Master Informatique, Gouvernance et Transformation Digitale (iGov)

Chapitre 2:
Sécurité Environnement de sécurité
des systèmes informatiques informatique
Pr. Ghizlane ORHANOU
[email protected]

Année universitaire 2024-2025 G. Orhanou 2

Plan
Cybercrime is Rising
While Différents profiles des « hackers »
Readiness Declines.* Attaques informatiques
La cybercriminalité est en nette évolution
alors que Virologie informatique
les mesures de cyberdéfence restent loin derrière!!

* 2014 U.S. State of Cybercrime Survey co-sponsored by PwC, CSO magazine, the
CERT® Division of the Software Engineering Institute at Carnegie Mellon University, and
the United States Secret Service.
G. Orhanou 3 G. Orhanou 4
 Plan Qui sont les « pirates »?
Peut être n’importe qui, avec l’évolution et la
Différents
vulgarisation des connaissances.
profiles des « hackers » Beaucoup d’outils sont disponibles sur Internet.

Attaques informatiques Le terme hacker est utilisé généralement pour

décrire ou désigner un attaquant. Cependant,
Virologie informatique pas tous les hackers ont de mauvaises
intentions.
Il existe plusieurs types de hackers ou de
« pirates ».

G. Orhanou 5 G. Orhanou 6

Les différents types de « pirates » Les différents types de « pirates »

 Les« white hat hackers »: hackers au sens noble du  Les « black hat hackers » (suite):
terme, dont le but est d'aider à l'amélioration des  Les « carders » s'attaquent principalement aux systèmes de
systèmes et technologies informatiques. cartes à puces (en particulier les cartes bancaires) pour en
comprendre le fonctionnement et en exploiter les failles.
 Les « black hat hackers »: plus couramment appelés  Les « crackers » sont des personnes dont le but est de créer des
pirates, c-à-d des personnes s'introduisant dans les outils logiciels permettant d'attaquer des systèmes informatiques
systèmes informatiques dans un but nuisible ; ou de casser les protections contre la copie des logiciels
 Les « script kiddies » (traduisez gamins du script, parfois payants. Un « crack » est ainsi un programme créé exécutable
également surnommés crashers, lamers ou encore packet chargé de modifier (patcher) le logiciel original afin d'en supprimer
monkeys) sont de jeunes utilisateurs du réseau utilisant des les protections.
programmes trouvés sur Internet, généralement de façon
maladroite, pour vandaliser des systèmes informatiques afin de  Les« hacktivistes » (contraction de hackers et activistes
s'amuser.
 Les « phreakers » sont des pirates s'intéressant au réseau que l'on peut traduire en cybermilitant ou cyberrésistant),
téléphonique commuté (RTC) afin de téléphoner gratuitement sont des hackers dont la motivation est principalement
grâce à des circuits électroniques connectés à la ligne
téléphonique dans le but d'en falsifier le fonctionnement. idéologique.

G. Orhanou 7 G. Orhanou 8
 Plan Attaques informatiques
Les systèmes informatiques mettent en œuvre différentes
composantes, allant de l'électricité pour alimenter les
machines au logiciel exécuté via le système d'exploitation et
Différents profiles des « hackers » utilisant le réseau.

Une « attaque » est l'exploitation d'une faille ou

Attaques informatiques vulnérabilité d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des
Virologie fins généralement préjudiciables.
informatique
Les attaques peuvent intervenir à chaque maillon de cette
chaîne, pour peu qu'il existe une vulnérabilité exploitable.

G. Orhanou 9 G. Orhanou 10

Attaque et intrusion Différentes familles d’attaques

 Une Attaque:  Une Intrusion:
 n’importe quelle action qui  faute opérationnelle, externe,
compromet la sécurité des intentionnellement nuisible, Attaques - réseau
informations.  résultant de l’exploitation 
Collecte d’information
 une faute d’interaction d’une vulnérabilité dans le 
Ecoute sur le réseau
délibérée. système (Sniffing & eavesdropping)
 faute interne résultant d’une 
Usurpation d’identité
attaque. (Spoofing)

L’attaque de l’homme au
milieu (MiTM – Man in The
Middle)

Vol de session (Session
hijacking)

Empoisonnement ARP ou
DNS (ARP ou DNS
Poisoning)

Attaque de Déni de
service (DoS, DdoS,
DRDoS)

Attaque de pare-feu et
d’IDS

G. Orhanou 11 G. Orhanou 12
 Différentes familles d’attaques Différentes familles d’attaques
Attaques - réseau Attaques - système Attaques - réseau Attaques - système Attaques - applications

Collecte d’information 
Attaque de codes 
Collecte d’information 
Attaque de codes 
Mauvaise ou absence de

Ecoute sur le réseau malveillants 
Ecoute sur le réseau malveillants validation des données
(Sniffing & eavesdropping) 
Prise d’empreinte (Sniffing & eavesdropping) 
Prise d’empreinte d’entrée

Usurpation d’identité (Fingerprint) 
Usurpation d’identité (Fingerprint) 
Attaques visant
(Spoofing) 
Attaque sur les mots de (Spoofing) 
Attaque sur les mots de l’authentification et

L’attaque de l’homme au passe 
L’attaque de l’homme au passe l’autorisation
milieu (MiTM – Man in The 
Attaque de Déni de milieu (MiTM – Man in The 
Attaque de Déni de 
Mauvaise configuration
Middle) service (DoS, DdoS, Middle) service (DoS, DdoS, des paramètres de

Vol de session (Session DRDoS) 
Vol de session (Session DRDoS) sécurité
hijacking) 
Injection de commandes hijacking) 
Injection de commandes 
Divulgation d’information

