COURS SECURITE INFORMATIQUE

Présenté par Mr Néjib AZAIEZ

3ème LFIG

11 / 12

Faculté des Sciences Economiques et de Gestion de Tunis

Concepts de base de la sécurité informatique

� La sécurité informatique c’est l’ensemble des moyens mis en œuvre pour réduire la vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles.

� Il convient d'identifier les exigences fondamentales en sécurité informatique.

� Elles caractérisent ce à quoi s'attendent les utilisateurs de systèmes informatiques en regard de la sécurité :

Intégrité, Confidentialité, disponibilité

disponibilité : demande que l'information sur le système soit disponible aux personnes autorisées.

Confidentialité : demande que l'information sur le système ne puisse être lue que par les personnes autorisées.

Intégrité : demande que l'information sur le système ne puisse être modifiée que par les personnes autorisées.

Non répudiation

� C’ est le fait de ne pouvoir nier ou rejeter qu’un événement (action, transaction) a eu lieu.

� la non-répudiation signifie la possibilité de vérifier que l'envoyeur et le destinataire sont bien les parties qui disent avoir respectivement envoyé ou reçu le message. Autrement dit.

Authentification

� C’est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une entité (personne, ordinateur).

� Elle permet d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications...).

� L'identification permet donc de connaîtrel'identité d'une entité alors que l'authentificationpermet de vérifier cette identité.

Objectifs des attaques

� Lorsqu’une personne arrive à un niveau d’intrusion dans un système informatique, tout le réseau est compromis.

� Que va-t-il faire? L’objectif final est de récupérer un contrôle total sur tout le système, sur la, ou les, machines cibles et de le garder le plus longtemps possible.

Menaces liées au réseau

� Virus :Un virus est un logiciel qui s’attache à tout type de document électronique, et dont le but est d’infecter ceux-ci et de se propager sur d’autres documents et d’autres ordinateurs. Un virus a besoin d’une intervention humaine pour se propager.

Différents types de virus

� Différents types de virus:– Virus boot– Virus dissimulé dans les exécutables

� Différentes contaminations possibles:– Échange de disquettes– Pièces jointes au courrier électronique– Exécutables récupérés sur Internet– etc…

Vers

�Proches des virus mais capables de se propager sur d'autres ordinateurs à travers le réseau.

�Un moyen courant de propagation: le carnet d'adresses d'outlook (ex: "I Love you").

Vers

Vers GSM■ Un ver GSM se reproduit en s’envoyant à un autre téléphone mobile par moyen Bluetooth ou MMS.

(( ))

)))

(( )) (( ))

� Programme bénin (jeux, documents…) cachant un autre programme.

� Lorsque le programme est exécuté, le programme caché s’exécute aussi et pourrait ouvrir une porte caché pour s’introduire au systeme.

Cheval de Troie

Méthode d’intrusion du cheval de Troie

Internet

12

suite

� Le pirate, après avoir accédé à votre système ou en utilisant votre crédulité, installe un logiciel qui va, à votre insu, lui transmettre par Internet les informations de vos disques durs.

� Un tel logiciel, aussi appelé troyen ou trojan, peut aussi être utilisé pour générer de nouvelles attaques sur d’autres serveurs en passant par le votre. Certains d’entre eux sont des « key logger » c’est-à-dire qu’ils enregistrent les frappes faites au clavier.

Spam

� Le spam est du courrier électronique non sollicité (indésirable) envoyé à un très grand nombre de personnes sans leur accord préalable.

Gratis Handy (HOAX) Nigeria 419 (Email/Fax&Fraude)

SPAM

15

Gratis Handy (HOAX)

SPAM

Gratis Handy (HOAX)

Spyware

� Le logiciel espion fait la collecte d’informations personnelles sur l’ordinateur d’un utilisateur sans son autorisation. Ces informations sont ensuite transmises à un ordinateur tiers.

Spyware (suite)

� Les récoltes d'informations peuvent ainsi être :

� la traçabilité des URL des sites visités, � le traquage des mots-clés saisis dans les

moteurs de recherche, � l'analyse des achats réalisés via internet, � voire les informations de paiement bancaire

(numéro de carte bleue / VISA) � ou bien des informations personnelles.

Diffusion des spywares

� Les logiciels espions sont souvent inclus dans des logiciels gratuits et s'installent généralement à l'insu de l'utilisateur.

� Les logiciels espions ne sont généralement actifs qu'après redémarrage de l'ordinateur.

� Certains, comme Gator, sont furtifs et ne se retrouvent donc pas dans la table des processus (accès : {Ctrl+alt+suppr} pour Windows,

Fonctionnement d’un spyware

� Un logiciel espion est composé de trois mécanismes distincts :

� Le mécanisme d'infection, qui installe le logiciel. Ce mécanisme est identique à celui utilisé par les virus, les vers ou les chevaux de Troie. Par exemple, le spyware Cydoor utilise le logiciel grand public Kazaa comme vecteur d'infection.

Suite

� Le mécanisme assurant la collecte d'information. Pour l'espiogiciel Cydoor, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa.

� Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du

programme ou une entreprise.

Phishing

� Le phishing (contraction des mots anglais « fishing », en français pêche, et « phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en « hameçonnage », est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes.

Phishing

http://www.ebay.com/aw-cgi/eBayISAPI.dll?VerifyRegistrationShow

http://www.ebay.com/aw-cgi/eBayISAPI.dll?VerifyRegistrationShow

http://60.80.29.1/ebay.com/aw-cgi/eBayISAPI.dll?VerifyRegistrationShow

http://60.80.29.1/ebay.com/aw-cgi/eBayISAPI.dll?VerifyRegistrationShow

Backdoors

�permet d'ouvrir d'un accèsréseau frauduleux sur unsystème informatique. Il estainsi possible d'exploiter àdistance la machine ;

Dénis de service : DOS

� Une attaque de type DoS est une activité consistant à empêcher quelqu'un d'utiliser un service.

1. Saturation d'un serveur

� Attaque faisant se crasher un système, en le faisant se suspendre ou en le surchargeant.

� Ce sont les serveurs qui sont le plus souvent l’objet de ces attaques et, plus rarement, le poste client.

