administrateur du site qui doit
s’authentifier avec son login et son mot de passe à partir de la page
d’accueil. Après son authentification comme administrateur, il pourra
accéder à la page qui lui permettra de gérer les outils
d’administration. Le site affichera toutes les tâches qui peuvent être
effectuées par l’administrateur qui pourra:
- Ajouter un produit: chaque produit est caractérisé par son nom et
sa catégorie.
- Gérer des comptes: ajout ou suppression d’un compte. Chaque
compte est caractérisé par le login, le mot de passe, le nom et le
prénom d’un nouvel administrateur.
- Déconnexion: cela permet la sécurité de l’interface
Partie client:
Chapitre 1 : Présentation de l’entreprise Abouaké.net

Cette interface doit être accessible à n’importe quel internaute

cherchant des produits et voulant effectuer des commandes.

3) Méthodologie d’approche du projet

Vu le cahier des charges qui nous a été soumis et les objectifs visés, notre
travail consistera à une recherche appliquée. Recherche qui permettra de mettre en
place une application qui répondra au cahier des charges. Pour cela, le choix d’une
méthode de conception s’impose dans la mise en œuvre, d’où MERISE (Méthode
d’Etude et de Réalisation Informatique par Sous-Ensemble). Elle est fondée sur la
séparation entre données et traitements en plusieurs modèles car l’on a besoin de
modifier la structure des données dans le temps alors que les traitements le sont le
plus fréquemment. Née dans les années 1978, elle est facile et simple à
comprendre. La démarche MERISE préconise :
Un schéma directeur (objectif du projet), une étude préalable (référencer les
moyens existants, déterminer les limites de l’existant afin d’inclure les besoins
futurs), une étude détaillée (élaborer le MCD, le MLD, le MCC, le MCT et le
MOT) et une étude technique retenue tout en proposant le MPD). En ce qui nous
concerne, le choix de MERISE s’impose car c’est elle que nous avons étudié
durant les deux (2) ans de formation en IDA (Informatique Développeur
d’Applications). Cependant, l’on pouvait aussi utiliser une autre méthode de
conception tel que UML (Unified Modeling Language).
Chapitre 2 : Présentation du projet principal

Chapitre 2
Présentation du projet principal
Chapitre 2 : Présentation du projet principal

I- CONTEXTE

L'évolution de la technologie a considérablement amélioré les plateformes de

sécurité existantes dans les réseaux informatiques. Depuis l'avènement des
premiers réseaux IP, de nouvelles techniques de sécurité ont été développées pour
faire face à la diversification des problèmes de sécurité. Des mesures telles que le
cryptage, l'architecture de sécurité et les pare-feu ont contribué à renforcer la
sécurité des réseaux IP.

II- JUSTIFICATION DU CHOIX DU THEME

Dans le cadre de notre formation en systèmes de réseaux et télécommunications, il

nous a été demandé de mener à bien un projet de fin de cycle. Après mûre
réflexion, nous avons choisi de nous orienter vers les systèmes de détection
d'intrusion (IDS). Cette décision repose sur deux raisons principales : répondre à
un besoin et combler une lacune dans le domaine de la sécurité réseau. De plus,
étant donné l'essor croissant de cette technologie et la nécessité d'un personnel
qualifié, nous sommes convaincus de son ample expansion.

III-OBJECTIF

Notre projet a pour but la configuration d’un système détection et prévention

d’intrusion, et sa mise en place sous le pare-feu pfsense au niveau de
l’architecture réseau de générale emballage.
 PARTIE II

PARTIE II

ETUDE TECHNIQUE
Chapitre 1 : Notions générales sur les reseaux et la sécurité

Chapitre 1
Notions générales sur les réseaux et la
sécurité informatique
 Chapitre 1 : Notions générales sur les reseaux et la sécurité

Introduction

Un réseau informatique est un ensemble d’équipements interconnectés en vue

de transmettre un signal porteur des informations. Il permet aussi de partager des
ressources comme par exemple des fichiers, imprimantes, ...etc. Il Offre des services
comme http, ftp, dns, ...etc. Dés lors un problème se pose par rapport à l’accès aux
ressources et services : les droits d’accès des utilisateurs, des machines internes ou
externes (du réseau).
N’importe qui ne doit pas faire n’importe quoi quand il est dans le réseau, surtout
quand il n’est pas autorisé à y accéder.
D’ou la nécessité de sécuriser le réseau, contre tout ce qui constitue une menace.

Les réseaux

1. La norme OSI:

1.1 Définition

Le modèle OSI (Open Systems Interconnection) est un modèle générique et stan-

dard d’architecture d’un réseau en 7 couches, élaboré par l’organisme ISO (Organisa-
tion Internationale de normalisation) en 1984. La mise en évidence de ces différentes
couches se base sur les caractéristiques suivantes qui étaient recherchées par l’ISO :

• Création d’une couche lorsqu’un niveau d’abstraction est nécessaire.

• Définition précise des services et opérations de chaque couche.

• Définition des opérations de chaque couche en s’appuyant sur des protocoles

normalisés.

• Choix des frontières entre couches de manière à minimiser le flux d’information aux
interfaces.
 Chapitre 1 : Notions générales sur les reseaux et la sécurité

• Définition d’une couche supplémentaire lorsque des opérations d’ordre différent doivent
être réalisées.[16]

Les différentes couches du modèle OSI:

Dans le découpage en 7 couches, on distingue :[17]

 Les couches basses (1-4) : transfert de l’information par les différents services de
transport.

 Les couches hautes (5-7) : traitement de l’information par les différents services
applicatifs.

7 Application

6 Présentation

5 Session

4 Transport

3 Réseau

2 Liaison

1 Physique

Table 1.1: architecture du modèle OSI.

 Couche physique : La couche physique (physical (eng)) gère la communication

avec l’interface physique afin de faire transiter ou de récupérer les données sur le
support de transmission, qui peut être électrique, mécanique. Ce sont les
contraintes matérielles du support utilisé qui décident des objectifs à attein- dre
 Chapitre 1 : Notions générales sur les reseaux et la sécurité

pour cette couche : conversion en signaux électriques, taille et forme des

connecteurs, dimensions et position des antennes,...etc.

 Couche liaison : La couche liaison (liaison de données : datalink (eng)) s’occupe

de la bonne transmission de l’information entre les noeuds via le support, en
assurant la gestion des erreurs de transmission et la synchronisation des données.
Là aussi, le support de transmission conditionne les protocoles à mettre en oeuvre.

 Couche réseau : La couche réseau (network (eng)) a en charge de déterminer le

choix de la route entre les noeuds afin de transmettre de manière indépendante
l’information ou les différents paquets la constituant en prenant en compte en temps
réel le trafic. Cette couche assure aussi un certain nombre de contrôles de
congestion qui ne sont pas gérés par la couche liaison.
 Couche transport : La couche transport (transport (eng)) supervise le dé-
coupage et le réassemblage de l’information en paquets, contrôlant ainsi la
cohérence de la transmission de l’information de l’émetteur vers le destinataire.

 Couche session : La couche session (session (eng)) gère une communication

complète entre plusieurs noeuds, permettant, ainsi d’établir et de maintenir un réel
dialogue suivi (une session), pouvant être constitué de temps morts pendant
lesquels aucune donnée n’est physiquement transmise.

 Couche présentation : La couche présentation (présentation (eng)) a en charge la

représentation des données, c’est-à-dire de structurer et convertir les données
échangées ainsi que leur syntaxe afin d’assurer la communication entre des noeuds
disparates (différences hardware et/ou software).

 Couche application : La couche application (application (eng)) est le point

d’accès des applications aux services réseaux. On y retrouve toutes les appli-
cations de communication via le réseau communément utilisées sur un LAN ou sur
Internet : applications de transfert de fichier, courrier électronique,...etc.

