1 Dr Maha Charfeddine

Introduction à la cyber-securité

Enseignante :

Mme Maha Charfeddine Hamza

Année universitaire
2021-2022
Dr Maha Charfeddine 2
Statistiques en Tunisie

https://www.ansi.tn/statistics
Dr Maha Charfeddine 3
 La Tunisie classée 6ème sur la liste des pays les plus
menacés par des cyberattaques sur mobile

Les statistiques de Kaspersky Lab indiquent que 14.94% des utilisateurs de

smartphones en Tunisie ont été la cible d’une attaque entre janvier et mars 2020.

Dr Maha Charfeddine 4
Les métiers de la cybersecurité

Dr Maha Charfeddine 5
 Les métiers de la cyber-sécurité
On distingue 5 grandes familles :
1.Pilotage, organisation et gestion des risques
•Responsable de la Sécurité des Systèmes d’Information (RSSI)
•Spécialiste en gestion de crise cyber
•Responsable du plan de continuité d’activité (RPCA)
3.Management de projets et cycle de vie
•Chef de projet sécurité
•Développeur sécurité
•Architecte sécurité
4.Opération et maintien en condition opérationnelle
•Administrateur sécurité
•Technicien sécurité
5.Support et gestion des incidents
•Analyste Security opérations center (SOC)
•Expert réponse à incident
6.Conseil, audit et expertise
•Consultant sécurité
•Cryptologue
•Juriste spécialisé en cybersécurité
•Évaluateur sécurité
•Analyste de la menace
•Délégué à la Protection des Données (DPD)
Dr Maha Charfeddine 6
 1.Les enjeux de la sécurité des S.I.
a. Préambule

• Système d’Information (S.I.)

– Ensemble des ressources destinées à collecter, classifier,

stocker, gérer, diffuser les informations au sein d’une
organisation

– Mot clé : information, pour toutes les entreprises,

administrations, organisations, etc.

Le S.I. doit permettre et faciliter la mission de l’organisation

Dr Maha Charfeddine 7
 1. Les enjeux de la sécurité des S.I.
a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux

processus métiers
et informations

actifs supports

site personne matériel réseau logiciel organisation

La sécurité du S.I. consiste donc à assurer

la sécurité de l’ensemble de ces biens
Dr Maha Charfeddine 8
 1. Les enjeux de la sécurité des S.I.
b. Les enjeux

• La sécurité a pour objectif de réduire les risques pesant sur le

système d’information, pour limiter leurs impacts sur le
fonctionnement et les activités métiers des organisations…

• La gestion de la sécurité au sein d’un système d’information :

– contribue à la qualité de service que les utilisateurs

……………… …
sont en droit d’attendre

au personnel
– garantit ……………………le niveau de protection qu’ils sont
en droit d’attendre

Dr Maha Charfeddine 9
 1. Les enjeux de la sécurité des S.I.
b. Les enjeux

Impacts Impacts sur l’image

financiers et la réputation

X
Sécurité
des S.I.

Impacts juridiques et Impacts

réglementaires organisationnels

Dr Maha Charfeddine 10
 1. Les enjeux de la sécurité des S.I.
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou
aux PC d’individus ?

Quelles sont les classes de hackers?

• Hacker, pirate, cracker, geek, génie…Les dénominations sont

nombreuses mais pourtant bien différentes !

• Pour distinguer et hiérarchiser les différents types de hackers, des

catégories spécifiques ont été définies

• Elles ont pour but de faire comprendre les multiples facettes du

hacking et de différencier les buts poursuivis.

Dr Maha Charfeddine 11
 1. Les enjeux de la sécurité des S.I.
Le gentil, le White Hat Hacker

• Il s’agit souvent d’une personne qui a atteint une maturité d’esprit

ainsi que des qualifications suffisantes et approuvées par les autres.

•Il aide les victimes, il aide à sécuriser les systèmes et combat contre
la cybercriminalité.

•Il travaille typiquement dans une grande entreprise pour sécuriser

les systèmes et réseaux, mais il peut très bien être un
jeune passionné .

•Ce hacker au chapeau blanc est également le hacker éthique, son

slogan est “apprendre l’attaque pour mieux se défendre” (et non
pas pour causer des dommages).
Dr Maha Charfeddine 12
 1. Les enjeux de la sécurité des S.I.
Le gentil, le White Hat Hacker

Dr Maha Charfeddine 13
 1. Les enjeux de la sécurité des S.I.
Le méchant, le Black Hat Hacker

•Le hacker au chapeau noir peut être aussi expérimenté que celui au
chapeau blanc, voire plus. Mais il agit par contre à des fins qui lui
sont propres, et qui sont illégales.
•Il vole des données, s’introduit illégalement dans les systèmes ou
encore pirate des comptes.
•C’est là qu’intervient le mot “pirate”.
•On a aussi longtemps essayé d’utiliser le mot “cracker” pour faire
référence à ce pirate

Dr Maha Charfeddine 14
 1. Les enjeux de la sécurité des S.I.
Le troisième type : Le Grey Hat Hacker (le hacker au chapeau gris)
• Un mélange de White Hat et de Black Hat .
• Il s’agit essentiellement de pirates professionnels flexibles,
disponibles contre rémunération pour la plupart des travaux.
• Par exemple, un pirate informatique Grey Hat aidera une
institution nationale à attraper ses attaquants pour un montant.
D'autre part, il entreprendra également un projet visant à pirater des
organisations au profit des attaquants, contre rémunération.
• Il peut exploiter une vulnérabilité et la porter ensuite à la
connaissance de l'organisation.
• Le problème ici est qu’il est illégal de pirater l’appareil de qui que
ce soit sans autorisation.