DOS

2. Saturation d'un réseau

� Attaque submergeant un réseau d'un flot de trafic plus grand qu'il n'est capable de le traiter

� La bande passante est alors saturée et le réseau devient indisponible.

Intrusion

� Réalisation d’une menace et est donc une attaque.

� Les conséquences peuvent être catastrophiques : vol, fraude, incident diplomatique, chantage…

� Le principal moyen pour prévenir les intrusions est le coupe-feu ("firewall").

Intrusion : suite

� Efficace contre les fréquentes attaques de pirates amateurs, mais d’une efficacité toute relative contre des pirates expérimentés et bien informés.

� Une politique de gestion efficace des accès, des mots de passe et l’étude des fichiers « log » (traces) est complémentaire.

L’analyse des journaux

�Un des meilleurs moyens de détecter lesintrusions.

�Les serveurs stockent dans des fichiers unetrace de leur activité et en particulier deserreurs rencontrées.

�Lors d'une attaque informatique il est rare quele pirate parvienne à compromettre unsystème du premier coup. Il agit la plupart dutemps par tâtonnement, en essayantdifférentes requêtes.

L’analyse des journaux (2)

�Ainsi la surveillance des journaux permet dedétecter une activité suspecte.

� Il est important de surveiller les journauxd'activité des dispositifs de protection car toutaussi bien configuré qu'il soient, il se peutqu'ils soient un jour la cible d'une attaque.

suite

� Il arrive que des intrus y pénètrent. C’est même le propre des pirates que de contourner les serveurs d’authentification, coupe-feu et autres barrières de protection des systèmes.

� Une fois entrés, plus rien ne les empêche de saboter, de voler et d’endommager les applications.

� Interviennent alors les systèmes de détection d'intrusion. En auscultant en permanence le trafic, ils repèrent le hacker et alertent aussitôt l’administrateur.

Surveillance du trafic réseau

� Baptisés sondes ou encore sniffer,

� ce sont des outils de détection d’intrusion qui s’installent à un point stratégique du réseau.

� Ils analysent en permanence le trafic à la recherche d’une signature connue de piratage dans les trames.

suite

� Ces systèmes ne repèrent que les attaques qui figurent déjà dans leur base de signatures. Ces sondes doivent être :

- Puissantes (débits des réseaux élevés) pour analyser toutes les trames.

- Capables de conserver un historique (actes de malveillance divisés sur plusieurs trames).

- Fiable, c’est à dire tolérante aux pannes (retour à l’état initial après une interruption).

Analyse du comportement de l’utilisateur

� l’analyse du comportement scrute les fichiers d’événements et non plus le trafic.

� Technique coûteuse car trop de compétences sont nécessaires.

� Des agents sont placés sur le système ou l’application supervisés.

Suite

� Leur mission consiste à repérer tout abus (personne qui cherche à outrepasser ses droits et à atteindre des applications auxquelles elle n’a pas accès),

� ou comportement suspect (personne qui, par exemple, scanne toute une base de données alors qu’en temps normal, elle n’effectue que deux à trois requêtes par jour).

Suite

� De même, le transfert de certains courriers peut être bloqué lorsque ces documents

comportent certains mots (préalablement déterminés par l’administrateur) pouvant indiquer la fuite d’informations.

� Pour être efficaces, ces solutions doivent bénéficier d’une puissance suffisante afin d’analyser tous les événements en temps réel, mais aussi de mécanismes qui les protègent des attaques.

Honeypot

�Un « honeypot » est une machine connectéeau réseau et volontairement de sécurité faible.

• Objectifs:

– Distraire un attaquant pour protéger desmachines plus sensibles.

– Découvrir de nouvelles techniquesd’attaques, de nouveaux outils.

Un « honeypot » peut être une machine simplesans sécurité (par exemple sans mot de passeadministrateur).

Snooping (technique sécuritaire)

�Le snooping est une techniquesécuritaire, normalement utilisée parles polices, consistant à « écouter »tout ce que font les utilisateurs, pourrepérer rapidement les éventuels

pirates,terroristes…

Menaces liés aux applications

� Attaques par débordement de tampon (buffer overflow):

� Bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus.

� comportement de l'ordinateur devient imprévisible.

� blocage du programme, voire de tout le système.

Suite

� Le bug peut aussi être provoqué intentionnellement et être exploité pour violer la politique de sécurité d’un système.

� La stratégie du pirate est alors de détourner le programme bugué en lui faisant exécuter des instructions qu'il a introduites dans le processus.

suite� Le principe d’accès se fait par le biais de fonctions telles que

strcpy() (copie d'une chaîne de caractères).

� Cette fonction ne contrôle pas la taille de la chaine à traiter.

� Afin d’écraser la mémoire du processus jusqu’à l’adresse de retour de la fonction en cours d’exécution.

� Le pirate peut ainsi choisir quelles seront les prochaines instructions exécutées par le processus et faire exécuter un code malveillant qu'il aura introduit dans le programme.

Injection SQL

� Beaucoup d'applications web s'appuient sur des bases de données.

� Les requêtes SQL utilisent des informations saisies par les utilisateurs.

� Les informations doivent être traitées avant utilisation.

suite

� Une injection SQL est un type d'exploitation d'une faille de sécurité d'une application interagissant avec une base de données,

� en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

Suite

� Des paramètres sont passés à la base de données sous forme d'une requête SQL,

� il est possible à un pirate de modifier la requête afin d'accéder à l'ensemble de la base de données, voire à en modifier le contenu.

� En effet, certains caractères permettent d'enchaîner plusieurs requêtes SQL ou bien ignorer la suite de la requête.

Suite

� en insérant ce type de caractères dans la requête, un pirate peut potentiellement exécuter la requête de son choix.

� Soit la requête suivante, attendant comme paramètre un nom d'utilisateur :

SELECT * FROM utilisateurs WHERE nom="$nom";

Suite

� Il suffit à un pirate de saisir un nom tel que « moto" OR 1=1 OR nom =« mimi » pour que la requête devienne la suivante :

SELECT * FROM utilisateurs WHERE nom=« momo" OR 1=1 OR nom =« mimi »;

Ainsi, avec la requête ci-dessus, la clause WHERE est toujours réalisée, ce qui signifie qu'il retournera les enregistrements correspondant à tous les utilisateurs.