2.1 Le TCP/IP
 Chapitre 1 : Notions générales sur les reseaux et la sécurité

2.1.1- Définition :

Le protocole TCP/IP, développé originellement par le ministère de la défense

américain en 1981, propose l’évolution des concepts déjà utilisés en partie pour le
réseau historique ARPAnet (1972), et est employé en très forte proportion sur le
réseau Internet. Au-delà de son aspect historique, TCP/IP doit aussi son succès à
son indépendance vis-à-vis de tout constructeur informatique.
En réalité, TCP/IP définit une suite de divers protocoles probabilistes, appelé
aussi modèle DOD (Department of Defense), pour la communication sur un réseau
informatique, notamment le protocole TCP et le protocole IP qui sont parmi les
principaux protocoles de ce modèle.[4]

2.1.2- Découpage en couches:

Modèle OSI Modèle TCP/IP

7 Application

6 Présentation
4 Application

5 Session

4 Transport 3 Transport (TCP)

3 Réseaux 2 Internet(IP)

2 Liaison de donnée
1 Accès au réseau
1 Physique

Table 1.2: le modèle OSI et le modèle TCP/IP.

 Chapitre 1 : Notions générales sur les reseaux et la sécurité

Le protocole TCP/IP étant antérieur au modèle OSI, il ne respecte pas réellement

celui-ci. Cependant, on peut faire grossièrement correspondre les différents services
utilisés et proposés par TCP/IP avec le modèle OSI, et obtenir ainsi un modèle en
4 couches.
Les services des couches 1 et 2 (physique et liaison) du modèle OSI sont
intégrés dans une seule couche (hôte-réseau), les couches 5 et 6 (session et
présentation) n’existent pas réellement dans le modèle TCP/IP et leurs services
sont réalisés par la couche application si besoin est :[4]

 Hôte-réseau : La couche hôte-réseau, intégrant les services des couches physique et

liaison du modèle OSI, a en charge la communication avec l’interface physique
afin de transmettre ou de récupérer les paquets de données qui lui sont transmis de
la couche supérieure. Le protocole utilisé pour assurer cet in- terfaçage n’est pas
explicitement défini puisqu’il dépend du réseau utilisé ainsi que du noeud (Ethernet
en LAN, X25 en WAN, ...etc.).

 Internet : La couche Internet, correspondant à la couche réseau du modèle OSI,

s’occupe de l’acheminement, à bonne destination, des paquets de données
indépendamment les uns des autres, soit donc de leur routage à travers les
différents noeuds par rapport au trafic et à la congestion du réseau. Il n’est en
revanche pas du ressort de cette couche de vérifier le bon acheminement.

Le protocole IP (Internet Protocol) assure intégralement les services de cette

couche, et constitue donc l’un des points-clefs du modèle TCP/IP. Le format et la
structure des paquets IP sont précisément définis.

 Transport : La couche transport, pendant de la couche homonyme du modèle

OSI, gère le fractionnement et le réassemblage en paquets du flux de données à
transmettre. Le routage ayant pour conséquence un arrivage des paquets dans un ordre
incertain, cette couche s’occupe aussi du réagencement ordonné de tous les paquets
d’un même message. Les deux principaux protocoles pouvant assurer les services de
cette couche sont les suivants :
 Chapitre 1 : Notions générales sur les reseaux et la sécurité

• TCP (Transmission Control Protocol) : protocole fiable, assurant une

communication sans erreur par un mécanisme question/réponse/con-
firmation/synchronisation (orienté connexion).

• UDP (User Datagram Protocol) : protocole non-fiable, assurant une

communication rapide mais pouvant contenir des erreurs en utilisant un mécanisme
question/réponse (sans connexion).

 Application : La couche application, similaire à la couche homonyme du modèle

OSI, correspond aux différentes applications utilisant les services réseaux pour
communiquer à travers un réseau. Un grand nombre de protocole divers de haut
niveau permettent d’assurer les services de cette couche :

• Telnet : ouverture de session à distance.

• FTP (File Transfer Protocol) : protocole de transfert de fichiers.

• HTTP (HyperText Transfer Protocol) : protocole de

transfert de l’hypertexte.

• SMTP (Simple Mail Transfer Protocol) : protocole simple de transfert de courrier.

• DNS (Domain Name System) : système de nom de domaine.

Chapitre 2 : La securité informatique

Chapitre 2
La Sécurité informatique
Chapitre 2 : La securité informatique

La sécurité informatique est un terme large qui réunit les moyens humains, tech-
nologiques, organisationnels qui tentent de garantir certaines propriétés d’un système
d’information.[18]

Objectif de la sécurité informatique

On peut définir les objectifs de la sécurité informatique comme suit :[19]

 L’intégrité : l’information ne sera modifiée que par les personnes

autorisées.

 La confidentialité : demande l’information qui se trouve dans le

système soit lue que par les personnes autorisées.

 La disponibilité : demande que l’information qui se trouve dans le

système soit disponible aux personnes autorisées.

 Le non répudiation : permet de garantir qu’une transaction ne

puisse être niée.

 L’authentification : consiste à assurer que seules les personnes

autorisées aient accès aux ressources

Terminologie de la sécurité informatique

La sécurité informatique utilise vocabulaire bien spécifique, que nous énumérons

comme suit :

1. Vulnérabilité

Est une faiblesse d’un système de sécurité se traduisant par une incapacité par-
tielle de celui-ci à faire face aux menaces informatiques qui le guettent. Par exemple,
une erreur d’implémentation dans le développement d’une application, est exploitée
pour nuire à l’application (pénétration, refus de service, ...etc.). Elle peut être égale-
Chapitre 2 : La securité informatique

ment provenir d’une mauvaise configuration.[20]

2. Menace

La menace désigne l’exploitation d’une faiblesse de sécurité par un attaquant,

que ce soit interne ou externe a l’entreprise.
La probabilité qu’elle soit une faille de sécurité, est évaluée par des études statis-
tiques même si elle est difficile à réaliser.[5]

3. Risque

Les menaces engendrent des risques et des couts humains et financiers : perte
de confidentialité des données sensibles, indisponibilité des infrastructures et des
données, dommages pour le patrimoine intellectuel et la notoriété.[18]
Les risques peuvent survenir si les systèmes menacés présentent des vulnérabil-
ités.

4. Une attaque

Une attaque est le résultat de l’exploitation d’une faille d’un système informa-
tique (système d’exploitation, logiciel, erreur de configuration,...etc.) à des fins non
connues par l’exploitant du système et il est généralement préjudiciables.[21]

5. Intrusion

C’est réaliser une attaque ou une menace pour un système d’informatique, pour
que ce dernier ne soit plus en sécurité.[22]

6. Contre-mesure

Contre-mesure donne les capacités et les mesures pour se défendre contre les
intrusions.[23]

Cryptographie et cryptanalyse
Chapitre 2 : La securité informatique

1. Cryptage (chiffrement)

Transformation d’un message clair en un message chiffré.[24]

2. Décryptage (déchiffrement)

C’est de retrouver, à partir d’un message chiffré, le message clair lui

correspondant.[24]

3. Clé

Est un paramètre partagé entre l’émetteur et le récepteur, et implémenté dans

les opérations de chiffrement et déchiffrement.[24]

Éléments d’une politique de sécurité

Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus
solide que son maillon le plus faible. En plus de la formation et de la sensibilisation
permanente des utilisateurs.[24]
La politique de sécurité peut être découpée en plusieurs parties :[9]

 Défaillance matérielle : Tout équipement physique est sujet à défaillance (usure,

vieillissement, défaut,...etc.). Et l’achat d’équipements de qualité et standard
accompagnés d’une bonne garantie avec support technique est es- sentiel pour
minimiser les délais de remise en fonction. Seule une forme de sauvegarde peut
cependant protéger les données.

 Défaillance logicielle : Tout programme informatique contient des bugs. La seule

façon de se protéger efficacement contre ceux-ci est de faire des copies de
l’information à risque. Une mise à jour régulière des logiciels et la visite des sites
consacrés à ce type de problème peuvent contribuer à en diminuer la fréquence des
bugs.

 Accidents (pannes, incendies, inondations,...etc.) : Pour protéger les donnés

Chapitre 2 : La securité informatique

et les fichiers face à des problèmes, il est indispensable de faire une sauvegarde.
Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des
échelles de temps différentes :

• disques RAID pour maintenir la disponibilité des serveurs.

• copie de sécurité via le réseau (quotidienne).

• copie de sécurité dans un autre bâtiment.

La disposition et l’infrastructure des locaux peuvent aussi fournir une protec- tion
intéressante. Pour des sites particulièrement importants (site informa- tique,
central d’une banque...etc.) il sera nécessaire de prévoir la possibilité de basculer
totalement et rapidement vers un site de secours (éventuellement assuré par un
sous-traitant spécialisé).

