Securite Info Theorie

La scurit des
systmes
informatiques
(Thorie)
Paternit - Pas d'Utilisation Commerciale :
http://creativecommons.org/licenses/by-nc/2.0/fr/

Table des matires

Objectifs 5
Introduction 7
I - Qu'est ce que la scurit d'un systme 9
A. Dfinition d'un systme informatique et d'un systme d'information................9
B. Quelques chiffres sur la scurit informatique en images..............................10
C. Comment value t-on la scurit d'un systme informatique........................11
II - !ourquoi scuriser les systmes informatiques 13
A. Les enjeux............................................................................................. 13
. !n"e#$ conomi%#es.............................................................................................. 13
2. !n"e#$ politi%#es................................................................................................... 13
&. !n"e#$ "#ridi%#es.................................................................................................. 14
B. Les vulnrabilits.................................................................................... 14
. '#lnrabilits h#maines......................................................................................... 14
2. '#lnrabilits technologi%#es.................................................................................. 14
&. '#lnrabilits organisationnelles.............................................................................. 15
(. '#lnrabilits mise en oe#vre................................................................................. 15
C. Les menaces...........................................................................................15
D. Les risques.............................................................................................15
. )is%#e *accident*.................................................................................................. 15
2. )is%#e *perte de services*...................................................................................... 16
&. )is%#e *vol*.......................................................................................................... 16
(. )is%#e *f#ite d'informations*................................................................................... 16
III - "omment et a#ec quoi les systmes sont-ils attaqus 17
A. Les mthodes et types d'attaques.............................................................17
. +tta%#e par intr#sion............................................................................................. 17
2. +tta%#e de l'homme d# milie# ,-an-.n-/he--iddle0................................................... 17
&. +tta%#e par dni de service.................................................................................... 18
(. +tta%#e par hame1onnage ,phishing0....................................................................... 18
2. +tta%#e par dictionnaire et par force br#te ,mot de passe0..........................................19
3. +tta%#e par ingnierie sociale................................................................................. 19
B. Les outils d'attaque................................................................................. 19
. 4es programmes malveillants.................................................................................. 19
2. 4es sniffers........................................................................................................... 20
&. 4es bac5dors ,portes drobes0............................................................................... 21
Copyright@ Elie MABO 2010 (e-mail : mtad"o6yahoo.fr)
3
I$ - "omment se %rot&er contre ces attaques 23
A. Sur le plan organisationnel....................................................................... 23
. +pplication des grands principes de la sc#rit informati%#e........................................23
2. +pplication des grands principes de dfense.............................................................. 25
B. Sur le plan technique............................................................................... 26
. +pplication des mcanismes de sc#rit................................................................... 26
2. +pplication d# mcanisme de cloisonnement et d# principe de l'architect#re n-tiers.......26
&. -ise en place des dispositifs de sc#rit................................................................... 27
(. +pplication des correctifs de sc#rit........................................................................27
C. Sur le plan mise en oeuvre oprationnelle.................................................. 28
$ - Les outils de scurit des systmes et rseau' 29
A. Les outils rseaux................................................................................... 29
. 7pen'+8 ,7pen '#lnerability +ssessment 8ystem0.................................................... 29
2. 9-+P................................................................................................................... 29
&. :ireshar5.............................................................................................................30
B. Les outils systmes................................................................................. 30
. +.;! ,+dvanced .ntr#sion ;etection 8ystem0............................................................ 30
2. Cassage et test des mots de passe avec -ed#sa........................................................30
&. +#tres o#tils syst<mes........................................................................................... 31
C. Les outils mixtes (systmes et rseaux).....................................................32
. .- =ac5/rac5......................................................................................................... 32
$I - (tudes des cas (document s%ar) 33
A. Case study 1 : Dtection d'une intrusion dans un systme Linux avec AIDE....33
B. Case study 2 : Utilisation de OpenVAS pour identifier les vulnrabilits d'un
systme......................................................................................................33
C. Case study 3 : Cassage d'un mot de passe grce une attaque par force brute
avec MEDUSA.............................................................................................. 33
D. Case study 4 : Utilisation des outils de BackTrack pour attaquer le site web de la
socit "ELSI"..............................................................................................34
$II - )lossaire* +ebo&ra%hie 35
A. Glossaire................................................................................................35
B. Webographie.......................................................................................... 35
"onclusion 37

