Huitième partie

Quelques notions de sécurité réseau

381
Introduction
Cette partie contient quelques notions de sécurité réseau, comme son nom l’indique. Les chapitres
qui y sont publiés sont indépendants du reste du cours. Ils ne nécessitent pas de connaissances
approfondies en réseaux et peuvent être feuilletés à n’importe quel moment.

382
VIII.1. Introduction à la sécurité
Introduction
Commençons cette partie par une introduction aux principes de sécurité. Nous allons d’abord
voir ce qu’est la sécurité et les différentes façons de sécuriser un réseau. Ce chapitre servira
de base aux autres. Dans ceux-ci, nous entrerons un peu plus dans les détails des principales
attaques en réseau et nous verrons comment les prévenir.

i
Cette partie n’aborde que quelques notions de cybersécurité. Pour aller beaucoup plus
loin, vous pouvez vous procurer La Cybersécurité de Zéro , disponible sur toutes les
plateformes et dans les bonnes librairies�!

Figure VIII.1.1. – La Cybersécurité de Zéro, aux éditions Eyrolles, reprend des éléments
de cette partie

VIII.1.1. C’est quoi la sécurité ?

Bien�! Nous allons consacrer cette partie à la sécurité réseau… OK… Mais, à quoi sert la sécurité�?
Le savez-vous�?
Un réseau est constitué de plusieurs nœuds. D’ailleurs, c’est même cela la définition basique
d’un réseau�: une interconnexion de nœuds. Mais, ces nœuds sont interconnectés dans le but de
s’échanger des informations, qui sont appelées des ressources.

?
Qu’est-ce qu’une ressource�?

Dans un réseau, une ressource est toute forme de données ou d’applications que l’on peut utiliser
pour accomplir une tâche précise. Par exemple, dans le cas d’une imprimante, les ressources dont
elle a besoin pour accomplir sa fonction (imprimer) sont majoritairement le papier et l’encre.
Dans une entreprise, le réseau a principalement pour but l’échange de ces ressources desquelles

383
VIII. Quelques notions de sécurité réseau

dépendent les activités commerciales de l’entreprise. Étant donné que ces ressources sont cruciales
à son bon fonctionnement, il est important, voire obligatoire, de veiller à leur sécurité.

?
Pourquoi protéger les ressources�?

En ce qui concerne l’imprimante, nous savons tous que son travail consiste à imprimer des
données numériques sur support physique. Que se passerait-il alors si quelqu’un volait tous
les papiers de l’imprimante�? Elle a beau avoir l’encre, sans papier elle ne peut pas remplir
sa fonction. On peut ainsi parler du niveau de dépendance ou degré de dépendance de
l’imprimante. Non seulement elle a besoin d’encre, mais aussi de papier. Il est donc important
de veiller à ce que personne n’enlève l’encre ou le papier de l’imprimante, car ces deux ressources
lui sont liées.
C’est logique vous nous direz, mais nous sommes en train de poser des bases très importantes en
réseaux. Vous devez saisir cette notion de dépendance. Vous aurez beau protéger une ressource
importante, si une autre ressource qui est liée à cette dernière est exposée, cela demeure une
faille qu’un intrus peut exploiter. La sécurité consiste à veiller à l’intégrité des ressources d’un
réseau, ainsi qu’à leur disponibilité.

!
Cette information est très importante, c’est une règle que vous devez retenir. Plus des
nœuds d’un réseau dépendent d’une ressource, plus cette ressource sera la cible principale
d’une attaque. Plus le degré de dépendance est élevé, plus il faut songer à sécuriser ladite
ressource.

VIII.1.1.1. Étude de cas : Zeste de Savoir

Imaginez que vous administrez le réseau de Zeste de Savoir. Commençons d’abord par localiser
les ressources du site.

?
Quelles sont les ressources de Zeste de Savoir�?

Elles sont nombreuses, mais voici les principales�:

— Les tutoriels�;
— Les articles.
Les membres du site peuvent être considérés comme étant des ressources, mais nous allons plutôt
les considérer comme étant les nœuds qui forment le réseau de Zeste de Savoir. Les tutoriels
sont, sans l’ombre d’un doute, les ressources les plus importantes. Ce sont ces ressources qui
génèrent majoritairement tout le trafic du site.

?
Et si tous les tutoriels étaient supprimés�?

Que se passerait-il si un jour vous vous connectiez sur Zeste de Savoir et qu’il n’y ait plus un
seul tutoriel en ligne�?
Zeste de Savoir gardera encore longtemps ses membres, mais le trafic va considérablement
diminuer ou stagner. Grâce à la communauté, il y aura toujours des membres qui viendront

384
VIII. Quelques notions de sécurité réseau

pour discuter sur les forums. Mais, la principale ressource attrayante n’étant plus disponible,
Zeste de Savoir commencera à entrer dans une période de déclin.
Une fois qu’un « attaquant » (hacker si vous voulez) localise la ressource dont le réseau
dépend considérablement, cette dernière deviendra sa cible principale (on parle aussi de cible
d’évaluation). C’est alors que nous répétons notre règle d’or�:

!
Plus des nœuds d’un réseau dépendent d’une ressource, plus cette ressource sera la cible
principale d’une attaque. Plus le degré de dépendance est élevé, plus il faut songer à
sécuriser ladite ressource.

i
Vous devez noter que « nuire » aux tutoriels implique l’exploitation d’une faille quelconque.
Nous allons parler de l’exploitation dans les sous-parties suivantes.

Tout au long de cette partie, nous allons vous apprendre les bonnes pratiques à mettre en place
pour maximiser la sécurité des ressources dans un réseau.
Si vous avez lu tout le cours, vous êtes très riches en connaissances. Nous allons donc entrer
dans des détails techniques (surtout dans le langage). Nous allons vous considérer comme étant
des professionnels travaillant en tant qu’administrateurs réseaux. Ainsi, vous aurez à votre
disposition de nombreux conseils en sécurité, et surtout beaucoup de techniques de prévention
et de protection contre les attaques.

VIII.1.2. Comprendre la terminologie

Nous allons, dans cette sous-partie, aborder la terminologie en sécurité. Oui, ça ne parait pas
extraordinaire, mais ce premier chapitre n’est qu’une introduction au concept.