Bombes logiques

�Les "Bombes logiques" sont des charges actives de virus programmées pour "exploser" sur un critère de déclenchement particulier. Par exemple :

�Un moment précis (basé sur l’horloge du système infesté)

�un évènement particulier du système comme l'appel à une fonction etc. ...

Cookies

� Les cookies sont de petits fichiers, sur votre disquedur, qu'un site manipule grâce à votre navigateur.

� Plusieurs de ces cookies servent aux spywares.

� Les cookies ne sont pas et ne peuvent pas être,directement, des spywares, mais ils contiennentdes informations qui sont relevées par les spywares

� On parle de "cookies à spywares".

Cracker

� Le cracker est un pirate informatiquespécialisé dans le cassage de codes deprotection, des logiciels sous licence.

� Cracker un logiciel nécessite tout de mêmede bonnes connaissances en informatiqueet, en particulier, dans le langage de basedu processeur pour lequel à été écrit leprogramme à "déplomber".

Hacker

� le terme de hacker désigne toujours uninformaticien brillant, capable de pénétrerprofondément dans le cœur d'un systèmed'exploitation, d'un gestionnaire de réseau, d'uneapplication... pour chercher la petite bête, la faille,le truc pas encore vu, pas encore exploité etc.

Les hackers se divisent, selon une catégorisation popularisée par les médias, en :

Types de Hackers

� Black Hats (chapeaux noirs) : Hackers exploitant leurs trouvailles à des fins hostiles, parasitaires, maffieuses, terroristes... Ce sont les Pirates.

� Grey Hats (chapeaux gris) : Hackers exploitant leurs trouvailles à des fins de preuves et de démonstrations, ne compromettent rien, ne divulguent rien des données auxquelles ils auraient pu accéder.

� White Hats (chapeaux blancs) : Hackers travaillant à la sécurisation des systèmes, On trouve parmi eux des consultants en sécurité informatique, des policiers spécialisés contre le cyber-terrorisme.

Hoax� C’est une rumeur, un bruit, un canular, une fausse alerte (à un

virus ou à un pseudo problème sur vos comptes en ce qui nousconcerne plus particulièrement), une désinformation, uneintox... souvent diffusé par e-mail.

� La plupart des messages de ce type provoquent une émotion(peine, compassion, révolte, pitié etc. ...).

� Beaucoup de Hoax conduisent à l'installation d'un virus(installez immédiatement ce correctif...) ou à vous faire avoir lecomportement d'un virus (détruisez immédiatement ce fichierhyper dangereux...)

Sécurité des systèmes informatiques

� Un antivirus est un logiciel capable de rechercher, d’identifier et de supprimer les virus et autres codes malicieux qu’il connaît.

� Il recherche des caractéristiques de virus connus dans les fichiers et peut réussir à découvrir de nouveaux virus.

� Points importants :� Installez un antivirus� Mettez le à jour régulièrement� Recherche de virus complète une fois par semaine� Faites des back-up réguliers.

Les anti-spywares

�Pas de protection universelle puisqu'en perpétuelles évolutions.

�Quelques règles à respecter néanmoins:– Sensibiliser les utilisateurs sur les risques liés à

l'installation de logiciels non directement utiles (barres dans les navigateurs, codec DivX, …)– Ne pas consulter des sites douteux.– Inciter les utilisateurs à signaler l'infection de leur

machine par un spyware.�– Utiliser des outils de protections spécifiques (Ad-Aware,

Aluria, PestPatrol, SpyBot, Webroot, …) capables de bloquer l'installation de certains logiciels suspects.

Firewall

�Chaque ordinateur connecté à internet (et d'une manièreplus générale à n'importe quel réseau informatique) estsusceptible d'être victime d'une attaque d'un pirateinformatique.

�Cette menace est d'autant plus grande que la machine estconnectée en permanence à internet pour plusieursraisons :

� La machine cible est susceptible d'être connectée sanspour autant être surveillée;

� La machine cible est généralement connectée avec uneplus large bande passante;

� La machine cible ne change pas (ou peu) d'adresse IP.

Firewall

�Un pare-feu (appelé aussi coupe-feu, garde-barrière oufirewall en anglais), est un système permettant de protégerun ordinateur ou un réseau d'ordinateurs des intrusionsprovenant d'un réseau tiers (notamment internet).

�Le pare-feu est un système permettant de filtrer lespaquets de données échangés avec le réseau, il s'agit ainsid'une passerelle filtrante comportant au minimum lesinterfaces réseau suivante :

� Une interface pour le réseau à protéger (réseau interne);� Une interface pour le réseau externe.

Firewall

� Protéger son réseau du monde extérieur (Internet, autres services de l'entreprise).

� Maintenir des utilisateurs à l'intérieur du réseau (employé, enfant, …)

� Restreindre le nombre de machines à surveiller avec un maximum d'attention.

� Certaines machines doivent rester ouvertes (serveur www, dns, etc).

Suite Firewall

� C'est un outil souvent indispensable mais jamais suffisant:

– Pas de protection contre le monde intérieur

– Pas de protection contre les mots de passe faibles

� Nécessite une politique de sécurité:

– Tout autoriser et interdire progressivement

– Tout interdire et ouvrir sélectivement

Suite Firewall

� Contrôler les accès entrant et sortant:– par service– par adresse IP

� Un firewall n'empêche pas:– de bien protéger et administrer toutes ses machines.– de bien structurer son réseau.– d'éduquer et sensibiliser les utilisateurs.– la signature de charte de bonne utilisation.– la surveillance quotidienne.

Suite Firewall

� Différents types de firewall:

– filtres de paquets

– passerelles de circuits

– passerelles d'application

– Combinaison des 3 types précédents

Firewall: Filtrage de paquets

� Paquets peuvent être triés en fonction des adresses IP, des ports sources et destination, du contenu.

� la décision est prise d'après le contenu du paquet en cours.

Firewall

�C'est une machine dédiée au routage entre LAN et Internet.

�Le trafic est analysé au niveau des datagrammes IP (adresse, utilisateur, contenu...).

�Un datagramme non autorisé sera simplement détruit.

Firewall : logiciels

�Au niveau réseau local, un programmecorrectement écrit peut quand mêmeobserver le trafic et saisir noms et mots depasse qui circuleraient sur le réseau àdiffusion.

