Cyrille Duret DESS IIR option RéseauxNathalie Gaillard

Année 2002

Sommaire

Introduction

Classification des attaques

Les attaques InternetLes attaques par protocole

IP SpoofingLe déni de serviceTCP-SYN/FloodingLe sniffingAttaque par le protocole RIPAttaque par requêtes ARPAttaques ICMPAttaques par fragmentationAttaques par tromperie UDPAttaques par inondation de messagesAttaque par débordement de tampon

Les parasitesLes virusLes versTrojans(chevaux de Troie)

Les moyens de s’en protégerL’audit de sécuritéLes systèmes de détection d’intrusionLa cryptographieLes protocoles d’authentificationLe protocole IPSecLes Réseaux virtuelsLe firewallLe proxy ant-virusLes logiciels de tests de vulnérabilité et de détection d’erreurs de configurationLes anti-virus

Conclusion

Bibliographie

2

Introduction

Internet possède de nombreuses vulnérabilités, qui viennent le plus souvent d‘une mauvaise maîtrise des configurations ainsi que d‘une exploitation frauduleuse :

- des vulnérabilités des systèmes, des protocoles de communication, des applications, du mode de fonctionnement du réseau,

- de certains outils d‘audit et d‘analyse de fluxLe réseau Internet offre une trop grande permissivité, ceci est lié au protocole IP, qui ne donne aucune garantie de réalisation correcte de service. Le protocole IP permet seulement l‘acheminement des paquets de proche en proche, par analyse des adresses contenues dans le paquet et par l‘exécution d‘une fonction de routage. Pour garantir la réalisation correcte de service, on associe le plus souvent au protocole IP, le protocole TCP, qui permet d‘assurer un transfert fiable.La sécurité dans un environnement Internet consiste à protéger :

- les applications- les services d‘information(Web)- les accès aux ressources informatiques

Dans ce rapport, nous présenterons :- dans une première partie, une classification des différentes attaques,- ensuite les attaques Internet, basées sur les protocoles ainsi que l’utilisation des

parasites- et enfin les moyens de s’en protéger en utilisant les protocoles et des outils

logiciels.

3

Classification des attaques- Attaques passives : elles ne modifient pas le comportement du système, et peuvent

ainsi passer inaperçues.- Attaques sur la confidentialité :

Objectifs : obtention d’informations sur un système, sur un utilisateur ou un projet.Méthodes possibles :

- Ecoute- Injection de code- Usurpation d’identité- Intrusion - Abus de droits

- Attaques actives : elles modifient le contenu des informations du système ou le comportement du système. Elles sont en général plus critique que les passives.

- Attaques sur l’intégrité : Objectifs : modification ou destruction de données ou de configurations.Méthodes possibles :

- Injection de code- Action physique- Intrusion

- Attaques sur l’authentification :Objectifs : utilisation des ressources de façon clandestine sur un système.Méthodes possibles :

- Abus de droits- Intrusion

- Attaques sur la disponibilité :Objectifs : perturbation d’un échange par le réseau, d’un service ou d’un accès à un service.Méthodes possibles :

- Abus de droits- Action physique- Intrusion

Méthodes   :

- Intrusion : exploitation des vulnérabilités du système pour exécuter des commandes non autorisées.Exemples d’attaques : exploitation des erreurs de configuration(Satan, Cops), exploitation des bugs : Network Scanning, Sendmail, INN …

- Abus de droits légitimes :Utilisation d’une fonctionnalité du système de façon abusive.Exemples d’attaques : diffusions de logiciels sur des comptes ftp anonymes, trop de requêtes pour saturer un serveur, sniffer des ports.

4

- Action physique : Destruction, altération ou changement physique d’un composant.Exemples d’attaques : destruction d’un câble, d ébranchement d’une prise électrique…

- Usurpation d’identité :Utilisation d’une fausse identité pour abuser un système ou un utilisateur.Exemples d’attaques : changer d’adresse IP pour tromper le système : IP spoofing…

- Injection de code :Installation et exécution d’un module clandestin sur un système.Exemples d’attaques : virus, bombes logiques, cheval de Troie, cookies, ver…

- Ecoute :Ecoute passive et clandestine sur le réseau dans le but de récupérer des informations.Exemples d’attaques : analyseurs de réseau, sondes …

5

Les attaques de l’InternetLes attaques par protocole

IP spoofing   :

mécanisme qui consiste à se faire passer pour une personne ayant une adresse IP attribuée.Les étapes de cette attaque :

- l‘attaquant choisit sa victime(un serveur)- il faut qu‘il trouve ensuite une configuration pour laquelle sa victime

autorise une connexion avec une machine de confiance, pour ensuite se faire passer pour la machine de confiance. Pour cela, la machine de confiance est rendue invalide, les numéros de séquence du serveur sont analysés.

- Une connexion simulée avec des paquets falsifiés de l‘attaquant est alors demandée au serveur avec des numéros de séquence devinés. Si la connexion est établie, l‘attaquant modifie alors des informations pour permettre de revenir plus facilement ultérieurement.

C‘est une attaque à l‘aveugle. En effet, comme l‘attaquant se subtilise l‘identité d‘une machine de confiance pour contourner la sécurité du serveur , les datagrammes renvoyés par le serveur sont à destination de la machine de confiance car les datagrammes IP fonctionnent sans connexion, donc l‘attaquant ne les voit jamais. Et comme la machine de confiance est invalide, elle ne répond pas, l‘attaquant doit être suffisamment documentés pour pouvoir répondre à sa place.

Configuration de confiance : une fois la cible choisie, il faut que celle-ci accepte tout utilisateur comme ayant certains droits, sinon, l‘attaque prend fin.

Invalidation de la machine de confiance : effectuée par le biais d‘un mécanisme appelé TCP SYN flooding(connexions en masse). Quand une connexion est demandée avec le bit SYN activé, le récepteur renvoie un SYN/ACK et attend le ACK de la part de l‘émetteur. Tant que l‘émetteur n‘a pas renvoyé son ACK, la connexion est à demi-ouverte. Il y a cependant une limite de requêtes SYN qui peuvent être effectuées sur une même socket, cette limite s‘appelle le backlog et représente la longueur de la file d‘attente des transmissions incomplètes. Si cette limite est atteinte, les futures connexions TCP sont tout simplement ignorées jusqu‘à ce que des connexions en attente soient établies. L‘implémentation du backlog dépend du système d‘exploitation mais est couramment de 5. L‘attaquant doit assurer que les paquets envoyés sont encore une fois falsifiés comme provenant d‘une machine inatteignable, car sinon celle-ci renverrait un ReSeT à chaque SYN/ACK.

Echantillonnage des numéros de séquence et de prédiction : Pour connaître le nombre contenu dans le numéro de séquence de la cible(le serveur), l‘attaquant va se connecter sur un port TCP de la machine cible et analyser les trames qui transitent. Ce processus est recommencé plusieurs fois on conserve le numéro de séquence de la cible de façon à établir des statistiques sur l‘incrémentation(dépendant du temps de

6

transfert). L’attaquant possède alors tout ce qu’il faut : le dernier numéro de séquence émis, les données de changement et le temps nécessaire. Avec ces paramètres, l’attaque peut être lancée. Plusieurs cas peuvent se produire :

- le numéro d’acquittement correspond parfaitement, et dans ce cas les données sont placées en attente dans le buffer TCP

- si le numéro d’acquittement est inférieur à celui attendu, le paquet est supprimé(considéré comme une ré-émission)

- si le numéro de port est supérieur à ce qui est attendu mais reste dans la limite acceptable par la fenêtre de transmission, dans ce cas il est maintenu en attente dans les paquets intermédiaires sinon il est supprimé.

