U.M.

K
INTRODUCTION A LA
SECURITE
Par : Erick MPIANA
Ir. Electroénergéticien
CCNA-SECURITY
CCNA/Instructeur
 0bjectifs
• Identifier les besoins en terme de sécurité, les
risques informatiques pesant sur l'entreprise et leurs
éventuelles conséquences ;
• Elaborer des règles et des procédures à mettre en
oeuvre dans les différents services de l'organisation
pour les risques identifiés ;
• Surveiller et détecter les vulnérabilités du système
d'information et se tenir informé des failles sur les
applications et matériels utilisés ;
• Définir les actions à entreprendre et les personnes à
contacter en cas de détection d'une menace ;
 Introduction
La sécurité informatique est de nos jours
devenue un problème majeur dans la gestion
des réseaux d’entreprise ainsi que pour les
particuliers toujours plus nombreux à se
connecter à l ‘internet.
La transmission d’informations sensibles et le
désir d’assurer la confidentialité, l’Intégrité et la
disponibilité de celles-ci est devenu un point
primordiale dans la mise en place de réseaux
informatiques.
 Buts de la sécurité réseau
Le but de la sécurité du réseau est d’assurer:
• La disponibilité : signifie que les informations et les services sont
accessibles et fonctionnels lorsqu’il est nécessaire. Si les systèmes
ne sont pas disponibles, les deux autres points n’ont plus vraiment
d’importance.
• L’intégrité : signifie que l’information ou le logiciel est complet,
exact et authentique. L’objectif est d’empêcher tout processus ou
personne non autorisée d’apporter une quelconque modification,
intentionnelle ou volontaire. Dans le cas d’une intégrité réseau, il
s’agit de s’assurer que le message reçu est bien celui qui a été
envoyé. Son contenu doit être intégral et non modifié.
• La confidentialité : empêche des informations sensibles d’être
divulguées sans votre consentement ou d’être interceptée sous
forme intelligible.
Les objets de la sécurité

• Les informations

• Le système
• Le réseau
• Les personnes

• Etc.
I. Les attaques
Une Attaque : n’importe quelle action qui
compromet la sécurité des
informations.
I.1 Buts des attaques

• Interruption: vise la disponibilité

• Interception: vise la confidentialité

• Modification: vise l’intégrité

• Fabrication: vise l’authenticité

Confidentialité : les données (et l'objet et les
acteurs) de la communication ne peuvent pas être
connues d’un tiers non-autorisé.
Authenticité : l’identité des acteurs de la
communication est vérifiée.
Intégrité : les données de la communication n’ont
pas été altérées.
Non-répudiation : les acteurs impliqués dans la
communication ne peuvent nier y avoir participer.
Disponibilité : les acteurs de la communication
accèdent aux données dans de bonnes conditions.
• Le risque en terme de sécurité est généralement caractérisé
par l'équation suivante :

• La menace (en anglais « threat ») représente le type d'action

susceptible de nuire dans l'absolu, tandis que la vulnérabilité
(en anglais « vulnerability », appelée parfois faille ou brêche)
représente le niveau d'exposition face à la menace dans un
contexte particulier. Enfin la contre-mesure est l'ensemble
des actions mises en oeuvre en prévention de la menace.
• Les contre-mesures à mettre en oeuvre ne sont pas
uniquement des solutions techniques mais également des
mesures de formation et de sensibilisation à l'intention des
utilisateurs, ainsi qu'un ensemble de règles clairement
définies.
I.2. Pirates informatiques (Hackers)
• Par ‘Hacker’ on n’entend toute personne qui
tente d’accéder à un système sans
autorisation.
Qui sont les hackers ?
• Il y a trois grands types de ‘Hacker’, regroupés
par leur expérience et/ou les logiciels qu’ils
utilisent.
 Le premier type sont appelés les « script kiddies ». Bien que
ceux-ci soient les plus nombreux, ils n’ont généralement peu
ou pas de connaissances particulières en informatique.
• Ils ne reçoivent généralement pas beaucoup de respect du
milieu. Par contre, ils sont souvent les plus agaçants et
peuvent être très dangereux pour les grandes compagnies, car
ils n’ont pas peur d’utiliser des scripts et/ou des programmes
incomplets. Ils sont d’ailleurs réputés pour faire très peur aux
grands sites Internet tels Yahoo.com, Google.com et AOL.com,
car ils peuvent assez facilement générer des attaques de type
« Denial of service » dû à leur inconscience.
• Ce type de pirate est par contre facilement identifiable et on
peut aisément bloquer les trous de sécurité, une fois que l’on
connaît le script ou le programme utilisé pour faire l’attaque (à
l’exception des ‘Denial of Service’, dont nous discuterons plus
tard).
• Le deuxième type de Hacker a des connaissances
informatiques plus approfondies. Ses représentants sont
souvent des administrateurs de système et comprennent
bien comment fonctionnent les ordinateurs. Ils aiment
avoir les derniers ‘jouets’ disponibles et sont souvent sur
l’Internet à la recherche des dernières versions de
logiciels.
• Une grande partie des consultants en sécurité
informatique tombent dans ce groupe.
• Ils ont beaucoup d’outils, une bonne méthodologie et
assez de connaissances, mais dépendent souvent d’autres
personnes pour coder certaines parties plus difficiles de
leur programme.
• La plupart des informaticiens de formation peuvent se
retrouver dans ce groupe sans trop d’effort d’adaptation.
• Le dernier groupe est le plus redoutable, car les
acteurs de celui-ci ne recherche pas la publicité et
savent tous comment effacer leur traces après coup.
• Ils ont une très grande connaissance en
programmation, particulièrement de la gestion de la
mémoire centrale et de l’architecture des systèmes
d’exploitation.
• Bien que ce type de Hacker opère généralement seul,
il y a quelques groupes bien connus des autorités,
par exemple « The Cult Of The Dead Cow » qui a
notamment produit le fameux « Back Orifice » pour
Windows (qui est le Trojan le plus célèbre à ce jour).
La règle d’or pour ce groupe : « Can somebody else
do it ? ».
I.3. Pourquoi attaquent-ils ?
• Le premier groupe de Hacke, attaque souvent pour
le plaisir, par curiosité et surtout pour se vanter
d’avoir fait le coup. Cela peu sembler absurde, mais
nous sommes présentement devant une
valorisation sociale des Hackers, car pour le
commun des mortels, il semble très intelligent
d’avoir réussi un tel coup.
• De plus, il est fréquent que les pirates reconnus
coupables de tels actes soient, à la fin de leur
peine, engagés par de grandes sociétés pour en
faire des administrateurs en sécurité informatique.
• Par contre, les motifs plus traditionnels et plus
fréquents sont la possession d’information
confidentielle, par exemple la définition d’une
nouvelle technologie et les accès à une
ressource.
• Comme nous venons de le voir, les raisons
sont multiples et les attaques seront tout aussi
variées.
I.4. Les principaux trous de sécurité
• Par où commencer ?
Vous voulez faire une attaque sur un système en
particulier, mais vous ne savez pas par où commencer
? Vous n’avez qu’à chercher pour des « exploits » sur
le web. Par « exploits » ont entend faiblesse
exploitable et non pas des exploits de piratage réussis
dans le passé … Ceux-ci ne vous donnent pas la
solution toute cuite dans le bec, mais ils peuvent vous
donner une assez bonne idée de la méthode à
employer et un point de départ pour commencer..
Problèmes généraux

