1 réseaux et protocoles-sécurité-partie 1 v2
DESCRIPTION
jghg yyfgTRANSCRIPT
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 1
Y. I. KHAMLICHI
Youness IDRISSI KHAMLICHI
2012/2013
Sécurité des réseaux
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 2
Y. I. KHAMLICHI
Sommaire
Partie II: Sécurité des réseaux
Connaître les ennemis
Les attaques réseaux
La cryptographie
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 3
Y. I. KHAMLICHI
Problématique
La vulnérabilité de réseau (Internet):
Ordinateurs constamment connectés à Internet par modems, câbles ou lignes d’abonnés numériques
Vulnérables puisqu’ils utilisent une adresse Internet permanente qui permet de les repérer facilement
La voix sur IP, très souvent non cryptée, peut être écoutée par toute personne reliée au réseau
L’usage accru du courriel pouvant comporter des virus en pièce jointe et de la messagerie instantanée (MI) dont les messages texte sont non sécurisés, augmentent la vulnérabilité
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 4
Y. I. KHAMLICHI
Introduction à la sécurité
La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs possèdent uniquement les droits qui leur ont été octroyés
Il peut s'agir :
d'empêcher des personnes non autorisées d'agir sur le
système de façon malveillante
d'empêcher les utilisateurs d'effectuer des opérations
involontaires capables de nuire au système
de sécuriser les données en prévoyant les pannes
de garantir la non-interruption d'un service
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 5
Y. I. KHAMLICHI
Les causes d’insécurité
On distingue généralement deux types d'insécurité :
l'état actif d'insécurité: la non-connaissance par
l'utilisateur des fonctionnalités du système, dont certaines
pouvant lui être nuisibles (ex: la non-désactivation de
services réseaux non nécessaires à l'utilisateur)
l'état passif d'insécurité: lorsque l'administrateur (ou
l'utilisateur) d'un système ne connaît pas les dispositifs
de sécurité dont il dispose
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 6
Y. I. KHAMLICHI
Le but des agresseurs
Les motivations des agresseurs que l'on appelle "pirates" peuvent être multiples :
l'attirance de l'interdit
le désir d'argent (ex: violer un système bancaire)
le besoin de renommée (impressionner des amis)
l'envie de nuire (détruire des données, empêcher un système de
fonctionner)
Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens :
l'obtention d'informations utiles pour effectuer des attaques
utiliser les failles d'un système
l'utilisation de la force pour casser un système
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 7
Y. I. KHAMLICHI
Problèmes de sécurité
Les problèmes de sécurité des réseaux peuvent être classés en 4 catégories:
La confidentialité: seuls les utilisateurs autorisés
peuvent accéder à l’information
L’authentification: avoir la certitude que l’entité avec
laquelle on dialogue est bien celle que l’on croit
Non-répudiation: concerne les signatures
Contrôle d’intégrité: comment être sûr que le message
reçu est bien celui qui a été envoyé (celui-ci n’a pas été
altéré et modifié)
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 8
Y. I. KHAMLICHI
Attaques, services et mécanismes
L’administrateur doit tenir compte des 3 aspects de la sécurité de l’information:
Service de sécurité: pour contrer les attaques de sécurité
et améliorer la sécurité des SI
Mécanisme de sécurité: pour détecter, prévenir ou
rattraper une attaque de sécurité
• Usage des techniques cryptographiques
Attaque de sécurité: une action qui compromet la sécurité
de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 9
Y. I. KHAMLICHI
Définition
La sécurité Informatique consiste à la protection: de l’information des services des systèmes Contre Les menaces volontaires Les menaces involontaires Influençant leur Confidentialité Intégrité Disponibilité
Confidentialité
Intégrité Disponibilité
Sécurité du
Système
d’information
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 10
Y. I. KHAMLICHI
Propriété de base : sécurité
Sécurité = confidentialité + intégrité + disponibilité
Perte de confidentialité = divulgation non-autorisée d’information
Perte d’intégrité = altération de l'information
Perte de disponibilité = interruption d'accès à l'information ou interruption du service d'un système d'information
"For most distributed systems, the security objectives of confidentiality, integrity, and availability of information apply. A loss of confidentiality is the unauthorized disclosure of information. A loss of integrity is the unauthorized modification or destruction of information. A loss of availability is the disruption of access to or use of information or an information system." [NIST]
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 11
Y. I. KHAMLICHI
Définition
Confidentialité
Intégrité Disponibilité
Sécurité du
Système
d’information
Seuls les personnes habilités
peuvent accéder aux
informations
Assurer l’accès aux
informations
Les données ne sont pas
altérées ni altérables
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 12
Y. I. KHAMLICHI
Propriété de base : 1 – Confidentialité
Les données ne doivent être accessibles qu’aux personnes autorisées, de la manière autorisée.