Une méthode permet de ne pas attaquer à l’aveugle, c’est l’utilisation du source routing. En effet, avec l’utilisation des champs options du datagramme IP, il est possible de spécifier une route pour un paquet de donnée. Ainsi, il suffit que l’attaquant rajoute ce champ option avec un chemin de retour passant par lui de façon à ca qu’il puisse voir le contenu de tous les messages à destination de la machine usurpée. Dans ce cas, l’attaquant n’a plus besoin de faire de prédiction de numéro de séquence et il peut contrôler la validité de tous les messages envoyés et reçus.Généralement, l’attaquant laisse une porte ouverte(backdoor) derrière lui pour pouvoir revenir plus tard de façon plus simple. Une modification du fichier rhost est souvent effectuée pour permettre un accès ultérieur.

Solution au source routing : procédures d’authentification ; par ailleurs, réaliser les communications avec le protocole IPSec.

Solution à l’IP Spoofing : mettre un filtrage de paquets.

Le déni de service :

Les attaques par déni de service ont pour seul but d’empêcher le bon fonctionnement d’un système et non de récupérer des informations. Elles utilisent une faiblesse de l’architecture d’un réseau. Il est ainsi possible d’envoyer des paquets de taille anormalement importante. Le système victime reçoit des paquets IP qu’il ne peut gérer et fini par stopper tous les services(saturation mémoire).

Une technique de déni de service : le smurfCette attaque est organisée car elle utilise une liste de serveurs broadcast récupérée à l’avance par un scanner. Cette liste contient les serveurs broadcast qui permettent de router vers le plus grand nombre de machine, et qui sont les plus rapides. Par exemple, une machine A décide d’attaquer une machine B : la machine A envoie un ping à un serveur broadcast en falsifiant son adresse IP, l’adresse IP falsifiée est celle de la machine B, le serveur broadcast adressera le ping à son réseau et il y aura autant de réponses, qu’il y a de machines, renvoyées à la machine B.

TCP-SYN/Flooding

Etablissement d’une connexion TCP entre client/serveur :

7

Client Serveur

SYN

SYN-ACK

ACK

Les abus viennent lorsque le serveur a envoyé un acquittement au client, et qu’il n’a pas reçu l’acquittement du client, la connexion est alors à demi-ouverte. Le serveur construit dans sa mémoire système une structure de données décrivant toutes les connexions courantes. Cette structure de données est de taille finie, ce qui veut dire qu’il peut se créer un dépassement de capacité en créant intentionnellement trop de connexions partiellement ouvertes.

Normalement, il y a un système de time-out associé à chaque connexion ouverte, donc les demi-connexions devraient disparaître et le serveur victime récupérer de la place libre dans sa mémoire pour d’autres connexions, mais le système agresseur peut envoyer des paquets plus vite que le temps nécessaire au serveur pour faire expirer les demi-connexions.

La localisation de l’attaque est complexe car les adresses contenues dans les paquets SYN envoyés sont falsifiées, on ne peut donc pas déterminer la véritable source. Internet faisant suivre les paquets grâce à l’adresse de destination, le seul moyen de s’affranchir de ces attaques est de valider la source d’un paquet en utilisant un filtrage.

Le Sniffing

Correspond à l’écoute passive par surveillance des paquets IP qui transitent sur un réseau. L’un des but final est de récolter illégalement des mots de passe. Les logiciels, qui permettent d’analyser le trafic sont très utilisés à des fins de gestion de réseau ; ils sont disponibles généralement avec divers systèmes d’exploitation, ou en freeware sur le réseau. Ils s’exécutent sur n’importe quel PC en sniffant et en analysant les données en transit sur les lignes, pour en extraire les mots de passe transmis par l’utilisateur lors de sa demande de connexion. Cette écoute passive de données en transit peut conduire à des intrusions illicites.Une protection peut être apporter aux mécanismes de transfert de mots de passe, le chiffrement de ceux-ci. Les mots de passe chiffrés devront alors être « casser ». Deux possibilités :

- l’attaque en force  :essayer toutes les permutations possibles pouvant constituer une clé pour déchiffrer le mot de passe en connaissant l’algorithme utilisé.

- l’attaque par dictionnaire  : deviner le mot de passe chiffrés par comparaison avec des listes de mots de passe eux aussi chiffrés contenus dans des dictionnaires.

Les moyens de se protéger du sniffing   :

8

- tester les mots de passe des utilisateurs en utilisant les mêmes techniques que ceux qui font ce genre d’attaques.

- les sniffeurs sont difficilement détectables, c’est pourquoi il est préférable de segmenter le réseau par des ponts, routeurs ou commutateurs, pour restreindre l’action d’un sniffeur.

Attaque par le protocole RIP

Ce protocole peut être utilisé pour détourner des communications : l’imposteur se fait passer pour l’émetteur autorisé, envoie de fausses informations de routage aux passerelles et au destinataires, qui utiliseront l’adresse IP donnée par le paquet RIP de l’imposteur pour transmettre des données à destination de l’émetteur, qui est en fait le récepteur.

Solution : mécanisme d’authentification

Attaque par requêtes ARP

Une requête ARP peut être diffusé jusqu’à ce qu‘une machine se reconnaissant , et renvoie son adresse ethernet. Mais si une requête ARP est émise avec une adresse IP inexistante, on peut générer des tempêtes de diffusion (broadcast storm),ce qui provoque la saturation de la bande passante, et rend indisponible le réseau(effondrement du réseau, déni de service) .

Pour éviter ce type d’attaque, les systèmes sont configurés de façon à limiter la diffusion(broadcast) et avec des temporisations.

Attaque ICMP

Le protocole ICMP contrôle l’acheminement des paquets de données IP, et si un problème de transmission est détecté par un routeur, celui-ci informe l’émetteur du paquet en lui envoyant un paquet ICMP.Par exemple, des faux messages ICMP peuvent être générer pour surcharger le réseau, le rendre inutilisable, et entraîner certains dénis de service.Autres exemples :

- paralyser le réseau en rédigeant des paquets IP vers une fausse destination- augmenter la charge des systèmes en faisant traiter un grand nombre de

messages ICMP- empêcher un émetteur d’envoyer des données, en exploitant la facilité offerte

par ICMP pour contrôler le flux d’émission des paquets. Cela provoque des conséquences sur le trafic supporté par le réseau et atteinte aux performances du réseau.

Pour éviter ce genre d’attaque, on peut :- configurer les routeurs de sorte qu’ils ne générent plus qu’un certains nombre

de messages ICMP pendant une période de temps donnée.- s’appuyer sur la fonction de surveillance des systèmes de gestion de réseau

pour détecter un nombre abusif de message ICMP, et déclencher l’alarme lorsque le taux de charge est anormal.

9

Attaque par fragmentation

Le protocole Internet autorise la fragmentation de paquets de trop grande taille pour adapter la taille aux capacités de transfert du réseau. Seul le premier segment d’un paquet IP fragmenté contient le numéro de port TCP, les autres segments du paquet ne contenant pas de numéro de port TCP et ne peuvent pas être filtrés par le firewall, ainsi ils peuvent pénétrer un environnement à priori protégé.