Ce site devra donc contenir une copie de tous les logiciels et matériels spéci-
fiques à l’activité de la société.

 Erreur humaine : Outre les copies de sécurité, seule une formation adéquate du
personnel peut limiter ce problème.

1
Redundant Array of Independent Diske : est un ensemble de technique de virtulisation du
stockage, permettant de répartier des données sur plusiers disques dure.
Chapitre 2 : La securité informatique

 Vol via des dispositifs physique (disques et bandes) : Contrôler l’accès à ces
équipements : ne mettre des unités de disquette, bandes...etc. Que sur les
ordinateurs où c’est essentiel. Mettre en place des dispositifs de surveillance.

 Virus provenant de disquettes : Il faut minimiser l’utillisation des disques

puisque ont plus de risque. L’installation de programme antivirus peut s’avérer une
protection efficace mais coûteuse. Le diminue la productivité et nécessite de
fréquente mise à jour.

 Piratage et virus réseau : Cette problématique est plus complexe et

l’omniprésence des réseaux, notamment l’Internet, lui confère une importance
particulière. Les problèmes de sécurité de cette catégorie sont particulièrement
dommageables et font l’objet de l’étude qui suit.

Les défauts de la sécurité informatique

Les défauts de sécurité d’un système d’information les plus souvent constatés
sont :

• Installation des logiciels et matériels par défaut.

• Mises à jour non effectuées.

• Mots de passe inexistants ou par défaut.

• Services inutiles conservés (Netbios...etc.).

• Traces inexploitées.

• Procédures de sécurité obsolètes.

• Eléments et outils de test laissés en place dans les configurations en production.

Chapitre 2 : La securité informatique

• Authentification faible.

• Télémaintenance sans contrôle fort.

Menace sur les réseaux

1. Vulnérabilité

Internet est une mine d’informations pour les entreprises et pour les utilisateurs.
En naviguant sur Internet, on peut accéder à des millions de page Web.

A l’aide de moteur de recherche, on peut obtenir des informations qui sont néces-
saires pour le travail, au moment où on en a besoin.
Le Web est une ressource indispensable pour la productivité des entreprises, mais il
y a aussi des dangers (les virus, les vers, les cookies...etc.), alors le Web montre
une faiblesse.[5]

2. Attaques informatiques

Tout ordinateur connecté à un réseau informatique, est potentiellement vul-

nérable à une attaque.[23]

3. Anatomie d’une attaque

Fréquemment appelés " les 5 P " dans la littérature, ces cinq verbes anglophones
constituent le squelette de toute attaque informatique :

 Probe (Analyser) : Dans un premier temps, une personne mal intentionnée va

chercher les failles pour pénétrer le réseau.
Chapitre 2 : La securité informatique

 Penetrate (Pénétrer) : Une fois plusieurs failles identifiées, le pirate va chercher

à les exploiter afin de pénétrer au sein du SI.

 Persist (Persister) : une fois le réseau infiltré, le pirate cherchera à y revenir

facilement. Pour cela, il installera par exemple des back doors. Cependant, en
général, il corrigera la faille par laquelle il s’est introduit afin de s’assurer
qu’aucun autre pirate n’exploitera sa cible.

 Propagate (Propager) : Le réseau est infiltré, l’accès est facile. Le pi- rate
pourra alors explorer le réseau et trouver des nouvelles cibles qui l’intéresseraient.

 Paralyze (Paralyser) : Les cibles identifiées, le pirate va agir et nuire au SI.

4. Cyber-attaques

Longtemps, les organismes étatiques se sont cantonnés à un rôle de veille, d’alerte,

de recueil et de renseignements. Aujourd’hui, un rôle défensif leur est officiellement
assigné. Cela signifie qu’ils doivent coordonner l’action des services de l’Etat pour
la mise en oeuvre de leur cyber-défense.
On peut cependant imaginer qu’en cas d’attaque contre des infrastructures vitales
avec des conséquences humaines, un État pourrait considérer cela comme un acte
de guerre, et agir en conséquence : c’est-à-dire riposter.

Cependant aucun Etat n’a, pour le moment, révélé l’existence officielle d’un
programme de cyber contre-attaque.[22]

Types d’attaque

Il existe trois types d’attaque:

Chapitre 2 : La securité informatique

1. Les attaques directes

Les attaques directes se produisent uniquement lorsqu’un ordinateur est connecté à

Internet ou à un réseau local et le hacker utilise des logiciels pour envoyer les
paquets directement à partir de son ordinateur à la victime [1].

Figure 1.1: attaque directe [1].

2. Les attaques indirectes par rebond

Les attaques par rebond constituent un ensemble d’attaque a envoyés à

l’ordinateur intermédiaire qui répercute l’attaque vers la victime. Cette attaque est
très prisée des hackers. En effet, le rebond a deux avantages :

• Masquer l’identité (l’adresse IP) du hacker.

• Eventuellement, utiliser les ressources de l’ordinateur intermédiaire car il est plus

puissant (CPU, bande passante...etc.) pour attaquer [2].
Chapitre 2 : La securité informatique

Figure 1.2: attaque indirecte par rebond [2].

3. Les attaques indirectes par réponse

Cette attaque est un dérivé de l’attaque par rebond. Elle offre les mêmes avan-
tages que les attaques par rebond. Le principe de cette attaque est d’envoyer une
requête à l’ordinateur intermédiaire pour qu’il transmette la réponse de cette requête
vers l’ordinateur victime [3].
Chapitre 2 : La securité informatique

Figure 1.3: attaques indirectes par réponse [3].

Quelques attaques courantes

Il existe plusieurs attaques pour cella on peut citer:

4. Le balayage de port

 Attaque par balayage ICMP : Elle consiste à ce que le client envoie un paquet
avec le protocole ICMP qui utilise la fonction request connue sous le nom " ping
", vers le serveur qui lui répond avec un paquet ICMP echo-reply, comme l’illustre la
figure 1.4.

Figure 1.4: attaque par balayage ICMP [4].

Il existe deux méthodes pour cartographier le réseau par cette technique :

• En balayant (scanning) le réseau et en interrogeant chaque adresse IP possible, ce

qui n’est pas très discret.
Chapitre 2 : La securité informatique

• En visant une seule fois l’adresse de broadcaste du réseau, ce qui fait répondre
toutes les machines présentes. Une seule demande permet ainsi d’engendrer l’envoi de
toutes les réponses.

Cependant, du fait de l’accroissement constant de l’insécurité, nombre

d’administrateurs de pare-feu ont pris l’initiative de ne pas laisser passer les
réponses à de telles demandes [5].

 Attaque par balayage TCP : C’est en partant du principe que le flux réseau
toujours accessible au pirate est celui qui est destiné à être accessible au public que
la technique du balayage TCP a été inventée. Similaire au balayage ICMP, sa
spécificité est de s’appuyer sur le protocole TCP. Le client envoie un paquet SYN
vers un port réseau particulier de l’adresse IP du serveur. Si le port est en écoute,
un paquet SYN/ACK est reçu en retour. Sinon, la réception d’un paquet RST
signifie qu’il n’y a pas de service en écoute sur le port. Le client envoie en
réponse un paquet RST pour terminer la connexion, comme l’illustre la figure 1.5
[5].

Figure 1.5: attaque par balayage TCP [5].

Si aucune réponse n’est reçue en retour, c’est qu’il existe un équipement filtrant entre
Chapitre 2 : La securité informatique

le serveur et le client ou qu’il n’y a aucune machine derrière l’adresse IP visée.

Cette technique est cependant si peu discrète, que des variantes ont été élaborées
pour améliorer le balayage en jouant sur le principe de fonction- nement de la pile
TCP/IP [5].

 Attaque par balayage semi-ouvert TCP : Les variantes à cette technique du

balayage TCP reposent sur le non-respect de la définition du protocole TCP/IP.
Nous venons de voir qu’il existait une séquence lors de l’établissement d’une session
TCP. Lorsque cette séquence n’est pas respectée, le serveur TCP se comporte
différemment, ainsi que les équipements filtrants présents sur le chemin.