�Dans le domaine commercial, les logicielsfirewall les plus réputés sont VPN1 decheckpoint et e-trust de ComputerAssociates.

Firewall : Filtrage des sites

�Pour les écoles (protection des mineurs) oubloquer les publicités… On peut télécharger unfichier répertoriant plusieurs milliers deserveurs qu’on peut bloquer.

PROXY

Définition

�Un proxy, c'est un mandataire, unintermédiaire.

�Sur Internet, il existe différents types deproxy. Les plus courants sont les proxy HTTP.Ils supportent les protocoles HTTP et FTP.

�C’est une machine faisant fonctiond'intermédiaire entre les ordinateurs d'unréseau local (utilisant parfois des protocolesautres que le protocole TCP/IP) et internet.

Comment ça marche?

�En tapant une adresse comme :

http://www.yahoo.com/index.html, votreordinateur va se connecter sur le serveurwww.yahoo.fr et demander la page indexindex.html.

Requête http sans proxy

Comment ça marche?

�Avec un proxy, quand vous tapez :

http://www.yahoo.com/index.html,

votre ordinateur va se connecter au proxy etlui demande d’aller chercher la pagewww.yahoo.com.

Requête http avec proxy

A quoi ça sert?

�Un proxy peut avoir plusieurs utilisations :

1.Le proxy peut vous protéger : il peut vousautoriser à vous connecter à l'extérieur etinterdire les ordinateurs d'Internet de venir seconnecter sur le vôtre. Cette fonction deprotection du proxy est souvent incluse dansles firewalls.

A quoi ça sert?

2. Le proxy peut masquer les informationsconcernant votre ordinateur : En effet,quand vous surfez, on peut savoir de quel sitevous venez visiter, quel navigateur vousutilisez, quel est votre système d'exploitation,votre adresse IP... Certains proxy masquentces informations. Ces proxy sont dits proxyanonymes.

A quoi ça sert?

3. Le proxy peut mémoriser les pages les plusdemandées.

Ainsi si vous demandez plusieurs fois la pagehttp://www.yahoo.com/index.html,

le proxy vous la donnera immédiatementsans aller la chercher sur www.yahoo.com. Sivous êtes proche du proxy, cela peutaccélérer les choses. Il s'appelle alors proxy-cache.

Les dangers du proxy

�Confidentialité : Etant donné que vous demandez toutes vos pages au proxy, celui-ci peut savoir tous les sites que vous avez visité.

�Mots de passe : Certains sites Web nécessitent des mots de passe. Comme vous passez par le proxy, le proxy connaîtra vos mots de passe (sauf si vous utilisez HTTPS/SSL).

�Modifications : Le proxy vous fournit les pages, mais il est également possible qu'il les modifie à la volée avant de vous les donner (cela reste rare, mais possible !).

�Censure : Certains proxy peuvent être configurés pour censurer des sites.

Autre danger : le proxy transparent

�Quand vous indiquez volontairement quevous voulez utiliser un proxy, Certainsfournisseurs d'accès regardent quelsprotocoles vous utilisez et détournent sansvous le dire les requêtes HTTP vers leursserveurs proxy.

Certains fournisseurs détournent les requêtes HTTP sur leurs serveurs proxy sans vous le dire.

Pourquoi font-ils cela?�Cela permet d'effectuer des statistiques très

précises sur les habitudes de navigation desinternautes, et ce genre d'information se vend trèsbien aux sociétés de marketing.

�Cela permet d'économiser de la bande passantepour réduire la quantité de données reçuesd'Internet.

�Il est également arrivé chez un fournisseur (FSI)que le proxy-cache recompresse les images avecune qualité moindre pour gagner de la place.Résultat: tous les sites consultés deviennenthideux (images de très mauvaise qualité).

Le filtrage

�Grâce à l'utilisation d'un proxy, il est possible d'assurer un suivi des connexions (en anglais logging ou tracking) via la constitution de journaux d'activité (logs).

�en enregistrant systématiquement les requêtes des utilisateurs lors de leurs demandes de connexion à Internet.

Fonction d’enregistrement

�Le serveur garde une trace détaillée de toutes les informations qui le traversent,

�Génère un fichier journal (fichier de log),

�enregistre la trace des requêtes effectuées par tous les clients utilisant le proxy.

– L’identification du client,

– les dates et heures de connexion,

– Les URL des ressources consultés,

– les taille et temps de téléchargement, etc.

Autres fonctions

�Fonction d’anonymat : les requêtes relayés parun serveur peuvent ne pas contenir d’adressedu client, de manière à protéger leuranonymat.

�Fonction de traduction d’adresse (NAT) :permet à des réseaux privés de sortir versl’internet.

Avantages du proxy

�Il est capable d'interpréter le trafic et notammentde cacher les informations. On diminue ainsi letrafic et augmente la bande passante de la mêmeoccasion.

�On peut aussi autoriser ou non l'accès à certainespartie d'un site, à certaines fonctionnalités, etc.

�On a donc un bon contrôle de ce qui transite surle réseau, et on sait quels protocoles peuventcirculer.

Le reverse proxy

�On appelle reverse-proxy (en français relaisinverse) un serveur proxy-cache "monté àl'envers", c'est-à-dire un serveur proxypermettant non pas aux utilisateurs d'accéderau réseau internet, mais aux utilisateursd'internet d'accéder indirectement à certainsserveurs internes.

Le reverse proxy

�Un relais inverse n'est utile que s'il apportedes fonctionnalités :

– d'authentification par mots de passe ouforte par certificats,

– de chiffrement,

– de filtrage applicatif

�Pour protéger des scripts vulnérables, il fautque le relais inverse soit capable de filtrer lesdonnées envoyées par l'utilisateur dans URL.

Le reverse proxy

�Le reverse-proxy sert ainsi de relais pour lesutilisateurs d'internet souhaitant accéder à unsite web interne en lui transmettantindirectement les requêtes.

� Grâce au reverse-proxy, le serveur web estprotégé des attaques directes de l'extérieur, cequi renforce la sécurité du réseau interne.