Seule une bonne configuration du firewall peut permettre une meilleure sécurité, en interdisant par défaut tous les accès y compris ceux des fragmente et autorisant certains paquets selon des critères déterminés

Attaque par tromperie UDP

Le protocole UDP n’effectue pas de contrôle(contrôle de flux, contrôle d’erreur et contrôle d’identification) lors de transfert de données entre 2 correspondants. N’importe qui peut donc utiliser une adresse IP d’une machine autorisée à se connecter à un système, et le pénétrer. Ces vols de sessions UDP peuvent avoir lieu sans quel’ serveur s’en rende compte.

Parade : configurer les serveur pour les refuser et les firewalls pour les bloquer.

Attaque par inondation de messages

Submerger la boîte aux lettres d’un utilisateur par un grand nombre de mails entraîne des dénis de service.L’attaque est générée par l’inscription de l’utilisateur à son insu à des listes de diffusion.

Les firewalls et les serveurs de messagerie peuvent être configurés de manière à bloquer les messages selon certains critères.

10

Attaque par débordement de tampon(buffer overflow)

Cette attaque vise les systèmes informatiques en exploitant leurs caractéristiques internes de fonctionnement, notamment celles de leur système d’exploitation, et non celles liées aux protocoles qu’ils supportent.Par exemple, l’attaquant fait subir des dépassements de capacités de certaines zones tampon entraînant des dysfonctionnements graves pouvant entraîner l’arrêt des systèmes.Par exemple, le port 80 n’étant pas filtré par le pare-feu, un débordement de la mémoire tampon du serveur web via une longue requête HTTP est possible, et elle peut contenir un bout de code trafiqué qui sera exécuté par le serveur. Celui-ci écoutera le trafic et exécutera les commandes transmises par le hacker.

Parades : - le développeur du service réseau peut décider de se passer de C/C++ et

d’employer à la place des langages qui n‘ont pas ce genre de problème de débordement de tampon comme Java ou ADA

- cas de services déjà écrits en C ou C++, il est nécessaire de recourir à des outils statistiques de vérification automatique , ou à des compilateurs qui ajoutent à la volée, du code source pour vérifier chaque accès à des tampons. Par exemple, StarGuard détecte les attaques par débordement de pile en empêchant l’adresse retour d’être modifiée.

11

Les parasites

Les Virus

Historique

Le plus ancien ancêtre des virus informatiques n'a existé que théoriquement : en 1940, John von Neumann's étudie l'auto réplication des automates cellulaire. Si l'idée de programmes capables d'infecter des ordinateurs date de 1970, le premier cas d'infection répertorié date du mois d'octobre 1987, lorsqu'un petit programme nommé "Brain" («cerveau») apparut sur plusieurs dizaines de disquettes à l'Université du Delaware. Aujourd'hui, les virus infectent au moins un million d'ordinateurs par an, et les utilisateurs dépensent chaque année plusieurs centaines de millions de francs en réparations et en logiciels antiviraux.

DéfinitionUn virus est un programme informatique qui, a l'insu

de l'utilisateur, exerce une action nuisible a son environnement:la principale étant la modification ou la destruction des données.

Le virus est un ensemble d'instruction parasites qui s'introduisent et se cachent a l'intérieur d'autres programmes.Un virus se développe généralement en trois phases: - le virus s'implante dans un programme sain- le virus se propage de façon transparente dans les autres programmes sains- le virus déclenche son action

On distingue plusieurs catégories de virus définis selon le type d'hote sur lequel ils s'attachent:

- les virus sur les exécutables: le virus va s'introduire dans le fichier exécutable pour accéder a la mémoiredu système et s'exécuter.

Ces virus sont généralement écrit en assembleur afin d'être de taille minimale.Processus d’infection d’un exécutable :

12

A ce jour, un des plus redoutables virus de ce type est CIH (surnommé Tchernobyl) qui s'attaque à tous les exécutables, mais est également capable de détruire le secteur de démarrage d'un disque dur et d'infecter le BIOS (Basic Input/Basic Output) de la carte mère.

- les virus sur boot sector:le virus va écraser le secteur de boot d’une disquette ou d’un disque dur

- les fichiers scripts: Les virus sont des macros généralement associées aux fichiers de bureautique tels que Microsoft Office. La création de tels programmes sont très faciles a mettre en oeuvre (généralement un morceau de code Visual Basic) et sont indépendants du type de plate-forme sur laquelle elle s’exécute.

En tout, on a recensé plus de 1 500 virus de macros, responsables de la moitié de toutes les attaques virales.

Petite lexicographie sur les virus :

Virus crypté : le virus va crypter son contenu a chaque infection pour éviter de dévoiler les chaînes de caractères qui faciliteraient le travail des anti-virus.

Virus polymorphe : c’est un virus qui essaye de changer d’apparence a chaque nouvelle infection. Cette technique est apparue pour contrer la recherche de signatures par les anti-virus.

Virus macro : c’est un virus qui exploite le langage macro de certaines plates-formes logicielles.

Virus non résident : le virus va s’exécuter a chaque fois que l’utilisateur va lancer un exécutable infecté. Quand le virus a infecte suffisamment de fichiers, il s’arrête et rend la main au programme sur lequel il est implanté.

Virus résident : le virus va s’installer dans la mémoire du système et va fonctionner pendant toute la durée de marche de la machine infectée.

13

Virus de niveau ring 0 : Le virus s’exécute au niveau système d’exploitation avec le niveau de privilège maximum.

Virus de niveau ring 3 : Le virus s’exécute avec le niveau de privilège d’un programme normal.

Virus multi plates-formes : Le virus est capable de se propager dans différents systèmes d’exploitations

Les vers ( Worms )

Définition

Un vers est un parasite informatique qui est capable de se répliquer sur d’autres systèmes informatique habituellement en exploitant les connexions réseaux. Il existe deux types de vers : - les vers d’ordinateurs ( host computer Worms ) : Ces vers sont entièrement contenus sur les machines hotes sur lesquelles il s’exécutent et utilisent les connexions réseaux pour se dupliquer. Quand le vers original a fini de s’exécuter il lance le vers sur une machine distante ( il existe seulement une copie du vers qui s’exécute en même temps). - les vers de réseaux ( networked worms ) : Le vers de réseaux consiste en plusieurs parties ( appelés segments ) qui tournent sur différentes machines ( certains peuvent exécuter des actions différentes ). Le fait de propager un segment vers une autre machine ne représente que l’une de ces actions. Le vers de réseau possède un segment principal ( main segment ) qui coordonne les autres segments aussi appelés : "octopuses".

Un Worm n’est pas techniquement un virus car il se propage de façon indépendante (Contrairement aux virus, les vers ne s’attachent pas a un hote exécutable). Beaucoup de programmes malicieux sont classifies a tort comme virus. Par exemple ILOVEYOU n’était pas un virus mais un vers. Les vers sont extrêmement dangereux pour le réseau et sont plus difficiles a contrôler car ils ne requièrent pas ou peu l’action de l’utilisateur pour se propager. Un vers peut infecter plusieurs centaines de milliers de machines très rapidement. Dans ILOVEYOU par exemple, le vers était reçu par les utilisateurs dans un attachement d’e-mail consistant en un script VBScript. Si l’attachement était exécute, plusieurs processus étaient lances automatiquement, ils permettaient au vers de se dupliquer et d’envoyer un attachement d’e-mail a tous les utilisateurs du carnet d’adresse Outlook de l’utilisateur. Le vers détectait et remplaçait certains fichiers du système de façon a relancer la routine de propagation lors de l’exécution de l’un d’entre eux. Imaginons un réseau d’entreprise ou plusieurs utilisateurs reçoivent le vers active, il est facile d’imaginer l’altération importante des performances du réseau causée par le trafic important des e-mails et des données endommagées par celui-ci. Il pourrait facilement infecter d’autres réseaux par le biais des e-mails qui sont totalement indépendants des infrastructures physiques.