La variante dite de balayage semi-ouvert consiste en un balayage dans lequel le

client envoie son paquet SYN et reçoit les paquets prévus en retour, comme
l’illustre la figure 1.5. Contrairement au balayage TCP normal, le client n’envoie
pas de paquet RST pour rompre la session. Il note simplement la réponse et passe
au port suivant. Par ce procédé, la session TCP n’est pas ouverte, puisque le
handshake ne s’est pas terminé, et le serveur ne trace pas cet échange de données.
[4]

 IP spoofing : Le pirate commence par choisir le système qu’il veut attaquer pour
qu’il se fasse passer pour un autre système en falsifiant son adresse IP pour
obtenir le maximum de détails sur le système cible, et il détermine les systèmes
ou adresses IP autorisés à se connecter au système cible. Le pirate ensuite
attaque le serveur cible en utilisant l’adresse IP falsifiée.
Chapitre 2 : La securité informatique

Figure 1.6: attaque IP spoofing [3].

 Virus : C’est un petit programme qui a la faculté de se reproduire automatique-

ment. Il va recopier son propre code tel quel, ou en le modifiant, dans des
éléments qui sont déjà dans l’ordinateur. Le plus souvent son but est de nuire [3].

 Denis de service : Cette attaque n’est pas pour rattraper les informations sur une
machine à distance mais de paralyser un service ou un réseau complet, et
l’utilisateur ne peut plus accéder au ressources, Les deux exemples principaux, sont
le " ping flood " ou l’envoi massif de courrier électroniques pour saturer une
boîte aux lettre (mailbombing) [3].
Chapitre 2 : La securité informatique

Figure 1.7: principe de DDOS [6].

Les dispositifs de protection

La variété et la disponibilité des outils d’attaques augmentent le risque des in-

trusions. Par conséquent les administrateurs s’appuient sur diverses solutions dans le
but de maintenir la protection du réseau informatique.

Voici quelques solutions proposées :

1. Un antivirus :

Logiciel censé protéger un ordinateur contre les logiciels (ou fichiers potentielle-
ment exécutables) néfastes. Ne protège pas contre un intrus qui emploie un logiciel
Chapitre 2 : La securité informatique

légitime, ou contre un utilisateur légitime qui accède à une ressource alors qu’il n’est
pas autorisé à le faire.[6]

2. Un pare-feu :

Un pare-feu est logiciel et/ou matériel qui filtre et protège un système en blo-
quant les connexions venant de l’extérieur (entrées) ou de l’intérieur (sorties) pour
empêcher ou autoriser l’accès à des services Web [7].
Il permet aussi de faire de la translation d’adresse pour servir de routeur.

Figure 1.8: l’emplacement d’un pare-feu dans un réseau [7].

3. Serveur proxy :

Un serveur proxy appelé aussi serveur mandataire, est un composant logiciel

informatique qui joue le rôle de l’intermédiaire entre deux machines pour surveiller
leurs échanges.
La plupart du temps le serveur proxy est utilisé pour le web, il s’agit alors d’un
proxy HTTP. Toutefois il peut exister des serveurs proxy pour chaque protocole
applicatif (FTP, ...etc.) [8].
Chapitre 2 : La securité informatique

Figure 1.9: l’emplacement d’un proxy dans un réseau [8].

4. Un système détection d’intrusion :

La détection d’intrusions consiste à analyser les informations collectées par les

mécanismes d’audit de sécurité, à la recherche d’éventuelles attaques. Bien qu’il soit
possible d’étendre le principe, nous concentrerons sur les systèmes informatiques.
Les méthodes de détection d’intrusion diffèrent sur la manière d’analyser le journal
d’audits [23].

5. La DMZ :

Une DMZ (Demilitarized zone) est une zone tampon d’un réseau d’entreprise,
située entre le réseau local et Internet, derrière le pare-feu.
Il s’agit d’un réseau intermédiaire regroupant des serveurs publics (HTTP,
DHCP, mails, DNS, ...etc.). Ces serveurs devront être accessibles depuis le réseau
Chapitre 2 : La securité informatique

interne de l’entreprise et, pour certains, depuis les réseaux externes. Le but est ainsi
d’éviter toute connexion directe au réseau interne [9].

Figure 1.10: la DMZ entre LAN et WAN [9].

6. VPN :

Virtual Private Network, est une technique permettant à un ou plusieurs postes

distants de communiquer de manière sure, tout en empruntant les infrastructures
publiques. Ce type de liaison est apparu suite à un besoin croissant des entreprises
de relier les différents sites, et ce de façon simple et économique. Jusqu’à l’avènement
des VPN, les sociétés devaient utiliser des liaisons Transpac, ou des lignes louées.
Les VPN ont permis de démocratiser ce type de liaison.[25]
 PARTIE III

Chapitre 3
Système de détection et de prevention
d’intrusion
 PARTIE III

Introduction

De nos jours, les attaques sont si rapides qu’avant, et tout le monde est exposé
aux pertes des données essentielles. Malheureusement, les systèmes antivirus ou les
pare-feux sont la plupart du temps inefficaces face à ces nouvelles menaces. C’est
pour pallier ce manque que sont apparus récemment des nouveaux composants de
sécurité appelés systèmes de détection et de prévention des intrusions.
En effet, le but de ce chapitre est tout d’abord, de présenter la notion de
système de détection d’intrusion, et par la suite le système de prévention
d’intrusion.

Systéme détection d’intrusion

Le premier modèle de détection d’intrusion est développé en 1984 par Dorothy

Denning et Peter Neuman, qui s’appuie sur des règles d’approche comportemen-
tale. Ce système appelé IDES (Intrusion Detection Expert System), en 1988 Il est
développé à un IDS (système de détection d’intrusion). [26]
Ce dernier est un ensemble de composants logiciels et/ou matériels destiné à
repérer des activités anormales ou suspectes sur la cible analysée, un réseau ou un
hôte, son rôle est de surveiller les données qui transitent sur ce système. Il permet
ainsi d’avoir une action d’intervention sur les risques d’intrusion. Afin de détecter
les attaques que peut subir un système ou réseau informatique. [27]

1. Type de système détection d’intrusion

Les différents IDS se caractérisent par leur domaine de surveillance. Il existe

trois grandes familles distinctes d’IDS :
1.1 La détection d’intrusion basée sur l’hôte
 PARTIE III

L’HIDS (Host Based IDS) surveille le trafic sur une seule machine. Il analyse
les journaux systèmes, les appels, et enfin vérifie l’intégrité des fichiers. Un HIDS
a besoin d’un système sain pour vérifier l’intégrité des données. Si le système a été
compromis par un pirate, le HIDS ne sera plus efficace [10].

Figure 2.1: Exemple de HIDS [10].

2.1 La détection d’intrusion réseau NIDS

Les NIDS sont des IDS utilisés pour protéger un réseau. Ils comportent générale-
ment une sonde (machine par exemple) qui écoute et surveille en temps réel tout
le trafic réseau, puis analyse et génère des alertes s’il détecte des intrusions ou des
paquets semblent dangereux [10].
 PARTIE III

Figure 2.2: Exemple de NIDS [10].

3.1 Système de détection d’intrusion Hybride

IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permet-
tent, de surveiller le réseau et les terminaux. Les sondes sont placées en des points
stratégiques, et agissent comme NIDS et/ou HIDS suivant leurs emplacements.
Toutes ces sondes remontent alors les alertes à une machine qui va centraliser le

tout, et lier les informations d’origines multiples. Ainsi, on comprend que les IDS
hybrides sont basés sur une architecture distribuée, ou chaque composant unifie son
format d’envoi. Cela permet de communiquer et d’extraire des alertes plus exactes
[10].
 PARTIE III

Comparaison entre les types d’IDS

Avantages Inconvénients

NIDS -Les capteurs peuvent être bien sécurisés -La probabilité de faux négatifs (at-
puisqu’ils se contentent d’observer le taques non détectées) est élevée et il est
trafic. difficile de contrôler le réseau entier.
-Détecter plus facilement les scans grâce -Ils doivent principalement fonctionner de
aux signatures. manière cryptée d’où une complica- tion
-Filtrage de trafic. de l’analyse des paquets.
-assurer la sécurité contre les attaques -A l’opposé des IDS basés sur l’hôte, ils
puisqu’il est invisible. ne voient pas les impacts d’une attaque.