Le reverse proxy

�D'autre part, la fonction de cache du reverse-proxy peut permettre de soulager la charge du serveur pour lequel il est prévu, c'est la raison pour laquelle un tel serveur est parfois appelé « accélérateur »(server accelerator).

Enfin, grâce à des algorithmes perfectionnés, le reverse-proxy peut servir à répartir la charge en redirigeant les requêtes vers différents serveurs équivalents.

Le mot de passe

�Les mots de passe permettent d’obtenir un accès àune zone sensible de votre système.

�Même si cet accès vous semble bénin, toute ported’entrée dans votre système laisse la place à plusgrand vandalisme et permet souvent la mise enplace de logiciels à des fins de piratages ou debonds.

Règles dans la création des mots de passe

�Les mots de passe à éviter : Éviter ce qui peut être deviné (et sera essayé par des programmes style crack) :

– Son propre mot de login ! Si la liste des utilisateurs est connue, attaque triviale...

– Suites de touches clavier

– Numéros de téléphones ou de plaques minéralogiques personnels

– Noms/prénoms de l’environnement personnel

– Mots de n’importe quelle langue à l’endroit ou à l’envers

– Personnages/mots de romans, jeux,...

– Des modifications simples des cas précédents : chiffre ou ponctuation avant ou après

Règles de constitution de mot de passe « solide »

�Le mot de passe doit utiliser une combinaison de caractères de tous types (notamment non alphanumérique).

�Il doit contenir 6 à 7 caractères différents au moins.

�Il doit être facile à retenir pour ne pas avoir besoin de l’écrire

�Il doit utiliser :– et/ou de ponctuation,– et/ou des chiffres– et/ou des lettres majuscules et minuscules

Exemple d’une méthode de création de mot de passe

�Il est possible d’utiliser une phrase clé et d’enextraire la première et la dernière lettre dechaque mot de la phrase.

Exemple

"Je suis en cours de sécurité"

Jsecds

Puis on rajoute des caractères spéciaux.

J&s#ecds

85

Scanners (balayage des ports)

� le balayage de port (port scanning en anglais) est une technique servant à rechercher les ports ouverts sur un serveur de réseau.

� Technique utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux.

Suite

� C’ est un utilitaire permettant de réaliser un audit de sécurité d'un réseau en effectuant un balayage des ports ouverts sur une machine donnée ou sur un réseau tout entier.

� Le balayage se fait grâce à de requêtes permettant de déterminer les services fonctionnant sur un hôte distant.

Fonctionnement d’un scanner

� les scanners de sécurité évolués sont parfois capables de déterminer le système d'exploitation de la machine distante ainsi que les versions des applications associées aux ports.

� Dans le cas échéant, ils peuvent conseiller les mises à jour nécessaires, on parle ainsi de caractérisation de version.

Utilité d'un scanner

� Les scanners de sécurité sont des outils très utiles pour les administrateurs système et réseau afin de surveiller la sécurité du parc informatique dont ils ont la charge.

� A contrario, cet outil est parfois utilisé par des pirates informatiques afin de déterminer les brèches d'un système.

Audit de sécurité

�Un audit de sécurité consiste à s'appuyer surun tiers de confiance (une société spécialiséeen sécurité informatique) afin de valider lesmoyens de protection mis en œuvre, au regardde la politique de sécurité.

�L'objectif de l'audit est de vérifier que chaquerègle de la politique de sécurité estcorrectement appliquée et que les dispositionsprises forment un tout cohérent.

Nessus : outil de test de sécurité

� Permet d’auditer des réseaux possédant divers systèmes d’exploitation : Windows, linux, Sun…

� Permet de faire des tests d’intrusion aussi bien interne qu’externe.

� Nessus balaye les ports d’un serveur et recherche puis identifie les failles de vulnérabilité présentes.

Suite

� Il analyse les protocoles utilisés sur chacun des ports du serveur afin d’identifier les services présents.

� Il est ainsi capable de détecter les services même si ces derniers n’utilisent pas les ports qui leurs sont attribués par défaut. Par exemple, il sera capable de détecter un service FTP disponible sur un port autre que le port 21.

Suite

� Il est également capable de détecter les services multiples d’un même serveur.

� si deux serveurs Web tournent sur des ports différents qui ne sont pas les ports attribués par défaut, Nessus les détectera tous les deux.

� A la fin du balayage des ports, Nessus présente la liste des failles de vulnérabilités et dans la majorité des cas, indique également la façon d’y remédier .

Systèmes de détection d'intrusion (IDS)

� (Intrusion Detection System) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d'avoir une action de prévention sur les risques d'intrusion.

� Il existe deux grandes familles distinctes d’IDS :

IDS (suite)

� Les N-IDS (Network Based Intrusion Detection System), ils assurent la sécurité au niveau du réseau.

� Les H-IDS (Host Based Intrusion Detection System), ils assurent la sécurité au niveau des hôtes.

Les systèmes biométriques

� La biométrie désigne l’étude de la morphologied’un organe humain, à l’aide d’outilsmathématiques et informatiques, afin deparvenir à identifier un individu.

� la biométrie est un mot qui « désigne au senslarge l’étude quantitative des êtres vivants ».

� Il existe trois catégories d’analysesbiométriques:

La biométrie

1. Les analyses biométriques de typemorphologiques : Empreintes digitales, traits duvisage, veines de la main, minuties de la main,…

2. Les analyses biométriques de typecomportementales : Analyse de la dynamique dela signature, la vitesse avec laquelle on écrit sur unclavier, les pressions exercées sur une touche, ousur une tablette graphique,…

3. Les analyses biométriques de type biologiques :Analyse sanguine, structure de l’Adn,…

La biométrie

�La biométrie permet donc d’identifier, de vérifier ceque l’on est.

�un processus de vérification d’identité grâce à labiométrie se compose en 2 parties :

1. La capture des données biométriques : on capture uneimage biométrique de l’organe, par un capteur quitransmet l’image vers un terminal disposant d’unlogiciel de traitement des données biométriquesrécoltées.

2.La vérification des données capturées : un logicielassocié au système biométrique compare l’imagerécoltée avec un gabarit biométrique de référence.