• Les Applications :
Une des premières choses à regarder
lorsque l’on veut attaquer un système est
de regarder les applications qui sont en
exécution sur celui-ci. Il est démontré
plus loin dans cette recherche qu’il est
relativement facile d’obtenir la liste des
processus. Une fois celle-ci en notre
possession, nous pouvons rechercher des
bogues à exploiter dans ces applications.
• CGI (Common Gateway Interface) :
Les CGIs sont généralement développés de façon
rapide en comparaison aux applications résidentes. Les
concepteurs devraient penser beaucoup plus aux
besoins de sécurité de leurs CGIs, car ils
compromettent la sécurité de tout le serveur en
présentant des CGIs de moindre qualité.
• Les erreurs fréquemment rencontrées sont ; les CGIs
qui s’exécutent avec les mauvaises permissions, e.g. on
« CHMOD » souvent un script 777 afin de l’installer
sans avoir de problème. De plus, les interpréteurs ne
devraient jamais se retrouver dans le répertoire des
CGIs, ce qui arrive malheureusement trop souvent. Ces
interpréteurs permettent ainsi aux pirates d’exécuter
des scripts non autorisés à partir du serveur.
• Mot de passe clair :
Beaucoup d’applications requièrent des
authentifications sophistiquées, mais exécutent
le travail en passant les paramètres de
connexion en clair, c’est-à-dire sans cryptage
quelconque. Un pirate peut alors très
facilement récolter les paramètres
d’autorisation pour une future utilisation. (voir
point sur le « Sniffing »)
• Les services tels que l’identification HTML, FTP
et TelNet sont des exemples classiques de ce
problème.
• Les comptes généraux :
Plusieurs applications et même des systèmes
d’exploitation installent des comptes usagers
par défaut. On peut facilement penser à
Windows 2000 qui s’installe, initialisant le
compte Guest/Guest. C’est donc à
l’administrateur du système de penser à effacer
ces comptes crées par défaut. Il est donc
probable que plusieurs de ces mots de passe
soient encore valides. Ces mots de passe sont
d’ailleurs généralement en tête des listes
utilisées lors d’une pénétration par force brute.
• Les ports standards :
Les ports qui sont standards, par exemple, le port
21 pour le FTP ou 80 pour les serveurs HTML,
doivent être ouverts en tout temps afin de
permettre à une demande de rentrer. Nous n’avons
donc que le choix de permettre à tout le monde de
se connecter, non pas de transférer, ou de ne
permettre à personne de se connecter.
Logiquement, il faut recevoir quelque chose pour
décider si nous donnons accès au service ou non.
Nous ouvrons donc la porte aux attaques de types
« denial of service » et aux « buffer overflow ». Ce
problème n’a malheureusement pas encore trouvé
de solution viable.
• Les modems : Les modems sont souvent un
point d’entrée dans un système, car ils
répondent bien à la technique de la force
brute. Une fois la connexion établie, l’accès
réseaux est généralement facile, car la
configuration est souvent celle initialisée par
défaut. Les modems peuvent aussi retourner
des informations sur le système auquel ils
appartiennent.
• L’architecture des réseaux :

Une mauvaise architecture des réseaux

permet dans bien des cas d’accéder à des
ressources dont nous ne détenons pas les
droits d’accès et souvent même d’outrepasser
les coupe-feux. Les réseaux devraient
segmenter certaines parties qui ne devraient
pas être accessibles de l’extérieur, afin de
cacher les information les plus sensibles.
• Les mots de passes simples :

Le plus gros problème de sécurité de la majorité des systèmes

informatiques sont les mots de passe de leurs usagers. Si ceux-ci
choisissent un mot de passe trop simple est qu’il est découvert, le
pirate a donc les même droits au système que l’employé légitime
(Même si celui-ci risque de perdre son emploi dans les jours qui
viennent). La nouvelle génération d’outil de perçage de mot de passe
est si efficace qu’il s’agit souvent de minutes voire même de
secondes avant que le mot de passe ne soit découvert.

• Par exemple, on sait que « John the Ripper » peut décrypter la

majorité des mots de passe contenus dans le fichier /etc/shadow. Il
serait donc intelligent de voir si l’on peut accéder de façon assez
simple à ce fichier avant de chercher ailleurs. Il serait aussi
intéressant d’utiliser « Craker Jack », car semble-t-il que celui-ci est
complémentaire à « John the Ripper ».
Sur Unix / Linux

Permissions des fichiers : Une mauvaise configuration

des fichiers sous Unix permet une mauvaise utilisation
des fichiers pas seulement par les usagers, mais aussi
par les programmes qui peuvent faire des actions non
désirées si les fichiers n’ont pas les permissions
normales.