VIII.1.2.1. Une menace

En anglais threat, une menace est une situation qui pourrait potentiellement conduire à un
événement dramatique. Quand vous recevez des appels anonymes d’une personne menaçant de
vous tuer, ceux-ci constituent une situation qui pourrait conduire à un événement dangereux,
votre mort en l’occurrence. Dans la vie courante, lorsque vous recevez des menaces, vous prenez
des mesures en conséquence, par exemple informer la police.
Dans un réseau, le principe reste le même. Une menace est une situation qui pourrait conduire
à une potentielle rupture de la sécurité de votre réseau. Dès que vous localisez une menace, si
innocente paraisse-t-elle, si vous êtes un employé, informez immédiatement votre administrateur
de sécurité. Si c’est vous l’administrateur, commencez à mettre en place toute solution pouvant
neutraliser cette menace.

VIII.1.2.2. La vulnérabilité
Également appelée faille, la vulnérabilité est une faiblesse quelconque dans votre réseau qu’un
hacker peut exploiter au travers d’un logiciel qu’on appelle « exploiteur ». Ces logiciels sont des
morceaux de code qui profitent de la présence de bugs dans un système ou de failles dans un
réseau pour avoir accès illégalement à des ressources, voire augmenter les privilèges d’un compte
utilisateur afin de mieux exploiter les ressources et ouvrir une porte pour un autre hacker.

385
VIII. Quelques notions de sécurité réseau

La majorité des failles sont des choses que l’on néglige, telle que la complexité d’un mot de
passe. En tant qu’administrateur en sécurité réseau, il est important d’informer régulièrement les
employés de votre société sur les politiques de sécurité, c’est-à-dire les bonnes pratiques. Parmi
ces bonnes pratiques figurent la complexification d’un mot de passe. Si un employé junior0 a
pour compte utilisateur « junior0 » et mot de passe « junior0 », cette faiblesse est une faille
qu’un hacker peut exploiter pour avoir accès aux ressources sous le pseudo de junior0. Une fois
qu’il a accès à ce compte, il peut éventuellement augmenter ses privilèges, par exemple passer
d’un compte utilisateur simple à un compte administrateur et avoir les mêmes privilèges que
vous, l’administrateur légitime.
Il existe principalement deux types d’exploitation�:
— locale�: une exploitation est dite locale lorsqu’elle émane de l’intérieur du réseau. Comme
nous l’avons dit plus haut, si un hacker se sert du compte utilisateur d’un nœud légitime
de votre réseau pour augmenter ses privilèges, toute attaque à partir de ce compte sera
locale.
— distante�: une attaque distante, contrairement à une attaque locale, ne vient pas du
réseau en tant que tel. C’est un hacker qui se trouve dans un réseau distant qui essaie
d’exploiter une faille «�à distance�» sans avoir accès à un compte local à votre réseau.
Que cela vous surprenne ou non, la majorité des attaques sont locales et non distantes.

VIII.1.2.3. Les étapes d’exploitation d’une faille

Voici un schéma illustrant une procédure très commune d’exploitation d’une faille�:

Figure VIII.1.2. – Schéma d’exploitation d’une faille

Le schéma est très évocateur, mais nous allons quand même le survoler un peu.
— L’étape 1 consiste à trouver une faille. Généralement on utilise des logiciels de scannage
(de port par exemple). Il est important de commencer par trouver la cible d’évaluation.
Il faut une stratégie pour remporter une guerre. La cible d’évaluation est expliquée plus
bas.
— L’étape 2 consiste, bien sûr, à exploiter cette faille, c’est-à-dire, profiter de cette ouverture
pour aboutir à « quelque chose ».
— À l’étape 3, on s’assure que cette faille restera toujours ouverte afin de pouvoir l’utiliser
à chaque fois. Eh oui, c’est comme l’open source, c’est mieux de réutiliser un code que
de tout coder soi-même. Si une faille est déjà existante, autant la maintenir plutôt
que d’en chercher une autre. Cela se fait souvent par l’installation d’une porte dérobée
(backdoor).

386
VIII. Quelques notions de sécurité réseau

— L’étape 4, c’est « faire quelque chose » de cette faille. Par exemple, « prendre possession
d’un compte » (to take ownership en anglais) et augmenter les privilèges de ce compte.
Ainsi, si c’était un compte utilisateur simple, il s’agit d’acquérir les privilèges d’un compte
administrateur.
— L’étape 5 consiste à exploiter « localement » les ressources. Étant donné que vous
possédez un compte interne au réseau, vous passez pour une personne légitime. C’est le
principe de l’exploitation interne ou locale.
— Finalement, la plus subtile des étapes, c’est, bien sûr, effacer ses traces. En termes
d’investigation, c’est ce qu’on appelle « commettre le crime parfait ». Nous verrons
comment effacer les traces dans un réseau et aussi quelques techniques d’évasion (fuite)
en cas de détection.

i
Nous avons volontairement « disséqué » les étapes d’exploitation, mais sachez que ces 6
étapes peuvent être classées en 3 catégories. L’étape 1 c’est ce qu’on appelle la phase de «
test de pénétration » ou « papier-crayon ». C’est une phase dans laquelle on se documente
au maximum et on planifie notre attaque en cherchant à découvrir les caractéristiques
(topologie, plan d’adressage, etc) du réseau que l’on cible afin de trouver une faille.
Les étapes 2 à 5 peuvent être groupées dans une catégorie « exploitation ». En effet
l’exploitation d’une faille couvre tous les aspects mentionnés dans ces étapes.
La dernière étape peut être classée dans la catégorie « évasion ». « Effacer ses traces »,
c’est une forme de « fuite subtile ».

VIII.1.2.4. Cible d’évaluation

Le terme cible d’évaluation vient de l’expression anglaise Target Of Evaluation (TOE).
Cette expression est plus propre à la certification CEH (que nous allons vous présenter) qu’à la
sécurité de façon générale. Mais, le principe est universel. Une cible d’évaluation est la ressource
la plus importante, celle dont dépendent les nœuds de votre réseau. Pour Zeste de Savoir, nous
avons vu qu’il s’agissait des tutoriels. Ils sont, en termes de sécurité, une cible d’évaluation pour
le hacker. Pour les banques, la cible d’évaluation pourrait être, par exemple, les numéros de
comptes des clients.

VIII.1.2.5. Qu’est-ce qu’une attaque ?