Empoisonnement ARP ou (OS command Injection) 
Empoisonnement ARP ou (OS command Injection) (Information disclosure)
DNS (ARP ou DNS 
Accès non autorisé DNS (ARP ou DNS 
Accès non autorisé 
Attaques de dépassement
Poisoning) 
Élévation de privilèges Poisoning) 
Élévation de privilèges de tampon (Buffer

Attaque de Déni de 
Portes dérobées 
Attaque de Déni de 
Portes dérobées overflow)
service (DoS, DdoS, (Backdoor) service (DoS, DdoS, (Backdoor) 
Attaques
DRDoS) 
Accès physique non DRDoS) 
Accès physique non cryptographiques

Attaque de pare-feu et autorisé 
Attaque de pare-feu et autorisé 
Injection SQL
d’IDS d’IDS 
XSS (Cross-Site-Scripting)

G. Orhanou 13 G. Orhanou 14

Exemples d’attaques informatiques

Attaques visant la collecte d’information
classiques
Attaques par balayage de ports
Attaques visant la collecte d’information Balayage TCP (SYN, ACK, FIN, Xmas, Null)
Balayage UDP
(Balayage de port, OS fingerprinting)
Attaques permettant de prendre l’empreinte
Attaque DoS réseau du système (OS Fingerprinting)
Empreinte TCP
Attaque MITM Empreinte ICMP

 Scan de vulnérabilité

G. Orhanou 15 G. Orhanou 16
 Attaques par balayage de ports Les techniques de scan de Nmap
 L'objectif
du balayage est de savoir si un logiciel est en
écoute sur un numéro de port donné. Si un logiciel
écoute, on dit que le port est ouvert, sinon on dit qu'il est
fermé.
 Le balayage d'un port se passe en deux étapes :
 l'envoi d'un paquet sur le port testé ;
 l'analyse de la réponse.
 NMAP: Logiciel de balayage (ou de scan) de ports, très
répondu, connu pour son efficacité
 Nmap a une granularité bien plus fine. Il divise les ports selon six
états: ouvert (open), fermé (closed), filtré (filtered), non-filtré
(unfiltered), ouvert|filtré (open|filtered), et fermé|filtré (closed|
filtered).

G. Orhanou 17
G. Orhanou 18

Attaques par balayage TCP Structure d'un segment TCP

 Ilexiste de nombreuses variantes pour le paquet émis. Il
y a le paquet valide selon la norme TCP comme TCP
SYN, et les paquets invalides. L'utilisation des paquets
invalides vise à tromper les systèmes de détection
d'intrusion. Voici certaines variantes :
 ACK ;  FIN ;
 Maimon (FIN/ACK) ;  NULL (aucun) ;
 Xmas (tous) ;  Window (ACK).
 Le serveur peut répondre de différentes manières :
 ouverture de connexion acceptée : envoi d'un paquet TCP
SYN/ACK ;  Drapeaux
 Réservé : réservé pour un usage futur
 fermeture de la connexion : envoi d'un paquet TCP RST ;  ECN : signale la présence de congestion, voir RFC 3168
 URG : Signale la présence de données urgentes
 absence de réponse.  ACK : signale que le paquet est un accusé de réception (acknowledgement)
 PSH : données délivrées immédiatement à l'application sans attendre que le tampon du récepteur soit plein (push)
 RST : rupture anormale de la connexion (reset) (réinitialisation de la connexion)
 SYN : demande de synchronisation (SYN) ou établissement de connexion
 FIN : demande la FIN de la connexion

G. Orhanou 19 G. Orhanou 20
 Structure d'un segment TCP Structure d'un segment TCP
Signification des champs : Signification des champs :
 Somme de contrôle : somme de
contrôle calculée sur l'ensemble de  Numéro de séquence (32 bits) : La signification de ce numéro est
 Port source : numéro du port
l'en-tête TCP et des données
source à interpréter selon la valeur du bit SYN (Synchronize), situé dans
 Pointeur de données urgentes :
position relative des dernières
le champ Drapeaux de l'entête TCP.
 Port destination : numéro du données urgentes
l
Lorsque SYN = 0, le numéro de séquence est celui du premier
port destination  Options : (de taille variable selon octet de données du segment en cours (par rapport à tous les
les options ajoutées. Ex. : MSS – octets du flot de données transportées).
 Taille de l'en-tête : longueur de Maximum Segment Size, l
Lorsque SYN = 1, ce numéro présente le numéro initial (ISN –
l'en-tête en mots de 32 bits (les Timestamp pour calculer RTT). Initial Sequence Number), c-à-d celui du premier octet du flot
options font partie de l'en-tête)  Remplissage : zéros ajoutés pour de données à transmettre. Ce numéro est géré par une horloge
aligner les champs suivants du interne, propre à la machine locale. Il est tiré au sort.
 Fenêtre : taille de fenêtre paquet sur 32 bits, si nécessaire
demandée, c'est-à-dire le nombre  Données : séquences d'octets
transmis par l'application (par
 Numéro d'acquittement : numéro de séquence du dernier octet
d'octets que le récepteur souhaite
exemple : +OK POP3 server reçu par le récepteur (par rapport à tous les octets du flot de
recevoir sans accusé de
ready...) données reçues).
réception