Network File System (NFS) : Les NFS mal configurés

sont une cible fréquente des pirates informatiques, car
ils peuvent procurer de l’information, voire même un
droit d’écriture, sur le système. Par exemple, un pirate
pourrait écrire un fichier ./rhosts pour permettre à son
adresse IP de faire un login.
 Send mail : Le Send mail est un service qui est
installé par défaut sur Unix et souvent en plusieurs
versions et logiciels. Il est une proie de choix utilisée
fréquemment par les pirates qui désirent faire une
campagne de marketing non ciblé (Spamming).

Langage de programmation : On sait qu’une grande

partie de Unix est codée en C. Comme ce langage
ne fait aucune validation des bornes, une grande
majorité des utilitaires d’Unix sont donc vulnérables
par les attaques de type « buffer overflow ». Unix et
Linux sont donc très vulnérables aux attaques de ce
type.
Sur Windows
Les logiciels intelligents :

Le principal problème de Windows vient de sa plus grande force, c’est-à-

dire sa facilité d’utilisation. Les fichiers sous Windows ont tous des
extensions qui les associent à un certain type de fichier. Les programmes
utilisant ces fichiers peuvent donc être ouverts et commencer à interpréter
avant même que la commande soit passée. Microsoft appelle ce principe les
logiciels intelligents.

Jusqu’ici cela ressemble à une bonne idée, mais le problème vient du fait
que l’ordinateur ne discerne pas si le code qu’il interprétera à l’ouverture
fait les actions voulues par l’usager, il les exécute toutes, incluant les virus,
cheval de Troie et autres.

Outlook et Internet Explorer ont été particulièrement exploités à cet effet.

• Les ports de communications :
Le système de partage de fichiers est une grande lacune
sur les systèmes Windows. Par exemple, les ports 135 à
139 sur Windows NT et 445 sur Windows 2000
donnent facilement accès à beaucoup d’information sur
les systèmes qui composent le réseau.
Les « Null connection » sont aussi un très gros
problème sur les systèmes Windows NT et 2000, car ils
permettent d’établir une connexion sans usager/mot de
passe au IPC$ (interprocess Communication share). On
peut avoir accès à la liste des usagers du système de
cette façon.
•
I.5. Les principales formes d’attaques.
Définitions générales
Pour dire qu’un système informatique est
sécuritaire, il doit répondre d’un certain nombre de
critères. Ainsi toute attaque informatique peut être
vue comme une violation à un ou plusieurs de ces
critères.
•Confidentialité
•Intégrité
•Disponibilité
•Authenticité
Cheval de Troie

• Définition : Le nom du cheval de Troie vient de

l’Iliade de Homère. Dans ce récit, l’armée grecque
offrit aux citoyens de la ville de Troie un énorme
cheval de bois dans lequel était caché une partie
de l’armée grecque. Durant la nuit, les guerriers
sortirent du cheval et prirent possession de la
ville.
• Dans un cadre informatique, le cheval de Troie
est un programme d’apparence inoffensive dans
lequel se cache du code qui l’est moins.
• Opportunité(s) : Les opportunités offertes par un
cheval de Troie sont très grandes et servent
souvent de point de départ aux autres types
d’attaques, car celui-ci sert de point d’entrée dans
un système. Il permet d’installer à l’insu de la
victime le programme de votre choix, celui-ci
pouvant être un virus, une bactérie, un système de
contrôle à distance, etc..
• Exemple de démarche : L’exemple classique avec
ce type de programme est d’infecter un utilitaire
ou un jeu assez petit pour pouvoir aisément le
transférer à sa victime. (Voir étude de cas pour une
démarche plus élaborée.)
 Contrôle à distance (remote tool kit)

• Définition : C’est ce type de programme que

l’on a tendance à appeler un cheval de Troie,
ou plus communément un « Trojan ». Il s’agit
en fait d’un programme qui est installé sur
l’ordinateur de la victime et qui communique
par le port que vous aurez prédéterminé. Une
fois la communication établie, ce programme
vous donne accès aux fonctionnalités de
l’ordinateur hôte.
• Vous pouvez par exemple prendre le contrôle total
du système de fichiers, envoyer des messages à votre
victime, télécharger le fichier de mots de passe de
l’ordinateur, etc.. Certains programmes de contrôle à
distance vont même jusqu'à vous permettre de
prendre un « screen shot » de l’écran ou même un
court vidéo des actions de votre victime.
• De plus, plusieurs « add-ons » vous sont proposés
pour augmenter la puissance de votre contrôle, par
exemple « Butt-trumpet » vous offre de vous envoyer
par courriel l’adresse IP de la victime afin que vous
puissiez savoir où vous connecter. (De grâce, ne
mettez pas votre vraie adresse de courriel!!)
• Opportunité(s) : Telles que décrites dans la définition, les
opportunités offertes par un programme de contrôle à distance
sont très larges. Elles varient d’un programme à l’autre, mais on
retrouve principalement toujours les fonctionnalités suivantes :
- Redémarrage, fermeture, verrouillage, ainsi que l’obtention des
informations du système.
- « Key log » qui enregistre toutes les touches frappées sur
l’ordinateur infecté.
- Le Ping
- L’envoi de message
- Le « mapping » des ports, ainsi que l’écoute de ceux-ci
- L’accès aux réseaux dont fait parti l’ordinateur infecté
- Contrôle des processus
- Contrôle des clefs de registre
- Accès total (avec les permissions de la victime) au système de
fichiers.
• Principaux problèmes : Le principal problème
de ces logiciels est les coupe-feux qui
bloquent l’accès au port où vous essayez de
vous connecter (solution : voir Denial of
Service). De plus, une grande majorité de
ceux-ci dévoilent l’adresse IP d’où vous
essayez de vous connecter.
BackDoor
• Définition : Comme son nom l’indique, un « backDoor », ou porte dérobée en