On appelle attaque, toute tentative maligne de pénétrer un réseau illégitimement, par le biais
de l’exploitation d’une vulnérabilité (ou faille). La majorité des attaques en réseau sont dues
aux failles, et pour cela, le coupable numéro 1 c’est vous-même.
Imaginez que vous avez sur votre compte bancaire 300 000 euros. Pour ne pas oublier votre mot
de passe, vous avez écrit sur un petit morceau de papier « mot de passe de mon compte�: 4590
». Un jour vous oubliez ce morceau de papier sur votre bureau au travail avec votre portefeuille.
Un collègue s’en rend compte, prend votre carte, va dans un guichet retirer une grosse somme et
retourne au bureau déposer votre portefeuille. Le fait d’avoir écrit ce mot de passe était une faille
de sécurité. Avoir oublié le portefeuille était une erreur d’attention. Le retrait illégal de l’argent
était une attaque. Qui est le premier coupable�? Celui qui a volé l’argent ou vous-même�?
En sécurité, la plupart des attaques sont dues à ce couple « faille-erreur ». Une faille est une
ouverture et l’attaquant profite de votre erreur pour exploiter la faille.

387
VIII. Quelques notions de sécurité réseau

VIII.1.2.6. Identifier / Authentifier / Autoriser

L’autorisation est différente de l’identification. C’est en quelque sorte une alternative. Lorsque
vous avez un système qui ne nécessite pas la divulgation de l’identité de la personne, vous n’avez
besoin que de vérifier si la personne remplit les critères lui donnant l’autorisation d’exécuter
une opération, peu importe qui elle est. Par exemple, lorsque vous voulez retirer de l’argent
d’un guichet électronique, le guichet ne vous identifie pas au sens strict du terme, mais il vous
autorise. L’autorisation est une forme d’identification. La différence est fine, mais cet exemple
vous aidera à mieux comprendre.
M. Pierre détient une carte qui a un numéro�: 1428 6983 0596 et un code 0978. Il décide d’aller
retirer 100 euros dans un guichet électronique. Lorsqu’il insère la carte et tape le code de sécurité,
le guichet « sait » que la transaction est demandée par M. Pierre, parce que c’est sa carte.
On peut l’identifier par le numéro de la carte. Le code de sécurité permet de l’authentifier
premièrement, ensuite de l’autoriser à faire une transaction.

i
L’autorisation doit toujours être précédée de l’authentification.

En résumé, lorsque M. Pierre insère la carte, le système du guichet identifie par le numéro de la
carte que c’est M. Pierre qui essaie de faire une transaction. Le numéro de la carte permet de
l’identifier. Mais qu’est ce qui nous prouve que c’est bien M. Pierre�? Il faut lui demander le code
de sécurité, car c’est personnel, et lui seul doit le détenir. Ainsi nous lui disons « Prouve-moi
que tu es bien M. Pierre. Prouve-moi que tu es celui que tu dis être en me donnant le code
de sécurité ». Pierre entre alors le code 0978, le guichet l’authentifie, atteste que la personne
essayant de faire la transaction est authentique, c’est bel et bien M. Pierre. Par la suite, il peut
effectuer les transactions de son choix, car il a désormais l’autorisation.
Maintenant un jour, il envoie son fils Matthieu. Ce dernier va retirer de l’argent étant en
possession de la carte de son père et du code de sécurité. Le guichet lui donnera également accès,
lui autorisera à faire la transaction, sans nécessairement identifier qu’ici, il s’agit de Matthieu et
non de Pierre. Voyez-vous�?
Si ce n’est pas toujours clair, soyez tranquille, nous avons plusieurs autres exemples. Commençons
d’abord par définir ces termes un à un avec un exemple à l’appui.

VIII.1.2.6.1. Identifier
C’est l’action d’évaluer l’identité d’une personne. Quand ce verbe est pronominal (s’identifier),
c’est l’action de décliner son identité. Par exemple, si vous allez un jour au bureau d’une
société, appelons-la ZesteCorp, rencontrer la secrétaire, vous allez vous présenter�: « Bonjour, je
m’appelle Pierre ». Vous vous identifiez. Si je veux rencontrer une personne que je n’ai jamais
vue, je peux lui expliquer comment m’identifier, par mon habillement, par exemple�: « Je serai
vêtu d’un jean noir et d’une chemise blanche avec un chapeau de cowboy ». L’ensemble de ces
descriptions servira à mon identification.

VIII.1.2.6.2. Authentifier
C’est l’exigence d’une preuve irréfutable qu’une personne est bel et bien celle qu’elle dit être.
Pour reprendre l’exemple d’une visite à ZesteCorp, si la secrétaire vous demandait de prouver
que vous êtes bel et bien Pierre, vous montrerez votre carte d’identité par exemple. La carte
constitue donc une évidence, une preuve que vous êtes celui que vous prétendez être.

388
VIII. Quelques notions de sécurité réseau

Dans une rencontre « face à face », l’identification et l’authentification se font très souvent au
même moment, cependant dans des systèmes « distants » (où nous n’avons pas d’interaction
face à face), ces deux étapes sont séparées.

VIII.1.2.6.3. Autoriser
L’autorisation consiste à vérifier qu’une personne identifiée a le droit de faire telle ou telle
chose. Par exemple quand vous êtes majeur, vous avez le droit de voter, l’autorisation de voter.
L’autorisation est la dernière étape dans un système de contrôle d’accès. Vous vous identifiez
premièrement, vous donnez une preuve permettant de vous authentifier, et lorsque le système
évalue cela, il vous donne l’accès, l’autorisation.
Si Pierre veut se connecter dans le réseau local de l’entreprise dans laquelle il travaille, il
donnera son nom d’utilisateur (pour son identification), il donnera son mot de passe (pour son
authentification), mais il faudra que le système détermine ses droits d’accès.
À votre avis, pourquoi lorsque vous vous connectez sur Zeste de Savoir, vous n’avez pas accès à
l’interface de modération par exemple�? Parce que le système de sécurité vérifie vos privilèges
dans le domaine, et vous autorise en fonction des droits que vous avez. Si vous êtes administrateur,
vous avez le droit d’un membre, d’un modérateur, d’un validateur et d’un admin. Si vous n’êtes
qu’un membre, vos actions (transactions) sur le site seront limitées en vertu de vos droits. C’est
à ça que sert l’étape d’autorisation, limiter les possibilités de vos actions selon les privilèges que
vous détenez.
Voilà, de manière simple, comment comprendre ces 3 notions fondamentales.

VIII.1.3. Les moyens de sécurité

Nous savons maintenant ce qu’est une faille, qu’est-ce qu’une attaque, une exploitation (locale
ou distante), etc. Ok, tout cela c’est bien, mais maintenant quels sont les moyens à notre
disposition pour sécuriser notre réseau�? Il existe deux façons de sécuriser un réseau. Ces deux
façons sont liées l’une à l’autre et une bonne politique ou implémentation de sécurité résulterait
d’un mélange de ces deux moyens de protection.