Afin de permettre ces accès discriminatoires, il est nécessaire de :
• Pouvoir identifier les utilisateurs.
• Définir des niveaux d’accès aux données.
• Associer les utilisateurs aux droits d’accès.
• Vérifier les tentatives d’accès
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 13
Y. I. KHAMLICHI
Propriété de base: 2 – Intégrité
Les données ne doivent pas être altérées durant la communication.
La confidentialité ne peut s’appliquer en milieu ouvert ; les données doivent être protégées d’une autre manière (cryptage).
Lors d’échange d’informations entre tiers, l’intégrité est essentielle. Il est aussi indispensable de garantir l’identité des intervenants : NON REPUDIATION.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 14
Y. I. KHAMLICHI
Propriétés de base: 3 – Disponibilité
Les données doivent être disponibles en permanence.
Pour garantir cette disponibilité,
les données doivent être protégées contre les
erreurs de manipulation.
Les moyens d’accès (réseau, modem, …) seront
toujours opérationnels.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 15
Y. I. KHAMLICHI
Besoins de sécurité selon les secteurs
Défense, gouvernement :
confidentialité >> intégrité, disponibilité
Finance :
intégrité >> disponibilité > confidentialité
Autres : industrie, administrations, médecine, …
ça dépend!
Il faut définir les besoins spécifiques de l'application : Politique de sécurité
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 16
Y. I. KHAMLICHI
CONNAÎTRE LES ENNEMIES
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 17
Y. I. KHAMLICHI
Trojan (cheval de troie)
Logiciel qui permet de prendre le contrôle à distance d'un autre ordinateur.
le pirate infecte sa cible avec un logiciel serveur qui permettra
de copier, lire, voir ce qui se passe sur la machine infectée.
Un trojan ne peut fonctionner que si la machine à pirater
possède le serveur du trojan et que cette machine est
connectée sur le Web.
Les trojan les plus connus et utilisés sont : Back Orifice,
NetBus, Subseven…
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 18
Y. I. KHAMLICHI
Trojan (cheval de troie) : Description
C’est un programme ayant deux caractéristiques:
Un comportement apparent utile à l’utilisateur de l’ordinateur
(c'est le porteur, la partie visible du cheval que les grecs
exhibèrent devant Troie).
Un comportement caché, malveillant, conduisant à la
destruction ou la divulgation des données ou à l'ouverture
d'une porte dans le système de communication et à
l'espionnage ou à la publicité etc. ... (c'est la cohorte des grecs
sortant en cachette du cheval pour ouvrir les portes de Troie et
permettre au reste de l'armée grecque d'entrer et totalement
détruire Troie).
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 19
Y. I. KHAMLICHI
Trojan (cheval de Troie) : Types
Les chevaux de Troie se répartissent en plusieurs sous-catégories:
1. Les portes dérobées
2. Les chevaux de Troie PSW
3. Les chevaux de Troie cliqueurs
4. Les chevaux de Troie droppers
5. Les chevaux de Troie proxy
6. Les chevaux de Troie espion
7. Les chevaux de Troie notificateurs
8. Les bombes d’archives
9. Les Man in the Browser
Source : http://fr.wikipedia.org/wiki/Cheval_de_Troie_(informatique)#Types_et_modes_op.C3.A9ratoires
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 20
Y. I. KHAMLICHI
Trojan : Porte dérobée « Backdoor »
Outil de pirate créant une faille de sécurité en maintenant ouvert un port de communication afin de permettre dans un second temps, quelquefois plusieurs mois plus tard (ou jamais), d'attaquer une machine.