Dr Maha Charfeddine 15
 1. Les enjeux de la sécurité des S.I.
Les autres sous-types de hackers :

• Les hacktivistes
Agissent pour une cause
souvent politique. Ils attaquent
généralement des entreprises et
non pas des utilisateurs
particuliers (Anonymous)

Les script-kiddies
sont tous ces jeunes hommes qui loin d’avoir compris les
grands principes du hacking et l’éthique du hacker, se servent
des programmes tout faits pour causer des dommages qui
peuvent êtres très gênants.
Dr Maha Charfeddine 16
 1. Les enjeux de la sécurité des S.I.
Hacking vs. Ethical Hacking

• Hacking : Exploiter les faiblesses/fragilités d’un

système informatique pour accéder à des
données/ressources non autorisées.

• Ethical Hacking : Utilisation des outils et des

techniques de Hacking afin d’identifIer les faiblesses
au niveau d’un système informatique.
• Ethical Hacker = Simule les attaques du Hacker.

Dr Maha Charfeddine 17
 1. Les enjeux de la sécurité des S.I.
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou
aux PC d’individus ?

• Les motivations évoluent

– Années 80 et 90 : beaucoup de bidouilleurs enthousiastes
– De nos jours : majoritairement des actions organisées et réfléchies

• Cyber délinquance
– Les individus attirés par le gain
– Les « hacktivistes » (Motivation politique, religieuse, etc.)
– Les concurrents directs de l’organisation visée
– …

Dr Maha Charfeddine 18
 1. Les enjeux de la sécurité des S.I.
c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou au PC
d’individus ?

• Gains financiers (accès à de l’information, puis monétisation et revente)

– Utilisateurs, emails, organisation interne de l’entreprise, fichiers clients, mots de
passe, N° de comptes bancaire, cartes bancaires

• Utilisation de ressources (puis revente ou mise à disposition en tant que

« service »)
– Bande passante & espace de stockage (hébergement de musique, films et
autres contenus)
• Chantage
– Déni de service, Modifications des données

• Espionnage (surveillance –inspection)

– Industriel / concurrentiel

Dr Maha Charfeddine 19
 1. Les enjeux de la sécurité des S.I.
d. La nouvelle économie de la cybercriminalité
Une majorité des actes de délinquance réalisés sur Internet sont commis
par des groupes criminels organisés, professionnels et impliquant de
nombreux acteurs
des groupes spécialisés dans le développement de programmes
malveillants et virus informatiques
1
des groupes en charge de l’exploitation et de la commercialisation de
2 services permettant de réaliser des attaques informatiques

un ou plusieurs hébergeurs qui stockent les contenus malveillants, soit

3 des hébergeurs malhonnêtes soit des hébergeurs victimes eux-mêmes
d’une attaque et dont les serveurs sont contrôlés par des pirates

4 des groupes en charge de la vente des données volées (des données de

carte bancaire, données personelles, ….

5 des intermédiaires financiers pour collecter l’argent qui s’appuient

généralement sur des réseaux de mules

Dr Maha Charfeddine 20
 1. Les enjeux de la sécurité des S.I.
d. La nouvelle économie de la cybercriminalité
Mule : alors que vous consultez les réseaux sociaux sur internet, une personne vous
contacte, sous un prétexte fallacieux comme une offre d'emploi, et vous propose de
transférer son argent sur votre compte, en échange d'une commission.

Pb: les fonds ont bien souvent été obtenus illégalement grâce à l'utilisation
de logiciels malveillants (malware), par l'hameçonnage de données bancaires, etc.

En acceptant de recevoir de l'argent, le titulaire du compte bancaire devient ce qu’on

appelle une "mule financière", c’est-à-dire une personne qui transfère des fonds
d’origine frauduleuse via différents comptes bancaires, souvent dans différents pays

Si les faits sont avérés, la mule peut être poursuivie pour blanchiment.
Dans ce cas, à l’étranger, elle encourt 5 ans de prison et plus que 375 000 €
d'amende.
Quelles sont les personnes cibles? Donnez un exemple concret?
Comment éviter de devenir une mule?
Dr Maha Charfeddine 21
 1. Les enjeux de la sécurité des S.I.
e. Les impacts de la cybercriminalité sur la vie privée :

• Impact sur l’image / le caractère / la vie privée

– Divulgation d’informations personnelles
– Harcèlement / cyber-bullying (cyberintimidation de l’enfant /adolécent)

• Usurpation d’identité
– « Vol » et réutilisation de logins/mots de passe pour effectuer des actions
au nom de la victime

• Perte définitive de données

– malware récents (rançongiciel) : données chiffrées contre rançon
– connexion frauduleuse à un compte « cloud » et suppression malveillante
de l’ensemble des données
• Impacts financiers
– N° carte bancaire usurpée et réutilisée pour des achats en ligne
– Chantage (divulgation de photos ou d’informations compromettantes si non
paiement d’une rançon)
Dr Maha Charfeddine 22
 1. Les enjeux de la sécurité des S.I.
f. Les impacts de la cybercriminalité sur les infrastructures critiques

• Infrastructures critiques = un ensemble d’organisations parmi

les secteurs d’activité suivants, et que l’État considère comme étant
tellement critiques pour la nation que des mesures de sécurité
particulières doivent s’appliquer

– Secteurs étatiques : justice, militaire…

– Secteurs de la protection des citoyens : santé, gestion de l’eau,
alimentation
– Secteurs de la vie économique et sociale : énergie, communication,
électronique, audiovisuel, information, transports, finances,
industrie.