VIII.1.3.1. La sécurité physique

La sécurité physique est obligatoire. C’est d’ailleurs la première des choses à laquelle vous devez
penser avant tout ce qui est high-tech. Parfois on se laisse tellement emporter par le prestige de
la technologie qu’on oublie la base des bases. À quoi ça vous servira d’avoir sur votre serveur
des logiciels hyper sécurisés si n’importe qui peut y accéder et débrancher les câbles�? La
règle à retenir est la suivante�:
La sécurité technologique dépend de la sécurité physique.
En fonction de vos besoins et de vos moyens, les solutions sont nombreuses. Cela peut aller d’un
simple local fermé à clé, à un bâtiment vidéo-surveillé protégé par des barbelés, en passant par
des gardiens et des portes blindées… Déjà, des machines sensibles sous clé, c’est pas mal.

VIII.1.3.2. Les techniques de contrôle d’accès

Là où on a souvent davantage de latitude, c’est sur l’aspect technologique de la protection.
Aujourd’hui, pour s’authentifier et obtenir l’accès à des services, on a recours aux mots de passe.
Cette technique pose plusieurs soucis.

389
VIII. Quelques notions de sécurité réseau

D’abord, il est facile pour un programme informatique de casser un mot de passe court ou
simple. À l’aide de dictionnaires ou même par force brute, un code tel que «�citron42�» ou
«�mzduv�» ne résiste pas longtemps. Il est nécessaire de complexifier cela. Au lieu d’un mot, on
peut créer une phrase de passe (avec quelques caractères spéciaux).
On ne peut toutefois pas garantir qu’un code, quel qu’il soit, ne soit pas un jour compromis.
C’est pourquoi il ne faut pas utiliser le même mot de passe pour différents services. Sinon, un
attaquant qui récupère vos identifiants peut accéder à tous vos comptes�! C’est là qu’est le
deuxième souci. C’est pénible. On a tous plein de comptes différents pour plein de choses et
retenir tous ces mots de passe relève du défi.

i
Fin 2018, une vague de spams a ciblé des entreprises et des internautes. Il s’agissait d’envois
d’e-mails contenant, en objet, un supposé mot de passe du destinataire. Ces codes ont été
retrouvés dans des bases de données piratées. Le message prétendait, en exposant ainsi un
mot de passe qui aurait été utilisé par le destinataire, que des données compromettantes
avaient été dérobées. Il demandait une rançon en l’échange du silence de l’attaquant.

Une solution consiste à utiliser un gestionnaire de mots de passe . Cet outil peut générer de
longs mots de passe et les stocker de manière sécurisée. Pour les débloquer et les utiliser, on
peut passer par les empreintes digitales ou une clé physique.
Une autre possibilité complémentaire est l’authentification par multiples facteurs. Cela consiste
à fournir plusieurs preuves distinctes pour s’authentifier�: un code unique envoyé par SMS,
que seul le vrai propriétaire du compte doit pouvoir consulter, une carte à puce, etc. Cette
technique est notamment employée par les banques pour empêcher l’utilisation frauduleuse de
cartes bancaires.

Conclusion
Maintenant, vous savez en quoi consiste la sécurité.

390
VIII.2. Malins, les logiciels !
Introduction
Dans ce chapitre, nous allons voir les différents types de logiciels utilisés pour compromettre
la sécurité ou les données des systèmes informatiques. Il s’agit uniquement de vocabulaire et
de terminologie. Beaucoup de personnes confondent virus, chevaux de Troie, espions et autres
termes. Nous allons clarifier tout cela, ça vous sera très utile de pouvoir désigner précisément
quelque chose dans une discussion.
Le terme générique qui désigne un de ces programmes est malware, ou en français logiciel
malicieux ou encore logiciel malveillant. Nous allons voir les principaux types de malware.

VIII.2.1. Des fins malveillantes

En fonction de leur objectif, les malwares peuvent être classés par catégories. Ainsi, un logiciel
d’espionnage portera un nom différent d’un logiciel publicitaire, etc.

VIII.2.1.1. Les adwares : du spam directement sur votre machine !

Un adware, ou en français publiciel, est un logiciel qui affiche de la publicité sur votre
ordinateur. Il n’est pas forcément illégitime�: certains logiciels « gratuits » installent un adware
pour compenser la gratuité. Mais certains le sont et affichent des publicités dans le but d’ennuyer
l’utilisateur et surtout de gagner de l’argent auprès des annonceurs�! Il existe des logiciels
permettant de détecter et supprimer ces adwares, comme Ad-Aware (qui ne fait pas que ça,
d’ailleurs).

VIII.2.1.2. Les keyloggers : dis-moi ce que tu tapes, je te dirai que tu es ma victime

Un keylogger, ou enregistreur de frappes, est un logiciel qui enregistre ce que l’utilisateur
tape au clavier et le sauvegarde dans un fichier, ou l’envoie par Internet sur un serveur. Ces
logiciels sont généralement discrets et ont pour objectif d’intercepter des mots de passe, des
numéros de carte de crédit, et d’autres données confidentielles.
Ces logiciels ne sont pas évidents à déceler, car ils n’ont besoin pour fonctionner que de fonctions
plutôt banales, qu’un logiciel légitime peut utiliser aussi. Les logiciels anti-espions comme Spybot
peuvent les déceler.

VIII.2.1.3. Les backdoors : c’est donc ça, ce courant d’air…

Une backdoor, ou porte dérobée, est un programme qui ouvre un accès sur votre ordinateur.
Si une porte dérobée est ouverte sur votre ordinateur, on peut s’y connecter via le réseau et
effectuer différentes actions définies par le développeur du programme.
Pour s’en protéger, on peut utiliser un pare-feu comme OpenOffice comme Netfilter sous
Linux, ou Zone Alarm sous Windows. Attention, une porte dérobée fonctionnant en serveur

391
VIII. Quelques notions de sécurité réseau

sera vite repérée car elle demandera d’ouvrir un port sur la machine, tandis qu’une backdoor
fonctionnant en client demandera simplement à établir une connexion avec un serveur comme le
ferait n’importe quel logiciel.

VIII.2.1.4. Les espions : la curiosité est un vilain défaut, mais qui peut rapporter
gros
Les spywares, ou logiciels espions, sont des programmes qui espionnent la machine. Ils
peuvent espionner votre historique de navigation, vos fichiers personnels, dérober vos mots de
passe, etc.
On peut les contrer avec des anti-spywares (anti-espions) comme Spybot.

VIII.2.1.5. Les trojans : ils s’invitent tous seuls, c’est trojantil !