français, est une entrée cachée dans un système informatique. Elle est mise en

place par les constructeurs de ce système dans le but d’en faciliter la

maintenance. Le site Web http://www.cert.org cite par exemple que les base

de données Inprise de Borland ont un usager ayant tous les pouvoirs. Dans le

but de faire de la maintenance à distance pour leur clients, les concepteurs

ont implanté un usager dont le nom d’usager et de mot de passe sont

« politically / correct » permettant ainsi de se connecter sur n’importe

quelle base de données Inprise. En « hardcodant » un usager ainsi, on risque

évidement qu’il soit découvert sans avoir aucun moyen de colmater le trou de

sécurité.
• Exemple de démarche : On n’a qu’à utiliser la porte
dérobée selon son type, par exemple dans le cas des
base de données Inprise de Borland, on n’a qu’à créer
une connexion à celle-ci et à entrer le nom d’usager et
le mot de passe pour avoir accès à la BD. Par contre
dans le deuxième cas, on doit faire beaucoup d’essais
et d’erreur avant d’arriver à trouver une porte dérobée.

• Principaux problèmes : Les concepteurs sont de plus

en plus conscientisés au problème et sont donc
beaucoup plus réticents à l’utilisation de cette
méthode. De plus, des méthodes plus sûres sont
développées afin de faire la maintenance à distance.
Bombes logiques
• Définition : Une bombe logique peut-être définie comme étant
du code malicieusement inséré dans une application ou un
système d’opération qui, lorsque des conditions prédéfinies sont
réunies, exécute des opérations compromettant la sécurité.
• Le type le plus fréquent de bombe logique est celui qui prend la
date comme élément déclencheur. On choisit généralement la
date en format julienne, car elle ne tient pas compte des
fuseaux horaire, qui sont normalement calculés que plus tard.
On peut donc synchroniser le déclenchement de plusieurs
bombes logiques de cette façon.
• Les bombes logiques peuvent être incluses dans une autre
forme d’attaque, par exemple les virus, car elle ne fait que
déclencher une attaque.
Bactérie
• Définition : Une bactérie informatique est l’équivalent d’une
bactérie biologique sur ordinateur. En effet, il s’agit d’une
entité qui est capable de se reproduire en consommant les
ressources qui lui sont accessibles. Ainsi un programme peut
s’attaquer à une ressource, tel la mémoire centrale en se
rappelant lui-même, créant d’autres instances en mémoire
jusqu'à l’épuisement de celle-ci.
• Le but de cette opération est de s’approprier la totalité de la
ressource afin que les autres ne puissent y avoir accès. On
peut comparer l’effet d’une bactérie à celui d’un « denial of
service » local.
Vers
• Définition : Un ver est un programme dont la seul utilité est
de se propager. Il peut suivre le cours des réseaux avec les
adresse IP ou se propager à l’aide des adresses de courriel
qu’il trouve sur votre ordinateur. Le carnet de « Outlook »
de Microsoft fut d’ailleurs utilisé plus d’une fois à cet effet.
Les différents types de vers passent toujours par 4 grandes
phases :
• Incubation
• Propagation
• Déclenchement
• Exécution
• Le ver tout seul ne fera rien à votre ordinateur,
si ce n’est que d’engorger les réseaux de
communication, car il n’est qu’un agent
propagateur. C’est pourquoi il est toujours
jumelé avec une autre forme d’attaque.
Principalement, on le jumelle avec une bombe
logique. Ainsi le ver peut se répandre durant
un certain temps et à une certaine date, ou à
un certain nombre de personnes infectées. On
déclenche alors la bombe logique qui, elle,
fera alors les dommages.
• La propagation du ver ne se fera pas de façon exponentielle
« Pure » comme prévu théoriquement, mais bien comme :

• N = nb personnes à qui l’on envoie le ver au départ

• n = nb moyen personnes que chaque victime infecte
• n’ = Chacune des personnes ne s’infectant pas
• d = distance par rapport à la dernière rangée de feuille

N n – Σ (n’ d)