G. Orhanou 21 G. Orhanou 22

Établissement d'une connexion TCP Terminaison d'une connexion TCP

 Le côté client de la connexion effectue une ouverture active en  La phase de terminaison d'une connexion utilise un handshaking en
3 temps : quatre temps, chaque extrémité de la connexion effectuant sa
 Le client envoie un segment SYN au serveur, terminaison de manière indépendante.
 Le serveur lui répond par un segment SYN/ACK,  La fin d'une connexion nécessite une paire de segments FIN et
 Le client confirme par un segment ACK.
ACK pour chaque extrémité.
G. Orhanou 23 G. Orhanou 24
Exemple d’Attaque par balayage SYN
TCP SYN Scan

 Sile port est fermé,

il répond par un RST

 Si le port est ouvert,

il répond par un SYN/ACK

G. Orhanou 25 G. Orhanou 26

Output de nmap Attaque par balayage SYN

TCP SYN Scan TCP SYN Scan (nmap –sS @IP)
 Avantage du TCP SYN Scan
 Le balayage TCP SYN ne crée jamais de session TCP. De ce fait, il
n’est pas journalisé par les applications de l’ordinateur de
destination.
 Ce balayage est plus discret que le balayage TCP connect().
 Puisqu’aucune session d’application n’a été ouverte, le balayage
SYN scan n’a aucun impact réel sur les performances de
l’application.

 Inconvénient du TCP SYN Scan

 Le balayage TCP SYN nécessite un accès privilégié au système
(accès avec compte administrateur). Sans un accès privilégié,
nmap ne peut pas créer des packets raw nécessaires pour
accomplir des balayages se basant sur un processus de connexion
semi-ouverte (half-open connection process).
G. Orhanou 27 G. Orhanou 28
Attaque par balayage TCP connect() Attaque par balayage ACK
TCP connect() Scan (nmap –sT @IP) ACK Scan (-sA)
 Si le port est fermé,  Ce type de scan est différent des autres car il ne peut pas
il répond par un RST déterminer si un port est ouvert(ni même ouvert|filtré).
 Il est utilisé pour découvrir les règles des pare-feux,
déterminant s'ils sont avec ou sans états (statefull/stateless) et
quels ports sont filtrés.
 Le scan ACK n'active, en général, que le drapeau ACK des
paquets.
 Les systèmes non-filtrés réagissent en retournant un paquet RST.
 Si le port est ouvert,
le scan TCP connect(), Nmap considère alors le port comme non-filtré, signifiant qu'il est
complète le TCP three-way accessible avec un paquet ACK, mais sans savoir s'il est
handshake, puis envoie un RST réellement ouvert ou fermé.
 Les ports qui ne répondent pas ou renvoient certains messages
pour fermer la connexion.
d'erreur ICMP (type 3, code 1, 2, 3, 9, 10, ou 13), sont considérés
comme filtrés.
G. Orhanou 30

Attaque par balayage ACK Attaque par balayage ACK

 Si le port est filtré,
il n’y a pas de réponse ou
réception d’un message ICMP
destination unreachable

 Si le port est unfiltred,

il répond par un RST

G. Orhanou 31 G. Orhanou 32
Attaque par balayage ACK Attaque par balayage ACK
avec vérification de la taille de la fenêtre TCP avec vérification de la taille de la fenêtre TCP
Window Scan (-sW) Window Scan (-sW)
 Une réponse RST reçue d’un port
fermé, a une taille nulle de la
fenêtre (window size).

 Quand un port ouvert reçoit un

TCP ACK, la station de
destination répond avec un RST,
mais la taille de la fenêtre n’est
pas nulle.

33 G. Orhanou 34

Prise d’empreinte d’un OS Techniques d’OS Fingerprinting

OS Fingerprinting
 Définition: L'OS Fingerprinting est l'art d'identifier le type
et la version du système d'exploitation de l‘hôte distant.
 Il constitue une étape cruciale dans un test d'intrusion.
 On distingue deux catégories de techniques de l'OS
Fingerprinting :
 Techniques actives : consiste en l'envoi de paquets sur le
réseau et l'attente de réponses. Les paquets envoyés sont
parfois malformées car les différentes implémentations des
piles TCP/IP répondent différemment face à de telles erreurs.
 Techniques passives : ces méthodes se caractérisent par le
fait qu‘elles se base sur l’écoute du trafic réseau sans avoir à
envoyer aucun paquet.

G. Orhanou 35 G. Orhanou 36
 TCP/IP Stack Fingerprinting Technique de nmap
pour la prise d’empreintes d’OS
 TCP/IP Stack Fingerprinting est une technique
permettant de déterminer l'identité du système
d'exploitation utilisé sur une machine distante en
analysant les paquets provenant de cet hôte.

 Cetteméthode se base sur le fait que les différents

systèmes n'implémentent pas de la même manière les
protocoles réseaux TCP et IP.

 La plupart des systèmes d'exploitation répondent

différemment si des paquets anormaux ou bizarres leur
sont envoyés.

G. Orhanou 37 G. Orhanou 38

Exemple de prise d’empreinte par Nmap Exemple de test de prise d’empreinte

Exemple d’empreinte associée par Nmap à l’OS (fichier

nmap-os-fingerprints) :
 Fingerprint Linux 2.6.0 (X86)

G. Orhanou 39 G. Orhanou 40
 Attaque DoS
Attaque DoS
 DoS ou « attaque par déni de service ou par
saturation» (en anglais « Denial of Service ») est une
attaque visant à rendre indisponible, pendant un
temps indéterminé, les services ou les ressources
d'une organisation.
 Il existe diverses raisons pour une attaque DoS:

Raisons politiques ou économiques;

Pour gagner accès à un système donné;

Pour pouvoir réaliser d’autres types d’attaques (comme
«Man in the middle » dans le cas de DNS Spoofing par
exemple);

