Les attaques

23
Audit et Sécurité Informatique Les attaque informatique Réalisé par: Nadia Sassi

Transcript of Les attaques

Page 1: Les attaques

Audit et Sécurité Informatique

Les attaque informatique

Réalisé par: Nadia Sassi

Page 2: Les attaques

Les attaques

Les attaques  constituent une famille d'attaques de 

système d'information qui consistent à utiliser un ou des

systèmes intermédiaires, participant à leur insu, et

permettant à un assaillant de rester caché

Page 3: Les attaques

Le "Denial-of-service" ou déni de service est une attaque très évoluée

visant à rendre muette une machine en la submergeant de trafic inutile.

Il peut y avoir plusieurs machines à l'origine de cette attaque qui vise à

anéantir des serveurs, des sous-réseaux, etc.

Page 4: Les attaques

exemple des dénis de service

• le service de courrier électronique

• d'accès à Internet

• de ressources partagées (pages Web)

• ou tout autre service à caractère commercial comme Yahoo! ou

EBay

Page 5: Les attaques

Le principe des attaques par déni de service

Consiste à envoyer des paquets IP ou des données de taille ou de

constitution inhabituelle, afin de provoquer une saturation ou un état

instable des machines victimes et de les empêcher ainsi d'assurer les

services réseau qu'elles proposent.

Page 6: Les attaques

attaque par réflexion

C'est une attaque axée réseaux, faisant partie de la grande famille des

Refus De Service (DOS : Denial Of Service).

La technique dite « attaque par réflexion » (en anglais « smurf ») est

basée sur l'utilisation de serveurs de diffusion (broadcast) pour

paralyser un réseau. Un serveur broadcast est un serveur capable de

dupliquer un message et de l'envoyer à toutes les machines présentes

sur le même réseau.

Page 7: Les attaques

attaque par réflexion

Page 8: Les attaques

Le scénario d'une telle attaque est le suivant 

• la machine attaquante envoie une requête ping (ping est un outil exploitant le protocole ICMP, permettant de tester les connexions sur un réseau en envoyant un paquet et en attendant la réponse) à un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP source (adresse à laquelle le serveur doit théoriquement répondre) et en fournissant l'adresse IP d'une machine cible.

• le serveur de diffusion répercute la requête sur l'ensemble du réseau ;• toutes les machines du réseau envoient une réponse au server de diffusion,• le serveur broadcast redirige les réponses vers la machine cible.• Ainsi, lorsque la machine attaquante adresse une requête à plusieurs

serveurs de diffusion situés sur des réseaux différents, l'ensemble des réponses des ordinateurs des différents réseaux vont être routées sur la machine cible.

Page 9: Les attaques

le protocole ICMP

Le protocole ICMP (Internet Control Message Protocol) est un protocole qui

permet de gérer les informations relatives aux erreurs aux machines

connectées. Etant donné le peu de contrôles que le protocole IP réalise, il

permet non pas de corriger ces erreurs mais de faire part de ces erreurs aux

protocoles des couches voisines. Ainsi, le protocole ICMP est utilisé par tous les

routeurs, qui l'utilisent pour signaler une erreur (appelé Delivery Problem).

Page 10: Les attaques

Attaque par HAMEÇONNAGE (PHISHING)

L’hameçonnage, ou le Phishing est une technique utilisée par les

hackers pour obtenir des renseignements personnels sur une tierce

personne. le Phishing consiste à faire croire à une personne qu’elle est

connectée sur un site web qu’elle croit légitime et en profite pour lui

soutirer des renseignements personnels, comme des mots de passes,

numéro de carte bancaire

Page 11: Les attaques

Comment les hackers réalisent t’ils une attaque de Phishing ?

vous devez savoir que le phishing est une combinaison de plusieurs

autres attaques de hacking à savoir : le « ARP spoofing » et le « DNS

spoofing ».

Page 12: Les attaques

Qu’est ce que le ARP spoofing ?

L’ « ARP spoofing », ou « ARP poisoning » est une technique utilisée

par les hackers pour détourner des flux de communications transitant

entre une machine cible et un routeur au sein d’un réseau local où le

protocol ARP (Address Resolution Protocol) est implémenté.

Cette attaque permet au hacker d’observer, modifier ou même

supprimer les messages (paquets) envoyés par une machine cible à sa

passerelle (le routeur).

Page 13: Les attaques
Page 14: Les attaques

Qu’est ce que le DNS spoofing

Le DNS spoofing est une technique permettant de faire passer de

fausses requêtes à des serveurs DNS (Domain Name Server), qui les

exécuteront en pensant qu’elles sont valides, une fois que l’attaque est

réussie un hacker peut rediriger un internaute vers un faux site infesté

de virus ou encore pour lui usurper des informations personnelles

Page 15: Les attaques

Réalisation d’une attaque de Phishing

Pour vous montrer comment les hackers réalisent ce genre d’attaque, nous allons utiliser l’architecture suivante :

Page 16: Les attaques

EXEMPLE

Le contexte est le suivant :

• Le réseau est constitué d’un routeur qui est la passerelle (Gateway),

d’une machine cible, d’un serveur où est configuré un service DNS

et dans lequel est hébergé le site web (www.sparda.dmc) dont la

page d’accueil est la suivante :

Page 17: Les attaques

Dans l’architecturevous remarquerez également qu’on retrouve également

une machine nommé « hacker », c’est à partir de cette machine que nous

lancerons notre attaque de Phishing, dans le but de récupérer les identifiants

(nom d’utilisateur et mot de passe) entrer par notre cible.

Notre cible à pour adresse IP: 192.168.1.12 comme le montre la capture

suivante :

Page 18: Les attaques

Le serveur web à pour adresse IP192.168.1.69

Page 19: Les attaques

Notre hacker est connecté au même réseau et à pour adresse  IP 192.168.1.13

Page 20: Les attaques

Lorsque notre cible souhaite se connecter au site web

www.sparda.dmc, il lui suffit d’ouvrir son navigateur web et d’entrer

l’URL (Uniform Ressource Locator) www.sparda.dmc pour accéder au

site. Une fois cela effectué, notre cible entre son nom d’utilisateur et

son mot de passe pour avoir accès à sa session de travail (comme

pour avoir accès à son compte utilisateur sur un réseau social comme

facebook, son compte de messagerie gmail par exemple, son compte

bancaire en ligne, …).

Page 21: Les attaques

Au niveau de « l’invite de commande » de notre cible lorsqu’on effectue

un « Ping » suivi de l’url du site on constate bien que c’est le serveur

web (192.168.1.69) qui répond à sa requête :

Page 22: Les attaques

Les virus batch

Les virus de type batch, apparu à l'époque où MS-DOS était le

système d'exploitation en vogue, sont des virus « primitifs ». Bien que

capables de se reproduire et d'infecter d'autres fichiers batch, ils sont

lents et ont un pouvoir infectant très faible. Certains programmeurs ont

été jusqu'à créer des virus batch cryptés et polymorphes, ce qui peut

être qualifié de « prouesse technique » tant le langage batch est simple

et primitif

Page 23: Les attaques

En une ligne de 2 mots de DOS