• Ces organisations sont classées comme Opérateur d’Importance

Vitale (OIV). Dr Maha Charfeddine 23
 1. Les enjeux de la sécurité des S.I.
g. Quelques exemples d’attaques :

Dr Maha Charfeddine 24
1. Les enjeux de la sécurité des S.I.

Dr Maha Charfeddine 25
 1. Les enjeux de la sécurité des S.I.
Sony Pictures Entertainment

• GOP pour Guardian of Peace

• Des données internes ont été publiées
contenant :
– les numéros de sécurité sociale et les
numérisations de passeport appartenant
aux acteurs et directeurs.
– des mots de passe internes
– des scripts non publiés
– des plans marketing
– des données légales et financières
– et 4 films entiers inédits
• La probabilité de vol d’identité est très
forte désormais pour les personnes dont
les informations ont été publiées.
« Si vous n’obéissez pas, nous publierons au monde les • Les studios concurrents de Sony, ont une
informations suivantes ». Ce message était affiché sur plusieurs visibilité sur les plans stratégiques de
ordinateurs de Sony Pictures Entertainment le 24 nov 2014 Sony.

La source de l’attaque reste à déterminer.

La Corée du Nord est soupçonnée d’être à l’origine de l’attaque.
Dr Maha Charfeddine 26
 1. Les enjeux de la sécurité des S.I.
Quelques exemples d’attaques ciblant l’enseignement

Défacement de site

Vol de données
personnelles

Dr Maha Charfeddine 27
 1. Les enjeux de la sécurité des S.I.
Quelques exemples d’attaques ciblant l’enseignement

Vol de données
professionnelles

Rebond pour fraude externe

Dr Maha Charfeddine 28
 1. Les enjeux de la sécurité des S.I.
Attaques ciblant la santé
Le centre hospitalier de Villefranche-sur-
Saône (Rhône) a annoncé être victime d’une
attaque informatique d’ampleur », le
16Février 2021
Cette attaque par le crypto-virus RYUK (un «
rançongiciel ») « impacte fortement » les sites
de Villefranche, Tarare et Trévoux de l’Hôpital
Nord-Ouest, précise ce dernier dans un
communiqué.
Toutes les interventions chirurgicales
programmées ce jour reportées

Dr Maha Charfeddine 29
 1. Les enjeux de la sécurité des S.I.
Attaques ciblant la santé
Les attaques de type rançon contre les hôpitaux et les organisations connexes
sont particulièrement préjudiciables, car toute perturbation de leurs systèmes pourrait
affecter leur capacité à fournir des soins, et mettre des vies en danger
Tout cela aggravé par les pressions auxquelles ces systèmes sont confrontés en
essayant de faire face à l’augmentation mondiale des cas de COVID-19

• Le nombre moyen d’attaques hebdomadaires dans le secteur de la santé au niveau

mondial a atteint 626 en novembre, contre 430 en octobre.
• L’Europe centrale figure en tête de liste des régions touchées par la recrudescence des
attaques contre les organismes de santé, avec une augmentation de 145 % en novembre,
suivie par l’Asie de l’Est, qui a connu une hausse de 137 %, et de l’Amérique latine avec
une augmentation de 112 %. L’Europe et l’Amérique du Nord ont connu des
augmentations de 67 % et 37 %
• En Israël, la cybercriminalité contre les institutions médicales locales a augmenté de 25 %,
passant de 652 attaques en moyenne par semaine en novembre, à 813 attaques par
semaine depuis novembre,

Dr Maha Charfeddine 30
 1. Les enjeux de la sécurité des S.I.
Cyberattaques sur la voiture connectée

Exemple : Prise de contrôle

du système de frein

Plus les voitures connectées disposent de fonctions électroniques, plus elles

sont connectées à des réseaux et plus le risque d’une attaque est grand.

Dr Maha Charfeddine 31
 1. Les enjeux de la sécurité des S.I.
La Russie et la Chine sont les deux principales origines des
cyberattaques dans le monde entier

Dr Maha Charfeddine 32
 1. Les enjeux de la sécurité des S.I.
h. Les phases du hacking:

Dr Maha Charfeddine 33
 1. Les enjeux de la sécurité des S.I.
h. Les phases du hacking:
1. Reconnaissance :
•C’est la phase primaire où le hacker essaie de collecter autant d’informations que
possible sur la cible.
• Il comprend l’identification de la cible, la découverte de la plage d’adresses IP de
la cible, du réseau, etc.

Un attaquant peut utiliser deux techniques de reconnaissance différentes : la

reconnaissance passive et la reconnaissance active.

•La reconnaissance passive impliquerait de récupérer des informations sans

interagir directement avec la cible. Par exemple, la recherche dans les archives
publiques (piratage Google), les communiqués de presse et les offres d'emploi...