• Suggestion : trouver une grande liste de courriel pour partir

votre ver, ainsi vous aurez plus de racines qui n’ont pas de
liens entre elles et votre ver se propagera beaucoup plus
vite.
• Opportunité(s) : Le ver est utilisé pour
atteindre un grand nombre de victimes. On
peut, semble-t-il, assez facilement infecter des
dizaines de milliers d’ordinateurs en quelques
jours. Cette « puissance » donne de grandes
opportunités sur le plan technique. Par
exemple, on peut difficilement faire un DoS
avec un seul ordinateur sur un site tel que
yahoo.com qui reçoit des millions de visiteurs
chaque jour avec des serveurs répartis à
travers le monde. Par contre, avec 50000
ordinateurs on peut y arriver sans trop de
gymnastique intellectuelle …
• Un autre opportunité que le ver amène est
d’atteindre une victime par ricochet. Prenons
un cas très simple. Par exemple, vous voulez
attaquer Mr. B. Sachant que Mr. A possède
l’adresse courriel de Mr. B. Vous décidez
d’abord d’infecter Mr. A pour que celui-ci
infecte ensuite Mr. B. On a recourt à cette
méthode pour deux raisons : la première étant
que parfois on ne connaît pas directement la
victime (Mr. B) ou que l’on manque
d’information pour y arriver
• Exemple de démarche : Le dernier ver connu est
CodeRed. Celui-ci renfermait une bombe logique basée
sur les dates dans le but de faire un « denial of
service » sur le site du gouvernement américain.
• Son fonctionnement était simple, si la date du mois
était plus petite que 20, alors le ver se reproduisait en
faisant un « buffer overflow » sur une demande de
html port 80, ciblant des adresses IP au hasard. Si la
date était plus grande que 20 jours, alors tous les
ordinateurs et les serveurs infectés faisaient des
requêtes HTML sur le site du gouvernement américain,
créant une surcharge.
• Le ver devint très célèbre dû à deux choses ; la
première étant sa cible et la deuxième étant
l’extraordinaire puissance de reproduction du ver.
Denial of Service (DoS)
• Définition : Le but premier d’une attaque « denial
of service » est d’empêcher une ou des entités
(personnes ou machines) d’obtenir un service
auquel ils ont habituellement accès. La technique
la plus utilisée est l’engorgement d’une ressource,
généralement la mémoire, les tampons, le CPU ou
la bande passante d’un serveur Internet, jusqu’à
l’épuisement de celle-ci, rendant le système trop
« occupé » pour pouvoir accepter d’autres
requêtes durant cette période.
• Un exemple banal, mais qui illustre bien ce
qu’est un DoS : pensez à une imprimante
partagée entre plusieurs ordinateurs. Imaginez
que quelqu’un envoie une requête à celle-ci
pour faire imprimer un seul document d’un
million de pages, par exemple.
• Comme l’imprimante n’interrompra pas
l’impression de celui-ci pour procéder à une
autre requête, vous êtes incapable de faire
imprimer quoi que ce soit sur cette
imprimante.
 Les plus grandes victimes sont les serveurs Web, qui
sont plus souvent qu’à leur tour, victime de ces
attaques. Ceci est en partie dû à la médiatisation portée
à l’attaque.
• Extinction de ressource
• Inondation des ports(: Les port TCP et UDP
sont souvent ciblés par ce type d’attaque)
• Attaque par fragmentation IP (consiste à créer
un paquet et à l’envoyer en une multitude de
fragments et envoyer des paquets qui se
chevauchent
• Les DoS distribués (DDoS)
• Opportunité(s) : La principale utilité est l’obstruction
d’une ressource. Par exemple, on peut se souvenir de
l’attaque lancée contre Yahoo.com, Amazon.com et
CNN.com qui avait mis leurs sites hors d’état pour
plusieurs heures voire plusieurs jours, générant ainsi
des pertes de gains évaluées à plusieurs milliers de
dollars.
• Etonnement, on peut aussi se servir des DoS pour
gagner un accès à un système. Par exemple, on peux
cibler le coupe-feux d’un système, celui-ci une fois
débordé peut laisser accès aux ports qu’il n’aura pas le
temps de vérifier les droits d’accès. Ceci peut être très
utile dans le cas où l’on désire établir une connexion à
distance si, bien sûr, on a préalablement installé un
logiciel de contrôle à distance.
• Principaux programmes connus :
- PaPaSmurf
- Tribe Flood Network 2000
- Jolt 2
- Pepsi & Pepsi 5
Virus

• Définition : Pour un utilisateur, un virus est relié à

tout problème survenant lors de l’exécution d’une
tâche qui fonctionnait auparavant sans problème.
Dans les faits, une attaque au virus est extrêmement
plus rare.
• Une définition plus formelle stipule qu’un virus est un
regroupement de fonctions (code exécutable) qui se
cache à l’intérieur d’un autre programme, pouvant
interpréter des fonctions indésirables et qui peut se
propager par ses propres moyens. Le virus passe
aussi par les mêmes phases d’infection que le ver.
Types des virus
• Un virus de type « System Sectors » est un virus
qui s’installe sur les secteurs qui seront exécutés à
tous les démarrages de l’ordinateur.
• Un virus de type « Files » s’insert dans un fichier
déjà existant, généralement un .com ou un .exe. Il
s’agit de la sorte de virus qui est la plus répandue.
• Un virus de type « Disk Cluster » change les
informations contenues dans l’en-tête du
répertoire de façon à ce que le virus soit exécuté à
la place du programme. On donne souvent au virus
la commande de partir le programme lors de son
exécution à fin de tromper la vigilance de l’usager.
• Un virus de type « Stealth » masque les
changements qu’il a provoqué lors de son
infection. Il effectue cette opération en prenant
contrôle de certaines fonctions du système
d’exploitation et quand celles-ci demande des
informations sur les secteurs que le virus a changé,
il retourne les valeurs originales.
• Un virus de type « Fast infector » infecte les autres
programmes non seulement quand il est exécuté,
mais aussi quand il est accédé. Le but d’une telle
sorte de virus est d’infecter les programmes à
l’insu des antivirus, quand celui-ci vérifiera les
programmes pour la présence de virus.
• Un virus de type « Tunneling » tente de
s’installer en dessous de l’antivirus afin
d’échapper au contrôle des intercepteurs, qui
sont supposés reconnaître les actions
dommageables au système.

• Un virus de type « Camouflage » est un virus

qui est disparu dû à de nouveaux antivirus
avec des méthodes de reconnaissance
beaucoup plus puissantes. Il est juste bon de
savoir qu’ils ont déjà existé.
Principaux programmes connus :

• I LOVE YOU
• Melissa
• Chernobyl
Buffer overflow
• Définition : Un « buffer overflow » peut-être
défini simplement par l’action de remplacer
du code par un débordement de la mémoire
allouée pour une certaine variable.
« surchargé la variable en mémoire. »
• Les « buffers overflows » sont souvent
perpétrés par des gens qui ont participé à la
confection du programme ou sur des
programmes à code ouvert, dont on peut
déduire la représentation de la mémoire.
• Le but d’une telle opération est souvent, pour
ne pas dire toujours, de se donner les
privilèges en se servant des programmes qui
ont ces privilèges pour tous les usagers.