Par vengeance;

Etc.
G. Orhanou 41 G. Orhanou 42

Principe du DoS Attaques classiques en DoS et DDoS

Le principe des attaques par déni de service

Attaques sur la bande passante
consiste à envoyer des paquets IP de taille ou de (objectif: Saturation)
constitution inhabituelle ou bien en grand nombre,  UDP flooding
afin de provoquer :  ICMP flooding
 TCP flooding
 une saturation ou
 un état instable des machines victimes Attaques sur les failles logicielles
et de les empêcher ainsi d'assurer les services (objectif: Exploitation des vulnérabilités)
 TCP/RST
réseau qu'elles proposent.  Paquets malformés

G. Orhanou 43 G. Orhanou 44
Exemple: SYN Flooding Attack Exemples d’attaques DoS/DDoS
 En avril 2019

La société de sécurité Impreva a relevé le cas d’un de ses clients affecté
Serveur
par une attaque DDoS: le débit a atteint 580 million PPS (packets per
En écoute… second).
SYNC1  En 2018
Pour chaque demande de 
GitHub (grande entreprise de développement logiciel et de service) a
SYNC2 connexion, il y a réservation connu une large attaque DdoS contre son site: 1.35-terabit-per-second
de ressources. (Tbps) équivalent à 129.6 million PPS.
SYNC3 …
SYNC4 …

SYNC5 …

… Source: https://www.a10networks.com/blog/5-most-famous-ddos-attacks/

 Et pour l’histoire, en octobre 2002


Une attaque DDoS la plus significative à l’époque. Elle visaient les treize
serveurs DNS racines : L'attaque a duré plus d'une heure et le débit a
franchi 900 Mégabits/seconde.
G. Orhanou 45 G. Orhanou 46

Principe du DDoS Principe de DDoS

 Une attaque DDoS prend place lorsque plusieurs Attacker
machines compromises, infectées par un code
malicieux, et sont coordonnées et sous le contrôle
d’un même attaquant dans le but de pénétrer dans Masters

le système de la victime, épuiser ses ressources et le

forcer à arrêter le service fournis à ses clients. Slaves

 Les attaques par déni de service distribué les plus

connues sont Tribal Flood Network (notée TFN) et
Trinoo.
 Il existe deux types d’attaques DDoS :
 Les attaques DDoS typiques
 distributed reflector DoS (DRDoS) attacks.
Victim

G. Orhanou 47 G. Orhanou 48
 Attaques DRDoS (Distributed Reflector DoS) Attaques DRDoS (Distributed Reflector DoS)
Attacker

 Dans les attaques DRDOS, l'armée de l'attaquant se

Masters
compose de zombies maîtres, de zombies esclaves, et des
réflecteurs.
 Les Slaves
zombies maîtres ordonnent aux zombies esclaves
d'envoyer un flux de paquets avec l'adresse IP usurpée de
la victime comme adresse IP source à d'autres machines
non infectées (connu sous le nom de réflecteurs), incitant
ces machines de se connecter avec la victime.
 Par conséquent, dans des attaques DRDOS, l'attaque est Reflectors

montée par des machines non compromises, qui lancent de

l'attaque sans être conscientes de l'action.

Victim

G. Orhanou 49 G. Orhanou 50

Attaque MITM Attaque MITM - Types

Le but de l'attaquant est de se faire passer pour
Attaque Man In The Midle (l’homme au milieu ou l'un (voire les 2) correspondants, en utilisant, par
MITM) exemple :
C’est un scénario d'attaque dans lequel un pirate ARP Spoofing: c'est probablement le cas le plus
écoute une communication entre deux interlocuteurs et fréquent. Possible si l'un des interlocuteurs et l'attaquant
falsifie les échanges afin de se faire passer pour l'une se trouvent sur le même réseau local.
des parties. DNS Poisoning: L'attaquant altère le ou les serveur(s)
DNS des parties de façon à rediriger vers lui leurs
La plupart des attaques de type MITM consistent communications sans qu’ils s'en aperçoivent.
l'analyse de trafic: le but est de visualiser
à écouter le réseau à l'aide sniffer.
d'éventuelles transmissions non chiffrées .
Etc.

G. Orhanou 51 G. Orhanou 52
 Attaque MITM
MITM: écoute du réseau
Écoute du réseau: Capturer le contenu des
paquets qui ne nous sont pas destinés.
Tcpdump - Wireshark

G. Orhanou 53 G. Orhanou 54

MITM: ARP Spoofing MITM: ARP Spoofing

Rappel du fonctionnement du protocole ARP  Cette attaque est de type man in the middle. elle consiste à
(Address Resolution Protocol) exploiter une faiblesse du protocole ARP.
 L'objectif de l'attaque consiste à :
ARP interroge en diffusion (broadcast) le réseau local et
1. s'interposerentre deux machines du réseau
attend qu'un ordinateur réponde en fournissant 2. etde transmettre à chacune un paquet ARP falsifié précisant que
l'adresse physique requise l'adresse MAC de l'autre machine a changé, l'adresse MAC fournie
étant celle de l'attaquant.
L'absence de réponse établit clairement que cette
 Ainsi,
les deux machines cibles vont mettre à jour leur table
adresse logique ne correspond à aucune machine en
fonctionnement sur le réseau local dynamique appelée Cache ARP. À chaque fois qu'une des
deux machines souhaitera communiquer avec la machine
distante, les paquets seront envoyés à l'attaquant, qui les
La réponse ARP est envoyée dans un message unicast transmettra de manière transparente à la machine destinatrice.
vers la source de la requête.