14

Les nouvelles technologies facilitent la propagation des vers

Quatre facteurs majeurs environnementaux facilitent grandement la propagation des vers : les infrastructures homogènes, la facilite de la programmation, connectivite accrue entre systèmes homogènes, pont de technologie entre les entreprise et le grand public.

Infrastructure Homogène. La plupart des applications de messagerie utilisent le standard SMTP email. Les grandes entreprises utilisent des clients mail standardises tels que Microsoft Outlook. Parmi les applications de traitement de texte, Microsoft Office est le standard dans les bureaux et les foyers. On ne s’étonne pas de constater que 99% des parasites (virus et vers) sont conçu pour des plates-formes microsoft. Les Macro-virus, qui font partie des principales attaques virales, utilisent la plate-forme Microsoft qui est commune entre la plupart des entreprises mondiales. Les plate-formes Outlook et SMTP sont souvent exploitées pour créer des vers. Depuis que les systèmes de mail homogènes ont facilite la des vers, ils ont rapidement amené les macro-virus a devenir la principale forme des codes malicieux.La standardisation des technologies a augmente la vulnérabilité des machines sur lesquelles les utilisateurs font face. Un ver qui exploite un OS populaire, l’application ou le client mail pourrait infecter la majorité des utilisateurs dans le monde. Les applications courantes sont souvent bien documentées et facilement accessibles aux créateurs de code malicieux. Les vulnérabilités potentielles sont souvent connues et facilement exploitables.

La facilite de la programmation. Les composants de Windows ont aide les auteurs de code malicieux a créer et propager des vers sans connaître des concepts complexes de programmation. Microsoft Windows est base sur une technologie appelée COM Common Object Model. La technologie COM permet a n’importe quelle application d’un ordinateur de bénéficier des fonctionnalités d’une autre application avec des simples directives de programmation : COM permet a un programmeur de développer une application qui pourrait offrir des fonctionnalités pour le reste du système. Par exemple un programmeur pourrait mettre au point une macro qui permettrait a un document financier d’utiliser Microsoft Outlook pour se mailer automatiquement, sans connaître les détails du logiciel Outlook ni des protocoles de mailing.

Connectivite accrue entre systèmes homogènes : Nos ordinateurs sont plus connectes que jamais auparavant. Aujourd’hui des centaines de millions de machines peuvent s’envoyer mutuellement des données instantanément. De plus, les systèmes de communications offrant des fonctionnalités COM facilitent l’écriture et la propagation des vers pour les programmeurs ; non seulement, les ordinateurs sont connectes, mais il est aussi incroyablement facile pour un programme malicieux d’exploiter cette connectivite. Quand les vers se propagent a travers les mails et autres infrastructures de communication, ils affectent plus d’utilisateurs, plus rapidement que les virus. Les principales applications mail (Outlook et Exchange) peuvent offrir aux codes malicieux la possibilité de se propager autour du monde en quelques secondes.

Pont de technologie entre les entreprise et le grand public : Les auteurs de vers mal intentionnés utilisent généralement la technologie disponible sur leurs systèmes dans le but de créer et de tester du code malicieux. Ainsi, les entreprises qui utilisent des logiciels grands public sont spécialement vulnérables aux attaques. Par exemple Microsoft Outlook et Outlook express sont souvent exploites pour créer des vers car ils partagent la même interface de programmation COM. Inversement, il n’y a pas eu beaucoup d’attaques avec Lotus Notes

15

email, qui est utilise exclusivement dans les entreprises (une autre raison est que lotus n’utilise pas d’interface COM qui simplifie la programmation). Lotus Notes est moins disponible aux auteurs de vers donc moins facile a viser.Les auteurs de code malicieux peuvent aussi tester l’efficacité de leurs vers avant de les propager. L’apparition de nouveaux vers montre la disponibilité croissante des nouvelles technologies du réseau au sein du grand public.

Mécanismes de transport des vers

Contrairement aux virus, les vers requièrent moins l’action des utilisateurs pour se propager. Par exemple, quand les utilisateurs reçoivent LoveLetter, tout ce qu’ils ont a faire est de double-cliquer sur l’attachement mail .vbs et il deviennent infectes et ils infectent d’autres machines. Il existes quatre moyens de propagation des vers :

Vers natifs. Bien qu’on ne les trouve pas dans la nature, les vers natifs (native Worm) ne requièrent pas l’action explicite de l’utilisateur. Un ver natif, conçu a partir du langage de script natif de la plate-forme de mail cible, est introduit dans le message mail et non dans l’attachement. Un vers natif n’existe seulement qu’au sein d’une plate-forme mail particulière. Un exemple potentiel d’un vers natif est écrit en LotusScript, le langage script de Lotus Notes. Un tel vers ne peut exister seulement que dans un environnement Lotus Notes : il est natif a Lotus Notes.

Vers parasites par email. Les vers parasites par email utilisent les fonctionnalités des systèmes de mail pour se propager mais ils ne sont pas 100% dépendants des systèmes de mail comme les vers natifs. Ce type de vers utilise le programme d’e-mail pour s’envoyer lui-même comme attachement d’un message mail. Ces parasites peuvent exister en dehors du système de messagerie. ILOVEYOU, Melissa et ExploreZip are exemple de tels programmes.

Vers de protocoles arbitraires. Ils utilisent un ou plusieurs protocoles réseaux autres que la messagerie tels que l’IRC, ftp ou simplement des sockets TCP/IP. Le vers d’Internet est considère comme un vers de protocole arbitraire car il utilise le protocole standard TCP/IP pour se propager.

Vers Pear-To-Pear. Ce vers utilise les réseaux pear-to-pear tels que IRC, Gnutella pour se propager.

Différencier les méthodes d’exécution

Pour défendre efficacement le réseau contre les attaques des parasites, il est primordial de pouvoir déterminer comment les vers sont exécutés. Il y a deux principaux mode de lancement des vers :Les vers automatiques ( Self-Launching Worms ) peuvent se propager vers un nouveau système et se lancer automatiquement. Le vers exploite certaines caractéristiques de l’hote pour s’exécuter automatiquement des qu’il arrive sur le nouveau système. Une partie du vers s’appelle le « back door Worm ». Cette partie est écrite pour permettre au vers d’obtenir les ressources nécessaires pour s’exécuter sans une intervention humaine.

Les vers utilisateurs ( User launch Worms ) ont besoin de l’intervention de l’homme pour s’exécuter sur un nouveau système. Par exemple, l’utilisateur doit exécuter explicitement l’attachement d’un e-mail.

16

Les vers hybrides utilisent les fonctionnalités des self-launching et des user-launch worms. ExploreZip est un exemple de vers hybride. Pour s’exécuter, l’utilisateur doit ouvrir l’attachement d’un mail infecte. Une fois qu’il s’exécute sur l’ordinateur, ExploreZip se répand sur d’autres ordinateur via les réseaux pear-to-pear (Les machines visées deviendront infectées au rebootage sans l’intervention explicite de l’utilisateur).

