Sécurité informatique Prof. Mounir GRARI Ecole Supérieure de Technologie, Oujda...

Sécurité informatique

Prof. Mounir GRARI

Ecole Supérieure de Technologie, [email protected]

Sécu

rité

in

form

ati

qu

e

Mounir GRARI Sécurité informatique 1

mailto:[email protected]

Bibliographie

Sécurité informatique, Ethical hacking, Apprendre l'attaque pour mieux se défendre. Editions ENI - Octobre 2009.

Sécurité informatique, principes et méthodes à l’usages des DSI, RSSI et administrateurs. Auteurs : Laurnt Bloch,Christophe Wolfhugel. Edition Eyrolles. 2ème edition.

Tableaux de bord de la sécurité réseau. Auteurs: Cédric Llorens Laurent Levier Denis Valois. Edition Eyrolles. 2ème edition.

Sécurité informatique et réseaux. Auteur : Solange Ghernaouti-Hélie. Edition Eyrolles. 3ème edition.

Hacking Exposed, Network Security Secrets And Solutions. Seventh Edition.

L’encyclopédie comment ça marche (2006). www.commentcamarche.net/

Sécu

rité

in

form

ati

qu

e


Système informatique et système d'information

Un système informatique est un ensemble de dispositifs (matériels et logiciels) associés, sur lesquels repose un système d'information.

Il est constitué généralement des serveurs, routeurs, pare-feu, commutateurs, imprimantes, médias (câbles, air, etc.), points d'accès, stations de travail, systèmes d'exploitation, applications, bases de données, etc.

Un système d'information est un ensemble de moyens (humains, matériels, logiciels, etc.) organisés permettant d'élaborer, de traiter, de stocker et/ou de diffuser de l'information grâce aux processus ou services.

Un système d'information est généralement délimité par un périmètre pouvant comprendre des sites, des locaux, des acteurs (partenaires, clients, employés, etc.), des équipements, des processus, des services, des applications et des bases de données.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Le Monde dans lequel on vit

L’information est partout. On la retrouve dans divers systèmes: ordinateurs personnels (bureau et maison) serveurs de données (bases de données et serveurs web) systèmes téléphoniques (terminaux, interrupteurs, routeurs) téléphones portables (voix, image, vidéo, donnée) appareils manuels (ordinateurs portables, lecteur MP4) kiosque d’informations (données, services, Distributeurs

Automatiques de Billets) cartes à puces (identification, autorisation, monnaie

électronique) systèmes incorporés (voiture, appareils domestiques) bien d’autres systèmes ...C

hap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Le Monde dans lequel on vit

Nous sommes face non seulement à une augmentation de la quantité, mais surtout de l'importance des données.

Avec le développement d'Internet, chacun a accès au réseau où de plus en plus d'informations circulent.Exemple: les entreprises communiquent et diffusent des informations, que ce soit dans leurs liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les relations entre les employés eux-mêmes.

Le transport des données en dehors du domicile d'un particulier ou d'une entreprise mérite que l'on s'interroge sur la sécurité des transmissions pour ne pas compromettre un système d'information.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Qu’est-ce que la sécurité?

D’un premier point de vue : s’assurer que rien de “mauvais” arrive réduire les chances que quelque chose de “mauvais” se

produise minimiser l’impact des “mauvaises choses” fournir les éléments nécessaires pour se remettre des

“mauvaises choses”

D’un autre point de vue : autoriser les “bonnes choses” à arriver gestion du coût du systèmeExemples : sécurité de la maison sécurité de la voiture

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Définition de base : La sécurité informatique c'est l'ensemble des moyens mis en œuvre pour minimiser la vulnérabilité d'un système contre des menaces accidentelles ou intentionnelles.

Sécurité = “Safety”Protection de systèmes informatiques contre les accidents dus à l'environnement, les défauts du système.

Sécurité = “Security ”Protection des systèmes informatiques contre des actions malveillantes intentionnelles.

Note : Une vulnérabilité (ou faille) est une faiblesse dans un système informatique.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



En général, Le risque en terme de sécurité est caractérisé par l'équation suivante :

La menace représente le type d'action susceptible de nuire dans l'absolu.

La vulnérabilité (appelée parfois faille) représente le niveau d'exposition face à la menace dans un contexte particulier.

La contre-mesure est l'ensemble des actions mises en œuvre en prévention de la menace.