Pourquoi on utilise la biométrie?� La biométrie permet d’identifier un individu à travers

ses caractéristiques physiques.� Les caractéristiques physiques d’un individu sont

difficilement modifiables.� Difficile de modifier l’aspect des cryptes de l’iris, ou de

modifier la structure de son patrimoine génétique.� La biométrie permet de se passer de l'utilisation des

mots de passe habituels.� Avec les technologies de la biométrie, une empreinte

digitale peut par exemple faire office de mot de passe.� La biométrie sécurise les accès aux divers réseaux et

sessions informatiques.

Système de sécurité biométrique

� C’ est un système de sécurité basé sur la reconnaissance de caractéristiques physiques ou comportementales d'un individu.

� Ces caractéristiques sont universelles et uniques.

� Ils permettent de convertir une empreinte digitale en un mot de passe complexe crypté qui permet l’accès à un réseau informatique ou l’ouverture d’une session informatique.

Applications de la biométrie1. L’identification biométrique par l’analyse de

l’empreinte digitale2. L’identification biométrique par l’analyse de la

morphologie d’un visage en 3 dimensions3. L’identification biométrique par l’analyse de la

rétine4. L’identification biométrique par l’analyse de l’iris5. L’identification biométrique par l’analyse de la

voix6. L’identification biométrique par l’analyse de la

morphologie de la main en 3 dimensions

Techniques biométriques

�Analyse biométrique des minuties de la main :• Technique d’identification biométrique efficace.• L’individu à authentifier pose sa main dans un lecteur

de formes de la main biométrique.• Une caméra infrarouge prend une image de la main

en 3 dimensions.• Le lecteur biométrique analyse plus de 90

caractéristiques types des formes composant la maind’un individu : la longueur des doigts, la largeur desarticulations, les formes des dessins formés par leslignes sur la peau de la main.Un des avantages de cette technique dereconnaissance biométrique est qu’elle estrelativement bien acceptée par les populations.

Techniques biométriques

�Analyse biométrique de la rétine

• Chez un être humain, la rétine est située dans le fond de l’œil.

• L’analyse de la rétine se fait par une sorte de caméra lumineuse permettant d’éclairer le fond de l’œil (afin de pouvoir capturer une image de la rétine).

• Les dessins formés par les veines de la rétine sont capturés par image et analysés par un logiciel associé au lecteur de rétines. Ces réseaux de veines des rétines sont différents d’un œil à l’autre, et d’un individu l’autre.

• Considéré comme la technique la plus intrusive, celle qui pénètre le plus dans l’intimité de la personne à authentifier. Pourtant, la technique d’authentification par la rétine est sans doute l’une des techniques biométrique qui offre le plus haut niveau de sécurité et d’efficacité.

Techniques biométriques

�Analyse biométrique de l’iris : l’une plus efficaces.�Il y a quasiment aucune chance pour que deux

personnes possèdent les mêmes caractéristiquesau niveau de l’iris.

� Tout comme pour capturer une image de larétine, obtenir une image de l’iris n’est pasquelque chose de si simple. L’iris peut changerd’aspect selon l’éclairage par exemple. Capturerune image d’un iris n’est pas facile non plus parcequ’il faut utiliser une camera au bord de l’iris. Lelecteur d’iris se place donc à proximité de l’œil etpeut être ressentie comme une intrusion parl’utilisateur.

Techniques biométriques�Reconnaissance vidéo du visage :�La biométrie utilise certaines caractéristiques propres

à chaque individu tel que l’écart qu’il peut y avoirentre les yeux, la morphologie du visage, la taille et laforme des oreilles,…

�Cette technologie biométrique possède des failles.Notamment le fait qu’il lui est difficile de reconnaîtredes visages dans certains cas. Par exemple dans le casoù la caméra intelligente serait amener à devoiridentifier des jumeaux. La reconnaissance vidéo de lamorphologie du visage identifie difficilement despersonnes portant un maquillage prononcer, unchapeau, un masque,… intelligent.

�Cette technique biométrique s’associe bien avec unsystème de vidéosurveillance

Techniques biométriques�Analyse biométrique de la voix :�Un des avantages de la reconnaissance vocale estque la personne à identifier n’est pas en contactdirect avec un lecteur biométrique.

� La reconnaissance vocale n’est pas perçuecomme intrusive par l’utilisateur.

� Une fois capturée par un micro, la voix estconvertie en algorithmes mathématiques.

�La reconnaissance vocale n’est pas considéréecomme une des meilleures techniques dereconnaissance biométrique.

�Elles sont des techniques vulnérables.� Certains paramètres peuvent perturberl’utilisation de cette technologie biométrique(Parasites sonores ambiant, qualité dumicrophone enregistreur, bruits divers,…).

Techniques biométriques

�Analyse biométrique de la dynamique de l’écriture sur un clavier d’ordinateur :

�Analyser la manière dont une personne se sert de son clavier permet aussi d’identifier cette personne.

�Il s’agit d’analyse biométrique comportementale. �Les éléments distinctifs analysés pour différencier des

comportements d’écriture sur le clavier sont par exemple :Vitesse de la frappe au clavier.Temps de la frappe.Pression exercée sur les touches du clavier. …

�Cette technique de reconnaissance biométrique par l’analyse comportementale de l’écriture sur le clavier d’un ordinateur n’est pas perçue comme étant intrusive par la plupart des gens soumis à ce contrôle.

Identification biométrique par les empreintes digitales

�La biométrie utilise les empreintes digitales pouridentifier un individu.

�Ce sont les dessins des lignes de la main. Chaquepersonne possède des empreintes digitales différentes.Même 2 individus issus d’un même embryon(autrement dit des jumeaux) possèdent desempreintes digitales différentes.

�Ceci fait qu’il est donc possible d’identifier chaquepersonne de manière très fidèle, simplement enétudiant l’aspect de ces empreintes digitales.

Avantages et inconvénients des technologies de reconnaissance biométriques

�Sécurité biométrique des accès physiques par l’analyse des empreintes digitales :Avantages :

�Cout faible.

�Taille du lecteur biométrique d’empreinte digitale.

�Système biométrique facile à mettre en place.

�Inconvénients :�Est ressentie comme étant intrusif.

�Système assez vulnérables aux attaques (il est possible de créer un ‘faux doigt’ en utilisant l’empreinte digitale d’une autre personne dont le gabarit biométrique est stocké dans la base de donnée associé au lecteur d’empreintes digitale).