Vers CélèbresLes vers informatiques existent depuis environ 15 ans, depuis la création du vers Xerox, écrit a l’origine pour de petites taches de maintenance sur des réseaux. Le premier vers malicieux répandu sur les réseaux fut le vers Morrison en 1988. Internet n’était alors pas aussi utilise qu’aujourd’hui.

Les vers sur l’IRC étaient les premiers vers de type Self-launch worms. Un client irc populaire mIRC, utilise un langage script puissant qui était exploite par les premiers vers IRC. Les scripts étaient programmes pour s’envoyer eux-mêmes a des nouveaux utilisateurs quand ils se loguent sur les chat rooms de l’IRC. Une fois que le système était infecte, mIRC exécutait le vers et le propageait vers d’autres machines. Les utilisateurs qui répandaient le vers pouvaient envoyer des commandes vers les systèmes infectes et leurs envoyer des commandes a distance : ce fut les premiers vers contrôlables a distance (remote-controlled Worms)

Melissa, lance en février 1999 était a la fois un virus et un vers, ou un hybride. Melissa a cause des millions de dollars de dégâts aux entreprises. Quand l’utilisateur recevait et ouvrait un document infecte, la macro Melissa s’exécutait dans Word 97 et utilisait le carnet d’adresse Outlook pour envoyer une copie du document infecte aux 50 premières adresses.

ILOVEYOU était le premier virus et vers hybride. Une fois qu’il était exécuté, le vers s’envoyait lui-même par mail a toutes les adresses dur carnet Outlook. En plus le parasite repérait des scripts du système et les remplaçait par des copies de son propre code. Ainsi le vers pouvait être réactivé longtemps après la première infection.

Le vers PrettyPark était un exemple de vers contrôlable a distance (remote-controled worm). Il utilise une connexion Internet de la machine infectée et attend les commandes de l’assaillant via une application de type IRC. Ce genre de vers pourrait apporter des fichiers importants ou des mots de passe a l’assaillant. Ils peuvent être aussi programmés pour que l’assaillant puisse contrôler la machine infectée à distance. Ce nouveau type d’attaque pourrait être employé pour des extorsions ou des vols d’informations propriétaires.

Les vers futurs prendront pour cible de nouvelles plates-formes telles que Palm OS, Lotus Notes et les serveurs Web personnels. Depuis que le grand public se connecte de plus en plus a l’Internet via la popularisation des connexions haut débits, les vers vont se concentrer sur cette multitude de connexions souvent mal sécurisées.

Trojans (Chevaux de Troie)

DéfinitionUn trojan est un programme malicieux qui est présenté comme un programme inoffensif tel qu’un économiseur d’écran, un petit jeu ou même un programme pour trouver et éradiquer des virus. Par analogie avec le mythe du cheval de Troie, l’utilisateur croyant manipuler un

17

programme inoffensif va déclencher une action malveillante. Ils ne se réplique pas a la manière des virus et ne se propage pas non plus comme les vers. On le trouve généralement attaché à des mails ou présents sur des sites de téléchargement. Les actions effectuées par les trojans sont diverses : récupération de fichiers de mots de passe, infection d’une machine avec un virus ou utilisation comme un outils pour espionner des machines distantes.

18

Les moyens de s’en protéger

L’audit de sécurité

Permet d’enregistrer tout ou une partie des actions effectuées sur le système. Les systèmes d’exploitation disposent généralement de systèmes d’audit intégré, certaines applications aussi. Les informations collectées permettent de détecter d’éventuelles intrusions. Les informations collectées portent :

- sur les accès système,- sur l’usage fait du système,- sur l’usage fait des fichiers,- sur les violations de la sécurité,- statistiques sur le systèmes.

Les systèmes de détection d’intrusion (IDS, intrusion detection Systems)

Les systèmes de détection d’intrusion analysent les informations collectées lors de l’audit de sécurité. Ils peuvent se baser sur différentes approches :

- comportementale : on cherche à savoir si l’utilisateur à un comportement déviant par rapport à ses habitudes. Plusieurs méthodes misent en œuvre :

- méthode statistique : le profil de l’utilisateur est calculé à partir de variables aléatoires et échantillonnées à intervalles réguliers. Lors de l’analyse, on calcule le taux de déviation entre le comportement courant et le comportement passé ; si ce taux dépasse un certain seuil, le système déclare qu‘il est attaqué.

- méthode de prédiction de la prochaine commande de l’utilisateur avec une certaine probabilité.

- Utilisation des réseaux de neurones- Méthode d ‘immunologie : construction d ’un modèle de

comportement normal des services au travers de courtes séquences d’appels systèmes qui sont considérés comme représentatives de l’exécution normale des services considérés. La phase d’apprentissage consiste à observer un service pendant un certain temps afin de construire une base de séquences d’appels normale. En phase de détection, toute séquence étrangère à cet ensemble est considérée comme une potentielle exploitation d’une faille de sécurité du service.

- par scénario : on cherche dans les traces d’audit(fichier où les informations collectées sont regroupées) une signature d’attaque. Les attaques répertoriées et les actions indispensables de cette attaque forment la signature. Les actions effectuées sur le système sont comparées avec les signatures d’attaques, et si l’on trouve une signature d’attaque dans les actions d’un utilisateur, on peut

19

déduire qu’il a tenté d’attaquer le système par cette méthode. Les méthodes utilisées pour localiser les signatures d’attaques :

- les techniques de filtrage permettent par exemple d’analyser les paquets réseau les uns après les autres à la recherche des motifs exprimés au moyen d’expressions régulières.

- les algorithmes de comptage permettent de détecter des intrusions utilisant des techniques répétitives telles qu’une attaque par dictionnaire de mot de passe usuels.

Ces algorithmes simples permettent d’exprimer un grand nombre de signature d’attaques et il existe des implémentations très simples pour rechercher des expressions régulières, mais ils ne permettent pas de corréler les informations contenues dans plusieurs événements, et ne permettent pas non plus de détecter toutes les attaques.

Les systèmes de détection d’intrusions sont fait d’un seul bloc qui se charge de toute l’analyse, ce système utilise donc beaucoup de ressources de la machine surveillée, posent des problèmes de mises à jour, et constitue un point d’attaque unique pour s’introduire sur le système d’information. Une alternative à ce bloc monolithique est l’utilisation d’agents mobiles. Un agent mobile est un programme autonome qui peut se déplacer de machine en machine sur un réseau hétérogène dans le but de détecter et combattre les intrusions. Il doit être capable de s’adapter à l’environnement, de communiquer avec d’autres agents , de se déplacer et de se protéger. Pour faire un système de détection d’intrusions, il faut que plusieurs agents coopèrent. L’avantage de l’utilisation d’agents mobiles est la mobilités et aussi que le système peut continuer de fonctionner si un des agents mobiles s’arrête. Mais ils ne permettent pas de couvrir tout les nœuds du réseau en même temps.

La cryptographie

Permet d ‘assurer la confidentialité grâce aux systèmes de chiffrement, et l’authentification grâce à la signature numérique et au certificat.

Les systèmes de chiffrement sont assurés par des algorithmes de chiffrement utilisant une clé de chiffrement. Plus la clé de chiffrement est longue, plus elle nécessite de puissance et de temps de calcul pour la trouver. Il existe deux principes de chiffrement :

- le chiffrement symétrique ou à clé privée : la même clé permet de décrypter et de crypter les messages en l’appliquant à un algorithme. Cette clé est partagée entre les deux parties communicantes.Les principaux algorithmes symétriques sont DES, RC2,RC4,RC5 et IDEA(utilisé par le protocole de messagerie PGP).Ce système n’est pas adapté pour des grands réseaux comme internet.