• La reconnaissance active implique une interaction directe avec la cible. Par

exemple, contacter un employé et poser des questions sur l'entreprise ou utiliser
des techniques d'analyse de réseau. La cible peut vous détecter
Dr Maha Charfeddine 34
 1. Les enjeux de la sécurité des S.I.
h. Les phases du hacking:

2. Analyse :

•Il s’agit de prendre l’information découverte lors de

reconnaissance et de l’utiliser pour examiner le réseau.

•Les outils qu’un hacker peut utiliser pendant la phase

d’analyse peuvent inclure des scanners de ports et des
scanners de vulnérabilité.

•Les pirates recherchent toute information pouvant les aider

à commettre des attaques, telles que les noms d’ordinateurs,
les adresses IP et les comptes d’utilisateurs.
Dr Maha Charfeddine 35
 1. Les enjeux de la sécurité des S.I.
h. Les phases du hacking:

3. Exploitation :

•C’est la phase où le véritable piratage a lieu.

•Les vulnérabilités découvertes pendant la phase de reconnaissance et d’analyse

sont maintenant exploitées.

•La méthode de connexion utilisée par le hacker pour un exploit peut être un
réseau local (LAN, câblé ou sans fil), un accès local à un PC, Internet ou hors ligne.

•L’exploitation est connue dans le monde des hackers comme propriétaire du

système.

Dr Maha Charfeddine 36
 1. Les enjeux de la sécurité des S.I.
h. Les phases du hacking:

4. Maintenir l’accès :

Une fois qu’un pirate a obtenu l’accès, il peut voler les données financières,
personnelles ou la propriété intellectuelle de l’entreprise, prendre le contrôle des
autres machines connectées à ce réseau, modifier les données accessibles….

• l’objectif du pirate est de se reconnecter à la machine compromise dans un futur

proche. Il essai donc de mettre en place un accès persistant afin de conserver un
accès durant plusieurs jours.

Dr Maha Charfeddine 37
 1. Les enjeux de la sécurité des S.I.
h. Les phases du hacking:

5. Couvrir les traces :

•Une fois que les pirates ont réussi à obtenir et maintenir l’accès, ils
couvrent leurs traces pour éviter d’être repérés par le personnel de
sécurité, de continuer à utiliser le système, d’éliminer les preuves
de piratage ou d’éviter une action en justice.

•Les pirates essaient de supprimer toutes les traces de l’attaque,

telles que les fichiers journaux ou les alarmes du système de
détection d’intrusion (IDS).

Dr Maha Charfeddine 38
 2. Les besoins de sécurité
a. Introduction aux critères DIC

Comment définir le niveau de sécurité d’un bien du S.I. ?

• 3 critères sont retenus pour répondre à cette problématique, connus sous le

nom de DIC
Disponibilité
Propriété d'accessibilité au moment voulu
des biens par les personnes autorisées (i.e. le bien
doit être disponible durant les plages d’utilisation prévues)

Bien à
protéger
Intégrité
Propriété d'exactitudedes biens et des informations (i.e. une
modification illégitime d’un bien doit pouvoir être détectée
et corrigée)

Confidentialité
Propriété des biens de n'être accessibles qu'aux
personnes autorisées
Dr Maha Charfeddine 39
 2. Les besoins de sécurité
b. Besoin de sécurité : « Preuve »

1 critère complémentaire est souvent associé au D.I.C.

Preuve
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
Bien à lesquelles ce bien évolue. Cette propriété englobe
protéger Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs

Dr Maha Charfeddine 40
 2. Les besoins de sécurité
c. Exemple d’évaluation DICP

Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une
échelle permet de déterminer si ce bien est correctement sécurisé.

Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très
fort) :

Niveau de Disponibilité du bien Très fort

Niveau d’Intégrité du bien Moyen
Niveau de Confidentialité du Très fort
bien Niveau de Preuve du bien Faible

Le bien bénéficie d’un niveau de sécurité adéquat

Dr Maha Charfeddine 41
 2. Les besoins de sécurité
c. Exemple d’évaluation DICP
Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de
DICP.
Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses
services sur internet :

Disponibilité = Très fort Confidentialité = Faible

Un haut niveau de disponibilité du site Un faible niveau de confidentialité
web est nécessaire, sans quoi suffit. En effet, les informations
l’entreprise ne peut atteindre son contenues dans ce site web sont
objectif de faire connaitre ses services publiques par nature!
au public

Intégrité = Très fort Serveur Preuve = Faible

Un haut niveau d’intégrité des
informations présentées est web Un faible niveau de preuve suffit.
nécessaire. En effet, l’entreprise ne En effet, ce site web ne permet
souhaiterait pas qu’un concurrent aucune interaction avec les
modifie frauduleusement le contenu du utilisateurs, il fournit simplement
site web pour y insérer des des informations fixes.
informations erronées
Dr Maha Charfeddine 42
 2. Les besoins de sécurité
d. Différences entre sureté et sécurité
« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.

Sûreté Sécurité
Protection contre les Protection contre les actions
dysfonctionnements et accidents malveillantes volontaires
involontaires
Exemple de risque : blocage d’un
Exemple de risque : saturation service, modification d’informations, vol
d’un point d’accès, panne d’un d’information
disque, erreur d’exécution, etc.
Quantifiable statistiquement (ex. : Non quantifiable statistiquement, mais
la durée de vie moyenne d’un disque il est possible d’évaluer en amont le
est de X milliers d’heures) niveau du risque et les impacts
Parades : sauvegarde, Parades : contrôle d’accès, correctifs,
dimensionnement, redondance des configuration renforcée, filtrage…
équipements…

Dr Maha Charfeddine 43
 2. Les besoins de sécurité
d. Différences entre sureté et sécurité

Sûreté : ensemble de mécanismes mis en place pour assurer la continuité

de fonctionnement du système dans les conditions requises.