Le backdoor est diffusé par les mêmes voies que les virus afin d'infester un maximum de machines.
Il va ensuite s'arranger pour être lancé automatiquement à chaque démarrage de la machine infestée puis va maintenir un port ouvert dès qu'il y a connexion.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 21
Y. I. KHAMLICHI
Trojan : Porte dérobée « Backdoor »: description
La personne connaissant la porte dérobée peut l’utiliser pour:
surveiller les activités du logiciel
voire en prendre le contrôle (par contournement de
l'authentification)
contrôler l'ensemble des opérations de l'ordinateur.
Certains s'attaquent à des canaux de communications particuliers comme IRC (protocole Internet Relay Chat)...
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 22
Y. I. KHAMLICHI
Trojan : Les chevaux de Troie PSW
Recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.)
Puis envoient les données recueillies à la personne malintentionnée par mail.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 23
Y. I. KHAMLICHI
Trojan : Les chevaux de Troie cliqueurs
Redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet.
Ils peuvent détourner le fichier hosts (sous Windows).
Ils ont pour but d'augmenter le trafic sur un site Web, à des fins
publicitaires ;
d'organiser une attaque par déni de service ;
ou de conduire le navigateur web vers une ressource infectée
(par des virus, chevaux de Troie, etc.).
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 24
Y. I. KHAMLICHI
Trojan : Les chevaux de Troie droppers
Installent d'autres logiciels malveillants à l'insu de l'utilisateur.
Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile.
Il l'installe sans afficher d'avertissement ou de message d'erreur (dans un fichier archivé ou dans le système d'exploitation).
Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour but de détourner l'attention de l'utilisateur ou à lui faire croire que l'activité du dropper est inoffensive.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 25
Y. I. KHAMLICHI
Trojan : Les chevaux de Troie proxy
Servent de serveur proxy pour diffuser massivement des messages électroniques de spam.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 26
Y. I. KHAMLICHI
Trojan : Les chevaux de Troie espion
Sont des logiciels espions et d'enregistrement des frappes (clavier), qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur,
puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 27
Y. I. KHAMLICHI
Trojan : Les chevaux de Troie notificateurs
Sont inclus dans la plupart des chevaux de Troie.
Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées (adresse IP, ports ouverts, adresses de courrier électronique, etc.) sur l'ordinateur attaqué.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 28
Y. I. KHAMLICHI
Trojan : Bombes d’archives
Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir.
Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 29
Y. I. KHAMLICHI
Trojan : Les Man in the Browser
Les Man in the Browser infectent les navigateurs web
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 30
Y. I. KHAMLICHI
Password cracking
Il est très souvent facile d'obtenir le mot de passe d'un utilisateur peu avisé. Même les plus prudents ne sont pas à l'abri d'un regard attentif au-dessus de l'épaule.
Evitez spécialement les mots de passe faits de mouvements réguliers sur le clavier du type azerty.
Une autre erreur classique est d'utiliser comme mot de passe le nom d'utilisateur comme guest - guest.
Il faut également se méfier des faux programmes de login ou des programmes qui utilisent la force brute pour détecter un mot de passe à partir d'un dictionnaire. Les plus redoutables crackers auront même recours au "eavesdropping » (L'écoute clandestine) pour capturer votre mot de passe en "sniffant" les paquets réseau.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 31
Y. I. KHAMLICHI
Social engineering
Un pirate informatique a quelquefois bien plus de talents psychologiques que de compétences informatiques.
Toutes les attaques informatiques n'ont pas l'efficacité d'un simple coup de fil donné d'un ton assuré pour réclamer un mot de passe oublié ou égaré.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 32
Y. I. KHAMLICHI
Keylogger
Les Keyloggers sont des programmes, commerciaux ou non, d'espionnage.