Note: Les contre-mesures à mettre en œuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


𝑅𝑖𝑠𝑞𝑢𝑒=𝑀𝑒𝑛𝑎𝑐𝑒×𝑉𝑢𝑙𝑛é 𝑟𝑎𝑏𝑖𝑙𝑖𝑡 é

𝐶𝑜𝑛𝑡𝑟𝑒−𝑚𝑒𝑠𝑢𝑟𝑒

Les attaques Tout ordinateur connecté à un réseau informatique est

potentiellement vulnérable à une attaque. Une attaque est l'exploitation d'une faille d'un système

informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du système.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les attaques

Les motivations des attaques peuvent être de différentes sortes : obtenir un accès au système ; voler des informations, tels que des secrets industriels ou des

propriétés intellectuelles ; avoir des informations personnelles sur un utilisateur ; récupérer des données bancaires ; s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ; troubler le bon fonctionnement d'un service ; utiliser le système de l'utilisateur comme “rebond” pour une

attaque ; utiliser les ressources du système de l'utilisateur, notamment

lorsque le réseau sur lequel il est situé possède une bande passante élevée.C

hap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les attaquesTypes d’ attaques

Les systèmes informatiques mettent en œuvre différentes composantes, allant de l'électricité pour alimenter les machines au logiciel exécuté via le système d'exploitation et utilisant le réseau.

Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe une vulnérabilité exploitable.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les attaques

Il est possible de catégoriser les risques de la manière suivante : Accès physique : il s'agit d'un cas où l'attaquant à accès aux

locaux, éventuellement même aux machines : o Coupure de l'électricité o Extinction manuelle de l'ordinateur o Vandalisme o Ouverture du boîtier de l'ordinateur et vol de disque dur o Ecoute du trafic sur le réseau

Interception de communications : o Vol de session (session hacking) o Usurpation d'identité o Détournement ou altération de messages

Dénis de service : il s'agit d'attaques visant à perturber le bon fonctionnement d'un service. On distingue habituellement les types de déni de service suivant :

o Exploitation de faiblesses des protocoles TCP/IP o Exploitation de vulnérabilité des logiciels serveurs

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les attaques

Intrusions : o Balayage de ports o Elévation de privilèges : ce type d'attaque consiste à exploiter une

vulnérabilité d'une application en envoyant une requête spécifique, non prévue par son concepteur, ayant pour effet un comportement anormal conduisant parfois à un accès au système avec les droits de l'application. Les attaques par débordement de tampon (buffer overflow) utilisent ce principe.

o Maliciels (virus, vers et chevaux de Troie)

Ingénierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur lui-même! En effet c'est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une faille dans le système, en donnant des informations (mot de passe par exemple) au pirate informatique ou en exécutant une pièce jointe.

Trappes : Il s'agit d'une porte dérobée (backdoor) dissimulée dans un logiciel, permettant un accès ultérieur à son concepteur.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les attaques

Les erreurs de programmation contenues dans les programmes sont habituellement corrigées assez rapidement par leur concepteur dès lors que la vulnérabilité a été publiée.

Il appartient aux administrateurs de se tenir informé des mises à jour des programmes qu'ils utilisent afin de limiter les risques d'attaques. Note: Il existe un certain nombre de dispositifs (pare-feu, systèmes de détection d'intrusions, antivirus) permettant d'ajouter un niveau de sécurisation supplémentaire.

La sécurisation d'un système informatique est généralement dite “asymétrique”, dans la mesure où le pirate n'a qu'à trouver une seule vulnérabilité pour compromette le système, tandis que l'administrateur se doit de corriger toutes les failles.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les attaquesAttaques par rebond

Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer.

C'est la raison pour laquelle les pirates privilégient habituellement les attaques par rebond (par opposition aux attaques directes), consistant à attaquer une machine par l'intermédiaire d'une autre machine.

L’objectif est de masquer les traces permettant de remonter à lui (telle que son adresse IP) et dans le but d'utiliser les ressources de la machine servant de rebond.

Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus en plus courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à proximité peut l'utiliser pour lancer des attaques.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les piratesHacker/pirate

Le terme “hacker” est souvent utilisé pour désigner un pirate informatique.

A l'origine ce nom désignait les programmeurs expérimentés. Il servit au cours des années 70 à décrire les révolutionnaires

de l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes entreprises informatiques.

C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes impliquées dans le piratage de jeux vidéos, en désamorçant les protections de ces derniers, puis en en revendant des copies.

Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes s'introduisant dans les systèmes informatiques.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les piratesLes différents types de piratesEn réalité il existe de nombreux types d’ attaquants catégorisés selon leur expérience et selon leurs motivations :

Les “white hat hackers”, hackers au sens noble du terme, dont le but est d'aider à l'amélioration des systèmes et technologies informatiques, sont généralement à l'origine des principaux protocoles et outils informatiques que nous utilisons aujourd'hui; Le courrier électronique est un des meilleurs exemples;

Les “hacktivistes” (cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Les pirates

Les “black hat hackers”, plus couramment appelés pirates, c'est-à-dire des personnes s'introduisant dans les systèmes informatiques dans un but nuisible ;

o Les “script kiddies” (traduisez gamins du script) sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de s'amuser.

o Les “phreakers” sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de téléphoner gratuitement grâce à des circuits électroniques connectés à la ligne téléphonique dans le but d'en falsifier le fonctionnement.

o Les “carders” s'attaquent principalement aux systèmes de cartes à puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles.

o Les “crackers” sont des personnes dont le but est de créer des outils logiciels permettant d'attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants. Un “crack” est ainsi un programme créé exécutable chargé de modifier (patcher) le logiciel original afin d'en supprimer les protections.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Méthodologie d’une intrusionPrésentation général d’une intrusion

Les hackers recherchent dans un premier temps des failles, dans les protocoles, les systèmes d'exploitations, les applications ou même le personnel d'une organisation! Note: vulnérabilité = trou de sécurité (security hole).