HIDS -Découvrir plus facilement un Cheval de -Ils ont moins de facilité à détecter les
Troie puisque les informations et les scans.
possibilités sont très étendues. -Ils sont plus vulnérables aux attaques de
-Détecter des attaques impossibles à type DoS.
détecter avec des IDS réseau puisque le -Ils consomment beaucoup
trafic est souvent crypté. de ressources CPU.
-Observer les activités sur l’hôte avec
précision.

hybrides -moins de faux positifs. -taux elevé de faux positifs.

-meilleure corrélation (la corrélation
permet de générer de nouvelles alertes à
partir de celles existantes).
-possibilité de réaction sur les analy-
seurs.

Table 2.1: la comparaison entre types d’IDS.

 PARTIE III

Architecture fonctionnelle des IDS

Nous décrivons dans cette section les trois composants qui constituent classique-
ment un système de détection d’intrusion. La Figure ci-dessous illustre les interac-
tions entre ces trois composants [11].

Figure 2.4: architecture fonctionnelle d’un IDS [11].

2. Capteur

Le capteur observe l’activité du système par le biais d’une source de donnée et

fournit à l’analyseur une séquence d’événements qui renseignent de l’évolution de
l’état du système.
Le capteur peut se contenter de transmettre directement ces données brutes,
mais en général un prétraitement est effectué. Et pour cela on distingue trois types
de capteurs en fonction des sources de données utilisées pour observer l’activité du
système : les capteurs système, les capteurs réseau et les capteurs applicatifs.
 PARTIE III

3. Analyseur

L’objectif de l’analyseur est de déterminer si le flux d’événements fourni par

le capteur contient des éléments caractéristiques d’une activité malveillante.

4. Manager

Le manager collecte les alertes produites par le capteur, les met en forme et les
présente à l’opérateur1. Eventuellement, le manager est chargé de la réaction à
adopter qui peut être :

• Isolement de l’attaque, qui a pour but de limiter les effets de l’attaque.

• Suppression d’attaque, qui tente d’arrêter l’attaque.

• Recouvrement, qui est l’étape de restauration du système dans un état sain.

• Diagnostic, qui est la phase d’identification du problème.

1
administrateur

Classification des systèmes de détection d’intrusion

Les différents systèmes de détection d’intrusion disponibles peuvent être classés

selon plusieurs critères qui sont : [12]

• La méthode de détection.

• Le comportement du système après la détection.

• La source des données.

• La fréquence d’utilisation.

La figure ci-dessous illustre les détailles de chaque critère.

 PARTIE III

Figure 2.5: classification d’un système de détection d’intrusion [12].

Méthodes de détection des IDS

Il existe deux méthodes de détection: [13]

 Approche par scénario ou par signature : Cette technique s’appuie sur les
connaissances des techniques utilisées par les attaquants contenues dans la base de
donnée, elle compare l’activité de l’utilisateur à partir de la base de

donnée, ensuite elle déclenche une alerte lorsque des événements hors profil se
produisent.
 PARTIE III

Figure 2.6: illustration de l’approche scénario [13].

 L’approche comportementale : Cette technique consiste à détecter une in-

trusion en fonction du comportement de l’utilisateur ou d’une application,
autrement dit c’est créer un modèle basé sur le comportement habituel du
système et surveiller toute déviation de ce comportement.

Plusieurs paramètres sont possibles : la charge CPU, le volume de données échangées,

la durée et l’heure de connexion sur des ressources, la répartition statistique des
protocoles et applications utilisés...etc.
 PARTIE III

Figure 2.7: illustration de l’approche comportementale [14].

Comportement après la détection d’intrusion

Il existe deux types de réponses, suivant les IDS utilisés. La réponse passive est
disponible pour tous les IDS, la réponse active est plus ou moins implémentée.

 Réponse passive : Lorsqu’une attaque est détectée, le système d’intrusion ne

prend aucune action, il génère seulement une alarme en direction de
l’administrateur système sous forme d’une alerte lisible qui contient les in-
formations à propos de chaque attaque. Les réponses passives se traduisent la
plupart du temps par des opérations de reconfiguration automatique d’un firewall
afin de bloquer les adresses IP source impliquées dans les intrusions. Mais si le
pirate prend une adresse IP sensible telle qu’un routeur d’accès ou un serveur
DNS, l’entreprise qui implémente une reconfiguration systématique d’un firewall
risque tout simplement de se couper du monde extérieur.[13]

 Réponse active : La réponse active consiste à répondre directement à une attaque,

elle implique des actions automatisées prises par un IDS qui permet de couper
rapidement une connexion suspecte quand le système détecte une intrusion. Par
exemple interrompre le progrès d’une attaque pour bloquer ensuite l’accès
suivant de l’attaquant. Mais cella risque de se voir exposer à une contre attaque
part le pirate.[28]

1. La nature des données analysées

La nature des données analysées sont composées de : [13]

 Les audits systèmes :Les audits systèmes sont produits par le système
d’exploitation d’un hôte. Ces données permettent à un IDS de contrôler les
activités d’un utilisateur sur un hôte.
 PARTIE III

 Les audits applicatifs : Les données à analyser sont produites directement par
une application, par exemple des fichiers logs générés par les serveurs FTP et les
serveurs Web. L’avantage de cette catégorie est que les données produites sont
très synthétiques, elles sont riches et leur volume est modéré. Ces types
d’informations sont généralement intégrés dans les IDS basés sur l’hôte.

 Les sources d’informations réseau : Ce sont des données du trafic réseau. Cette
source d’informations est prometteuse car elle permet de rassembler et analyser
les paquets de données circulant sur le réseau. Les IDS qui exploitent ces sources
de données sont appelés : Les IDS basés réseau NIDS.

2. La fréquence d’utilisation

La fréquence d’utilisation d’un système de détection d’intrusion peut exister selon

deux formes :

Surveillance périodique : Ce type de système de détection d’intrusion anal- yse

périodiquement les différentes sources de données à la recherche d’une
éventuelle intrusion ou une anomalie passée.

Surveillance en temps réel : Les systèmes de détection d’intrusions en temps réel

fonctionnent sur le traitement et l’analyse continue des informations pro- duites par
les différentes sources de données. Elle limite les dégâts produits par une attaque
car elle permet de prendre des mesures qui réduisent le progrès de l’attaque
détectée.

Limite des IDS

N-IDS : Ils sont basés sur une bibliothèque de signatures d’attaques connues, cette
bibliothèque devra être mise à jour à chaque nouvelle attaque sera af- fichée. Si
l’attaque ne contient pas la signature d’une attaque spécifique et récente, cette
 PARTIE III

dernière passera au travers des mailles du filet et la sécurité des données et le

réseau en général sera menacé.[29]

H-IDS : Il génère une alerte si une activité sur l’hôte s’éloigne de la norme, mais
si dans un cas exceptionnel une requête justifiée mais non prévue par le système
venaient à arriver en masse, cette méthode de protection risquerait de générer des
alertes infondées. Dans ce cas les H-IDS ne sont pas fiables car ils ne font que
générer des alertes, et ce sera à un administrateur en charge de la sécurité du
réseau de dire si telle ou telle requête est valable ou pas.[29]

Efficacité des systèmes de détection d’intrusions

L’efficacité d’un système de détection d’intrusions est déterminée par les mesures
suivantes : [12]

Exactitude : Le système de détection d’intrusions n’est pas exact s’il consid- ère
les actions légitimes des utilisateurs comme atypiques ou intrusives (faux positif).

Performance : Effectuer une détection en temps réel.

Tolérance aux pannes : Un système de détection d’intrusions doit être résistant

aux attaques.

Rapidité : Un système de détection d’intrusions doit exécuter et propager son

analyse d’une manière prompte pour permettre une réaction rapide dans le cas
d’existence d’une attaque pour permettre à l’agent de sécurité de réagir.

La complétude : La complétude est la capacité d’un système de détection

d’intrusion de détecter toutes les attaques [30].

Système de prévention d’intrusion

 PARTIE III

En effet, l’IPS est un outil de protection et sécurité des systèmes d’information

contre les intrusions, similaire aux IDS, permettant de prendre des mesures afin de
diminuer les impacts d’une attaque. C’est un IDS actif, il empêche toute activité
suspecte détectée au sein d’un système [31].