G. Orhanou 55 G. Orhanou 56
 MITM: ARP Spoofing MITM: ARP Spoofing

Table de l’ARP sur PC Linux 1

Table de l’ARP sur PC Linux 2

L’attaquant

G. Orhanou 57 G. Orhanou 58

MITM: ARP Spoofing Plan

déroulement de l’attaque

Différents profiles des « hackers »

Attaques informatiques

Virologie informatique

G. Orhanou 59 G. Orhanou 60
 Buts d’une infection virale Buts d’une infection virale
Destruction ou Corruption de fichiers.  Divulgation des paramètres de sécurité : Divulgation des mots de
 Destruction matérielle : (ex. exécuter une boucle sans fin mettant en passe, des paramètres de sécurité etc. ... par exemple par analyse des
œuvre certaines instructions de certains coprocesseurs et ayant la versions de correctifs installés etc. (le malware a un comportement de
particularité de les faire chauffer jusqu'à destruction du composant). spyware).
 Instabilité du système : (ex. engendrer un comportement conduisant  Social engineering : convaincre de révéler par vous même vos codes et

au blocage total, mais sans être destructeurs). mots de passe, volontairement et même spontanément
 Dégradation des ressources du système : Quelques virus exécutent  Relais d'attaque : Ces malwares ne font rien sur votre machine, mais ils

des boucles sans fin destinées à occuper une part de la puissance de ont un mécanisme de réplication et une charge active. Ils sont
calcul de l'ordinateur, où se répliquent sur le disque dur ou en uniquement préoccupés par leur réplication la plus grande possible. Puis,
mémoire, conduisant à une saturation et au plantage, ou au à une date et heure donnée, à partir de toutes les machines infectées,
ralentissement du chargement des fichiers et des programmes. une attaque est lancée contre une cible, par exemple afin de la saturer.
 Compromission des paramètres de sécurité : Recherche de failles,  Actions ennuyeuses : (ex. Affichage répétitif d'un message ou d'une

création de failles etc. (ex. un cheval de Troie qui sert à installer un image, impossibilité de cliquer sur une icône car elle disparaît à chaque
Keylogger ou un Backdoor etc. ...) fois que le pointeur de la souris s'approche, affichage des caractères à
 Percement des paramètres de sécurité : Le malware s'attaque aux l'envers, écriture du français de droite à gauche etc. )
antivirus et aux pare-feux pour les inhiber, les désactiver etc. ...

G. Orhanou 61 G. Orhanou 62

Principaux aspects Principaux aspects

des codes ou logiciels malveillants des codes ou logiciels malveillants

Définition: Définition:
Les codes ou logiciels malveillants (malware) se Les codes ou logiciels malveillants (malware) se
définissent comme tout programme conçu dans le but définissent comme tout programme conçu dans le but
d’infiltrer le système informatique d’un utilisateur dans d’infiltrer le système informatique d’un utilisateur dans
l’intention spécifique d’effectuer un acte malveillant. l’intention spécifique d’effectuer un acte malveillant.

Cette expression « malware » est utilisée pour désigner les Cette expression « malware » est utilisée pour désigner les
virus, les vers et les chevaux de Troie mais aussi les virus, les vers et les chevaux de Troie mais aussi les
logiciels espions, les bombes logiques et d’autres formes logiciels espions, les bombes logiques et d’autres formes
de logiciels indésirables. de logiciels indésirables.

Quels sont les types de Malwares que vous connaissez ?

G. Orhanou 63 G. Orhanou 64
 Qu'est-ce qui différencie
un Virus, un Vers, un Parasite ?
 Virus,vers et parasites ont, tous, une charge active
(Payload).
 Ce qui les différencie est:

Question:  leurs capacités à se répliquer dans un même ordinateur (infester la

machine)
 et à sauter d'un ordinateur à un autre (se propager).
 Les virus:
Qu'est-ce qui différencie
 Les virus se répliquent et infectent complètement un ordinateur (ils se
collent à un fichier exécutable).
 Ils ne se propagent pas d'eux-mêmes
un Virus, un Vers & autre ?  Les vers:
 Les vers se répliquent dans un ordinateur et l'infectent complètement
 Ont un mode de propagation autonome.

G. Orhanou 65 G. Orhanou 66

Structure d’un code La charge virale (payload)

malveillant - virus et ver
 Les charges (payload) qui accompagnent les virus et les
vers peuvent être classées dans les groupes suivants :
 Portes dérobées : Elles permettent aux pirates d'accéder aux
ordinateurs et aux données qu'ils contiennent.
 Manipulation de données : Cela va des messages, des annonces
et des bruits du matériel jusqu'à la suppression de fichiers et de
C'est l'action que le virus
applique au corps infecté
lecteurs.
 Chiffrement : l'accès aux données de l’utilisateur peut être bloqué
par le biais du chiffrement (ransonware).
 Espionnage des données : Les objectifs de ces attaques sont les
mots de passe, les numéros des cartes de crédit, les noms
d'utilisateur et autres données personnelles et secrets industriels.
chiffrement
 Les attaques DDOS (déni de service distribué)

G. Orhanou 67 G. Orhanou 68
 Payload – Cas d’un Ransomware Payload – Cas d’un Ransomware
Bad Rabbit Bad Rabbit
 Le processus d’infection commence par un faux programme d’installation
Adobe Flash téléchargé à partir de sites Web compromis. Ce faux
programme d’installation Flash contient la charge utile du ransomware dans
une superposition de compressions ZLIB. Une fois déchiffré, il dépose et
exécute le véritable ransomware (identifié en tant que
b14d8faf7f0cbcfad051cefe5f39645f).