4

Objectifs

Ce module de formation thorique a pour objectifs de :
Permettre aux tudiants d'avoir une ide sur les enjeux et l'importance de la scurit
dans les systmes d'information
Permettre aux tudiants de s'auto former sur les attaques et les grands principes de
la scurit informatique
Fournir aux tudiants, un ensemble d'outils de scurit permettant de tester ou de
scuriser les rseaux et les systmes
Consolider un ensemble de ressources lies la scurit informatique
La partie pratique (tudes de cas) de ce module est dveloppe dans un autre module.
5

Introduction

Le progrs remarquable des technologies de l'information et de la communication au cours
des dix dernires annes a fait natre un grand nombre de systmes d'information dans les
organisations et administrations. Ces systmes d'information, moteurs de croissance et de
dveloppement des mtiers et services sont assez importants, voire mme indispensables
pour le bon fonctionnement de tout entreprise. Cependant, avec les menaces actuelles et
les ouvertures des systmes d'information sur l'Internet et d'autres rseaux non matriss,
Il devient ncessaire de garantir la scurit de l'ensemble des biens constituant tout
systme d'information.
Assurer la scurit d'un systme d'information n'est plus un sujet tabou. Les statistiques
des attaques et des menaces font qu'aujourd'hui, les responsables en sont conscients des
risques pesant sur un systme d'information, mme si les moyens ne suivent pas toujours
pour assurer effectivement et efficacement la scurit.
Ce document, destin particulirement aux tudiants de Licence de Technologie de l'Institut
Universitaire Fotso Victor de Bandjoun au Cameroun, aborde des sujets lis la scurit des
systmes d'information en gnral, et celle des systmes informatiques en particulier.
labor dans le cadre d'un sminaire de formation et de sensibilisation sur la scurit des
systmes d'information, il vise avant tout donner une impulsion ceux qui aspirent les
mtiers lis la scurit informatique.
Le document globale comprend deux parties : une partie thorique (ce document) et une
partie pratique (document spar).
7

I - Qu'est ce que la
scurit d'un
systme
I

Dfinition d'un systme informatique et d'un systme
d'information 9
Quelques chiffres sur la scurit informatique en images 10
Comment value t-on la scurit d'un systme informatique 11

Avant d'apporter un lment de rponse cette question, il est important de dfinir
les termes "systme informatique" et "systme d'information" afin de permettre
aux tudiants de mieux cerner la diffrence entre ces deux expressions qui font
souvent l'objet de confusion.

,- .finition d'un systme informatique et d'un
systme d'information

Dfinition : Systme informatique
Un systme informatique est un ensemble de dispositifs (matriels et logiciels)
associs, sur lesquels repose un systme d'information. Il est constitu
gnralement des serveurs, routeurs, pare-feu, commutateurs, imprimantes,
mdias (cbles, air, etc.), points d'accs, stations de travail, systmes
d'exploitation, applications, bases de donnes, etc.

Dfinition : Systme d'information
Un systme d'information est un ensemble de moyens (humains, matriels,
logiciels, etc.) organiss permettant d'laborer, de traiter, de stocker et/ou de
diffuser de l'information grce aux processus ou services. Un systme d'information
est gnralement dlimit par un primtre pouvant comprendre des sites, des
locaux, des acteurs (partenaires, clients, employs, etc.), des quipements, des
processus, des services, des applications et des bases de donnes.

Et c'est quoi alors la scurit d'un systme ?
La scurit d'un systme (informatique ou d'information) est un ensemble de
moyens techniques, organisationnels, juridiques et humains ncessaires et mis en
place pour conserver, rtablir, et garantir sa scurit. En gnral, la scurit d'un
systme d'information englobe celle du systme informatique sur lequel il s'appuie.

Complment
Faire de la scurit sur un rseau consiste s'assurer que celui qui modifie ou
consulte des donnes du systme en a l'autorisation et qu'il peut le faire
9
correctement car le service est disponible.