Types d’IPS

1- La détection d’intrusion basée sur l’hôte HIPS

Les HIPS installé sur le système permettant de surveiller le poste de travail à

travers différentes techniques, ils surveillent les processus, les drivers,...etc. En cas de
détection de processus suspect le HIPS peut bloquer les comportements anormaux
tels que : [31]

• Lecture / écriture des fichiers protégés.

• Comportement des certains applicatifs.

• Accès à des ports non autorisés.

• Tentative d’exploitation de débordement de pile (détection de Shellcode).

• Accès à certaines zones de la base de registre.

• Connexions suspectes.
1.1 Avantage :

 Protège les systèmes des comportements dangereux et pas seulement du trafic.

1.2 Inconvénients :

 Coût d’exploitation.

 Problèmes d’interopérabilité (capacité de plusieurs systèmes).

 PARTIE III

 Problèmes lors de mise à jour de système.

2- La prévention d’intrusion basée sur le NIPS

Le NIPS permet de surveiller le trafic réseau, identification et blocage du trafic

malicieux, est parfois utilisé pour évoquer la protection des réseaux sans-fil.[31]
Deux types de NIPS :

 Système par analyse comportementale (Content Based IPS) :

détection des anomalies protocolaires (proxy transparent).

détection des comportements anormaux (scan de ports, DoS,...etc.).

a. basé sur des signatures d’attaques, des agrégations des signatures peuvent permettre la
détection des nouvelles attaques.

 Système par détection des anomalies : Détection des anomalies de

trafic, trois approches :

b. Règle : représente l’activité de l’utilisateur légitime sous forme des règles.

c. Neuronal : apprentissage nécessaire par l’analyse du trafic.

d. Statistique : profile d’activité modélisant le trafic d’utilisateur.

2.1- Avantage de NIPS :
Protection active.
3- Inconvénients de NIPS :

a. Point sensible du réseau.

b. Faux positifs (risque de blocage de trafic légitime).

c. Coût complexité additionnelle / Exploitation supplémentaire.

La détection d’intrusion basée sur noyau KIPS

 PARTIE III

Les KIPS (Kernel Intrusion Prevention System) leur particularité est de

s’executer dans le noyau d’une machine, pour y bloquer toute activité suspecte. Si
cela est pratique pour empecher des tetavees d’appels systéme malveillants per-
mettent de détecter toute tentative d’intrusion et la bloquer directement au niveau

du noyau, empêchant ainsi toute modification dangereuse pour le système. Le KIPS

peut reconnaître des motifs caractéristiques du débordement de mémoire, et peut
ainsi interdire l’exécution du code. Il peut également interdire l’OS d’exécuter un
appel système qui ouvrirait un shell de commande. Puisqu’un KIPS analyse les
appels systèmes, il ralentit l’exécution. C’est pourquoi sont moins utilisés. [29]

3. Les inconvénients d’IPS

Un IPS possède des nombreux inconvénients : [20]

• Ils bloquent toute activité qui lui semble suspecte, mais n’étant pas fiable à 100 %
ils peuvent donc bloquer incorrectement des applications ou des trafics légitimes.

• Ils laissent parfois passer certaines attaques sans les repérer, et permettent donc
aux pirates d’attaquer un PC.

• Ils sont peu discrets et peuvent être découverts lors de l’attaque d’un pirate une
fois qu’il aura découvert l’IPS s’empressera de trouver une faille dans ce dernier
pour le détourner et arriver à son but.

4. Architecture foncionnelle d’un IPS

Le fonctionnement d’un IPS est similaire à celui d’un IDS. Il capture le trafic
du réseau puis l’analyse. Mais au lieu d’alerter l’utilisateur d’une intrusion ou d’une
at- taque, l’IPS bloque directement les intrusions en supprimant les paquets
 PARTIE III

illégitimes. Pour informer l’utilisateur, l’IPS peut aussi remplir un fichier de

journalisation qui contiendra la liste des paquets supprimés et éventuellement un
message indiquant la raison de cette suppression [15].

Figure 2.8: architecture fonctionnelle d’un IPS [15].

5. Dispositifs d’un NIPS

Un NIPS a quatre caractéristiques principales : [32]

• Un NIPS peut détecter des attaques sur plusieurs différents types des logiciels
d’exploitation et d’applications, selon l’ampleur de sa base de données.

• Un dispositif simple peut analyser le trafic pour une grande échelle des centres serveurs
sur le réseau, qui fait au NIPS une bonne solution qui diminue le coût d’entretien et
d’déploiement.

• Lorsque les sondes observent l’événement de virus hôte et les différentes partie de
réseau, il peut établir l’événement d’un hôte, ou d’un réseau jusque à un niveau
d’information plus haut.
 PARTIE III

• Le NIPS, peut être invisible pour les attaqueurs à travers un détecteur d’interface
qui contrôle juste le trafic du réseau et il ne réagit pas pour les virus déclenchés.

6. Les limites d’IPS

Les principales limites et contraintes des IPS à ce jour semblent être leur mise en
place délicate, leur administration rebutante, la possibilité de bloquer tout le réseau
en cas de fausse alerte, ainsi que l’inexistence d’un standard actuel [33].

7. La protection de l’entreprise avec un IPS

Pour être le plus efficace possible, un bon système de prévention d’intrusion doit
donc intégrer certains points fondamentaux essentiel : [34]

Assurer une protection par signature : un IPS doit posséder une biblio- thèque
complète des signatures, régulièrement mise à jour afin de couvrir les attaques

Surveiller tous les ports et protocoles : les attaques modernes peuvent cibler
n’importe quelle application exécutée sur un réseau. L’IPS doit donc scanner tout
le trafic, indépendamment du port et du protocole.

Scanner le trafic entrant et sortant : une fois les agresseurs à l’intérieur du

réseau, ils peuvent exfiltrer des informations confidentielles depuis les systèmes
compromis.

Terminologie d’empêchement d’intrusion

L’IPS détecte et produit des alertes en raison d’un certain nombre des facteurs
qui sont classifiées dans une des limites suivantes : [32]

Vrai positif : Une situation dans laquelle une signature met le feu correctement
 PARTIE III

quand le trafic intrusif est détecté sur le réseau, ceci représente l’opération
normale et optimale.

Faux positif : Une situation dans laquelle d’utilisation d’une activité normale
déclenche une alerte ou une réponse, ceci représente une erreur.

Vrai négatif : Une situation dans laquelle une signature ne met pas le feu pen-
dant l’utilisation normal de trafic sur le réseau. Aucune activité malveillante. Ceci
représente une opération normale et optimale.

Faux négatif : Une situation dans laquelle le système détection ne détecte pas le
trafic intrusif bien qu’il y a une activité malveillante, mais le système de sécurité
ne réagit pas, dans ce cas représente une erreur.

La Différence entre IPS et Firewall

Firewall est un système de contrôle d’accès basé sur des règles statiques autorisant
ou refusant certains flux. Il travaille essentiellement au niveau des couches du modèle
OSI (de 1 à 4) ce qui est insuffisant pour les intrusions.

Contrairement à un IPS qui doit être complètement discret. Ceci implique que
les interfaces de la sonde ne doivent pas être visibles (pas d’adresse IP, pas d’adresse
MAC), et l’IPS analyse l’intégralité des paquets en transit, depuis les couches réseaux
jusqu’au niveau applicatif [35].

Conclusion

Dans ce chapitre, nous avons montré les notions des systèmes de détection et
de prévention d’intrusions, leurs architecteurs, ainsi que leurs fonctionnements. ils
complètent les taches des autres équipements de sécurité comme les par feux et VPN,
 PARTIE III

anti-virus ...etc.
le chapitre suivant nos renseigne comment réussir la configuration, après instal-
lation, du système de détection et de prévention d’intrusion afin de mieux sécuriser
le réseau, Nous allons montrer également un test permettant la confermation les
bonnes installation et configuration de notre systéme.
 PARTIE III

PARTIE III

MISE EN PLACE DE SYSTEME

DEDETECTION D’INTRUSION ET
RESULTAT
 Introduction

Introduction

Dans ce dernier chapitre, nous allons voir un cas pratique concernant PfSense et
l’implémentation de la plateforme de snort, nous allons voir comment installer les
différents composants du NIDS et NIPS, ainsi que toutes les configurations néces-
saires.
En final, nous allons donner quelques tests que nous avons réalisés en lançant
quelques attaques et quelques virus et voir comment ces derniers sont détectés et
bloqués.
Chapitre 1 : Presentation et configuration de PfSense

Chapitre 1
Présentation et configuration de PfSense
Chapitre 1 : Presentation et configuration de PfSense

Basé sur FreeBSD, pfSense est un logiciel de filtrage de flux (Firewall).