Principaux programmes connus :

• Code Red
• DDK-IIS
Sniffing
• Définition : Le « sniffing », peut être défini comme
l'attente passive pour la capture de données
passant sur un réseau dont nous avons les accès.
• On peut facilement transformer n'importe quel
ordinateur en écornifleur, en autant que celui-ci ait
un accès au réseau que l'on veut écouter et une
carte réseau qui permet le mode "Promiscuous".
Cette dernière condition est nécessaire pour que
notre ordinateur reçoive tout le trafic parcourant
le réseau, mais ne confirme pas l'arrivée des
paquets reçus.
• Opportunité(s) : L'écornifflage est souvent utilisé
pour trouver des nom d'usager et mots de passe
afin d'avoir des autorisations plus permissives que
la nôtre.
• On peut aussi s'en servir pour voir tout texte
passant sur le réseau et qui n'est pas encrypté. Par
exemple, nous pourrions avoir accès à tout le code
html qu'un certain usager reçoit à son ordinateur
ou un document texte qu'il envoie ou reçoit.
• Les courriels sont aussi des proies faciles pour ce
genre d'attaque à la confidentialité, car ceux-ci ne
sont pas encryptés et passent en clair sur le réseau.
Principaux programmes connus :

•DSniff (Unix seulement)

•TCPDump (linux)
•BUTTSniffer (windows)
Détournement
• Définition : Le détournement consiste, comme son
nom l’indique, à détourner de l’information afin de
pouvoir soit l’utiliser ou simplement en prendre
connaissance. Prenons comme exemple le cas d’un
transaction d’achat avec carte de crédit sur
Internet. Le numéro, le nom du titulaire et la date
d’expiration sont des informations qui peuvent être
utilisées par quelqu’un d’autre s’il les possède. Les
pirates vont donc tenter de faire une copie de cette
information afin de la réutiliser plus tard, mais ils
prendront bien soin de finir la transaction présente
afin que vous ne vous doutiez de rien.
Décodage de mot de passe
• Définition : Le décodage de mot de passe, mieux connu
sous le nom de « cracking », consiste, comme son nom
l’indique, à obtenir un mot de passe en caractères ascii à
partir d’une forme compressée et/ou encryptée afin de
l’avoir dans une forme réutilisable.
• Le choix des mots de passe essayés peut provenir d’un
dictionnaire qui sera annexé au logiciel lui-même, ou par
force brute, i.e. l’essayer répétitivement en incrémentant
lettre après lettre jusqu'à ce que l’on dérive le bon mot
de passe.
• Il est rare de voir un système qui permette des essais
aussi répétitifs, il faut donc généralement se procurer le
fichier qui contient les mots de passe à casser.
• Opportunité(s) : Une fois le mots de passe acquis,
vous avez le pouvoir d’accès associé à ce compte.
Dans le cas de logiciels, il est courant qu’un mot
de passe donne un accès total au programme
tendant ainsi la période d’essai à l’infini.
Principaux programmes connus :
• John the Ripper (Unix & maintenant Windows
NT/2000)
• Pwdump1 & Pwdump2
• Cain
• ShowPass
http://www.WebAttack.com
II. MECANISMES DE DEFENSE
• Protection de l'équipement
Puisque le vol d'un ordinateur est le moyen le plus
facile pour voler des données, les ordinateurs
doivent être sécurisés de manière physique.
Voici quelques méthodes de protection physique
des ordinateurs :
• Contrôler l'accès aux installations
• Utiliser des cadenas à câble pour l'équipement
• Conserver les armoires de répartition
verrouillées
• Munir l'équipement de vis de sécurité
• Voici quelques moyens de protéger
l'accès aux installations :
• Cartes-clés : il s'agit de cartes
d'identité contenant une puce et
permettant de stocker les données
de l'utilisateur, notamment son
niveau d'accès
• Capteurs biométriques identifiant les
caractéristiques physiques d'un
utilisateur, telles que son empreinte
rétinienne ou ses empreintes
digitales
Protection des données
• La valeur d'un matériel informatique est souvent
très inférieure à la valeur des données qu'il
contient. Plusieurs méthodes de protection des
données peuvent être implémentées.
a) Protection par mot de passe
 Utilisez une longueur de mot de passe de 10
caractères ou plus. Le plus long, c'est mieux.
 Faire des mots de passe complexes. Inclure
un mélange de lettres majuscules et minuscules,
chiffres, symboles, et des espaces.
 Volontairement mal orthographier un mot de passe.
Par exemple, Smith = = Smyth 5mYth ou security =
5ecur1ty.
 Changer les mots de passe souvent
 Ne pas écrire les mots de passe vers le bas et les laisser
dans des endroits évidents comme sur le bureau ou le
moniteur.
 Evitez les mots de passe basé sur la répétition, les mots
du dictionnaire, lettre ou numéro de séquences, les
identifiants, les noms de famille ou de compagnie, des
renseignements biographiques, telles que dates de
naissance, numéros d'identification, les noms des
ancêtres, ou d'autres pièces facilement identifiables
d'informations.
Chiffrement des données
• Le chiffrement est une transformation cryptographique qui
transforme un message clair en un message inintelligible
(dit message chiffré), afin de cacher la signification du
message original aux tierces entités non autorisées à l'utiliser
ou le lire. Le déchiffrement est l'opération qui permet de
restaurer le message original à partir du message chiffré.
Clé de chiffrement
Dans la cryptographie moderne, l'habilité de maintenir un
message chiffré secret, repose non pas sur l'algorithme de
chiffrement (qui est largement connu), mais sur une
information secrète dite CLE qui doit être utilisée avec
l'algorithme pour produire le message chiffré. Selon que la
clé utilisée pour le chiffrement et le déchiffrement est la même
ou pas,on parle de système cryptographique symétrique ou
asymétrique.
Cryptographie
• procédé qui consiste à dissimuler du texte clair
de façon à cacher sa substance pour garantir
que l’information est cachée à quiconque elle
n’est pas destinée
Transposition Ciphers(Rearrangement)
1
FLANK EAST The clear text message would be
ATTACK AT DAWN encoded using a key of 3.
Clear Text

2
F...K...T...T...A...W.
.L.N.E.S.A.T.A.K.T.A.N Use a rail fence cipher and a key
..A...A...T...C...D... of 3.

3
FKTTAW The clear text message would
LNESATAKTAN
AATCD appear as follows.
Ciphered Text
 Substitution Ciphers
Caesar Cipher

1
FLANK EAST The clear text message would be
ATTACK AT DAWN encoded using a key of 3.
Clear text

Shift the top scroll

2 over by three
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z characters (key of
3), an A becomes
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
D, B becomes E,
and so on.