Rappel
Dans la suite de ce support, nous parlerons beaucoup plus de la scurit des
systmes informatiques (ensemble des lments matriels et logiciels utiliss dans
un systme d'information pour acqurir, traiter et produire de l'information).

/- Quelques chiffres sur la scurit informatique en
ima&es

Les images suivantes donnent une ide sur les menaces et attaques du mois d'aot
2010. Les statistiques illustres par ces images sont actualises chaque mois sur le
site >>>."o#rnald#net.com
1
. Pour en savoir plus sur l'volution mensuelle des
menaces et attaques, consultez la rubrique "Solutions => Scurit => Baromtre
des menaces" du mme site.

Les pays les plus cibls par les attaques de type phishing

Les 5 programmes les plus malveillants sur le web

La rpartition gographique des attaques de tout type

Rappel
Le site le "journaldunet" n'est pas le seul site produisant des statistiques sur les
menaces et vulnrabilits informatiques.

1 - http://www.journaldunet.com/
10
Qu'est ce que la scurit d'un systme ?
"- "omment (#alue t-on la scurit d'un systme
informatique

La scurit d'un systme informatique peut s'valuer sur la base d'un certain
nombre de critres de scurit. On distingue gnralement trois principaux critres
de scurit :
Disponibilit : Elle consiste garantir l'accs un service ou une
ressource.
Intgrit : Elle consiste s'assurer que les donnes n'ont pas t altres
durant la communication (de manire fortuite ou intentionnelle).
Confidentialit : Elle consiste rendre l'information inintelligible d'autres
personnes que les seuls acteurs concerns.

Complment
En plus des ces trois critres, on peut ajouter les critres suivants:
Authentification : Elle consiste assurer l'identit d'un utilisateur, c'est--
dire de garantir chacun des correspondants que son partenaire est bien
celui qu'il croit tre.
Non rpudiation : Elle consiste garantie qu'aucun des correspondants ne
pourra nier la transaction.

L'valuation de la scurit d'un systme informatique est un processus trs
complexe bas en gnral sur une mthodologie (standard ou non). Cette
valuation passe par une analyse de risques. L'analyse des risques pesant sur un
systme informatique elle mme s'appuie sur un ensemble de mtriques dfinies au
pralable.

Exemple
Par exemple pour le critre "disponibilit", le choix des mtriques d'valuation peut
tre : Trs haute, Haute, Moyenne, Basse.

L'analyse des risques fait partie du processus global de gestion de risques dans un
systme d'information.

11
Qu'est ce que la scurit d'un systme ?

II - !ourquoi scuriser
les systmes
informatiques
II

Les enjeux 13
Les vulnrabilits 14
Les menaces 15
Les risques 15

,- Les enjeu'
0- 1njeu' conomiques

Les organismes ou entreprises but lucratif ont presque toujours la mme finalit :
c'est de raliser des bnfices sur l'ensemble de leurs activits. Cette ralisation est
rendue possible grce son systme d'information considr comme moteur de
dveloppement de l'entreprise. D'o la ncessit de garantir la scurit de ce
dernier.
La concurrence fait que des entreprises s'investissent de plus en plus dans la
scurisation de leurs systmes d'information et dans la qualit de service fournit
aux clients.
2- 1njeu' %olitiques

La plupart des entreprises ou organisations se rfrent aux documents officiels de
scurit labors et recommands par l'tat . Ces documents contiennent
gnralement des directives qui doivent tre appliques par toute structure
engage dans un processus de scurisation du systme d'information. Dans le
cadre du chiffrement des donnes par exemple, chaque tat dfinit des cadres et
mesures d'utilisation des algorithmes de chiffrement et les recommande aux
entreprises exerant sur son territoire. Le non respect de ces mesures et
recommandations peut avoir des consquences grave sur l'entreprise. A ce niveau,
l'enjeu est plus politique parce que chaque tat souhaite tre capable de dcrypter
toutes les informations circulant dans son espace.
3- 1njeu' juridiques

Dans tout systme d'information, on retrouve de l'information multiforme
(numrique, papier, etc.). Le traitement de celle ci doit se faire dans un cadre bien
dfinit et dans le strict respect des lois en vigueur. En matire de juridiction, le non
respect des lois et exigences relatives la manipulation des informations dans un
13
systme d'information peut avoir des consquences graves sur l'entreprise.