Ils peuvent être installés silencieusement et être actifs de manière totalement furtive sur votre poste de travail.
Ils effectuent une surveillance invisible et totale, en arrière-plan, en notant dans des fichiers cachés et compressés le moindre détail de votre activité sur un ordinateur dont toutes les touches frappées au clavier, d'où leur nom de "key-logger".
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 33
Y. I. KHAMLICHI
Keylogger
Ils sont aussi capables de faire un film de tout ce qui se passe à l'écran, en continu ou par capture d'écran à intervalles réguliers...
Ils notent quels programmes sont utilisés et pendant combien de temps, les URL visitées, les e-mails lus ou envoyés, les conversations de toutes natures... dès la mise sous tension de la machine.
Ils permettent, par la même occasion, de lire les champs habituellement cachés comme les mots de passe, les codes secrets etc. ...
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 34
Y. I. KHAMLICHI
Profiler et Profiling
Espionnage pour établissement des profils des internautes.
Le profiling, mené par des profilers, est l'activité d'espionnage la plus répandue sur le NET.
savoir tout de moi, ce que j'achète, les sites que je visite, ce
que je dit, ce que je regarde, ce que je pense, mes convictions
religieuses, politiques, économiques, sociales, mon revenu,
mon patrimoine, mes amis, ma famille, ce que je mange, mes
e-mails, mes intensions, mes projets, mes vacances, mes
goûts, mes photos, mes films, mes livres, l'historique de mes
achats, etc. ...."
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 35
Y. I. KHAMLICHI
Profiler et Profiling
La règle du jeu est simple :
surveillance et contrôle de manière continue des individus,
Obtenir toutes ses informations
et faire un rapport de ces informations.
Les différents outils de profiling:
Adservers
Adwares
Spywares (spy)
Index.dat
Web-Bug (Weacon)
Traces (Traceur, Tracing)
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 36
Y. I. KHAMLICHI
Adservers
Les cannons à publicités , Adserver (Advertising server - Serveur de publicités)
Ils représentent l'acharnement agressif des publicistes à polluer nos sites, notre surf, notre bande passante et nos yeux (et même nos oreilles avec certaines publicités en "reach media").
Ce sont des couples matériel / logiciel mais, essentiellement, en ce qui nous concerne, ce sont des ordinateurs appelés "serveurs", sur le net, ayant un nom de domaine et une adresse ip.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 37
Y. I. KHAMLICHI
Adwares
Les gestionnaires de publicités
Deux définition pour adware :
Un adware est un programme qui dirige les publicités ciblées
vers votre ordinateur,
Un adware est un "petit" utilitaire gratuit - un "freeware" ou
"shareware" - supporté par un peu de publicité, en incrustant
de bannières publicitaires gérées par un adware incorporé
• L'adware est donc alors un freeware dont le créateur conserve la
propriété intellectuelle (copyright) et ne nous réclame pas de droit
d'usage. En contrepartie, il perçoit une compensation monétaire en
insérant un (ou des) bandeau(x) publicitaires dans son programme.
Plusieurs de ces programmes n'ont pas besoin de fonctionner en ligne
• Ex epmle : Go!zilla, KaZaA etc
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 38
Y. I. KHAMLICHI
Spywares
Spyware et un acronyme anglais venant de "Spy" (espion / espionne en anglais) et "ware" qui désigne une classe de logiciels (freeware, shareware, payware etc. ...). La traduction française en Logiciel Espion a donné Espiogiciel ou Espiongiciel.
C’est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 39
Y. I. KHAMLICHI
Spywares : Types
On distingue généralement deux types de spywares :
Les spywares internes (ou spywares intégrés) comportant
directement des lignes de codes dédiées aux fonctions de
collecte de données.