Ou pas. Un trojan, ou cheval de Troie, est un logiciel en apparence légitime (utilitaire,
jeu, …) mais qui inclut une fonction d’infiltration qui permet d’installer des espions ou autres en
tous genres sur l’ordinateur.
Les trojans peuvent être détectés par les logiciels antivirus comme Antivir, BitDefender, Kas-
persky, …
À propos d’antivirus, tous ces programmes malveillants ne sont pas tous des virus. En effet, un
virus se réplique. Mais ce n’est pas le seul, voyons cela dans la sous-partie suivante�!

VIII.2.2. Ils n’ont pas volé leurs répliques : les virus et les vers
Voyons des programmes qui se répliquent�: les virus et les vers. Ils sont caractérisés par leurs
façons de se dupliquer et ne sont pas par définition malveillants. Voyons leurs différences�!

VIII.2.2.1. Le ver : il se duplique pour ne pas être solitaire

Un ver est un programme qui se duplique tout seul. Quand il s’exécute, il va se copier aux
endroits choisis par la personne qui l’a programmé. Il peut se dupliquer par le réseau, par
exemple grâce au partage de documents, ou encore en s’envoyant par e-mail aux adresses qu’il
aura collectées (le célèbre ver « I love you » en est un exemple). La plupart des vers servent
à des fins malveillantes (espionnage, …). Les logiciels antivirus sont capables de les détecter s’ils
ne sont pas assez discrets. Par exemple, si un ver tente de remplacer un programme système,
comme le programme «�shutdown�» qui commande l’extinction de l’ordinateur (sous Windows
et Linux, du moins), il aura tôt fait de se faire repérer�!

VIII.2.2.2. Le virus : il se cache pour ne pas se faire virer

Dans la vie réelle, un virus est une maladie qui profite du corps dans lequel il se trouve pour se
transmettre à d’autres. En informatique, c’est un peu pareil.

!
Beaucoup de personnes emploient le mot « virus » pour désigner un logiciel malveillant,
ce qui est incorrect. Le terme à utiliser de manière générique est malware.

392
VIII. Quelques notions de sécurité réseau

Un virus, contrairement à un ver, n’est pas un fichier exécutable mais un morceau de code
destiné à être exécuté et à se répliquer.
Le virus va infecter un fichier qui peut être de n’importe quelle nature (image, son, …) en se
copiant dans ce fichier. Il faut que le programme avec lequel le fichier infecté va être ouvert
possède une faille pour que le virus puisse s’exécuter et se répliquer dans d’autres fichiers. Ça
vous paraît abstrait�? Alors voici un exemple.
Paul reçoit par e-mail une photo au format jpg. Jusqu’ici, rien d’anormal. Sauf que Paul n’a pas
mis à jour son système depuis un certain temps, son logiciel pour regarder des images possède
une faille�! Il ouvre la photo qui (malheur) contient un virus capable d’exploiter cette faille�! Le
logiciel de visionnage d’images exécute alors le virus contenu dans l’image, qui se réplique alors
dans d’autres fichiers sur son disque dur, sur le réseau, …
La plupart des virus sont malveillants, comme les vers. Les virus sont capables de se modifier
tous seuls en se répliquant pour être plus discrets. Nous n’allons pas rentrer dans les détails et
expliquer le polymorphisme et autres joyeusetés, ce chapitre est juste là pour définir des termes
que l’on réutilisera plus tard.
Il existe un autre type de programme, très difficile à déloger et qui est potentiellement encore
plus dangereux que les autres�: le rootkit.

VIII.2.3. Ils s’incrustent au cœur du système !

Les rootkits. Parlons-en. Basiquement, un rootkit est un programme qui va s’incruster au cœur
du système d’exploitation pour devenir très difficile à déloger. Une fois installé au cœur du
système, il se lance avec tous les privilèges et peut faire n’importe quoi�: désactiver les systèmes
de sécurité, se dupliquer dans d’autres endroits stratégiques pour devenir encore plus coriace,
télécharger et exécuter des espions, etc. Il est donc particulièrement dangereux.
Un rootkit peut prendre n’importe quelle forme pour s’installer, et tous les rootkits ne sont pas
détectés par les systèmes de protection (antivirus, anti-spyware…). Faites attention à ce que
vous téléchargez et exécutez sur votre système et mettez à jour vos logiciels�: c’est encore le
meilleur moyen de ne pas avoir un système infesté de malwares.

Conclusion
Ce chapitre ne servait qu’à apprendre des termes qui sont utiles pour la culture et pour savoir
s’exprimer avec précision. Ces définitions sont importantes dans le milieu de la sécurité, elles
permettent d’identifier clairement de quoi on parle.

393
VIII.3. L’attaque de l’homme du milieu (MITM)
Introduction
Ce chapitre de sécurité informatique sera consacré au protocole ARP. Il permet d’effectuer la
correspondance adresse IP / adresse MAC, mais nous allons voir qu’il n’est pas très sûr. Une
démonstration théorique de l’attaque de l’homme du milieu (couramment appelée MITM) sera
présentée afin de mettre le doigt sur la sensibilité des données échangées dans un réseau local.

i
Le protocole ARP est utilisé avec l’IPv4, mais pas avec l’IPV6.

VIII.3.1. Le protocole ARP ?

Tout échange de données se fait suivant un protocole, c’est-à-dire un ensemble de règles
permettant d’assurer la communication entre 2 machines. Le protocole ARP, pour Address
Resolution Protocol (protocole de résolution d’adresse), est utilisé pour établir une correspondance
entre adresses IPv4 et adresses MAC. Les cartes réseau raisonnent par adresses MAC, et donc il
faut leur dire à quelle adresse MAC correspond telle IP�: c’est là qu’intervient l’ARP.
Admettons un réseau en étoile dont les machines sont caractérisées par leur nom, leur adresse
IP, leur adresse MAC�:
— Routeur, 192.168.1.1, 00:99:99:99:99:99�;
— Ordinateur 1, 192.168.1.51, 00:11:11:11:11:11�;
— Ordinateur 2, 192.168.1.52, 00:22:22:22:22:22.

i
Ces adresses MAC sont fictives et servent juste d’illustration.

