Introduction

à la Sécurité
Informatique
Sommaire Contextualisation

Sécurité Informatique vs de
l’information

Write an agenda here.

Les technologies numériques modernes
Présentent des vulnérabilités :
• Failles de sécurité
• Défauts de conception ou de configuration

Subissent des erreurs d’utilisation

Sont attaquées de l’intérieur ou de l’extérieur par:

• Des pirates ludiques
• Des cybercriminels
• Des espions
Manque de moyens d’investigations policières.
Loi du silence de la part des acteurs économiques et bancaires.
Quelques attaques cyber
Sécurité Informatique
Domaine consacré à l’étude,
conception et utilisation d’outils et méthodes permettant la
protection des systèmes et réseaux informatiques.

Sécurité de
Domaine consacré à l’étude,
l’information
conception et utilisation d’outils et méthodes permettant la
protection de l’information

5
 Menaces Vulnérabilités

M Evénement ou élément
pouvant porter attente au
système V Faiblesse d’un actif au regard
de la sécurité

R
Risques
Possibilité qu’une menace donnée
exploite les vulnérabilités d’un f(
I Impacts
Conséquences de l’événement

actif ou d’un groupe d’actifs et

x)
P
cause ainsi un préjudice à Probabilités
l’organisation
Possibilité d’occurrence de
l’événement

Le but premier de la sécurité informatique est de réduire les

risques sur le système informatique en garantissant les principes
fondamentaux que sont : la confidentialité, l’intégrité et la
disponibilité
Les principes de la
sécurité informatique

Intégrité Confidentialit Disponibilité

é
propriété de protection propriété selon laquelle propriété selon laquelle
de l’exactitude et de la l’information n’est pas rendue l’information est accessible et
complétude des actifs disponible ou divulguée à des utilisable à la demande par
personnes, des entités ou des une entité autorisée
garantir que les processus non autorisés
données sont bien maintenir le bon
celles que l'on croit fonctionnement du système
être d'information 7
Les principes de la
sécurité informatique

Non-
Traçabilité Authentificatio
répudiation
n
propriété garantissant propriété garantissant qu'une propriété permettant de
de récupérer les traces transaction ne peut être niée certifier l’identité d’une
d’une action dans un personne ou d’actif en vue
système d’autoriser l’accès à
certaines ressources
sécurisées

8
9
Les menaces Logiciels malveillants

informatiques
Attaques réseaux

Attaques web
Logiciels
malveillants

11
 Introduction
Les logiciels malveillants viennent sous diverses formes.
 Certains se reproduisent.
 Certains détruisent des informations.
 Certains volent des informations.
 Certains dorment jusqu’au moment propice.

Ils exploitent
 Les vulnérabilités logicielles
 La fenêtre d’opportunité entre la découverte d’une vulnérabilité et la disponibilité du
 correctif.
 La naïveté des usagers
 Directement ou indirectement.
Liste des logiciels
malveillants
 Virus  Rabbit
 Ver Vers existant en une seule copie
 Mailers – Mass-Mailer worms  Keylogger, Password- Stealing
 Bombe logique  Souvent via un cheval de Troie
 Cheval de Troie
• Porte dérobée (Backdoor)
• Rootkit
• Ordinateur zombie – bots
Permet notamment de « flooder »
 Logiciel espion
 Logiciel publicitaire (Adware)
 Germs
Premier rudiment d’un logiciel
malveillant
Virus
 Virus
Programme malveillant dont l'exécution est déclenchée lorsque
le vecteur auquel il a été attaché clandestinement est activé, qui
se recopie au sein d'autres programmes ou sur des zones
systèmes lui servant à leur tour de moyen de propagation, et qui
produit les actions malveillantes pour lesquelles il a été conçu

Principales caractéristiques
 Se reproduisant grâce à une vulnérabilité logicielle ou avec l’aide des
usagers.
 Se propageant au sein de l’ordinateur infecté.
 Nécessitant un programme hôte à infecter.
 Les plus célèbres: ILoveyou, Melissa, ...
Virus
Les virus sont généralement développés en fonction de la
plateforme
 Architecture de l’ordinateur
 Microprocesseur
 Système d’exploitation
 Version
 Système de fichier (DOS, FAT, NTFS, ...)
 Format de fichier
 Interpréteur
 Macro Microsoft, VisualBasic
 Shell UNIX/Linux
 JScript, Python, TCL, PHP, Perl, ...
 Vulnérabilités logicielles
 ...
Ver
Ver
 Programme malveillant, autonome et parasite, capable de se
reproduire par lui-même