Sécurité : ensemble de mécanismes destinés à protéger l'information des

utilisateurs ou processus n'ayant pas l'autorisation de la manipuler et d’assurer
les accès autorisés.

Le périmètre de chacune des 2 notions n’est pas si clairement délimité

dans la réalité : dans le cas de la voiture connectée on
la sécurité et la sûreté
cherchera…………………….

Dr Maha Charfeddine 44
 2. Les besoins de sécurité
e. Mécanismes de sécurité pour atteindre les besoins DICP

Un Système d’Information a besoin de mécanismes de sécurité qui ont pour

objectif de garantir les propriétés DICP sur les biens de ce S.I.

Dr Maha Charfeddine 45
 2. Les besoins de sécurité
e. Mécanismes de sécurité pour atteindre les besoins DICP

Dr Maha Charfeddine 46
 Plan

Les enjeux de la sécurité des S.I.

Les besoins de sécurité
Notions de vulnérabilité, menace, attaque

Dr Maha Charfeddine 47
3. Notions de vulnérabilité, menace, exploit,
attaque
a) Notion de « Vulnérabilité »
b) Notion de « Menace »
c) Notion d’« Exploit»
d) Notion d’« Attaque »
e) Exemples de vulnérabilité
f) Scanner de vulnérabilités
g) Test d’intrusion

Dr Maha Charfeddine 48
 3. Notions de vulnérabilité, menace, exploit,
attaque
a. Notion de « Vulnérabilité »

• Faiblesse au niveau d’un bien (au niveau de la conception, de la

réalisation, de l’installation, de la configuration ou de l’utilisation du
bien).
• Tout système vu dans sa globalité présente des vulnérabilités, qui peuvent être
exploitables ou non.

Vulnérabilités
Dr Maha Charfeddine 49
 3. Notions de vulnérabilité, menace, exploit,
attaque
b. Notion de « Menace »

• Cause potentielle d’un incident, qui pourrait entrainer des dommages

sur un bien si cette menace se concrétisait.

Personnes extérieures malveillantes

Stagiaire
malintentionné

Perte de service

Menaces
Code malveillant
Dr Maha Charfeddine 50
 3. Notions de vulnérabilité, menace, exploit,
attaque
L’exploit

c. Notion d’« Exploit »

• Un exploit est un type de programme créé pour cibler une faille donnée (une vulnérabilité)
dans un logiciel ou un composant matériel.

• Un exploit peut être aussi bien une application complète qu’une simple chaîne de code
et de données, voire même une simple séquence de commandes.

• En d’autres termes, un exploit est un outil qui permet au pirate d’exploiter une faille de
sécurité et d’en tirer profit.
 3. Notions de vulnérabilité, menace, exploit,
L’exploit
attaque
Imaginons le programme comme une maison. Les portes sont bien fermées, mais quelqu’un a
laissé une fenêtre ouverte au deuxième étage. C’est une vulnérabilité.
Si le voleur (c’est-à-dire le pirate) veut exploiter cette vulnérabilité pour pénétrer dans la
maison, il doit utiliser un exploit, par exemple une échelle. Lorsqu’il utilise l’échelle pour
atteindre le deuxième étage, le voleur peut exploiter cette fenêtre restée ouverte et rentrer.

La fenêtre de gauche est verrouillée, il n’y a donc pas de vulnérabilités.

La fenêtre de droite est ouverte et vulnérable, mais elle est placée trop haut pour être
exploitable.
La fenêtre du milieu est ouverte, vulnérable, et elle se trouve assez près du sol et peut être
exploitable.
 3. Notions de vulnérabilité, menace, exploit,
attaque
L’exploit

Quel est le mode opératoire des exploits ?

Une fois que le pirate identifie une faille (ou vulnérabilité), il peut écrire un exploit
informatique qui, tout simplement, l’exploite.

De nombreux pirates ont recours aux exploits pour diffuser des malwares.

Exemple : vous naviguez sur Internet et vous trouver sur un site web qui contient une
publicité malveillante. Cette publicité vous semble normale, mais elle contient en réalité
un pack d’exploitation qui recherche si votre ordinateur présente des vulnérabilités connues.

S’il en trouve une, la publicité utilise une attaque par exploit pour accéder à votre ordinateur
par le biais de cette vulnérabilité logicielle ou de cette faille de sécurité. Ensuite, elle introduit
son programme malveillant directement dans votre ordinateur.

Lorsque les exploits sont utilisés pour installer des programmes malveillants, le programme
malveillant est appelé charge.
 3. Notions de vulnérabilité, menace, exploit,
attaque
Exploits zero-day (exploits inconnus)

Parfois, les exploits surprennent tout le monde. Lorsqu’un pirate découvre une
vulnérabilité et crée immédiatement un exploit pour en tirer parti, c’est ce que
l’on appelle un exploit zero-day, parce que l’attaque survient le jour même de la
découverte de cette vulnérabilité.

À ce stade, le développeur connaît l’existence de cette vulnérabilité depuis « zero

days », autrement dit zéro jours.