Les spywares externes, programmes de collectes autonomes
installés,
Une liste non exhaustive de spywares non intégrés :
Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin,
Conducent Timesink, Cydoor, Comet Cursor, Doubleclick,
DSSAgent, EverAd, eZula/KaZaa Toptext,
Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar,
ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy,
Xupiter, Web3000 et WebHancer
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 40
Y. I. KHAMLICHI
Les fichiers index.dat
Ces fichiers représentent un condensé de toute notre activité (en ligne et hors ligne).
Ils peuvent être lu par n'importe qui.
Il y a les traces de notre activité que nous laissons un peu partout dans notre ordinateur et que nous tentons d'effacer de temps en temps (les historiques, les cookies, les répertoires temporaires, les derniers documents manipulés, etc. ...).
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 41
Y. I. KHAMLICHI
Web-Bug (Web Bug, Webug, Weacon)
Web-Bug : mouchard caché en micro-image invisible dans une page web ou un e-mail, servant à déclencher l'exécution d'un script depuis un site extérieur.
Le Web Bug est une astuce d'utilisation d'une forme publicitaire, la bannière ou la pop-up, dans le but exclusif de traquer (tracking), tracer ou espionner (spyware).
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 42
Y. I. KHAMLICHI
Traces, Traceur, Tracking
Capture par espionnage de tous vos faits et gestes en matière de navigation et activité afin de déterminer vos centres d'intérêt pour établir vos profils :
de consommateur (afin de vous jeter à la figure la bonne
publicité au bon moment !),
psychologique (êtes-vous une personne facilement
manipulable et influençable) - très grand intérêt pour les
"maîtres" de toutes sortes comme les sectes, les réseaux
terroristes etc. ,
socio professionnel (vos revenus m’intéressent), culturel (les
sites visités, vos livres, films, musés, expos, théâtres,
manifestations etc. ... visités)...
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 43
Y. I. KHAMLICHI
Les virus
Qu’est ce qu’un virus
Un petit programme ou un élément d’un
programme développés à des fins
nuisibles, qui s'installe secrètement
sur des ordinateurs et parasite des
programmes.
Les traces
Les virus infectent des applications,
copient leur code dans ces
programmes. Pour ne pas infecté
plusieurs fois le même fichier ils
intègrent dans l’application infectée
une signature virale.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 44
Y. I. KHAMLICHI
Qu’est qu’un ver ?
Programme capable de se copier
vers un autre emplacement par ses
propres moyens ou en employant
d'autres applications.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 45
Y. I. KHAMLICHI
Les bombes logiques
Les bombes logiques sont programmées pour
s'activer quand survient un événement précis.
De façon générale, les bombes logiques visent
à faire le plus de dégât possible sur le système
en un minimum de temps.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 46
Y. I. KHAMLICHI
LES ATTAQUES RÉSEAUX
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 47
Y. I. KHAMLICHI
Attaques réseaux
L’administrateur doit tenir compte des 3 aspects de
la sécurité de l’information:
Service de sécurité: pour contrer les attaques de
sécurité et améliorer la sécurité des SI
Mécanisme de sécurité: pour détecter, prévenir ou
rattraper une attaque de sécurité
• Usage des techniques cryptographiques
Attaque de sécurité: une action qui risque la sécurité
de l’information possédé par une organisation
• Obtenir un accès non-autorisé, modifier,
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 48
Y. I. KHAMLICHI
Schéma classique d’une attaque
Collecte
d’informations
Intrusion
Repérage
des failles Balayage
Compromission Extension
des privilèges
Nettoyage
des traces Porte dérobée
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 49
Y. I. KHAMLICHI
Attaques réseaux
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 50
Y. I. KHAMLICHI
Buts des attaques
Interruption : vise la disponibilité des informations
Interception: vise la confidentialité des Informations
Modification: vise l’intégrité des Informations
Fabrication: vise l’authenticité des informations
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 51
Y. I. KHAMLICHI
Attaques : niveaux
Une entreprise peut être victime d’une attaque à trois niveaux.
L’ attaque externe. L’attaque est réalisée depuis l’extérieur et utilise les points d’ouverture (serveur mail, serveurs Web, …). Très médiatisée, elle est délicate et ne produit que très rarement un résultat.