 Principales caractéristiques

• Se reproduisant généralement automatiquement grâce à une

vulnérabilité logicielle
Exception les Mass-Mailer Worms ou simplement les Mass-
Mailers nécessitant l’aide des usagers – fichier exécutable déclenché par
l’usager et utilisant le client courriel.
• Se propageant par le réseau vers d’autres ordinateurs vulnérables.
Certains auteurs présentent les vers comme des virus réseau.
• Ne nécessitant pas de programme hôte à infecter.
• Les plus célèbres: Moris Worm, Slammer, Sasser, CodeRed, Blaster, ...
Ver
 Selon le moyen de déclenchement de l’infection
 Automatique
 Usager

 Selon le moyen de propagation

 Courrier – Mass-mailer worms
 Messagerie instantanée
 Réseau poste-à-poste (peer-to-peer)
 Balayage – connexion TCP
 Aléatoire
Topologique (information du réseau est obtenu de l’ordinateur infecté)
Bombe
logique
Bombe logique
 Programme malveillant à déclenchement différé, activé soit à une date
déterminée par son concepteur, soit lorsqu'une condition particulière
se trouve vérifiée, ou un ensemble de conditions réunies, et qui, dès
lors, produit l'action malveillante pour laquelle il a été conçu

 Principales caractéristiques

• Ne se reproduisant pas.
• Nécessitant un programme hôte à infecter
Cheval de
Troie
Cheval de Troie
 Programme malveillant qui, dissimulé à l'intérieur d'un autre
programme en apparence inoffensif (par exemple un jeu ou un
utilitaire), exécute des opérations nuisibles à l'insu de l'utilisateur

 Principales caractéristiques

• Ne se reproduisant pas.
• Nécessitant un programme hôte à infecter

Toutefois, il est possible d’avoir un cheval de Troie dont la seule utilité soit malveillante.
Au quel cas, il n’y a pas vraiment de programme hôte

Les plus célèbres: Sub7, Back Orifice

Ordinateur
zombie -Botnet
Ordinateur zombie -
Botnet
 Ordinateur personnel infecté et contrôlé à distance par un pirate
malveillant, qui sert de relais, à l'insu de son propriétaire, pour
envoyer massivement du pourriel ou pour lancer anonymement des
attaques par déni de service

 Principales caractéristiques

• Sous-classe des chevaux de Troie

• Un réseau de zombies ou bots est appelé un botnet
Logiciel espion
(spyware)
Logiciel espion (spyware)
 Tout logiciel qui contient un programme-espion et qui emploie en
arrière-plan la connexion Internet de l'utilisateur pour recueillir et
transmettre, à son insu et sans sa permission, des données
personnelles, notamment sur ses intérêts et ses habitudes de
navigation, à une régie publicitaire.

 Principales caractéristiques
• Ne se reproduisant pas.
• Nécessitant un programme hôte à infecter

 Mécanisme d’infection
Ne se propage pas automatiquement.
Ingénierie sociale
Installé avec un logiciel populaire, un outil shareware, un faux anti-spyware.
 Vulnérabilités
Visiter une page web malicieuse exploitant une vulnérabilité du fureteur.
Recevoir un courriel contenant une page HTML avec un script malveillant.
Logiciel
publicitaire
(adware)
Logiciel publicitaire
(adware)
 Logiciel gratuit, offert en version complète, mais affichant, lors de son
utilisation, des annonces publicitaires menant à des sites
commerciaux, qui sont renouvelées à chaque nouvelle connexion à
Internet

 Principales caractéristiques
• Ne se reproduisant pas.
• Nécessitant un programme hôte à infecter

 Charge utile (payload)