3
IODQN HDVW The clear text message would be
DWWDFN DW GDZQ encrypted as follows using a key of
3.
Cipherered text
 Cipher Wheel
1
FLANK EAST The clear text message would be
ATTACK AT DAWN encoded using a key of 3.
Clear text

2
Shifting the inner wheel by 3, then
the A becomes D, B becomes E, and
so on.

3
IODQN HDVW The clear text message would appear
DWWDFN DW GDZQ as follows using a key of 3.
Cipherered text
 Vigenѐre Table FLANK

a b c d e f g h i j k l m n o p q r s t u v w x y z
A a b c d e f g h i j k l m n o p q r s t u v w x y z
B b c d e f g h i j k l m n o p q r s t u v w x y z a
C c d e f g h i j k l m n o p q r s t u v w x y z a b
D d e f g h i j k l m n o p q r s t u v w x y z a b c
E e f g h i j k l m n o p q r s t u v w x y z a b c d
F f g h i j k l m n o p q r s t u v w x y z a b c d e
G g h i j k l m n o p q r s t u v w x y z a b c d e f
H h i j k l m n o p q r s t u v w x y z a b c d e f g
I i j k l m n o p q r s t u v w x y z a b c d e f g h
SECRET
J j k l m n o p q r s t u v w x y z a b c d e f g h i
KEY. K k l m n o p q r s t u v w x y z a b c d e f g h i j
L l m n o p q r s t u v w x y z a b c d e f g h i j k
M m n o p q r s t u v w x y z a b c d e f g h i j k l
N n o p q r s t u v w x y z a b c d e f g h i j k l m
O o p q r s t u v w x y z a b c d e f g h i j k l m n
P p q r s t u v w x y z a b c d e f g h i j k l m n o
Q q r s t u v w x y z a b c d e f g h i j k l m n o p
R r s t u v w x y z a b c d e f g h i j k l m n o p q
S s t u v w x y z a b c d e f g h i j k l m n o p q r
T t u v w x y z a b c d e f g h i j k l m n o p q r s
U u v w x y z a b c d e f g h i j k l m n o p q r s t
V v w x y z a b c d e f g h i j k l m n o p q r s t u
W w x y z a b c d e f g h i j k l m n o p q r s t u v
X x y z a b c d e f g h i j k l m n o p q r s t u v w
Y y z a b c d e f g h i j k l m n o p q r s t u v w x
Z z a b c d e f g h i j k l m n o p q r s t u v w x y
 Cryptographie Symétrique : Principes

Clé Clé
01010000111 01010000111

Texte clair Cryptage Décryptage Texte clair

Internet
Internet
Voici le Voici le
numéro numéro
de ma de ma
carte de ☺☼♀☻ carte de
crédit crédit
111111, ♠♣▼╫◊ 111111,
♫◙◘€£
¥₪Ω‫٭‬

Texte crypté
Emetteur Récepteur
• Pare-feu logiciel
• Sauvegardes des données
• Sécurité par carte à puce
• Sécurité biométrique
• Sécurité du système de fichiers
 Les technologies de chiffrement et
d'authentification sans fil sont les
suivantes :
• Wired Equivalent Privacy (WEP) : norme de sécurité
de première génération pour la communication sans
fil. Les pirates informatiques ont rapidement
découvert que le chiffrement WEP était facile à
contourner. En effet, les clés de chiffrement utilisées
pour coder les messages pouvaient être détectées
par des programmes de surveillance. Une fois les
clés obtenues, les messages pouvaient être
facilement décodés.
• Wi-Fi Protected Access (WPA) : version améliorée de
la norme WEP. Elle a été créée comme solution
temporaire .
• (authentification par mot de passe) et mode
Entreprise (authentification par serveur).

Lightweight Extensible Authentication Protocol

(LEAP), également appelé EAP-Cisco : protocole de
sécurité sans fil créé par Cisco pour remédier aux
faiblesses de WEP et de WPA. Le protocole LEAP est
particulièrement approprié à l’utilisation
d’équipement Cisco avec des systèmes d’exploitation
tels que Windows et Linux.
III. LA POLITIQUE DE LA SECURITE
3. 1. Établissement d’une politique de sécurité
Suite à l’étude des risques et avant de mettre
en place des mécanismes de protection, il faut
préparer une politique à l'égard de la sécurité.
C’est elle qui fixe les principaux paramètres,
notamment les niveaux de tolérance et les
coûts acceptable. Voici quelques éléments
pouvant aider à définir une politique :
• Quels furent les coûts des incidents informatiques passés ?
• Quel degré de confiance pouvez vous avoir envers vos
utilisateurs interne ?
• Qu’est-ce que les clients et les utilisateurs espèrent de la
sécurité ?
• Quel sera l’impact sur la clientèle si la sécurité est insuffisante,
ou tellement forte qu’elle devient contraignante ?
• Y a-t-il des informations importantes sur des ordinateurs en
réseaux ? Sont-ils accessible de l’externe ?
• Quelle est la configuration du réseau et y a-t-il des services
accessibles de l’extérieur ?
• Quelles sont les règles juridiques applicables à votre
entreprise concernant la sécurité et la confidentialité des
informations (ex: loi « informatique et liberté », archives
comptables…) ?
3.2. Éléments d’une politique de sécurité
• Il ne faut pas perdre de vue que la sécurité est comme une
chaîne, guère plus solide que son maillon le plus faible. En
plus de la formation et de la sensibilisation permanente des
utilisateurs, la politique de sécurité peut être découpée en
plusieurs parties :
Défaillance matérielle :
• Tout équipement physique est sujet à défaillance (usure,
vieillissement, défaut…) L'achat d'équipements de qualité
et standard accompagnés d'une bonne garantie avec
support technique est essentiel pour minimiser les délais
de remise en fonction. Seule une forme de sauvegarde peut
cependant protéger les données.
Défaillance logicielle :
Tout programme informatique contient des bugs. La seule façon de
se protéger efficacement contre ceux-ci est de faire des copies de
l'information à risque. Une mise à jour régulière des logiciels et la
visite des sites consacrés à ce type de problèmes peut contribuer à
en diminuer la fréquence.
Accidents (pannes, incendies, inondations…) :
Une sauvegarde est indispensable pour protéger efficacement les
données contre ces problèmes. Cette procédure de sauvegarde peut
combiner plusieurs moyens fonctionnant à des échelles de temps
différentes :
 disques RAID pour maintenir la disponibilité des serveurs.
 copie de sécurité via le réseau (quotidienne)
 copie de sécurité dans un autre bâtiment (hebdomadaire)
 La disposition et l’infrastructure des locaux peut aussi fournir
une protection intéressante.
 Erreur humaine :
Outre les copies de sécurité, seule une formation adéquate du personnel peut
limiter ce problème.