L’attaque interne. Elle se produit depuis l’intérieur du réseau, elle est généralement le fait d’un collaborateur. « Pour hacker, fais-toi engager ». Elle représente 87% des attaques efficaces.
L’attaque physique. Partir avec les machines reste toujours la méthode la plus efficace.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 52
Y. I. KHAMLICHI
Attaques : Menaces
Attaques passives: • Capture de contenu de message et analyse de trafic
• écoutes indiscrètes ou surveillance de transmission
Attaques actives: • Mascarade, déguisement
• modifications des données,
• déni de service pour empêcher l’utilisation normale ou la gestion
de fonctionnalités de communication
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 53
Y. I. KHAMLICHI
Attaques : auteurs
Les attaques peuvent être l’œuvre de plusieurs types de profiles:
L’employé curieux. Il est ‘intéressé’ par l’informatique pour voir ce qu’il peut trouver. Il n’est pas malveillant et communiquera souvent les éventuelles failles qu’il découvre.
L’employé vengeur. Il s’estime floué par l’entreprise (renvoi ‘non justifié’, pas de promotion, ….). Il veut causer un maximum de dégâts, parfois même sans se cacher. S’il s’agit d’un informaticien, il peut causer des dégâts considérables. S’il s’agit d’un responsable sécurité, il peut causer des dégâts irrémédiables.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 54
Y. I. KHAMLICHI
Attaques : auteurs
Un hacker. Le hacker est un spécialiste de très haut niveau. Généralement programmeur,
• il porte un énorme intérêt à maîtriser tous les mécanismes de
fonctionnement interne d’un système.
• Il peut découvrir des failles dans un système et leur origine.
• Il cherche à améliorer ses connaissances,
• partage généralement ses découvertes et ne CHERCHE PAS A NUIRE.
Les hackers sont fréquemment amenés à concevoir des outils d’analyse des systèmes.
Un hacker produit des attaques pour mettre au point la sécurité.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 55
Y. I. KHAMLICHI
Attaques : auteurs
Le Cracker. Il s’agit d’un individu qui cherche à forcer l’intégrité d’un système à des fins malveillantes (vol de données, destruction de données, corruption de données, destruction de matériel, espionnage …).
Il peut posséder un degré de connaissances élevé, parfois équivalent à celui d’un hacker.
Il peut aussi ne pas être spécialiste et se contenter d’utiliser les outils développés par un Hacker.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 56
Y. I. KHAMLICHI
Attaques : Hacking
Hacking : c’est l’ensemble des techniques visant à attaquer un réseau, un site ou un équipement
Les attaques sont divers, on y trouve:
L’envoie de bombe logiciel, chevaux de Troie
La recherche de trou de sécurité
Détournement d’identité
Les changements des droits d’accès d’un utilisateur d’un
PC
Provocation des erreurs
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 57
Y. I. KHAMLICHI
Attaques : Hacking
Les attaques et les méthodes utilisées peuvent être offensives ou passives: Les attaques passives consistent à écouter une ligne de
communication et à interpréter les données qu’ils interceptent
Les attaques offensives peuvent être regrouper en :
• Attaques directes: c’est le plus simple des attaques, – le Hacker attaque directement sa victime à partir de son
ordinateur.
– Dans ce type d’attaque, il y a possibilité de pouvoir remonter à l’origine de l’attaque et à identifier l’identité du Hacker
• Attaques indirectes (par ruban): passif, cette attaque présente 2 avantages:
– Masquer l’identité (@ IP du Hacker)
– Éventuellement utiliser les ressources du PC intermédiaire
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 58
Y. I. KHAMLICHI
Attaques : types
Les attaques informatives. Elles visent à obtenir des informations sur le système.
Ces informations seront ensuite utilisables pour définir des failles dans la sécurité.
Les attaques de déni de service (DoS : Denial of Service). Elles visent à surcharger le système avec des requêtes
inutiles.
Elles permettent de remplir les logs et de rendre l’audit ingérable.
Elles peuvent aussi masquer d’autres attaques.