 La charge utile de ransomware mentionnée ci-dessus contient pas moins de

six outils différents, notamment :

Le composant de chiffrement

Le bootloader

Mimikatz – un utilitaire pour extraire les mots de passe et les tickets
d’authentification de la mémoire

DiskCryptor – une solution de chiffrement de partition open source

Source : https://www.undernews.fr/malwares-virus-antivirus/apres-goldeneye-le-ransomware-bad-rabbit-frappe-lukraine.html

G. Orhanou 69 G. Orhanou 70

Structure d’un code Structure d’un code

malveillant - virus et ver malveillant - virus et ver

Dans le cas d’ une "bombe Dans le cas d’ une "bombe

logique", attendre un logique", attendre un
événement temporel ou une événement temporel ou une
action pour se déclencher. action pour se déclencher.

C'est l'action que le virus C'est l'action que le virus

applique au corps infecté applique au corps infecté

(ou de camouflage): Le virus va

tenter de se camoufler
• en se rendant invisible
• ou en tuant ses ennemis (les
chiffrement chiffrement antivirus),
• ou en changeant à chaque
réplication de manière à
rendre la détection par
signature impossible etc.
G. Orhanou 71 G. Orhanou 72
 Techniques de camouflage Exemple de technique de camouflage
Le chiffrement
 Les malwares (principalement récents) s'efforcent de ne pas
être détectés par les utilisateurs et les logiciels antivirus. Pour
cela, ils disposent souvent de toute une série de mécanismes:
 Repérage : Ils repèrent les débogueurs ou s’en protègent en
insérant dans leur code des lignes superflues dépourvues de sens.
 Falsification : Pour cacher les traces d'infection, ils falsifient les
messages d'état ou les entrées des journaux. Cette procédure est
notamment appliquée par les Rootkits.
 Chiffrement : Pour ne pas être découverts, les virus sont souvent
chiffrés et/ou chiffrent leur code nuisible.
 Packers : Les runtime packers permettent de déstructurer les
fichiers exécutables de telle manière qu'ils deviennent indétectables
par les dernières signatures antivirus.
Source : B. Bashari Rad, M. Masrom, I. Suhaimi, Camouflage In Malware: From Encryption To Metamorphism, IJCSNS International
Journal of Computer Science and Network Security, VOL.12 No.8, August 2012

G. Orhanou 73 G. Orhanou 74

Exemple de technique de camouflage Exemple de technique de camouflage

Mutation du code Mutation du code
2 versions du virus W32.Evol :

Source : B. Bashari Rad, M. Masrom, I. Suhaimi, Camouflage In Malware: From Encryption To Metamorphism, IJCSNS International
Journal of Computer Science and Network Security, VOL.12 No.8, August 2012

Source : B. Bashari Rad, M. Masrom, I. Suhaimi, Camouflage In Malware: From Encryption To Metamorphism, IJCSNS International
75 Journal of Computer Science and Network Security, VOL.12 No.8, August 2012 76
G. Orhanou
Exemple de Exemple de malware : Regin
malware :
Regin

Source : Symantec Security Response, “Regin: Top-tier espionage tool enables stealthy surveillance”, Version 1.1 – August 27, 2015

Source : Symantec Security Response, “Regin: Top-tier espionage tool enables stealthy surveillance”, Version 1.1 – August 27, 2015
G. Orhanou 78

Structure d’un code

Partie du virus qui choisit Typologie des réplications
ses cibles (les programmes
en .exe ou les fichiers
malveillant - virus et ver
système ou les macros Il existe plusieurs types de réplications
etc. ...) et s'implante au
niveau de ses cibles par
Dans le cas d’ une "bombe
(Réplication à l'intérieur):
les méthodes de
réplications choisies. logique", attendre un Par secteur de boot infecté
événement temporel ou une
Par injection et par cavité:
action pour se déclencher.
 le virus s’injecte dans un fichier exécutable et à chaque fois que

C'est l'action que le virus le programme infesté est ouvert, le virus est exécuté puis
applique au corps infecté "rend la main" à l'exécution normale du programme hôte qu'il
infeste.
(ou de camouflage): Le virus va
tenter de se camoufler
Par Recouvrement
• en se rendant invisible  les virus à réplication par recouvrement sont destructeurs car les
• ou en tuant ses ennemis (les exécutables sont ainsi "recouverts" par un nouvel exécutable, le
antivirus),
chiffrement
• ou en changeant à chaque
virus.
réplication de manière à Par Compagnon
rendre la détection par
signature impossible etc.
G. Orhanou 79 G. Orhanou 80
Partie du virus qui choisit
Structure d’un code Typologie des propagations
ses cibles (les programmes
en .exe ou les fichiers
malveillant - virus et ver
système ou les macros  Ilexiste plusieurs méthodes de propagation des
etc. ...) et s'implante au
niveau de ses cibles par infections vers l'extérieur:
les méthodes de Dans le cas d’ une "bombe
réplications choisies. logique", attendre un
événement temporel ou une  Par Hôte infecté
Dans le cas des vers, il action pour se déclencher.  Par e-Mail et spam viral
s'agit généralement d'un
outil de pillage du carnet  Par Auto-propagation : vers
C'est l'action que le virus
d'adresses et envoie applique au corps infecté  Par Messagerie Instantanée et par Canaux IRC (Internet
(serveur SMTP) à toutes
ces adresses sous forme Relay Chat)
(ou de camouflage): Le virus va  Par Réseaux de P2P
d'un e-mail piégé.
tenter de se camoufler
• en se rendant invisible  Par Réseaux locaux
Ce composant comporte
• ou en tuant ses ennemis (les  Par Internet
plusieurs outils :
• de collecte
chiffrement antivirus),
• ou en changeant à chaque
d'informations,
• d'attaque (scan de réplication de manière à
rendre la détection par
ports, scan d'adresses
signature impossible etc.
IPs...) et
• de propagation G. Orhanou 81 G. Orhanou 82