Les attaques par exploit zero-day sont extrêmement dangereuses, car il n’y a
aucune solution évidente ni immédiatement disponible pour corriger
la vulnérabilité. Seul le pirate l’a découverte, et lui seul sait comment l’exploiter.

Pour réagir face à cette attaque, le développeur du logiciel doit créer un correctif,
mais il ne pourra pas protéger ceux qui ont déjà été touchés.
3. Notions de vulnérabilité, menace, exploit,
attaque
d. Notion d’« Attaque »
• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une
attaque représente la concrétisation d’une menace, et nécessite
l’exploitation d’une vulnérabilité.

Attaques
Dr Maha Charfeddine 55
 3. Notions de vulnérabilité, menace, exploit,
attaque
d. Notion d’« Attaque »

Une attaque ne peut donc avoir lieu (et réussir) que si le bien
une vulnérabilité
est affecté par……………………..

Ainsi, tout le travail des experts sécurité consiste à s’assurer que le

S.I. ne possède aucune vulnérabilité.

Dans la réalité, l’objectif est en fait d’être en mesure

de maitriser ces vulnérabilités
…………………………………………….

Dr Maha Charfeddine 56
3. Notions de vulnérabilité, menace, exploit,
attaque
3. Notions de vulnérabilité, menace, exploit,
attaque
3. Notions de vulnérabilité, menace, exploit,
attaque
Menaces liées aux échanges d’informations

Dr Maha Charfeddine 59
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 60
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 61
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 62
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 63
3. Notions de vulnérabilité, menace, exploit,
attaque
d.Quelques chiffres sur les vulnérabilités

Dr Maha Charfeddine 64
3. Notions de vulnérabilité, menace, exploit,
attaque
e. Exemples de vulnérabilités :

• Vulnérabilités au niveau des protocoles d'administration

• Vulnérabilités au niveau des bases de données

• Vulnérabilités au niveau du partage de fichiers

• Vulnérabilités au niveau de la gestion des droits

• Vulnérabilités web.

Dr Maha Charfeddine 65
 3. Notions de vulnérabilité, menace, exploit,
attaque
Vulnérabilité au niveau des protocoles d’administration

• Les négligences en matière de sécurité se trouvent au niveau des

éléments actifs comme les switchs, les routeurs ou encore les
imprimantes.

• Souvent, les mots de passe d’administration par défaut pour

accéder à ces types d’équipement restent inchangés.

• Ce type de faille est souvent exploité par les hackers pour porter
atteinte au système d’information.

Dr Maha Charfeddine 66
 3. Notions de vulnérabilité, menace, exploit,
attaque
Vulnérabilité au niveau des bases de données

• Ce type de faille s’explique souvent par l’utilisation de mots de passe qui sont
en fonction du nom du serveur.

• Certains administrateurs de bases de données usent de cette technique

lorsqu’ils gèrent un grand nombre de serveurs, afin de mémoriser plus
facilement les mots de passe.

• Les hackers exploitent cette faille pour accéder aux fichiers de la base de
données pour pouvoir ensuite obtenir d’autres comptes utilisateurs avec des
mots de passe faibles.
• Ces mots de passe faibles peuvent être facilement décryptés par la technique
de cassage.

• Ces comptes piratés seront par la suite utilisés par le hacker pour poursuivre
son attaque sur l’ensemble du réseau.
Dr Maha Charfeddine 67
3. Notions de vulnérabilité, menace, exploit,
attaque
Vulnérabilité au niveau du partage de fichiers

• La plupart des entreprises, utilisent le partage de fichiers.

• Le partage de fichiers non sécurisés représente une porte sans serrure

pour les hackers et leur permettant d’obtenir des informations
sensibles, voire confidentielles, de l’entreprise.

• Pour les imprimantes les plus récentes par exemple, des failles
permettant aux pirates informatiques de récupérer des données
numérisées ou photocopiées dans l’entreprise existent, si aucune
mesure de sécurité informatique adaptée n’a été prise en amont.

Dr Maha Charfeddine 68
3. Notions de vulnérabilité, menace, exploit,
attaque
Vulnérabilité au niveau de la gestion des droits

• Dans beaucoup d’entreprises, les restrictions d’accès sont parfois trop

laxistes, et parfois même inexistantes.

• Des études menées par les experts en sécurité informatique ont

déduit que 50% des menaces proviennent directement des employés
de l’entreprise. Ils constituent le maillon faible de la chaine de sécurité
informatique.

• Par exemple, en permettant à un stagiaire d’utiliser la session de son

encadreur au sein de la boîte. L’entreprise s’expose à des risques
comme le vol d’informations stratégiques ou confidentielles.

Dr Maha Charfeddine 69
 3. Notions de vulnérabilité, menace, exploit,
attaque
Les vulnérabilités Web

Principalement la vulnérabilité « SQL Injection» :

• Les hackers procèdent par la technique des injections SQL pour s’introduire
discrètement sur le système de l’entreprise dans le but de s’approprier
illégalement des informations confidentielles.

• Les pirates injectent du code dans le but de porter atteinte à l’entreprise.

• C’est une méthode d’exploitation de faille de sécurité d’une application

possédant des interactions avec une base de données.

Dr Maha Charfeddine 70
 3. Notions de vulnérabilité, menace, exploit,
attaque
Exemple de vulnérabilité WEB de type SQL Injection

• Cette technique est très souvent utilisée pour contourner les mécanismes
d'authentification et d'autorisation d'une application web.