Les attaques destructrices. Elles visent à rendre inopérant soit les applications, soit
le système.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 59
Y. I. KHAMLICHI
Attaques informatives – « Social engineering »
Il ne s’agit nullement d’une technique informatique. Il s’agit d’essayer d’obtenir des informations sur le réseau en … posant des questions!
Exemples :
Je suis « X », le nouveau membre du service informatique, j’ai besoin de votre mot de passe pour ….
Je procède à un sondage pour Datatrucinfo, pouvez-vous me dire si vous utilisez un firewall, si oui quel type, …
Cette technique est très efficace !
PARADE : Education des utilisateurs
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 60
Y. I. KHAMLICHI
Attaques informatives – « sniffing »
Ecouter tout ce qui passe sur le réseau. Méthode très efficace pour collecter des données.
PARADE : parade
• Segmentation et routage.
• Réseau switché.
• Cryptage.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 61
Y. I. KHAMLICHI
Attaques informatives - « Internet queries »
Requêtes HOST
Requêtes WHOIS
(Recherche de nom de domaine)
Requêtes FINGER
finger [email protected] (sous linux): pour recevoir une
réponse contenant habituellement le nom de la personne, leur
numéro de téléphone, et l'entreprise pour laquelle ils
travaillaient. Cette information était entièrement configurable
par l'usager (cette commande est généralement désactivée
par défaut)
Requêtes PING
…
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 62
Y. I. KHAMLICHI
Attaques de déni de service – « Port scanning »
Le port scanning permet d’obtenir la liste de tous les ports ‘ouverts’.
Cette liste va permettre :
• De savoir quelles sont les applications qui sont exécutées par
les systèmes cible.
• D’estimer correctement le système d’exploitation, et donc
d’essayer les attaques spécifiques connues pour celui-ci.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 63
Y. I. KHAMLICHI
Attaques de déni de service – « Consommation de bande »
Cette attaque vise à saturer la bande passante d’un réseau avec du trafic pirate, ne laissant plus de place au trafic ‘normal’.
Ce type d’attaque peut être interne ou externe.
Dans le cas d’attaque externe, il faut:
• Soit disposer d’une connexion supérieure à celle que l’on veut
saturer.
• Soit utiliser plusieurs connexions dont le débit cumulé sera
supérieur à celui de la connexion à saturer.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 64
Y. I. KHAMLICHI
Attaques de déni de service – « Epuisement des ressources »
Plutôt que de saturer la ligne, on vise à saturer la machine (CPU, mémoire, disques).
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 65
Y. I. KHAMLICHI
Attaques de déni de service – « Routage et DNS »
Ce type d’attaque vise à modifier les entrées d’un serveur DNS pour faire pointer un nom ‘dans le vide’ ou vers une machine incorrecte.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 66
Y. I. KHAMLICHI
Attaques de déni de service – « Défaut de programmation »
Tous les systèmes d’exploitation, les cpu, les logiciels d’applications ont présentés ou présentent en général un ou plusieurs défauts.
Les hackers ont analysés ceux-ci et établi des correctifs.
Cependant, si ces correctifs ne sont pas mis en place, ces défauts permettent de bloquer le système
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 67
Y. I. KHAMLICHI
Attaques de déni de service – « Smurf »
Une attaque smurf inclus trois acteurs : la cible, le pirate et le réseau amplificateur.
Le pirate envoie au réseau amplificateur une requête demandant une réponse (type ICMP ECHO ou UDP ECHO). Cette requête est fabriquée pour sembler provenir de la cible. Chaque machine du réseau amplificateur va donc répondre à la machine source (la cible).
La cible va donc être submergée.
L’attaque UDP echo s’appel : « Fraggle »
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 68
Y. I. KHAMLICHI
Attaques de déni de service – « Inondation Syn »
L’attaque en ‘syn flood’ s’appuie sur le mécanisme d’établissement de connexion réseau.