- le chiffrement asymétrique ou à clé publique : il utilise deux clés différentes pour chaque utilisateur, l’une publique accessible par tout le monde et une privée qui ne doit être qu’à l’usage de son propriétaire. Le message est soit chiffré avec la clé publique du destinataire, et il sera déchiffré avec la clé privée du destinataire ou chiffré avec la clé privée de l’émetteur et déchiffré avec la clé publique de l’émetteur. On doit connaître la clé publique de ses partenaires si l’on veut leurs envoyer des données confidentielles.

20

Légende:- l'émetteur A a chiffré un message à l'aide de sa clé privée.- tout le monde a accès à la clé publique de A, grâce à l 'annuaire certifié. Donc tout le monde peut lire le message émis par A, après l'avoir déchiffré à l'aide de la clé publique de ARappel : - A est le seul capable d'émettre un message chiffré avec sa clé privée. Tous les récepteurs qui déchiffreront le message avec la clé publique de A savent que c 'est A qui est l 'émetteur et lui seul. L'authentification de A est donc acquise.

Légende: tout le monde a accès à la clé publique de B. Seul B peut lire le message chiffré par A, car il n 'y a que lui qui possède sa clé privée qui est l 'autre " moitié " de sa clé publique

21

Les principaux algorithme à clé publique sont : RSA, Diffie-Hellman, EL Gamal. Le temps d’exécution de ces algorithmes produise des overheads importants. De nouveaux algorithmes, basés sur les équations les calculs de circonférences des ellipses(cryptographie à courbe elliptique), devraient les remplacer.

En conclusion, les systèmes symétriques offrent les avantages de la vitesse de chiffrement pour assurer la confidentialité et les systèmes asymétriques eux, offrent l'assurance de la signature par l'authentification de l'émetteur et l'intégrité du texte émis.La combinaison de ces deux systèmes permet d’utiliser les avantages de la clé symétrique et ceux de la clé asymétrique.

La signature digitale sert à signer électroniquement un document en utilisant un algorithme de chiffrement à clé publique. Le déroulement d’un échange :

- chiffrer le message avec sa clé privée pour constituer sa signature que l’on ajoute au message à envoyer,

- chiffrer le message et sa signature avec la clé publique du destinataire puis émission du message

- à la réception, le destinataire déchiffre le message avec sa clé privée et la signature avec la clé publique de l’émetteur.

Cela permet l’authentification de l’émetteur et prouve l’origine du message.

Une empreinte digitale est une technique basée sur une fonction mathématique appelée fonction de hachage appliquer sur une portion du message, et le résultat de cette fonction est appelé code de hachage, il fait usage de signature numérique. Il est crypté avec la clé privé de l’émetteur et rajouté au message, puis le message est envoyé au destinataire, celui- ci décrypte le code de hachage grâce à la clé publique de l’émetteur, et le compare avec un autre code calculé grâce au message. Si les deux codes correspondent, le destinataire sait que le message n’a pas été altéré et que son intégrité n’a pas été compromise. Ce principe de signature a été améliorer par la mise en place des certificats permettant de garantir la validité de la clé fourni par l’émetteur.

L’enveloppe digitale(sysème mixte) combine l’usage du chiffrement symétrique et du chiffrement asymétrique. Pour chiffrer des messages de grandes tailles, on utilise une clé de session, valide pour les deux interlocuteurs durant la durée de l’échange. Déroulement d’un échange entre deux interlocuteurs :

- génération aléatoire, par l’un des deux partenaires de la communication, d’une clé de session à l’aide d’un algorithme asymétrique à clé publique.

- le message est chiffré grâce à cette clé et un algorithme à clé symétrique- la clé de session est chiffrée avec la clé publique du destinataire, c’est

l’enveloppe digitale du message- le message chiffré et l’enveloppe sont envoyés au destinataire- celui-ci déchiffre l’enveloppe avec sa clé privé pour connaître la clé de

session et ainsi décrypter le message- le destinataire peut aussi utiliser la clé de session pour émettre

des messages chiffrés vers son interlocuteur.

22

Le certificat est une structure de données qui est numériquement signée par une autorité de certification(CA). Il sert à assurer l’intégrité des clés publiques. Le CA utilise sa clé privée pour signer le certificat et assure ainsi une sécurité supplémentaire. Si le récepteur connaît la clé publique du CA, il peut vérifier que le certificat provient vraiment de l’autorité concernée et est assuré que le certificat contient donc des informations viables et une clé publique valide.

Exemples d’applications cryptées :- SSL(niveau transport) :protocole de sécurité fournissant l’authentification

client/serveur ainsi que la confidentialité des données(cryptage). L’application principale de ce protocole est HTTPS : service web sécurisé.

- S/MIME, PGP S/MIME(Secure Multipurpose Extension) et PGP(Pretty Good Privacy, niveau applicatif) : ces deux protocoles sont utilisés pour le cryptage et la signature électronique des mails.

- SSH (niveau transport): remplaçant du protocole Telnet out tout est crypté(mot de passe, session).

23

Les protocoles d’authentification

Consistent à apporter la preuve de l’identité de l’utilisateur. Ces protocoles ont chacun leur manière d’authentifier un utilisateur ou une machine ; ils utilisent différents algorithmes, différentes techniques, mais quasiment tous le même principe de fonctionnement à base de clés.Ex : le protocole AH d’IPSec.

Le protocole IPSec(IP Security Protocol)

Permet de sécuriser toutes les transmissions au niveau réseau reposant sur TCP/IP grâce à l’authentification et le chiffrement.IPSec fournit donc :

- confidentialité et protection des données contre l’analyse du trafic- authentification des données( et de leur origine)- intégrité des données(en mode connecté)- protection contre le rejeu(technique qui consiste à émettre une séquence dont

on a été le témoin(échange de mot de passe…) afin de produire une action non autorisée)

- contrôle d’accèsCes services sont fournis au niveau de la couche réseau et offre donc une protection à tous les protocoles de niveau supérieur. Optionnel dans IPv4, IPSec est obligatoire pour toute implémentation d’IPv6.IPSec fait appel à deux mécanismes de sécurité :

- les protocoles AH(Authentfification Header) - et ESP(Encapsuling Security Payload).

Les paramètres nécessaires à l’uitlisation de ces protocoles sont gérés à l’aide d’associations de sécurité(SA), une association regroupant les paramètres servant à protéger une partie du trafic. Les SA sont stockées dans une base de donnée des associations de sécurité(SAD) et gérées à l’aide du protocole IKE(Internet Key exchange). Les protections offertes par IPSec sont basées sur des choix définis dans la base de données de politique de sécurité(Security Policy Database, SPD). Cette liste de régles permet de décider, pour chaque paquet, s ‘il se verra apporter des services de sécurité, s’il sera autorisé à passer outre ou sera rejeté. IPSec peut être utilisé au niveau des équipements terminaux, de passerelles de sécurité, pour la sécurisation des accès distants ou la création de réseaux virtuels privés.

Le protocole AH est conçu pour assurer:- l’intégrité en mode non connecté et l’authentification des datagrammes IP

sans chiffrement des données(pas de confidentialité),- une protection contre le rejeu grâce à un numéro de séquence.