Propagation par e-mail et spam viral Propagation par

spam viral assisté :
les virus appuyés
 Propagation par spam viral avec son propre outil : les vers par un BotNet
 comportent leur propre serveur de messagerie (serveur SMTP
- (Simple Mail Transfer Protocol)) pour s'envoyer
 s'attaquent à toutes les adresses trouvées sur la machine
infectée (ex. le carnet d'adresses). Les méthodes sont les
mêmes que celles du spam: On parle de spam viral.

 Propagation par spam viral assisté : les virus appuyés par

un BotNet
 Collusion entre spammeurs, éditeurs de virus et propriétaires de
BotNets. Le résultat et l'architecture de la propagation sont les mêmes
que le 1er type sauf que le malware n’utilise pas son propre serveur
SMTP pour se propager par e-mail mais plutôt la technique de
pénétration du propriétaire du BotNet (un RAT (Remote
Administration Tool) installé). La propagation est plus rapide
(fulgurante).
83 G. Orhanou G. Orhanou 84
G. Orhanou
 Typologie des virus
Un virus
 Virus du secteur d'amorçage ou virus de secteur de
boot
 Unvirus est un programme qui cherche à se  Virus de fichiers
propager via d’autres programmes en les modifiant  Virus multipartites:
ou en s’accrochant à ceux-ci.  Ce groupe de virus combine les techniques d’infection du secteur
d'amorçage (ou des tables de partitions) à celles utilisées sur les
fichiers exécutables.
 Chaque programme infecté contribue à la  Virus compagnons
propagation, l’infection est souvent rapide. Pour  Macrovirus:
s’introduire dans les ordinateurs, un virus utilise les  Les macrovirus s'accrochent aux fichiers. Ils ne sont pas
supports de données amovibles (comme les clés exécutables et pour être exécutés, ils ont besoin d'un interprète du
langage macro, comme ceux intégrés à Word, Excel, Access et
USB), les réseaux (poste à poste inclus), les
PowerPoint.
messages électroniques ou Internet.  Ils peuvent également se cacher, contaminer le secteur
d'amorçage et créer des virus compagnons.

G. Orhanou 85 G. Orhanou 86

Typologie des virus Vers (worm)

 Virus furtifs et Rootkits
 Les virus furtifs et les rootkits sont dotés de mécanismes de  Contrairement aux virus, les vers ne s'attachent pas aux
protection spéciaux leur permettant d'échapper à leur détection fichiers exécutables. Ils se transmettent d'un ordinateur à
par les programmes antivirus. Le but de ce type de virus est de l'autre par des connexions réseau ou entre ordinateurs.
rester indétectable afin de pouvoir utiliser les ressources de  Il existe différents types de ver :
l’ordinateur infecté à l’insu de son utilisateur.  Ver de réseau: les vers exploitent des failles pour se propager.
 Virus polymorphes Ex. Lovsan/Blaser et CodeRed

 Les virus polymorphes contiennent des mécanismes leur  Sasser profite d'une erreur de dépassement de mémoire tampon

permettant de modifier leur aspect après chaque infection. dans le Local Security Authority Subsystem Service (LSASS)
Une partie du virus est ainsi chiffrée. La routine de chiffrement pour contaminer les ordinateurs connectés à Internet.
intégrée au virus génère à chaque copie une nouvelle clé, voire  Ver de messagerie
parfois de nouvelles routines.  Ex. Beagle et Sober

 Virus métamorphes  Ver peer to peer

 Ces virus ne se basent pas sur le chiffrement de la partie  Ver de messagerie instantanée
malveillante du code mais plutôt sur la mutation du code tout entier
afin de ne pas être détectés par les antivirus.

G. Orhanou 87 G. Orhanou 88
 Cheval de Troie (trojan horses) Cheval de Troie (trojan horses)
 La classification du trojan dépend de sa fonction nuisible:
 Un cheval de troie est un programme nuisible qui se cache dans  Backdoors ouvrent une porte dérobée au niveau de l'ordinateur
une application apparemment saine afin de pénétrer dans infecté. L'ordinateur est alors commandé à distance par le pirate.
l’ordinateur. Une fois dans le système, le Cheval de Troie ou  Adwares, ou logiciels publicitaires, enregistrent les activités et les
trojan, en ouvre les portes et télécharge d’autres programmes processus d'un ordinateur (habitudes de navigation, par exemple).
nuisibles sur l’ordinateur contaminé. Lorsque l'occasion s'y prête, des messages publicitaires sont alors
affichés à l’utilisateur.
 Ilcontient des segments cachés qui lui permettent de s’introduire  Spywares ou logiciels espions, permettent de voler des données
dans les ordinateurs offrant au pirate un accès presque total au utilisateur : mots de passe, documents, clés d'enregistrement de
système. logiciels, adresses électroniques, etc.
 Outils de téléchargement et injecteurs (Downloader et
 Un trojan ne dispose pas de routine de propagation autonome. Dropper): ont pour mission de charger ou de copier un fichier sur
Il se diffuse donc par téléchargement (de crack ou serialkey par l'ordinateur infecté. Pour ce faire, ils essaient souvent modifier ou
exemple), sous la forme d'économiseurs d'écran ou de jeux ou par de compromettre les paramètres de sécurité du système.
courrier électronique. Une exécution du programme apparemment
sain suffit pour contaminer le système.