Comme iptables sur GNU/Linux, il est réputé pour sa fiabilité. Nous y retrouvons
la plu- part des fonctionnalités incluses dans des firewalls commerciaux et quelques
autres complémentaires [36].

Les services proposés

Plusieurs services peuvent être gérés par pfSense. Ils peuvent être arrêtés ou
activés depuis son interface.
Voici la liste des services :[36]

• Système de basculement (Failover) par le protocole CARP.

• VPN site à site OpenVPN et IPSec.

• VPN client PPTP.

• Proxy et Blacklist SQUID et SQUIDGuard.

• IDS-IPS Snort.

• Répartition de charge avec LoadBalancer.

• Vue sur la Consommation de Bande Passante avec Bandwithd et Ntop pour plus de
détails.

• VPN point à point Stunnel.

• Partage de bande passante Traffic Shaper.

Configuration des adresses IP sous pfsense

Chapitre 1 : Presentation et configuration de PfSense

Apres avoir créé la machine virtuelle et installé le pfsense, nous allons configurer
les adresses IP.
Sur le menu suivant on choisit l’option n˚2 pour configurer les interfaces, puis
deux options apparaissent, celle de WAN et celle de LAN.

Figure 3.1: configuration l’interface du WAN.

Nous commençons par la configuration du WAN on tapant 1, et nous aurons

deux options soit le DHCP qui délivre l’adresse IP du WAN ou en l’attribuant une
adresse manuellement comme dans notre cas [Link], puis en choisissant le
masque, dans notre cas sera 24, après nous attribuerons l’adresse IP de la passerelle.
Chapitre 1 : Presentation et configuration de PfSense

Figure 3.2: attribution d’une adresse ip pour l’interface du WAN.

Pour l’adresse IP de ipv6, nous n’avons pas besoin de la configurer, alors nous
tapons sur entrer directement. Quant au navigateur web nous choisissons le http et
nous validons par « y » ou bien en le convertissant en https et en tapant « n »,
suivi par entrer.

Figure 3.3: attribution d’une adresse ipv6 pour l’interface du WAN.

Chapitre 1 : Presentation et configuration de PfSense

Et maintenant nous configurons le LAN en suivant les mêmes instructions que

le WAN.

Figure 3.4: configuration l’interface du LAN.

Nous allons respecter le plan réseau suivant : Wan : [Link]/24

Lan : [Link]/24

Figure 3.5: l’enchainement du reseau.

Chapitre 1 : Presentation et configuration de PfSense

Configuration de l’interface

Accéder à l’interface web en entrant l’adresse IP du LAN dans un navigateur

dans notre cas : [Link]. Nous arrivons sur la page de connexion de
PfSense dont les identifiants sont :
Login : admin
mot de passe : pfsense

Figure 3.6: configuration l’interface de pfsense.

Chapitre 2 : Installation et configuration de Snort

Chapitre 2
Installation et configuration de Snort
 Chapitre 2 : Installation et configuration de Snort

Présentation de snort :

SNORT est un outil open source de NIDS, il est capable d’écouter sur une in-
terface afin d’effectuer une analyse du trafic en temps réel, de logger les paquets IP,
de rechercher des correspondances de contenu , le but étant de détecter une grande
variété d’attaques connues.
SNORT peut fonctionner en quatre modes différents : SNIFFER (capture et
affichage des paquets, pas de log), PACKET LOGGER (capture et log des
paquets), NIDS (analyse le trafic, le compare à des règles, et affiche des alertes)
puis IPS (détection d’attaques et prévention de celles-ci).

1. Maquette de test :

Voici la maquette qui nous permettra de tester SNORT afin de mettre en avant
ses fonctions de NIDS et d’IPS :
 Chapitre 2 : Installation et configuration de Snort

Figure 3.7: maquet de test.

Installation et configuration de snort La première étape est l’installation du pack-

age SNORT dans pfSense (system->packages->SNORT) :

Figure 3.8: installation package de snort.

L’installation étant maintenant faite, la seconde étape importante est la création

d’un compte sur [Link] afin de pouvoir récupérer les règles prédéfinies en
temps voulu.

Figure 3.9: création de compte sur le site de snort.

Cliquez sur l’onglet Paramètres globaux et activer l’ensemble des règles de

 Chapitre 2 : Installation et configuration de Snort

téléchargements à utiliser.
Soit nous utilisons le Snort VRT (comme dans notre cas), soit Emerging
Threats (ET) Rules. Après, une zone de texte sera affichée pour entrer le code
unique de l’abonné obtenu avec l’abonnement ou l’enregistrement.

Figure 3.10: code d’activation des régles de snort.

Donc avec un intervalle de 12 heures visant la mise à jour sélectionnée, Snort

vérifiera la Snort VRT 3 minutes après minuit et 3 minutes après midi chaque jour
pour toutes les mises à jour des paquets des règles affichés.
 Chapitre 2 : Installation et configuration de Snort

Figure 3.11: mise à jour des paquets des règles.

nous Validons ensuite en cliquant sur le bouton « save » en bas de page.

SNORT va automatiquement télécharger les règles (premium rules) depuis [Link]
grâce à notre Oinkmaster code :

Figure 3.12: télécharger les règles de snort.

Toutes les règles ainsi téléchargées sont regroupées sous forme de catégorie dans
l’onglet «Wan categories », à nous de sélectionner celles qui correspondent aux at-
taques que nous voulons détecter sur notre réseau.
 Chapitre 2 : Installation et configuration de Snort

Figure 3.13: activation des règles.

Maintenant, nous allons ajouter une nouvelle interface. Pour cela, nous cliquons
sur l’onglet Snort Interfaces puis sur ajouter.

Figure 3.14: ajouter l’interface du WAN.

Nous allons configurer l’interface du WAN et modifier que ce qui est nécessaire.
 Chapitre 2 : Installation et configuration de Snort

Figure 3.15: modification les paramétres du WAN.

La configuration de systéme de détection et de prévention d’intrusion est désor-

mais terminée, la machine de supervision peut d’hors et déjà consulter les alertes
ainsi que la liste des adresses IP bloquées.

2. La liste des alertes .

 Chapitre 2 : Installation et configuration de Snort

Figure 3.16: La liste des alertes.

3. La liste des adresses IP bloquées

Figure 3.17: La liste des adresses IP bloquées.

Chapitre 3 : Test de la solution

Chaptre 3
Test de la solution
 Chapitre 3 : Test de la solution

Zenmap

Nmap a été conçu pour détecter en scannant les portes ouvertes sur le réseau et
obtenir des informations sur l’OS d’un systéme distant, il utlise plusieurs protocoles
(UDP,TCP,IP,ICMP) pour générer un audit de sécurité.

Figure 3.18: test de fiabilité d’IDS et IPS.

Une fois le scan de port lancé, la station de supervision peut très rapidement
constater des alertes ainsi que l’IP [Link] (notre attaquant) a été bloquée
:
 Chapitre 3 : Test de la solution

Figure 3.19: La liste des alertes aprés le test.

Figure 3.20: La liste des adresses ip bloquées aprés le test.

Conclusion

Dans ce chapitre, nous avons présenté des outils importans pour la détection et
la prévention d’intrusion. À savoir PfSense et Snort. Nous avons donné toutes les
étapes d’installation et configuration de ces outils.
Les systèmes de détection et de prévention d’intrusions, en particulier snort,
peuvent être assimilés à des simples alarmes qui se déclenchent une fois une intrusion
détectée et bloquée.
 Chapitre 3 : Test de la solution

Conclusion générale

Conclusion générale

La sécurité des réseaux informatiques demeure encore un sujet très sensible voir
complexe, pour les acteurs du monde informatique, car les variables qui tournent
autour de ce sujet sont souvent difficiles à maitriser.

Ce projet nous a permis de découvrir les systèmes de détection et de prévention

d’intrusions. Nous avons étudié les fonctionnements d’IDS et d’IPS de type réseau,
ainsi nous avons pris comme exemple le snort sous le pare-feu pfsense qui est un
trés bon outil pour la détection et la prévention d’intrusion, il effectue en temps
réel des analyses du trafic et journalise(log) les paquets IP transitant sur le réseau,
Ce qui nous a offert l’occasion de travailler sous l’environnement Free BSD.