Son principe est d’adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception de vérifier l’authenticité des données incluses dans le datagramme. Les transformations AH peuvent se faire en mode transport ou en mode tunnel.

24

Le mode transport prend un flux de niveau transport et réalise les mécanismes de chiffrement et de signature puis transmet les données à la couche IP. Dans ce mode, l’insertion de IPSec est transparente entre TCP et IP. L’inconvénient de ce mode est qu’il est sans masquage d’adresse, l’en-tête extérieure est produite par la couche IP.Le mode transport se situe entre deux hôtes.En mode transport, l’en-tête sera :

Avant utilisation de AH En-tête IP Données(protocole de niveau supérieur)

Après utilisation de AH En-tête IP AH Données(protocole de niveau supérieur)

Authentifié(excepté pour les champs variables du nouvel en-tête)

L’encapsulation IPSec permet le masquage d’adresse.Le mode tunnel se situe entre deux passerelles de sécurité(routeurs, firewall…).En mode tunnel :

Avant utilisation de AH En-tête IP Données(protocole de niveau supérieur)

Après utilisation de AH Nouvel en-tête IP AH en-tête IP d’origine Données(protocole de niveau supérieur)

Authentifié(excepté pour les champs variables du nouvel en-tête)

Le protocole ESP permet d’assurer un ou plusieurs services:- la confidentialité et la protection partielle contre l’analyse du trafic si l’on

utilise le mode tunnel- l’authentification,- l’intégrité des datagrammes IP en mode non connecté

en les chiffrant conformément à ce qui est défini dans les SA(Une Security Association définit quelles sont les transformations IPSec qui devront être appliquées aux datagrammes, et comment elles devront être faites.)Il assure aussi une protection contre le rejeu grâce au champ « Sequence Number » de l’en-tête ESP. ESP fonctionne suivant le principe de l’encapsulation : les données originales sont chiffrées puis encapsulées.

En mode transport,

Avant application de ESP En-tête IP Données (protocoles de niveau supérieur)

Après application de ESP En-tête IP En-tête ESP Données Trailer ESP Données (protocoles de niveau supérieur) d’authentification

Chiffré(confidentiel)

25

Authentifié

En mode tunnel,

Avant application de ESP En-tête IP DonnéesD’origine (protocoles de niveau supérieur)

Après application de ESP Nouvel En-tête ESP En-tête IP Données Trailer Données En-tête IP D’origine (protocoles de niveau supérieur) ESP d’authentification

Chiffré(confidentiel)

Authentifié

IPSec offre :- un modèle de sécurité fiable, - des possibilités d’instaurer plusieurs crans de sécurité, - et des services de sécurité totalement transparent.

Mais il a des inconvénients :- système complexe, car les mécanismes de sécurité sont trop nombreux- interdit la translation d’adresse- les outils d’administration centralisée des règles de sécurité font défaut- il est limité à l’instauration de VPN entre réseaux

26

Les Réseaux virtuels

IntroductionLe réseau virtuel ou VPN (Virtual Private Networks) représente un groupe d’ordinateurs qui sont sur des segments physiques différents mais qui communiquent comme s’ils étaient sur le même fil. Par exemple le personnel du marketing peut être disséminé dans un bâtiment mais fédéré sur un même réseau virtuel. Ainsi les employés peuvent partager des informations comme s’ils étaient connectés sur un même segment physique. De telles organisations logiques aident les administrateurs qui peuvent être limités par des restrictions de l’infrastructure existante et offrent une amélioration dans l’organisation et l’administration des réseaux.

PrincipesLe réseau virtuel utilise le principe du tunneling : cela consiste a créer un chemin virtuel après avoir identifie l’émetteur et le destinataire . Ensuite la source achemine les données en empruntant ce chemin virtuel.

SécuritéLe principal atout du réseau virtuel est d’offrir une connexion sécurisée suffisamment fiable pour y faire véhiculer des données confidentielles a travers l’internet. Ils couvrent ainsi les trois approches de base de la sécurité : la confidentialité, l’intégrité et l’authentification.La confidentialité. Elle protège le caractère privé des données qui sont amenées a être échangées dans un réseau virtuel. Toutes les solutions VPN offrent la fonctionnalité de cryptographie.Le principe de la cryptographie actuelle repose sur la présence de deux clés : une clé secrète et une clé publique. La clé secrète permet de crypter et de décrypter des données. Le principal problème est que l’on doit échanger cette clé sur le réseau. C’est la que la clé publique

27

intervient : elle utilise une relation mathématique avec la clé privée du destinataire. Par exemple un utilisateur peut crypter son message avec une clé publique. Le destinataire peut ensuite décrypter le message avec sa propre clé secrète.Les systèmes à clé publique permettent d’utiliser la cryptographie sur des réseaux non sécurisés. L’intégrité. Elle permet de nous assurer que les informations en train d’être transmises à travers un réseau public Internet ne sont pas altérées ou modifiées durant leurs transfert. Les VPN utilisent typiquement une de ces trois solutions pour assurer l’intégrité :

- fonctions de hachage : le plus connu est MD5- codes d’authentification des messages (MAC) : une clé associée aux fonctions de

hachage.- Signatures digitales : repose sur le principe de cryptographie à clé publique et

privée. Le propriétaire signe les données avec sa clé privée et le destinataire vérifie la signature avec la clé publique.

L’authentification. Elle assure l’identification des personnes qui se connectent au système. Pour identifier correctement les personnes et les ressources, les VPN utilisent une ou plusieurs formes d’authentification. Ces méthodes sont généralement basées sur une authentification par mots de passe ou certificats d’authentification. La protection par mots de passe est sans doute la méthode la plus utilisée dans l’informatique mais c’est aussi la méthode la moins efficace car les mots de passes peuvent être crackés ou volés. C’est pourquoi la plupart des VPN supportent les mots de passe dynamiques (ils ne sont utilisés qu’une seule fois).Le certificat d’authentification est un document électronique (basé sur la norme X.509 standard) qui garantit l’identité du propriétaire des données.

Le firewall

Essentiellement un dispositif de protection qui constitue un filtre entre un réseau local est un réseau non sûr tel que l’internet ou un autre réseau local.Ses objectifs :

- filtrer les communications qui lui parviennent,- et les autoriser si elles remplissent certains conditions, et sinon les rejeter.

Son positionnement dans le réseau, son mode opératoire, ses services, sa gestion reflètent les choix d’architecture et de sécurité réseau.Ses fonctions sont :

- de filtre - de relais- de masque

Ses mécanismes sont :- d’authentification- d’identification- de chiffrement- de gestion- de surveillance- d’alarme- d’audit actif- de statistique

Différents types de firewalls :

28

- les firewalls routeur : analyse chaque paquet selon un ensemble de règles déterminées qui constituent le filtre, et les informations contenues dans le paquet.

- les firewalls circuit : lorsque deux systèmes d’extrémités veulent communiquer, deux connexions sont établies avec le firewall, une entre le système interne et le firewall, et l’autre entre le système externe et le firewall.