• Une faille SQLi peut avoir de lourdes conséquences car un hackeur peut avoir un accès non
autorisé aux données sensibles.

• Il sera en mesure de lire la base de données, y enregistrer de nouvelles données ou

exécuter du code malveillant.

Dr Maha Charfeddine 71
 3. Notions de vulnérabilité, menace, exploit,
attaque
Exemple de vulnérabilité WEB de type SQL Injection

Exemple :

Lorsqu’un utilisateur souhaite se connecter sur un site web dynamique il doit renseigner son
identifiant ainsi que son mot de passe

Le système interne va exécuter une requête avec les données saisies afin de vérifier que
l’utilisateur est bien présent dans la base de données (son identifiant et son mot de passe sont
valides)

Dr Maha Charfeddine 72
 3. Notions de vulnérabilité, menace, exploit,
attaque
Les vulnérabilités Web

Dr Maha Charfeddine 73
 3. Notions de vulnérabilité, menace, exploit,
attaque
Les vulnérabilités Web

Il est aussi possible de tromper le script SQL sur le mot de passe en saisissant dans le
champ prévu à cet effet le code suivant : ' or 1 --

L'apostrophe indique la fin de la zone de frappe de l'utilisateur, le code « or 1 » demande

au script si 1 est vrai, or c'est toujours le cas. -- indique le début d'un commentaire.

Le système va vérifier si ce que l'utilisateur tape est vrai, il verra que 1 est vrai, et
l'attaquant sera connecté.

Dr Maha Charfeddine 74
 3. Notions de vulnérabilité, menace, exploit,
attaque
Exemple de vulnérabilité : Contournement de l'authentification dans
l’application VNC
L’application VNC (Virtual Network Computing) permet à un
utilisateur de prendre en main sur une machine distance, après qu’il se
soit authentifié.
• La vulnérabilité décrite dans les planches suivantes est corrigée depuis de
nombreuses années. Elle est symptomatique d’une vulnérabilité dans la
conception d’une application ;
• L’application permet en temps normal à un utilisateur de se connecter à
distance sur une machine pour y effectuer un « partage de bureau » (i.e.
pour travailler à distance sur cette machine) ;
• En 2006, il est découvert que cette application utilisée partout dans le
monde depuis de très nombreuses années présente une vulnérabilité
critique : il est possible de se connecter à distance sur cette application
sans avoir besoin de s’authentifier (i.e. tout utilisateur sur internet peut se
connecter à distance sur les systèmes en question) ;
• Le diaporama suivant illustre la vulnérabilité technique sous-jacente à ce
Dr Maha Charfeddine 75
comportement.<
 3. Notions de vulnérabilité, menace, exploit,
attaque
Illustration d’un usage normal de l’application vulnérable
Description du
fonctionnement normal
de l’application
L’utilisateur effectue une demande
de connexion au serveur depuis son 
PC client

Le serveur détermine le mode

d’authentification (aucune
 authentification, mot de passe,
certificat, etc.) et envoie cette
mdp = ? demande d’authentification à
l’utilisateur demandeur

L’utilisateur s’authentifie selon la 

méthode choisie par le serveur
mdp = Afh7ù

Le serveur valide l’authentification

 (si elle est correcte) et autorise donc
la connexion

Dr Maha Charfeddine 76
 3. Notions de vulnérabilité, menace, exploit,
attaque
Illustration de l’exploitation de la vulnérabilité présente dans
l’application
Description du
fonctionnement modifié
L’attaquant effectue une
par un attaquant
demande de connexion au serveur 
depuis son PC client

Le serveur détermine le mode

d’authentification (aucune authentification,
 mot de passe, certificat, etc.) et envoie
cette demande d’authentification à
mdp = ? l’utilisateur demandeur

L’attaquant choisit de s’authentifier

avec le mécanisme de son choix, et
non pas avec le mécanisme choisi

par le serveur. Ici il choisit la authent = NON
méthode « pas d’authentification »

Le serveur valide l’authentification (car

 elle est valide i.e. aucune authentification
est une méthode valide) et autorise donc
la connexion

La vulnérabilité se situe ici : le serveur ne vérifie pas que le type d’authentification retourné par le client correspond à
celui demandé. A la place, il vérifie simplement que l’authentification est correcte (et « authent = NON » est
effectivement une authentification qui est toujoursDr Maha Charfeddine
correcte) 77
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 78
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 79
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 80
 3. Notions de vulnérabilité, menace, exploit,
attaque
Selon la National Vulnerability Database (NVD).

•La base de données NVD contient 21 957 vulnérabilités publiées en 2021. C'est un
nombre plus élevé que les années précédentes
https://nvd.nist.gov/ Dr Maha Charfeddine 81
3. Notions de vulnérabilité, menace, exploit,
attaque

Dr Maha Charfeddine 82
 3. Notions de vulnérabilité, menace, exploit,
attaque
Les vulnérabilités de gravité élevée et critiques augmentent également
La gravité des vulnérabilités est déterminée en fonction de différents facteurs,
dont leur impact sur la confidentialité, l’intégrité ou la disponibilité des données,
ainsi que le vecteur d’attaque utilisé, la complexité de l’attaque, les privilèges
requis ou toute interaction avec l’utilisateur.

Résoudre cette question requiert un système de calcul des effets négatifs.