Pour pouvoir mettre en œuvre un exploit (exploiter une vulnérabilité), la première étape du hacker consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci.Note: La plupart des attaques sont l’ œuvre de script kiddies essayant bêtement des exploits trouvés sur internet, sans aucune connaissance du système, ni des risques liés à leur acte.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Méthodologie d’une intrusion

Une fois que le hacker a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine.

Lorsqu'un accès administrateur (root) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés. Le hacker possède alors le plus haut niveau de droit sur la machine.

La dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises. C

hap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


Méthodologie d’une intrusionDéroulement d’une intrusion

La récupération d'informations sur le système: L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations:

o Adressage IPo Noms de domaine, o Protocoles de réseau et services activés, o Architecture des serveurs, etc.

Consultation de bases publiques: En connaissant l'adresse IP publique d'une des machines du réseau (ou le nom de domaine de l'organisation), un pirate est potentiellement capable de connaître l'adressage du réseau tout entier. Il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine:o http://www.iana.net o http://www.ripe.net pour l'Europe o http://www.arin.net pour les Etats-Unis

Note: La simple consultation des moteurs de recherche permet parfois de rassembler des informations sur la structure d'une entreprise.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Balayage du réseau: Lorsque la topologie du réseau est connue par le pirate, il peut le scanner, c'est-à-dire déterminer à l'aide d'un outil logiciel quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs.

L'un des outils les plus connus pour scanner un réseau est Nmap. Cet outil agit en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur un réseau, puis il analyse les réponses.

Le repérage des failles: Il existe des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de sécurité.

Les deux principaux scanneurs de failles sont : o Nessus (http://www.tenable.com/)o SAINT (http://www.saintcorporation.com/)

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Intrusion: Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées. Pour ce faire, plusieurs méthodes sont utilisées par les pirates :

o L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe. Ceci est généralement fait en se faisant passer pour l'administrateur réseau.

o La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides.

o Les attaques par force brute (brute force cracking), consistant à essayer de façon automatique différents mots de passe sur une liste de compte (par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe password, ou passwd, etc). C

hap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Extension de privilèges: Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root .

Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires.

Il lui est ainsi possible d'installer un sniffeur, c'est-à-dire un logiciel capable d'écouter le trafic réseau en provenance ou à destination des machines situées sur le même brin.

Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines du réseau afin d'être à même de contrôler une plus grande partie du réseau.

Les serveurs NIS (Network Information Service) présents sur un réseau sont également des cibles de choix pour les pirates car ils regorgent d'informations sur le réseau et ses utilisateurs.

Ch

ap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Compromission : Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines.

Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de pénétrer des réseaux privilégiés auxquels la machine compromise a accès.

Porte dérobée: Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir. Pour ce faire celui-ci va installer une application afin de créer artificiellement une faille de sécurité, on parle alors de porte dérobée. C

hap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Nettoyage des traces : Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit.

Il existe des logiciels, appelés “kits racine” (rootkits) permettant de remplacer les outils d'administration du système par des versions modifiées afin de masquer la présence du pirate sur le système.

En effet, si l'administrateur se connecte en même temps que le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement qu'une autre personne que lui est connectée simultanément. L'objectif d'un rootkit est donc de tromper l'administrateur en lui masquant la réalité. C

hap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e



Exercice 1 : Qu’ils sont les objectifs d’un attaque par rebond? Exercice 2 : Expliquer les mots suivants: exploit, scanner,

sniffer, spoofing, rootkit Exercice 3 : Décrire la méthodologie d’une intrusion en

général? Exercice 4 : Donner une explication à l’ équation suivante:

Exercice 5 : Pourquoi un ordinateur connecté à un réseau peut être attaqué?

Exercice 6 : Qu’il est l’ intérêt de l’opération de balayage du réseau?C

hap

itre

1:

Intr

od

uct

ion

à l

a s

écu

rité

in

form

ati

qu

e


𝑅𝑖𝑠𝑞𝑢𝑒=𝑀𝑒𝑛𝑎𝑐𝑒×𝑉𝑢𝑙𝑛é 𝑟𝑎𝑏𝑖𝑙𝑖𝑡 é

𝐶𝑜𝑛𝑡𝑟𝑒−𝑚𝑒𝑠𝑢𝑟𝑒

Sécurité informatique Prof. Mounir GRARI Ecole Supérieure de Technologie, Oujda...

Documents

Transcript of Sécurité informatique Prof. Mounir GRARI Ecole Supérieure de Technologie, Oujda...