Ordinateur 1 veut communiquer avec Routeur. Il connaît son adresse IP, mais la carte réseau a
besoin de son adresse MAC pour lui transmettre le message. Il envoie donc une requête ARP.
Mais pas n’importe comment�! Il va envoyer sa requête en broadcast. Si vous ne comprenez pas
ce terme, vous devriez peut-être relire le paragraphe «�Les envois de données�» du chapitre sur
l’adresse IPv4. Toutes les machines du réseau vont donc recevoir ce message disant «�Qui est
192.168.1.1�? Répondez-moi à 192.168.1.51 svp�!�» (suivant le protocole ARP, bien entendu). Et
normalement, le routeur doit lui répondre «�C’est moi, mon adresse MAC est 00:99:99:99:99:99�».
Ordinateur 1 va alors stocker cette information dans une table de correspondance, la table
ARP, au cas où il en aurait à nouveau besoin plus tard. On peut visualiser le contenu de cette
table en rentrant la commande arp -a dans une console, sous Linux comme sous Windows.
Ordinateur 1 peut maintenant communiquer avec Routeur, puisqu’il connaît son adresse IP et
son adresse MAC.
Mais…

394
VIII. Quelques notions de sécurité réseau

VIII.3.2. La faiblesse de ce protocole

Il est aisé pour une machine d’envoyer une requête ARP, aussi bien pour demander une adresse que
pour répondre, pour en fournir une. Normalement, seule la machine dont l’adresse est demandée
doit répondre à une requête. Mais en pratique, n’importe quelle machine peut le faire. Tout à
l’heure, le routeur aurait pu répondre que son adresse MAC était 00:33:33:33:33:33, Ordinateur
1 l’aurait pris en compte sans sourciller. Simplement, quand il aurait voulu communiquer, cela
n’aurait pas abouti. Pire encore�! Les ordinateurs acceptent généralement toutes les requêtes
ARP leur parvenant. Ainsi, si Routeur dit à Ordinateur 1 que l’adresse MAC de Ordinateur 2
est 00:55:55:55:55:55, il va prendre en compte cette information. Cela pose un problème�: un
attaquant peut manipuler les tables ARP des machines présentes sur le réseau et ainsi détourner
le trafic�: c’est l’attaque de l’homme du milieu.

VIII.3.2.1. Le MITM : quand un intrus s’en mêle…

Restons dans le même réseau. Supposons maintenant que derrière Ordinateur 2 se trouve une
personne indiscrète désireuse de savoir ce qui se dit entre Ordinateur 1 et Routeur. Il lui suffit
d’envoyer une requête ARP à Ordinateur 1 disant que l’adresse MAC associée à 192.168.1.1
(l’IP du routeur) est 00:22:22:22:22:22, et d’envoyer une autre requête à Routeur disant que
l’adresse MAC associée à 192.168.1.51 est 00:22:22:22:22:22. De cette manière, tout échange de
données entre Ordinateur 1 et Routeur passera par Ordinateur 2�! L’indiscrète personne peut
alors analyser le trafic, puisqu’il passe par sa propre carte réseau, mais aussi l’altérer, modifier
les informations qui transitent…

395
VIII. Quelques notions de sécurité réseau

Figure VIII.3.1. – Attaque ARP cache poisoning en cours

396
VIII. Quelques notions de sécurité réseau

Figure VIII.3.2. – Attaque ARP cache poisoning

i
Plus précisément, il faut envoyer ces requêtes ARP à intervalles réguliers, car les tables
peuvent se mettre à jour régulièrement. Si Ordinateur 1 et Routeur réussissent à se
communiquer leurs vraies adresses MAC, le trafic reprendra normalement, et ne passera
plus par Ordinateur 2.

Pour réaliser cette attaque, voici quelques logiciels utiles�:

— nemesis, sous Linux, permet de forger des requêtes ARP, entre autres�;
— scapy , sous Linux également, est un outil très pratique en réseau, il permet de faire
beaucoup de choses comme forger des requêtes ou faire de l’analyse réseau par exemple�;
— Wireshark , sous Linux et Windows, permet d’analyser les requêtes qui passent par
votre carte réseau�;

397
VIII. Quelques notions de sécurité réseau

— Cain&Abel , pour Windows, est un outil très puissant et potentiellement très

dangereux, car il permet en quelques clics de notamment casser des mots de passe,
de cracker des réseaux Wi-Fi et (c’est ce qui nous intéresse ici) de mettre en œuvre
une attaque MITM très facilement�! Ce logiciel est génial car il est redoutable et facile
d’utilisation, mais il peut être détecté comme dangereux par les antivirus. Et pour cause�!
Il permet même de prendre discrètement le contrôle d’une machine à distance�!

i
Le fait d’altérer volontairement les tables ARP s’appelle ARP cache poisoning (em-
poisonnement du cache ARP). Vous pouvez rencontrer cette expression dans le logiciel
Cain&Abel. On parle de MITM uniquement quand quelqu’un s’intercale entre 2 machines
pour intercepter, contrôler des données.

Si l’échange de données sensibles comme des mots de passe n’est pas chiffré, voici ce qui se
passe.

VIII.3.3. Exemple concret

Pour illustrer la théorie, voici un cas concret d’une attaque MITM réalisée sur un réseau qui
nous appartient (rien d’illégal, donc). Pour ce faire, les logiciels Cain et Wireshark seront utilisés.
Toutefois, Cain étant un logiciel qui permet de faire beaucoup de choses pas très honnêtes,
nous ne pouvons pas vous montrer précisément les manipulations à effectuer pour réaliser un
MITM.
Il y a 2 hôtes dans le réseau 192.168.1.0/24�: Pirate-PC (192.168.1.56) et Pigeon-PC
(192.168.1.84). Il y a aussi un routeur qui donne accès à Internet (192.168.1.1). Pirate-PC
lance une attaque MITM entre Pigeon-PC et le routeur.

398
VIII. Quelques notions de sécurité réseau

Figure VIII.3.3. – Interface de Cain

C’est facile, vous trouverez comment faire en cherchant un peu.

Sur Pirate-PC, on lance l’analyseur de trafic Wireshark. On lance une capture en ne demandant
que les paquets en rapport avec Pigeon-PC.

399
VIII. Quelques notions de sécurité réseau

Figure VIII.3.4. – Options de capture dans Wireshark

i
Le filtre n’est pas obligatoire mais conseillé si on ne veut pas se perdre avec ses propres
requêtes.