Le résultat des tests de notre système est satisfaisant, mais cela ne veut pas
dire que notre système est parfaitement efficace, car aucun système de sécurité
informatique permettant de garantir une sécurité fiable à 100% .
 Bibliography

Bibliography

[1] [Link]

[2] [Link]
informatique/securite-informatique-les-techniques-dattaque/.

[3] [Link]

[4] [Link]. Algorithme d’intelligence artificielle pour la

classification d’attaques réseaux à partir de données tcp. 2010-2011.

[5] Cedric Llorens. Denis valois et laurent levier, tableau de bord de la sécurité
réseau.

[6] Mohammed EL-Sayed GADELRAB. Evaluation des systémes de

détection d’intrusion.

[7] JABOU Chaouki. Ter détection d’anomalies sur le réseau. 2009.

[8] [Link] proxy.

[9] LESCOP Yves. La sécurité informatique,.

[10] [Link]

[11] J. Timmis. Artificial immune systems: A novel data analysis technique inspired by
the immune network theory. 1999.

[12] H. Debar. Wespi, a revised taxonomy for intrusion detectionsystems,. 1999.

 Bibliography

[13] LABED Ines. Proposition d’un systéme immunitaire artificiel pour la détection
d’intrusions. 2005-2006.

[14] Abderrahim ESSAIDI. Conception d’une zone démilitarisée (dmz). 2006-2007.

[15] Osman SALEM. La protection des réseaux contre les attaques dos.

[16] Apporter les notions essentiels pour l’interconnexion de réseau dans des envi-
ronnements de communication hétérogéne basé sur tcp/ip.

[17] [Link]. Etude et conception d’architectures haut-débit pour la mod-

ulation et la démodulation numériques. Décembre 2006.

[18] TATEB Dehia. Mise en oeuvre d’une solution de sécurité basé sur ids cas d’étude
: entreprise algérie télécom, mémoire de master en informatique. juin 2014.

[19] [Link]

[20] CHIKH Asma. Sécurité d’une application web à l’aide d’un systéme de détection
d’intrusions comportementale. 2011-2012.

[21] Jean-Christophe GALLARD. Sécurité et réseaux,v 2.0.

[22] Michaël AMAND. Etude d’un systéme de détection d’intrusion comportemental pour
l’analyse du trafic aéroportuaire.

[23] BIONDI Philippe. Architecture expérimentale pour la détection d’intrusions dans

un systéme informatique. avril- septembre 2001.

[24] Serge Aumont. L’accés sécurité aux données,.

[25] Denis de REYNAL. présentation sur les vpn. février 2004.

[26] [Link] [Link].

 Bibliography

[27] DABOUR Imane. Etude et mise en place d’un système de détection/prévention

d’intrusion (ids/ips) réseau etude de cas snort. 2013-2014.

[28] Emira MHAROUECH. Etude et développement d’un outil d’analyse de sécurité des
logs. juin 2005.

[29] timoDavid Burgermeister. Les systémes de détection d’intrusions.

[30] Ahmim Ahmed. Systéme de détection d’intrusion adaptatif et distribué.

[31] Guillaume Lehembr. Prévention d’intrusion convention sécurité management.

[32] David Burns. Ccnp security ips 642-627.

[33] Nathalie Dagorn. Détection et prévention d’intrusion : présentation et limites.

[34] [Link]

[35] [Link]
marcant/[Link].

[36] KAANICHE MED RIDHA. Ids/ips, securiday access control.

 Bibliography

Table des matières

Listes Des Figures...................................................................................................2
Liste Des Tableaux................................................................................................4
Remerciements.....................................................................................................5
Dédicaces.................................................................................................................6
Introduction générale............................................................................................8
Problématique.........................................................................................................9
ETUDE PRELIMINAIRE...................................................................................10
Présentation de l’entreprise MANDIGO SARL..........................................................11
Présentation du projet principal................................................................................23
ETUDE TECHNIQUE.........................................................................................25
Notions générales sur les réseaux et la sécurité informatique.....................................26
Introduction................................................................................................................27
Les réseaux..................................................................................................................27
1. La norme OSI:............................................................................................................27
Les différentes couches du modèle OSI:.................................................................28
La Sécurité informatique..........................................................................................33
Objectif de la sécurité informatique.......................................................................34
Terminologie de la sécurité informatique...............................................................34
1. Vulnérabilité.................................................................................................................34
2. Menace..........................................................................................................................35
3. Risque...........................................................................................................................35
4. Une attaque..................................................................................................................35
5. Intrusion........................................................................................................................35
6. Contre-mesure..............................................................................................................35
Cryptographie et cryptanalyse..............................................................................35
1. Cryptage (chiffrement)..............................................................................................36
2. Décryptage (déchiffrement).......................................................................................36
3. Clé.................................................................................................................................36
Éléments d’une politique de sécurité.......................................................................36
Les défauts de la sécurité informatique.................................................................38
Menace sur les réseaux..............................................................................................39
1. Vulnérabilité..................................................................................................................39
2. Attaques informatiques...............................................................................................39
3. Anatomie d’une attaque..............................................................................................39
4. Cyber-attaques.............................................................................................................40
Types d’attaque..........................................................................................................40
1. Les attaques directes...................................................................................................41
2. Les attaques indirectes par rebond...........................................................................41
 Bibliography

3. Les attaques indirectes par réponse..........................................................................42

Quelques attaques courantes....................................................................................43
4. Le balayage de port.....................................................................................................43
Les dispositifs de protection......................................................................................47
1. Un antivirus :................................................................................................................47
2. Un pare-feu :...............................................................................................................48
3. Serveur proxy :.............................................................................................................48
4. Un système détection d’intrusion :..........................................................................49
5. La DMZ :......................................................................................................................49
6. VPN :............................................................................................................................50
Système de détection et de prevention d’intrusion...............................................51
Introduction................................................................................................................52
Systéme détection d’intrusion..................................................................................52
1. Type de système détection d’intrusion.....................................................................52
Comparaison entre les types d’IDS.......................................................................55
Architecture fonctionnelle des IDS........................................................................56
2. Capteur.........................................................................................................................56
3. Analyseur......................................................................................................................57
4. Manager........................................................................................................................57
Classification des systèmes de détection d’intrusion..........................................57
Méthodes de détection des IDS...............................................................................58
Comportement après la détection d’intrusion....................................................60
1. La nature des données analysées...............................................................................60
2. La fréquence d’utilisation...........................................................................................61
Limite des IDS............................................................................................................61
Efficacité des systèmes de détection d’intrusions...............................................62
Système de prévention d’intrusion...........................................................................62
Types d’IPS.................................................................................................................63
1- La détection d’intrusion basée sur l’hôte HIPS.......................................................63
2- La prévention d’intrusion basée sur le NIPS............................................................64
La détection d’intrusion basée sur noyau KIPS..................................................64
3. Les inconvénients d’IPS..............................................................................................65
4. Architecture foncionnelle d’un IPS..........................................................................65
5. Dispositifs d’un NIPS..................................................................................................66
6. Les limites d’IPS.........................................................................................................67
7. La protection de l’entreprise avec un IPS..............................................................67
Terminologie d’empêchement d’intrusion.............................................................67
La Différence entre IPS et Firewall......................................................................68
Conclusion....................................................................................................................68
MISE EN PLACE DE SYSTEME DEDETECTION D’INTRUSION ET
RESULTAT...........................................................................................................70
Introduction................................................................................................................71
 Bibliography

Présentation et configuration de PfSense..................................................................72

Les services proposés................................................................................................73
Configuration des adresses IP sous pfsense..........................................................73
Configuration de l’interface.....................................................................................77
Installation et configuration de Snort........................................................................78
Présentation de snort :............................................................................................79
1. Maquette de test :........................................................................................................79
2. La liste des alertes .....................................................................................................84
3. La liste des adresses IP bloquées..............................................................................85
Test de la solution....................................................................................................86
Zenmap........................................................................................................................87
Conclusion....................................................................................................................88
Conclusion générale................................................................................................89
Conclusion générale....................................................................................................89
Bibliography.................................................................................................................90