Avantages et inconvénients des technologies de reconnaissance biométriques

�Sécurité biométrique des accès physiques par l’analyse de la morphologie de la main : Avantages :

�N’est pas ressentie comme étant une technologie biométrique intrusive.

�Désavantages :

�Coût de cette technologie biométrique.

�Techniques de reconnaissance biométrique assez vulnérables aux attaques.

�Problème de taux de Faux acceptation et faux rejets.

Avantages et inconvénients des technologies de reconnaissance biométriques

�Sécurité biométrique des accès physiques par l’analyse de la morphologie du visage :Avantages :

�Technologie biométrique peu couteuse.

�Taille du lecteur de visage biométrique.

�Technologie assez acceptée par la population.

�S’associe très bien avec un système de télésurveillance vidéo

�Désavantages :

�Vulnérable aux attaques par exemple au cas où la caméra biométrique filmerait 2 jumeaux, elle ne pourrait pas les distinguer. Si la personne porte un déguisement, un masque,…

Avantages et inconvénients des technologies de reconnaissance biométriques

�Sécurité biométrique des accès physiques par l’analyse des veines de la rétineAvantages :-Technique d’identification biométrique très fiable

�Désavantages :

�Coût de cette technologie biométrique.

�Lecteur de rétine biométrique difficile à installer.

�L’analyse biométrique de la rétine est une technologie perçue comme intrusive.

Avantages et inconvénients des technologies de reconnaissance biométriques

�Sécurité biométrique des accès physiques par l’analyse de l’iris :Avantages :

�Actuellement la meilleure technique de reconnaissance biométrique (avec la reconnaissance rétinienne).

�Désavantages :

�Perçues comme intrusives par les usagers.

�L’effort demandé aux utilisateurs est grand (le lecteur d’iris utilise un faisceau lumineux de basse intensité qui éclaire l’iris).

Avantages et inconvénients des technologies de reconnaissance biométriques

�Sécurité biométrique des accès physiques et des accès logiques par l’identification vocale :Avantages :

�Technologie biométrique facile à mettre en œuvre.

�Permet de sécuriser une conversation téléphonique

�Désavantages :

�Technologie biométrique vulnérable aux attaques.

La biométrie

�La biométrie ne doit pas être considérée comme la technologie de sécurisation ultime.

�Il ne faut pas oublier par exemple, que d’un point de vue informatique, les mots de passe générés par le logiciel de chiffrement biométrique peuvent être attaqués.

�Un système de sécurité basé sur la biométrie seule ne suffit pas. Il faut sécuriser tout l’environnement informatique associé au système de sécurité biométrique

Wifi

� WIreless FIdelity est un ensemble de protocoles de communication sans fil régis par les normes du groupe IEEE 802.11 (ISO/CEI 8802-11). Un réseau Wi-Fi permet de relier sans fil plusieurs appareils informatiques (ordinateur, routeur, décodeur Internet, etc.) au sein d'un réseau informatique.

Wifi et sécurité

�Normes actuelles :

– 802.11b (WiFi) 2,4 Ghz, 11 Mb/s

– 802.11a (WiFi 5) 5 Ghz, 54 Mb/s

– 802.11g 2,4 Ghz, 54 Mb/s

Avantages des connexions sans fil

�Plus de câbles, …

�Facilité d’extension du réseau,

�Facilite la mobilité,

�Traverse les obstacles,

�Intéressant pour monter des réseaux temporaires.

Les risques

�Plus de limite physique au réseau,

�Equivalent à avoir une prise réseau sur le trottoir,

�Possibilité de capter le signal assez loin,

�Déni de services aisé.

Sécurisation des points d’accès

�Changer les mots de passe par défaut.

�Désactiver les services inutiles.

�Régler la puissance d'émission au minimum nécessaire.

�Mettre à jour le "firmware" au fur et à mesure des mises à jours.

�Sécuriser l'accès physique des points d'accès.

Le chiffrement WEP

�Historiquement le premier chiffrement utilisé parle WiFi.

�Chiffrement symétrique des trames 802.11utilisant l'algorithme RC4 avec des clés de 64 ou128 bits.

�Les 24 premiers bits servent pour l'initialisationdiminuant d'autant la taille de la clé.

�La clé doit être partagée par tous les équipements.

�Cet algorithme de chiffrement est très insuffisant.

Le chiffrement WPA

�Le chiffrement WPA repose sur des protocolesd'authentification et un algorithme de chiffrementrobuste: TKIP (Temporary Key Integrity Protocol)qui introduit un chiffrement par paquet et unchangement automatique des clés de chiffrement.

�WPA repose sur un serveur d'authentification(généralement un serveur RADIUS, RemoteAuthentification Dial-in User Service)permettant d'identifier les utilisateurs et de leurdéfinir des droits.

Sécuriser la connexion wifi

1. Définition du mot de passe réseau : pour la configuration du routeur, on doit rentrer l’adresse 192.168.1.1.

A ce stade, une fenêtre apparaît et vous demande de renseigner un nom d'utilisateur et un mot de passe. Par défaut, le nom et le mot de passe sont normalement « admin » et « admin ».

Suite

� vous accédez alors à la fenêtre de configuration de votre matériel.

� Rendez vous dans la fenêtre d'administration du réseau. A partir de là vous pouvez changer les identifiants réseau.

� Choisissez un identifiant et un mot de passe originaux

Suite

2. Masquer les informations SSID : dans la page de setup du réseau, repérez les champs concernant l'option d'envoi des informations SSID.

Par défaut cette option est activée. Cochez la case désactivant cet envoi. En effet, un broadcasting SSID donnerait aux tiers des informations sur la marque et le modèle du matériel que vous utilisez, facilitant éventuellement l'intrusion dans votre réseau.

Suite

3. Activer le cryptage WEP : c'est la clé WEP qui va sécuriser votre réseau, que ce soit au niveau des demandes d'informations émanant de tiers ou au niveau de l'encryptage des données diffusées.

C'est également dans la partie setup que vous trouverez les options de cryptage (l'organisation des menus peut changer d'un constructeur à l'autre).