Vol via des dispositifs physique (disques et bandes) :

Contrôler l'accès à ces équipements : ne mettre des unités de disquette, bandes…
que sur les ordinateurs où c’est essentiel. Mettre en place des dispositifs de
surveillances.

Virus provenant de disquettes :

Ce risque peut-être réduit en limitant le nombre de lecteur de disquettes en
service. L’installation de programmes antivirus peut s’avérer une protection efficace
mais elle est coûteuse, diminue la productivité, et nécessite de fréquentes mises à
jour.

Piratage et virus réseau :

Cette problématique est plus complexe et l’omniprésence des réseaux, notamment
l’Internet, lui confère une importance particulière. Les problèmes de sécurité de
cette catégorie sont particulièrement dommageables et font l’objet de
l’étude qui suit.
 3.3. Principaux défauts de sécurité

Les défauts de sécurité d’un système d’information les plus souvent

constatés sont :
• Installation des logiciels et matériels par défaut.
• Mises à jours non effectuées.
• Mots de passe inexistants ou par défaut.
• Services inutiles conservés (Netbios…).
• Traces inexploitées.
• Pas de séparation des flux opérationnels des flux d’administration
des systèmes.
• Procédures de sécurité obsolètes.
• Eléments et outils de test laissés en place dans les configurations
en production.
• Authentification faible.
• Télémaintenance sans contrôle fort.
 3.4. Éléments de droits

Intrusions informatiques : loi « Godfrain » du 5/1/88

Art. 323-1.

Le fait d’accéder ou de se maintenir frauduleusement dans tout ou

partie d’un système de traitement automatisé de données est puni
d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il en
est résulté soit la suppression ou la modification de données
contenues dans le système, soit une altération du fonctionnement
de ce système, la peine est de deux ans d’emprisonnement et de 30
000 € d’amende.
Art. 323-2.
Le fait d’entraver ou de fausser le
fonctionnement d’un système de traitement
automatisé de données est puni de trois ans
d’emprisonnement et de 45 000 € d’amende.
Art. 323-3.
Le fait d’introduire frauduleusement des
données dans un système de traitement
automatisé, ou de supprimer ou de modifier
frauduleusement des données qu’il contient est
puni de trois ans d’emprisonnement et de 45
000 € d’amende.
 3.5. Quelques procédures de sécurité
• Définition du domaine à protéger
• Définition de l'architecture et de la politique de sécurité
– Equipements/Points de sécurité
– Paramètres de sécurité
– C-à-d mécanismes de prévention, détection et
enregistrement des incidents
• Plan de réponse après incident
– Procédure de reprise
– Procédure pour empêcher que cela se renouvelle
• Suppression de la vulnérabilité, ou suppression de
l'attaquant
• Charte du bon comportement de l'employé
• Procédures d'intégration et de départ des
employés
• Politique de mise à jour des logiciels
• Méthodologie de développement des logiciels
• Définition des responsabilités (organigramme)
•Etc.
3.6. Eléments d'architecture
 CONCLUSION DU COURS
Le proverbe dit « mieux vaut prévenir que guérir » :
au terme du parcours des divers aspects de la sécurité des
systèmes d’information, nous pourrions presque dire qu’en
ce domaine prévenir est impératif, parce que guérir est
impossible et de toute façon ne sert à rien. Lorsqu’un
accident ou un pirate a détruit les données de l’entreprise et
que celle-ci n’a ni sauvegarde ni site de secours, elle est
condamnée, tout simplement : les personnels de ses usines
ne savent plus quoi produire ni à quels clients livrer quoi, ses
comptables ne peuvent plus encaisser les factures ni payer
personnels et débiteurs, ses commerciaux n’ont plus de
fichier de prospects.
 Le pouvoir d’édicter les règles dans son
domaine, et de les faire respecter : interdire
les protocoles dangereux, imposer la mise à
jour automatique des antivirus, mettre son
veto à tel ou tel passe-droit dans le pare-feu.
Cela s’appelle une politique de sécurité.
Pour toutes les raisons qui viennent
d’être énoncées, nous pouvons conclure en
disant avec Bruce Schneier que la sécurité du
système d’information n’est pas et ne peut pas
être contenue dans un dispositif ni dans un
ensemble de dispositifs.
« Aucun des mécanismes
de sécurité ne suffit par
lui-même. Il les faut tous
!»
 Un accident moins grave aura sans doute des
conséquences moins radicales, mais en règle générale les
conséquences d’un incident de sécurité sont irréversibles
si aucune prévention n’avait été organisée avant qu’il
n’advienne.
Il est impossible de connaître à l’avance tous les
types de menaces et de détecter toutes les vulnérabilités,
puisque, ainsi que nous l’avons signalé et répété, il en
apparaît de nouvelles chaque semaine, par dizaines. Par
conséquent, l’analyse de risques se révèle vite une aporie
si on lui accorde trop de confiance, si on la croit
déterministe ; il convient de s’y adonner, mais avec
scepticisme.