Ce mécanisme est le suivant : Demande de connexion (Syn)
Confirmation réception (Syn/Ack)
Confirmation (Ack)
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 69
Y. I. KHAMLICHI
Attaques de déni de service – « Inondation Syn »
Syn flood (suite)
Si la machine qui émet le paquet de demande de connexion le fait avec une adresse source correspondant à une machine inexistante;
La machine contactée répond à cette demande et envoie la réponse ‘à la machine qui a demandé la connexion’; donc vers nulle part.
Comme personne ne répond , la machine reste en attente (de 75 secondes à 23 minutes).
Si les machines acceptent des centaines de connexions simultanées, elles ne supportent que quelques demandes.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 70
Y. I. KHAMLICHI
Attaques de déni de service – «Email Bombs »
Les ‘Email Bombs’
Il s’agit d’envoyer un volume énorme de courrier électronique vers une boîte aux lettres ou vers un serveur.
La plupart des administrateurs constituent leurs adresses Email sous la forme prénom.nom@domaine ; il est donc facile de ‘deviner’ vers quelles boîtes aux lettres envoyer du courrier.
Les liaisons de liste
Le principe est d’inscrire la cible sur des dizaines de listes de distribution. De ce fait, il est surchargé de courrier provenant de plusieurs sources.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 71
Y. I. KHAMLICHI
Attaques de déni de service – « Spamming »
Mail Spamming
Le mail spamming consiste à envoyer une quantité de messages adressés à xcvdfgetr@domain ; xcvdfgetr pouvant varier.
Le serveur va ainsi consommer des ressources pour répondre ‘xcvdfgetr’ est inconnu.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 72
Y. I. KHAMLICHI
Attaques destructrices – « Virus »
Les Virus
AXIOMES :
Personne n’est à l’abri des virus.
Tous les points d’entrée doivent être équipés d’un anti-virus.
Aucun anti-virus n’est totalement efficace.
Les logiciels anti-virus doivent être mis à jour en permanence. Il faut idéalement disposer d’un anti-virus qui peut fonctionner par comportement en plus des recherches de signatures.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 73
Y. I. KHAMLICHI
Attaques destructrices – « Virus »
Virus (suite)
La mise à jour de l’anti-virus peut se faire de manière automatique. Soit par connexion distante, soit via Web.
Les points d’entrée classiques des virus sont : • Les lecteurs de disquette. • Les lecteurs de cd, de dvd • Les courriers électroniques et les messages attachés. • Les sites Internet.
Les virus constituent actuellement la préoccupation majeure des entreprises.
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 74
Y. I. KHAMLICHI
Attaques destructrices – « Virus »
Le coût de protection contre les virus est important. Il est cependant très inférieur aux coûts résultants des dégâts que le virus peut entraîner.
Rappelez-vous le virus « I Love You ».
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 75
Y. I. KHAMLICHI
Attaques destructrices – « Chevaux de Troie »
Un cheval de Troie est un programme ou un code non autorisé placé dans un programme « sain ».
Ceci rend le cheval de Troie difficile à détecter. De plus, les fonctions ‘non attendues’ des chevaux de Troie peuvent ne s’exécuter qu’après une longue phase de ‘sommeil’.
Les chevaux de Troie peuvent effectuer toute action. Ils peuvent donc être des attaques informatives, des attaques de déni de service ou des attaques destructrices.
Ils sont particulièrement dévastateurs car ils s’exécutent souvent de l’intérieur du réseau.
Pour se protéger des chevaux de Troie : checksum, MD5
Réseaux & Protocoles
ENSA-Khouribga
S é c u r i t é d e s r é s e a u x Slide 76
Y. I. KHAMLICHI
Attaques destructrices – « Password Attacks »
Les attaques de mots de passe visent à obtenir une information permettant l’accès à un système (Login + Password)
Le password est toujours le point le plus faible d’une infrastructure de sécurité. Différents outils existent selon les environnements.
L’obtention d’un mot de passe induit des failles de sécurité directement proportionnelles aux privilèges de l’utilisateur ainsi visé.
L’obtention d’un mot de passe administrateur permet de TOUT faire sur le réseau.