Suite

4. Précision des adresses MAC des matériels composant le réseau : Les adresses MAC sont des numéros de série qui identifient physiquement les cartes wifi. Normalement, chaque carte a un numéro qui lui est propre et qu'on ne retrouvera associé à aucun autre périphérique dans le monde. Le principe est de préciser ces adresses dans la page d'accès au réseau sans fil du routeur, afin que celui-ci n'accepte de dialoguer qu'avec les cartes dont il connaît les adresses MAC (à l'inverse, on peut choisir d'autoriser toutes les adresses MAC sauf certaines que l'on aura spécifiées). Cela introduit une protection supplémentaire puisque le crackage de ces adresses nécessite des compétences extrêmement pointues.

CRYPTOGRAPHIE

Cryptographie

�le mot cryptographie est un termegénérique désignant l'ensemble destechniques permettant de chiffrer desmessages, c'est-à-dire permettant deles rendre inintelligibles sans uneaction spécifique. Le verbe crypter estparfois utilisé mais on lui préfèrera leverbe chiffrer.

Cryptographie

�La cryptologie est essentiellementbasée sur l'arithmétique : Il s'agit dansle cas d'un texte de transformer leslettres qui composent le message enune succession de chiffres (sous formede bits dans le cas de l'informatiquecar le fonctionnement des ordinateursest basé sur le binaire), puis ensuite defaire des calculs sur ces chiffres pour :

Cryptographie

�d'une part les modifier de telle façon à lesrendre incompréhensibles. Le résultat decette modification (le message chiffré) estappelé cryptogramme (enanglais ciphertext) par opposition aumessage initial, appelé message en clair (enanglais plaintext);

� faire en sorte que le destinataire saura lesdéchiffrer.

Les fonctions de la cryptographie

�La cryptographie est utilisée pour dissimulerdes messages aux yeux de certains utilisateurs.

� Cette utilisation a aujourd'hui un intérêtd'autant plus grand que les communicationsvia internet dont on ne peut garantir lafiabilité et la confidentialité.

�Désormais, la cryptographie sert nonseulement à préserver la confidentialité desdonnées mais aussi à garantir leur intégrité etleur authenticité.

Cryptographie

�Le fait de coder un message de telle façon àle rendre secret s'appelle chiffrement. Laméthode inverse, consistant à retrouver lemessage original, est appelée déchiffrement.

Cryptographie

�Le chiffrement se fait généralement àl'aide d'une clef de chiffrement, ledéchiffrement nécessite quant à luiune clef de déchiffrement. On distinguegénéralement deux types de clefs :

Les clés symétriques

�il s'agit de clés utilisées pour lechiffrement ainsi que pour ledéchiffrement. On parle alors dechiffrement symétrique ou dechiffrement à clé secrète.

Les clés asymétriques

�il s'agit de clés utilisées dans le cas duchiffrement asymétrique (aussi appeléchiffrement à clé publique). Dans cecas, une clé différente est utilisée pourle chiffrement et pour le déchiffrement

Principe de la cryptographie

But de la cryptographie

�fournir un certain nombre de services de sécurité :

�Confidentialité

�Intégrité

�Authentification de l'origine des données ou d'un tiers

�Non-répudiation

Moyens mis en œuvre

�Mécanismes de sécurité construits aumoyen d’outils cryptographiques (fonctionsalgorithmiques, générateurs aléatoires decodes, protocoles….)

�Chiffrement,

�Scellement et signature électronique,

�Protocole d’authentification mutuelle avecéchange de clefs.

Confidentialité et algorithme de chiffrement

�Différents types d’algorithme:

�Algorithmes symétriques ou à clefsecrète : Plus rapide donc préféréspour le chiffrement de données .

�Algorithmes asymétriques ou à clefpublique : échange de clefs secrète etsignature électronique.

Confidentialité

�La confidentialité est historiquement le premierproblème posé à la cryptographie. Il se résout parla notion de chiffrement, mentionnée plus haut.

�Il existe deux grandes familles d’algorithmecryptographiques à base de clefs : les algorithmesà clef secrète ou algorithmes symétriques, et lesalgorithmes à clef publique ou algorithmesasymétriques.

Principe du chiffrement symétrique

�Clef de chiffrement = clef de déchiffrement, elle doit restersecrète.

�La clef de chiffrement et de déchiffrement sont identiques: c’est la clef secrète qui doit être connue des personnescommunicantes et d’eux seulement, le procède est ditsymétrique.

�Algorithme DES

Chiffrement asymétrique�Clefs de chiffrement et de déchiffrement

distinctes

�Connaître la clef publique ne permet pas deretrouver la clef privée correspondante,

�Algorithmes trop lents pour une utilisationintensive (chiffrement de données),

�Algorithme RSA (Rivest Shamir Adleman), trèsutilisé dans le commerce électronique, et plusgénéralement pour échanger des donnéesconfidentielles sur Internet.

Chiffrement asymétrique

�Avec les algorithmes asymétriques, les clefs dechiffrement et de déchiffrement sontdistinctes et ne peuvent se déduire l’une del’autre,

�C’est pourquoi on parle de chiffrement à clefpublique. Si la clef publique sert auchiffrement, tout le monde peut chiffrer unmessage, que seul le propriétaire de la clefprivée pourra déchiffrer. On assure ainsi laconfidentialité.

Chiffrement asymétrique

�Clef publique utilisée pour le chiffrement,seul le détenteur de la clef privée peutdéchiffrer

Intégrité et authentification

�Service souhaité : pouvoir s'assurer que lemessage provient bien de l'expéditeur annoncé(authentification de l'origine des données) n'apas été modifié pendant le transfert (intégrité)

�Authentification de l'origine des données etintégrité sont inséparables

�Authenticité = authentification + intégrité

�"Authentification" souvent utilisé pourdésigner en fait l'authenticité.

Authentification

�Parmi les problèmes auxquels s’attaque lacryptographie, on trouve l’authentification del’origine des données et l’intégrité : lorsque l’oncommunique avec une autre personne au traversd’un canal peu sûr, on aimerait que le destinatairepuisse s’assurer que le message émane bien del’auteur auquel il est attribué et qu’il n’a pas étéaltéré pendant le transfert.

Signature numérique

Signature numérique

�Mécanisme qui fournit les services suivants :

� Authentification de l'origine des données

� Intégrité

� Non-répudiation de la source