Maintenant, PigeonMan se connecte sur un site web qui ne propose pas d’identification sécurisée.
On voit défiler plein de lignes incompréhensibles, mais en fouillant un peu, on tombe sur ça�:

400
VIII. Quelques notions de sécurité réseau

Figure VIII.3.5. – Paquets en clair capturés par Wireshark

Un filtre «�http�» a été appliqué pour qu’on ne voie que les requêtes HTTP. On voit clairement
les identifiants transmis en clair.
Voilà comment on peut se faire voler ses identifiants en moins d’une minute chrono. Pour les
plus fainéants, Cain propose de récupérer automatiquement les mots de passe transmis par
HTTP, FTP, SMTP, etc. C’est illégal dans la plupart des pays de voler des identifiants comme
cela, mais pour notre exemple, cela a été réalisé depuis un réseau qui nous appartient et avec de
faux identifiants (vous ne croyez quand même pas qu’on va vous donner accès à nos comptes�?
), donc ce n’est pas interdit. Mais ne comptez pas trop sur la loi pour vous protéger�: pour
arrêter une personne pratiquant cette attaque, il faut la prendre sur le fait, car une adresse
MAC est facilement falsifiable et ne servira à rien si elle est enregistrée.

VIII.3.4. Peut-on se défendre ?

Malheureusement, cette faiblesse du protocole ARP est difficile à combler. On peut utiliser des
tables ARP statiques, mais ce n’est pas pratique et lourd à mettre en place. Sous Windows par
exemple, il faut utiliser la commande arp -s adresse_IP adresse_MAC pour chaque adresse
à fixer. Une autre solution est d’utiliser uniquement IPv6, qui n’utilise pas ARP. En entreprise,
des outils comme des IDS peuvent détecter des requêtes anormales. Les switchs peuvent aussi
être configurés pour filtrer les adresses MAC autorisées en fonction des ports.
Pour garantir l’intégrité des données que vous échangez, le plus sûr est d’utiliser des connexions
sécurisées quand c’est possible, en utilisant le HTTPS dès qu’un site le permet (le navigateur
Firefox depuis sa version 69 le fait automatiquement), en configurant votre client e-mail pour
qu’il envoie ses requêtes over SSL, c’est-à-dire à travers un protocole chiffré, … De nos jours, la
plupart des logiciels chiffrent toutes les communications de bout en bout.

401
VIII. Quelques notions de sécurité réseau

Il ne faut pas accepter n’importe qui sur son réseau�: il convient de sécuriser son réseau Wi-Fi
autant que possible (malheureusement, tous les systèmes de protection du Wi-Fi sont faillibles,
même le WPA). Et même si vous utilisez un réseau câblé, si une machine du réseau est infectée
par un malware, ce dernier pourra utiliser une attaque MITM pour espionner ce qu’il se passe sur
les autres ordinateurs… C’est pas pour vous faire devenir paranoïaque, mais c’est important
de faire attention à ce qu’il se passe sur son réseau�!

Conclusion
La faiblesse étudiée est donc difficile à combler. Vous ne devriez pas laisser n’importe qui se
connecter sur votre réseau. Par ailleurs, dans un réseau où les machines sont connectées en
Wi-Fi non sécurisé, le simple fait d’être connecté au réseau permet de voir tout ce qui s’y passe�:
il suffit de configurer sa carte réseau en mode promiscuous, ou en mode monitor (pas
besoin d’être connecté au réseau dans ce dernier cas) et on reçoit tous les paquets, même ceux
qui ne nous sont pas destinés. Même pas besoin de trafiquer les tables ARP. Le chiffrement des
communications sensibles est alors essentiel.

402
VIII.4. Allumez le pare-feu
Introduction
Quand on parle de sécurité des réseaux, il y a un élément incontournable�: le pare-feu, ou en
anglais firewall. Cet équipement protège les machines qui sont connectées dessus, encore faut-il
qu’il soit bien configuré. Dans ce chapitre, nous allons voir ses fonctionnalités principales et
pourquoi il est indispensable.

VIII.4.1. C’est quoi ?

De manière très simplifiée, un pare-feu permet de maitriser les flux qui passent sur le réseau.
Quand on parle de pare-feu, cela peut désigner deux choses�: un logiciel ou un matériel. Ils ne
font pas la même chose�!

VIII.4.1.1. Pare-feu logiciel

Il est courant d’avoir un pare-feu installé sur son ordinateur. Sous Windows par exemple, il
y a de base un pare-feu activé. Il empêche l’ouverture de ports sur le système. Pour qu’un
programme puisse recevoir des données sur un port, le système d’exploitation doit au préalable
l’ouvrir. Ainsi, si vous exécutez un programme qui tente d’ouvrir un port, le pare-feu vous
demandera si vous souhaitez l’autoriser. Bon, l’utilité est à peu près la même que de mettre des
tongs pour escalader une montagne�: c’est mieux que d’y aller nu pieds, mais ça ne protège de
presque rien.

403
VIII. Quelques notions de sécurité réseau

Figure VIII.4.1. – Demande d’ouverture de port du pare-feu Windows

Un vrai pare-feu logiciel permet de contrôler quels programmes peuvent communiquer sur
1
le réseau et quels sont les flux autorisés. On peut citer ZoneAlarm, GlassWire ou Comodo .
Lorsqu’un logiciel veut établir une communication réseau, que ce soit en tant que serveur et
donc ouvrir un port, ou en tant que client et donc initier une connexion ou envoyer des données,
cela doit être autorisé par le pare-feu. Cela évite qu’un programme ne communique avec une
autre machine en cachette, surtout s’il est malveillant.

VIII.4.1.2. Pare-feu matériel

Quand on parle de pare-feu matériel, on désigne un appareil qui ressemble à ça. L’image qui
suit est publiée par Cuda-mwolfe sous licence CC BY SA 4.0 (source ).

1. Ces noms sont cités à titre d’exemple. Il ne s’agit en aucun cas de recommandations.

404
VIII. Quelques notions de sécurité réseau

Figure VIII.4.2. – Un pare-feu (CC BY SA)

Schématiquement, il fonctionne comme un routeur, c’est-à-dire qu’il route des flux entre des
réseaux. La différence, c’est qu’il dispose de nombreuses fonctionnalités permettant de contrôler,
filtrer et orienter les flux.

i
La plupart des routeurs permettent aussi de maitriser les flux, mais de manière moins
précise ou moins performante. Le matériel n’est pas le même�: un routeur est conçu pour
router et sera performant dans cette tâche, tandis qu’un pare-feu sera plus à l’aise avec le
chiffrement ou l’analyse fine de paquets.

VIII.4.2. Sans filtre

La fonction principale d’un pare-feu est donc le filtrage des flux. Cela se fait en définissant des
règles en fonction des adresses IP et des ports, à la fois pour les sources et les destinations.
Visualisons sur l’interface utilisateur d’un firewall paramétré pour l’exemple ce qui est autorisé
ou non. Le cas imaginé est une entreprise avec 2 usines (une fabrique et un incinérateur), des
bureaux avec des postes utilisateurs et des photocopieuses, et des véhicules connectés pour
circuler sur site.