- les firewalls Proxy ou applicatif : son objectif est de réaliser un masquage d’adresse par relais applicatif, et rendre transparent le relais interne, il est le point de passage de toutes les applications qui nécessitent Internet. Chaque poste de travail possède une application relais qui permet à chaque demande de connexion internet, de demander au proxy d’établir la connexion avec le serveur externe, celui-ci le fait avec sa propre adresse. Exemple :

Les machines A doivent se connecter au réseau par l’intermédiaire du serveur Proxy. Ce dernier sert de relais entre le réseau et les machines à cacher. Pour les applications du réseau B, l'adresse IP du client sera celle du serveur Proxy. Par exemple, lors d’une connexion à un serveur HTTP, le browser se connecte au serveur proxy et demande l’affichage d’une URL. C’est le serveur proxy qui gère la requête et qui renvoie le résultat au browser. Ainsi, en utilisant un numéro de port différent, le proxy oblige toutes les requêtes à passer par lui en supprimant les trames dont le numéro de port ne lui correspond pas. Ce procédé permet de protéger les machines. Le serveur proxy peut filtrer les requêtes, en fonctions de certaines règles.

29

Le proxy antivirus

Le proxy anti-virus a pour but de détecter les vers/virus principalement attachés aux mails.

r1 Un internaute souhaite émettre un courrier électronique vers un correspondant interne. Via son serveur SMTP, le message arrive sur le serveur relais Anti-virus SMTP (vu comme le serveur de messagerie public)

r2 Le serveur anti-virus purge le messages de ses éventuel virus attachés

r3 Le message est envoyé au serveur de messagerie interne (invisible de l’Internet) pour être ensuite remis au destinataire.

Pour le courrier sortant (en option)

e1 Un client du réseau interne souhaite émettre / recevoir un courrier électronique vers un correspondant sur l’Internet.

e2 Il dirige sa requête vers le serveur SMTP interne qui relaie le courrier sortant vers le proxy SMTP.e3 Le proxy SMTP purge les virus éventuels et adresse ensuite le message au serveur SMTP du destinataire sur Internet.

30

Les logiciels de tests de vulnérabilité et de détection d’erreurs de configuration

Ils permettent de façon automatique de rechercher les erreurs de configuration ou lesvulnérabilités du système(Satan, Colt).

Les anti-virus

Lutter contre les virus

Afin de détecter et d’éradiquer les virus existants sur les machines des logiciels anti-virus ont été mis au point : ils sont apparus peu après les virus.On distingue plusieurs type d’antivirus : - Des programmes qui surveillent si le comportement d'un ordinateur est modifié par la présence d'un virus (par exemple, on mémorise la taille, le checksum de tous les fichiers) et cherchent périodiquement des modifications suspectes des programmes.- Des programmes qui analysent la mémoire et les fichiers exécutables à la recherche d’un signe caractéristique des virus les signatures.

La lutte contre les virus ont suscité de nombreuses recherches si bien que quelques sociétés telle que MacAfee et IBM ont mis au point des systèmes immunitaires permettant d’éliminer des virus de manière automatique. On s’aperçoit aisément que les chercheurs se sont inspirés des processus cellulaires biologiques : De même que le système immunitaire des vertébrés crée des cellules qui reconnaissent et combattent de nouveaux agents pathogènes après quelques jours d'exposition, un système immunitaire informatique peut donner, en quelques minutes, des directives pour reconnaître et éradiquer des virus nouveaux.On peut définir ainsi un système immunitaire informatique :

31

Ce système immunitaire informatique empêchera la prolifération des virus. Un ordinateur infecté envoie une copie du programme suspect à une machine d'administration (1) qui, à son tour, envoie ce programme, sous forme codée, à une machine centrale d'analyse de virus (2). Cette machine cultive le virus dans une «boîte de Pétri» informatique, où il analyse son fonctionnement et sa structure (3). Les recommandations qui en résultent sont renvoyées vers la machine d'administration (4), qui les renvoie tout d'abord vers l'ordinateur infecté (5), puis vers les autres machines du réseau local (6). Les autres abonnés du monde entier reçoivent périodiquement des remises à jour d'antiviraux qui les protègent des nouveaux virus (7).

Lutter contre les vers

Bien que les vers font des dégâts considérables pour les réseaux d’entreprises, une protection efficace et intelligente contre les codes malicieux peut réduire de façon importante les effets de ces parasites sur les réseaux. Une réactivité importante contre les attaques des vers permet de minimiser les dommages et aussi les pertes de temps. Le premier outil indispensable est bien sûr le logiciel anti-virus : il peut détecter un comportement inhabituel du système d’exploitation. On peut associer l’anti-virus avec un logiciel de sécurité des réseaux tel qu’un système de détection d’intrusion : cet outil contrôle et détecte les activités suspectent sur un réseau. La lutte contre les vers passe aussi par l’information des utilisateurs du réseau des modes de transmission et d’infection des vers. On peut donner quelques conseils qui permettent d’éviter un grand nombre d’infections :

- Enlever la possibilité d’exécuter des scripts Visual Basic pour Windows.- Ne surtout pas ouvrir des fichiers .vbs dont la provenance est inconnue.- Rester informé sur les sites Web spécialisés.- Scanner les systèmes régulièrement.- Mettre a jour régulièrement les définitions de signatures des anti-virus.

En associant ces directives, on peut arriver à détecter ou éradiquer ces parasites sans trop de dommages sur les systèmes.

32

ConclusionLes techniques de protection contre les attaques Internet permettent de réaliser les bases de la sécurité :confidentialité, intégrité, authentification, disponibilité.Mais malgré toutes ces techniques utilisées pour empêcher les attaques Internet, un système n’est jamais totalement sûr. La cryptographie a ses faiblesses : une clé de chiffrement pour chiffrer des données peut être cassée.Il est aussi important de maintenir ses anti-virus à jour pour pouvoir détecter les nouveaux, ainsi que les systèmes de détection d’intrusion pour qu’il tiennent compte des nouveaux types d’attaque. .Il faut aussi vérifier que le système est bien configuré avec des logiciels de détection d’erreurs de configuration tel que Satan avant que des personnes malveillantes ne le fassent.

33

Bibliographie

- http://www.guill.net

- Programmez ! n°37-« Halte aux intrus ! »-novembre 2001

- Sécurité Internet – Stratégie et technologies Solange Ghernaouti-Hélie Dunod

- http://www.cert.org

- http:// www.lea-linux.org/reseau/

- http:// www.cru.fr/securite/CRUGB/principe.html

- http://www.hsc.fr

- http://www.defense.gouv.fr/actualites/dossier/d68/contenu.htm

- Antivirus portal Un très bon site d'information sur les virus.http://www.virusalerts.net/

- Antivirus software for Linux Une liste d'antivirus qui fonctionnent sous Linux ainsi qu'une mini-FAQ en anglais.http://www.ce.is.fh-furtwangen.de/~link/security/av-linux.php3

- Computer Virus FAQ La FAQ de alt.comp.virus.http://www.faqs.org/faqs/computer-virus/

- Vx HeavenTout savoir sur les virushttp://vx.netlux.org

- CODERZ.NETInformation sur les virushttp://www.coderz.net

- The Future of Internet Worms Quel avenir pour les vers ?http://www.crimelabs.net/docs/worm.html

- The UNIX-VIRUS Mailing List Une mailing-liste et des ressources sur les virus sous Unix.http://virus.beergrave.net/

34

- Unix ELF Parasites and Virus Des textes sur l'infection d'exécutables au format ELF, sur l'attaque des librairires partagées et du kernel Linux.http://www.big.net.au/~silvio/

- Halte aux Hackers / Linux edt OEM Eyrolles auteur Hatch, Lee & Kurtznovembre 2001isbn: 2746402874

35