Le système commun de pointage des vulnérabilités (CVSS) est un système de

pointage conçu pour fournir une méthode ouverte et normalisée d’évaluation de
l’impact de celles-ci, et est donc utilisé pour quantifier leur gravité.

Deux versions de ce système sont présentement utilisées : CVSS v2.0 et CVSS v3.0.

Dr Maha Charfeddine 83
3. Notions de vulnérabilité, menace, exploit,
attaque
Liste des vulnérabilités connues

Dr Maha Charfeddine 84
3. Notions de vulnérabilité, menace, exploit,
attaque

Le scanner de vulnérabilités

Le test d’intrusion (pentest)

Dr Maha Charfeddine 85
 3. Notions de vulnérabilité, menace, exploit,
attaque
f. Scanner de vulnérabilités :
•Il s’agit d’un logiciel qui mène des tests sur votre plateforme, votre
système d’information, etc pour détecter des vulnérabilités.

• Un scanner identifie les vulnérabilités grâce à sa base de données qui

contient les vulnérabilités connues et les problèmes de sécurité
courants.

• Les tests sont automatiques. Cela signifie qu’ils sont rapides et un

système entier peut être facilement testé en quelques heures / jours,
en fonction de sa taille.

• Il peut être planifié à des horaires précis : en dehors des heures de

travail ou lorsque cela est le plus pratique pour votre organisation.
Dr Maha Charfeddine 86
 3. Notions de vulnérabilité, menace, exploit,
attaque
• La base de données est mise à jour quotidiennement avec les
dernières vulnérabilités publiées. C’est un bon avantage pour remédier
rapidement aux dernières menaces (comparé à un test d’intrusion
conduit en général une à deux fois par an).

• Un scan a un coût bas comparé à un pentest.

•Notons également que les scanners ne testent que les vulnérabilités

qu’ils ont dans leur base de données. Ils ne détectent pas les
vulnérabilités non classifiées

Logiciels de gestion des vulnérabilités :

https://www.capterra.fr/directory/31062/vulnerability-management/software
Dr Maha Charfeddine 87
 3. Notions de vulnérabilité, menace, exploit,
attaque
Remèdes à l’exploitation d’une vulnérabilité

Pour les particuliers :

• Il est recommandé d’appliquer automatiquement les correctifs de

sécurité.

• Pour les différents logiciels, on peut utiliser un outil qui vérifie et

installe les mises à jour disponibles sur votre ordinateur.
https://samagame.com/blog/fr/enorme-liste-de-programmes-de-mise-a-jour-de-logiciels-
pour-garder-votre-ordinateur-a-jour/

• Également, il faut prévoir les mises à jour des autres composantes

(ex. votre routeur Internet).
Dr Maha Charfeddine 88
 3. Notions de vulnérabilité, menace, exploit,
attaque
Pour les entreprises :
Il est recommandé d’implanter une gestion efficace des vulnérabilités
selon une directive et une procédure qui devraient inclure les actions
suivantes :

•Suivre les nouvelles vulnérabilités qui sont découvertes

régulièrement (ex.: par l’abonnement à des listes de distribution ou la
recherche dans des bases de données de vulnérabilités : NVD-
National Vulnerability Database
•Évaluer le niveau de criticité des vulnérabilités selon différents
critères (ex. guide CVSS-2) afin de prioriser les correctifs à appliquer.
•Tester les correctifs ou les mesures visant à réduire l’exposition aux
vulnérabilités sur un groupe restreint d’ordinateurs, préalablement.
•Tenir à jour un registre des vulnérabilités et des correctifs appliqués.
Dr Maha Charfeddine 89
 3. Notions de vulnérabilité, menace, exploit,
attaque
•Valider l’application des correctifs via un logiciel de balayage
(scanneur) des vulnérabilités (ex.: Nessus ou Secunia VIM).
•Sensibiliser et former l’équipe responsable de la gestion des
vulnérabilités aux outils et procédure.

Remarque :
•Les vulnérabilités des logiciels populaires sont généralement aussi
importantes à corriger que celles de Windows.

•Un produit non supporté (ancienne version) ne reçoit plus de

correctifs de sécurité, donc il est habituellement vulnérable. Par
exemple, Windows XP ne sera plus supporté par Microsoft à partir
d’avril 2014.

Dr Maha Charfeddine 90
 3. Notions de vulnérabilité, menace, exploit,
attaque
g. Test d’intrusion:

•Un test d’intrusion est conduit par un pentester, un spécialiste

cybersécurité, qui découvre et exploite les vulnérabilités comme un
vrai attaquant le ferait.

• Les vulnérabilités trouvées sont exploitées : cela permet de voir

l’impact potentiel d’une attaque.

• Certaines vulnérabilités sont combinées pour aller plus loin dans les
attaques.

Dr Maha Charfeddine 91
 3. Notions de vulnérabilité, menace, exploit,
attaque
• Les pentesters utilisent les pratiques actuelles des hackers
malveillants, les mêmes méthodes et outils.

• Les pentesters utilisent des outils automatiques du marché, mais

également leurs propres outils et scripts qu’ils ont développés.

•Lorsqu’un test d’intrusion est fini, un rapport technique détaillé avec

les failles et les attaques conduites est remis. Il inclut aussi des
suggestions de remédiations concrètes qui peuvent être appliquées
directement.

• Le test d’intrusion est une solution clé en main.

Dr Maha Charfeddine 92