• Affiche des fenêtres publicitaires (pop-up)
• Vole les informations personnelles
• Enregistre les habitudes de navigation web
• Déroute certaines requêtes HTTP vers des sites commerciaux
Logiciel rançon
(ransonware)
Logiciel rançon
(ransonware)
 Logiciel malveillant qui prend en otage des données personnelles. Pour
ce faire, un ransonware chiffre des données personnelles puis
demande à leur propriétaire d'envoyer de l'argent en échange de la clé
qui permettra de les déchiffrer.
Réseaux
Ménaces Web

33
Broken Access Control
 Problème d’implémentation du contrôles des accès
Les mesures Documentation de sécurité

de protection
Solutions réseaux

Solution sur les terminaux

Solutions cryptographiques
Documentatio
n de sécurité

36
Documentation de
sécurité
Une partie très importante concerne la documentation régissant les règles et
conditions minimales de sécurité acquises pour un environnement informatique.

Le document principal est la politique de sécurité :

Il définit le périmètre global sur lequel la sécurité s’applique

Les objectifs de sécurité sont définis en fonction de l’activité de l’environnement.
Généralement, la politique embarque les principes que sont la CID

Elle aborde autant des aspects techniques que les aspects tels que :
- Audit des éléments physiques, techniques et logiques constituant le système
d’information de l’entreprise.
- Sensibilisation des responsables de l’entreprise et du personnel aux incidents de
sécurité et aux risques associés.
- Formation du personnel utilisant les moyens informatiques du système
d’information.
- Définition du cadre juridique et réglementaire de l’entreprise face à la politique
de sécurité et actes de malveillance
Documentation de
sécurité
Cette politique est ensuite déclinée en fonction de chaque domaine :

- Politique de sécurité réseau : adresse les menaces sur le réseau

- Politique de développement sécurisé : traite des bonnes pratiques pour la

production des codes sources sécurisés et leur utilisation

- Politique de gestion des incidents de sécurité et de vulnérabilités : traitement

des vulnérabilités et incidents de sécurité

- Politique de sauvegarde sécurisée et configuration : Configuration des actifs

informatiques et la sauvegarde des données
Mesures
réseaux

39
Pare-feu (firewall)
C’est un équipement intégré dans le réseau qui permet de contrôle les flux
(échanges d’informations) entre plusieurs réseaux (2 réseaux totalement distincts
ou 2 sous-réseaux d’un réseau principal).

Elément cœur de sécurité réseau, il peut être soit physique ou logiciel et est
configuré de 2 façons :

- Soit d'autoriser uniquement les communications ayant été explicitement

autorisées :
« Tout ce qui n'est pas explicitement autorisé est interdit »

- Soit d'empêcher les échanges qui ont été explicitement interdits

Il permet de faire un filtrage de paquets IP, en analysant les en-têtes des paquets
IP (aussi appelés datagrammes) échangés entre deux machines (ip source/dest,
port src/dest)
Il existe aussi des WAF (Web Application Firewall) pour analyser le trafic vers la
couche applicative
IDS/IPS
Un N-IDS nécessite un matériel dédié et constitue un système capable de
contrôler les paquets circulant sur un ou plusieurs lien(s) réseau dans le but
de découvrir si un acte malveillant ou anormal a lieu.

En mode détection, il analyse une copie des flux réseaux en temps réel. En
mode prévention il agit directement sur le réseau pour empêcher la survenue
de l’attaque.

2 techniques d'analyses :
- Détection à base de signature
Possédant une base de signature, il est capable de détecter et alerter les
trafics malveillants. La base de de règles (ou de signatures) est mise à jour
de manière continuelle pour prendre en compte des menaces récentes.

- Détection comportementale
Possédant en mémoire le comportement normal sur le réseau, tout
événement inhabituel est remonté comme suspect.

Exemple: Snort - Suricata / Palo Alto IDS / Zeek

VPN
C’est un tunnel sécurisé permettant de faire une connexion entre un réseau
de source sure et un autre plus hostile. Il chiffre l’ensemble des
communications transitant. En plus les VPN permettent de chiffrer des
communications.