G. Orhanou 89 G. Orhanou 90

Les Botnets Exemple : dropper du malware Dridex

1. L'utilisateur reçoit un mail l'invitant à ouvrir la pièce jointe présentée comme une
facture impayée ;
 Botnet (bot=robot, net=reseau) : 2. L’ouverture du document déclenche l'exécution d'une macro VBA contenue dans le
 ensemble de logiciels-robots qui fonctionnent de manière document Word ;
3. La macro VBA télécharge un fichier sur pastebin contenant du code VBS et
autonome et automatique, installés sur de nombreuses déclenche l'exécution de ce code ;
machines zombies, détournés à l´insu de leurs propriétaires, 4. Le code VBS télécharge un exécutable .net depuis le serveur 212.76.130.99, puis
lance cet exécutable ;
exécutant un programme malveillant 5. L'exécutable contient du code C# ainsi qu'une ressource anormalement volumineuse.
 ayant un centre de contrôle et de commande commun. Le code C# recombine le contenu d'un certain nombre de tableaux de données
pour reconstituer un second assembly .net, puis charge et exécute cet assembly ;
6. Le code du second assembly alloue une zone mémoire, y recopie un tableau de
 Leurs buts est de paralyser le trafic ou servir de données d'environ 3Ko, puis exécute ces données, lesquelles correspondent à du
moteur à la diffusion de spam. code machine x86 ;
7. Le dropper lancé, largement obfusqué (aucune chaîne de caractère en clair, aucun
 Ils sont aussi utilisés pour le vol de données appel d'API en clair) vérifie la présence de la charge stockée dans une des ressources
de l'exécutable téléchargé en (4), puis déchiffre et décompresse son contenu avant de
bancaires ou de comptes clients, ou d’autres l'exécuter ;
attaques réalisées à grande échelle. 8. La charge ("botnet 120") n'a plus qu'à assurer sa pérennité sur le système et à mener
ses activités malicieuses ;
9. Le botnet 120 contactera ensuite son serveur de commande et contrôle, puis
téléchargera la DLL Dridex de charge finale !
G. Orhanou 91 G. Orhanou 92
 Mesures de protection
contre les codes malveillants
 Pare-feu (ou Firewall): mettre en place des règles
d’accès.
 Système de gestion et de contrôle de trafic de données, ce
dispositif filtre en permanence toutes les connexions entrantes et
sortantes d’un ordinateur ou d’un réseau, son principe de
configuration repose sur le filtrage de trafic entrant et sortant.

 L’anti-spam est un système permettant à l’utilisateur final,

le destinataire, de se prémunir au maximum contre la
réception de ces mails non désirés
 Un anti-spam s’appuie sur différentes banques de données,
notamment des listes noires constituées d’adresses internet ou de
pays connus pour être à l’origine de nombreux spams. Il peut aussi
arrêter le courrier indésirable selon son origine, son titre ou bien
par son contenu.

G. Orhanou 94
Source : http://christophe.rieunier.name/securite/Dridex/20150608_dropper/Dridex_dropper_analysis_fr.php

Mesures de protection Typologie des produits antivirus

contre les codes malveillants  La plupart des antivirus ne mettent pas en œuvre une seule
méthode de détection, mais combinent plusieurs en même temps.
 Antivirus: Logiciel capable de détecter, arrêter et Ce sont la qualité des méthodes et le dosage de l’une par rapport
éventuellement détruire les virus contenus sur une à l’autre qui font la différence.
machine infestée.  Les méthodes de détection:
 La recherche par signature: C’est la technique du « scanner »
 Ila pour charge de surveiller la présence de virus et basée sur la recherche d’une chaine de caractères.
éventuellement de nettoyer, supprimer ou mettre en  Le contrôle d’intégrité des fichiers
quarantaine le ou les fichiers infectés, il surveille tous les
 La recherche heuristique: Elle cherche à détecter la présence d'un
espaces dans lesquels un virus peut se loger, c’est à dire la
mémoire et les unités de stockage. virus en analysant le code d'un programme inconnu.
 L’analyse comportementale: Elle repose sur l’analyse dynamique
 Les antivirus utilisent plusieurs méthodes de détection de des opérations de lecture et d’écriture en mémoire ou sur support
codes malveillants. physique.

G. Orhanou 95 G. Orhanou 96
 L’éradication Références
 Linux Magazine HS n°32: « Virus – Unix, GNU/Linux & Mac
 Pourobtenir l’éradication, l’antivirus doit lancer un OS », sep/oct 2007
processus automatisé inverse. Le succès s’obtiendra  Le magazine MISC n°47, Dossier «La lute antivirale, une
après: cause perdue? », jan/fév 2010.
1. Étude du code viral  Linux magazine HS n°32, « Virus – Unix, GNU/Linux & Mac
2. Comparaison des fichiers sains et infectés OS X »
3. Localisation des données déplacées et sauvegardées  Dossier technique « Virus informatiques », CLUSIF, 2005
4. Marquage des fichiers nouvellement créés
 http://cwe.mitre.org/top25/archive/
5. Recherche des modifications annexes induites sur le système (ex.
modification de la base de registres) 2011/2011_cwe_sans_top25.pdf
 Le  http://cwe.mitre.org
travail d’éradication se complique lorsque des fichiers
 http://www.sans.org
sains ont été modifiés pour accueillir le code viral!!.
 http://www.viruslist.com/fr

G. Orhanou 97 G. Orhanou 98