Figure VIII.4.3. – Règles de filtrage sur un pare-feu FortiGate 60D

Il y a deux façons de concevoir une politique de filtrage�:

— Tout ce qui n’est pas interdit est autorisé
— Tout ce qui n’est pas autorisé est interdit
C’est ou l’un, ou l’autre. Quand un pare-feu donne accès à Internet, cela a du sens d’autoriser
tout sauf certains services particuliers, ou sauf l’accès à certains serveurs jugés dangereux
(diffusion de logiciels malveillants, par exemple). C’est le premier cas. Quand on est dans un
réseau d’usines où des ordres de commande sont transmis et des informations échangées entre
machines et employés, il est plus sage d’interdire tous les flux sauf ceux nécessaires au travail.
C’est le deuxième cas. On le rencontre souvent dans les réseaux d’entreprise. Comme vous pouvez

405
VIII. Quelques notions de sécurité réseau

le voir sur l’interface précédente, le pare-feu présenté applique une politique d’interdiction par
défaut.

?
Ce que je vois surtout, c’est qu’il n’y a pas une seule adresse IP dans cette configuration�!

Quand on configure un pare-feu, on a tendance à raisonner avec des objets. Un objet représente
un sous-réseau, un hôte ou un ensemble d’hôtes. Dans notre exemple, l’objet UTILISATEURS
correspond au réseau 192.168.10.0/24. Si le réseau des utilisateurs est amené à changer, à
s’agrandir ou à intégrer un autre subnet, pas besoin de tout reconfigurer�: il suffit de modifier
l’objet�!

Figure VIII.4.4. – Des sous-réseaux représentés sous forme d’objets

Dans une politique de filtrage, on trouve aussi des zones. On peut associer des interfaces
physiques ou logiques, ou encore des objets à des zones. Elles correspondent à un regroupement
logique d’entités, par exemple géographique. Dans notre cas, les objets PHOTOCOPIEUSES
et UTILISATEURS sont dans la zone BUREAUX, car physiquement, les photocopieuses et
les utilisateurs sont situés dans une zone de bureaux. Sur la capture ci-dessus, les zones sont
indiquées dans la colonne ”Interface”. Dans la première capture, vous pouvez voir que les règles
de filtrage sont découpées par blocs, comme BUREAUX > EXTERIEUR. Cela signifie que
les règles de cette section ne concernent que des flux allant de la zone BUREAUX à la zone
EXTERIEUR.

i
Sur le pare-feu de notre exemple, les objets possibles pour une règle sont limités à la zone
choisie. Ainsi, quand on choisit comme source la zone ”BUREAUX”, on peut choisir comme
objet source ”UTILISATEURS” ou ”PHOTOCOPIEUSES”, mais pas ”INCINERATEUR”.
Quand on choisit ”all” (tout), cela correspond à tout dans la zone spécifiée. S’il n’y a pas
de zone précisée, la règle s’applique à absolument tout.

406
VIII. Quelques notions de sécurité réseau

Pour les ports, on raisonne aussi avec des objets. Plus précisément, dans notre cas, on parle de
services. Un service est défini par un ensemble de ports de destination (et/ou source, parfois)
et/ou de protocoles (TCP, ICMP, …). Ainsi, la règle numéro 1 de notre exemple n’autorise
que le service HTTPS, car on considère que les utilisateurs de la zone de bureaux ne doivent
contrôler les différentes entités de la zone d’usines qu’au moyen d’une interface web et que les
échanges doivent être chiffrés. La règle numéro 2 permet de pinguer les véhicules connectés, mais
c’est tout. A contrario, avec la règle 3, les hôtes de la fabrique peuvent communiquer comme
bon leur semble avec les photocopieuses de la zone de bureaux. Toute autre communication est
interdite�: les paquets ne correspondant à aucun de ces cas seront jetés, ils pourront même être
logués (enregistrés) pour identifier les coupables et les condamner à récurer de fond en comble
l’incinérateur… Ou plus vraisemblablement, les logs finiront par être vidés sans jamais avoir
été consultés.
Tous les pare-feux ne proposent pas une telle souplesse de paramétrage. Le modèle présenté est
assez évolué. Il embarque aussi d’autres fonctionnalités bien utiles.

VIII.4.3. Autres fonctionnalités

!
Certains liens de cette section ne sont accessibles qu’aux membres de Zeste de Savoir, car
il s’agit de chapitres en bêta.

Notre pare-feu permet de monter des tunnels VPN . Surprenamment, il ne supporte qu’IPSec,
tandis que d’autres supportent aussi L2TP. Les tunnels créés génèrent des interfaces virtuelles
qui servent ensuite dans les tables de routage.
À ce sujet, notre modèle supporte les protocoles OSPF, RIP et BGP .
On peut aussi visualiser des statistiques détaillées du trafic reçu par le firewall en fonction
d’adresses, de réseaux, de ports, s’il est autorisé ou non, etc. Cela peut servir à détecter des
tentatives d’attaques ou des anomalies. Si une photocopieuse essaie de se connecter à Netflix,
c’est peut-être qu’un employé s’est branché au mauvais endroit�!
Les pare-feux supportent aussi les services les plus courants. Ils peuvent donc faire office de
serveur DHCP , de relai DNS , ils permettent la translation d’adresses et de ports , etc.
Les routeurs proposés par les fournisseurs d’accès à Internet, du moins les plus courants, sont
en réalité des pare-feux. Si vous cherchez dans leur interface de configuration, vous trouverez
probablement certaines des fonctionnalités présentées dans ce chapitre. Pour les particuliers,
les besoins sont assez limités, protéger le réseau local derrière un NAT suffit généralement pour
éviter que les ordinateurs connectés ne soient exposés sur Internet.

Conclusion
Pour assurer la sécurité des réseaux, notamment en entreprise, les pare-feux sont indispensables.
En plus de servir de routeur et de fournir des services de base, ils permettent de maitriser
finement les flux autorisés ou interdits selon les réseaux. Cela évite que des communications
douteuses n’aient lieu, surtout si elles servent à des programmes malveillants.
Les pare-feux sont un monde à eux tous seuls. On en a fait une brève présentation dans ce
chapitre, on peut aussi trouver une abondante littérature à leur sujet. Nous avons vu un modèle
en particulier, le Fortigate 60D, du constructeur Fortinet. Ce dernier propose une gamme de

407
VIII. Quelques notions de sécurité réseau

firewalls adaptés à différents besoins. Parmi les autres, on peut citer Juniper, Checkpoint ou
encore Cisco.

408