Il existe 2 types de VPN :

- VPN SSL qui permet de essentiellement de véhiculer le protocole HTTPS

- VPN IPSec : permet de véhiculer différents protocoles de communication

tels que SSH, RDP, SMB, SMTP, IMAP

Exemple: OpenVPN, OpenSwan

Proxy / Reverse Proxy
Un proxy est un élément du réseau utilisé comme passerelle de sortie des
actifs présents dans le réseau. Il reçoit toutes les requêtes les terminaux du
réseau interne et les transmet au réseau interne. De ce fait, une seule IP
communique avec l’extérieur. Le VPN est un proxy.

Un reverse Proxy joue le rôle dans le sens contraire. Les communications

issues de l’extérieur atterrissent sur lui. Tous les serveurs du réseau interne
passent incognito depuis l’extérieur.

Exemple: Nginx
Mesures sur
les terminaux

44
Antivirus / EDR
Un antivirus est un logiciel informatique destiné à identifier et à effacer des
logiciels malveillants également appelés virus, Chevaux de Troie ou vers
selon les formes.

Il détecte les logiciels malveillants par reconnaissance d'un code déjà connu
(appelé signature) et mémorisé dans une base de données. La base de
données doit être mise à jour régulièrement pour assurer un niveau de
sécurité acceptable

Un EDR quant à lui procède à une analyse comportementale en vue

d’identifier les schémas de fonctionnement et déceler des anomalies. Il
collecte des informations qui sont transmises à un moteur d’analyse et de
corrélation.

Exemple: ClamAv, OSSEC

Solution de sauvegarde/
redondance
• La sauvegarde est un élément très important dans un environnement IT et
peut s’avérer cruciale.
• Une politique de sauvegarde peut être définie pour les systèmes jugés
sensibles et soutenue par les solutions de sauvegarde automatisée.
• Le principe est de copier tout ou partie des systèmes (config, données)
vers un espace sécurisé (distant ou pas). Les sauvegardes seront
conservées de manière dormante et sollicités en cas de
dysfonctionnement du système.

 De même que le principe de sauvegarde, la redondance est un principe

permettant d’assurer la haute disponibilité.
 L’idée est de dupliquer les éléments sensibles de l’environnement pour
améliorer la résilience.
 2 principes : Mode passif/actif et mode distribution de charge
(loadbalancer)

Exemple: Bacula / HAProxy

Solution de supervision
Logiciel permettant de contrôler l’état de fonctionnement d’un système, les
performances d’un système, répertorier les entités présentes sur un réseaux.

Certains ont pour rôle d’analyser les évènements survenus sur un système.

Un système SIEM collecte les données des journaux d’événements à partir de

sources diverses, identifie les activités qui s’écartent de la norme grâce à
une analyse en temps réel et applique les mesures appropriées.
Fonctions:

Gestion des journaux : centraliser de grandes quantités de données

Moteur de corrélation : identifier les relations et les schémas afin de
détecter rapidement les menaces potentielles.
Système de réponses aux incidents : Surveiller les incidents, alerter et
faire des audits pour toutes les activités en lien avec ces incidents.

Exemple: Centreon, OSSIM (SIEM)

Solutions
cryptographiqu
es

48
Fonction de Hashage
Une fonction sans clé qui permet de transformer une donnée de taille
quelconque en une chaîne de bits de taille h fixe, appelée haché.
Elles sont utilisées pour assurer l’intégrité des données, protéger les données
sensibles (masquage), signer des emails.

Les caractéristiques principales sont :

- Résistance en collision : 2 messages distincts ne devraient avoir la même

image

- Célérité : Temps mis par l’algorithme pour produire l’image d’un message
ou objet

Exemple : MD5, SHA1, SHA256

Algorithme de chiffrement
Algorithme ou fonction qui consiste à protéger des données en les rendant
incompréhensibles pour celui qui ne dispose pas de la solution de chiffrement
(clé de chiffrement). On en distingue 2 types:

Symétrique Asymétrique

Une seule clé est utilisée. Elle sert au 2 clés interviennent :

chiffrement et au déchiffrement. La  Clé privée : pour le chiffrement
clé doit être partagée entre les  Clé publique : pour le
utilisateurs. déchiffrement (la seule qui est
partagée)
Avantage :
• Gain de temps de calcul Avantage :
• Réaliser une signature
• Exemple: AES 256 électronique
• Supprimer le problème de
transmission sécurisée de la clef