Exemple
En France par exemple, tout traitement de donnes caractre personnel doit au
pralable faire l'objet d'une dclaration auprs de la CNIL (Commission Nationale
pour l'Informatique et les Liberts).

/- Les #ulnrabilits

Tous les systmes informatiques sont vulnrables. Peu importe le niveau de
vulnrabilit de ceux ci. Une vulnrabilit est une faille ou une faiblesse pouvant
tre exploite par une personne mal intentionne pour nuire.
Les vulnrabilits des systmes peuvent tre classs en catgorie (humaine,
technologique, organisationnelle, mise en oeuvre).
0- $ulnrabilits humaines

L'tre humain de par sa nature est vulnrable. La plupart des vulnrabilits
humaines proviennent des erreurs (ngligence, manque de comptences,
surexploitation, etc.), car ne dit t-on pas souvent que l'erreur est humaine ? Un
systme d'information tant compos des humains, il convient d'assurer leur
scurit si l'on veut garantir un maximum de scurit dans le SI.
Un exemple courant de vulnrabilit chez l'humain, c'est la sur-exploitation.
Gnralement, on a tendance faire travailler un employer au del de la limite de
ses capacits normales. Ce qui peut l'amener commettre des erreurs pouvant
avoir des consquences dsastreuses pour l'entreprise.

Exemple
Par exemple le fait d'oublier une carte d'accs SerureID dans un taxi au retour de
travail, ou alors de lire un document confidentiel de l'entreprise dans un train lors
d'un voyage, sans s'assurer qu'on est pas fil.

2- $ulnrabilits technolo&iques

Avec la progression exponentielle des outils informatiques, les vulnrabilits
technologiques sont dcouvertes tous les jours. Ces vulnrabilits sont la base
dues une ngligence humaine lors de la conception et la ralisation. Pour tre
inform rgulirement des vulnrabilits technologiques dcouvertes, il suffit de
s'inscrire sur une liste ou des listes de diffusion mises en place par les
CERT(Computer Emergency Readiness ou Response Team). Exemple : U8-C!)/
2

Exemple
Des exemples de vulnrabilits technologiques enregistres peuvent tre consultes
sur le site suivant : http://>>>.#s-cert.gov/cas/b#lletins/8=0-2(?.html

3- $ulnrabilits or&anisationnelles

Les vulnrabilits d'ordre organisationnel sont dues l'absence des documents
cadres et formels, des procdures (de travail, de validation) suffisamment
dtailles pour faire face aux problmes de scurit du systme. Quand bien mme
2 - http://www.us-cert.gov/
14
Pourquoi scuriser les systmes informatiques ?
ces documents et procdures existent, leur vrification et mises jour ne sont pas
toujours bien assures.

Exemple
Un exemple de vulnrabilit organisationnelle peut tre le manque de dfinition des
responsabilits dans un systme d'information.

4- $ulnrabilits mise en oeu#re

Les vulnrabilits au niveau mise en oeuvre peuvent tre dues la non prise en
compte des certains aspects lors de la ralisation d'un projet.

Exemple
Par exemple la non prise en compte des procdures de maintenance dans un projet
d'acquisition et de mise en en production d'un serveur de donnes.

"- Les menaces

Les systmes informatiques sont confronts aux menaces. Une menace est un
vnement pouvant se produire tout moment et que l'on craint. Selon leurs
origines, les menaces peuvent tre classifies en deux catgories:
Menaces d'origine naturelle (incendie, inondation, sismes, etc.)
Menaces d'origine humaine (fuite, malveillance, espionnage, vol, etc.).
Elles peuvent, en s'appuyant sur la puissance de l'informatique, causer des
dommages d'une ampleur indite.
La plupart des grandes entreprises ou organisations sont la cible de plusieurs
d'attaques quotidiennes. Certaines attaques peuvent tre bloques
automatiquement par des dispositifs (matriels et/ou logiciels) de scurit, alors
que d'autres attaques utilisant des procds nouveaux auxquels ces dispositifs ne
savent pas rpondre, reprsentent un rel danger.
.- Les risques

Face aux diffrentes vulnrabilits susceptibles d'tre exploites pour attaquer les
systmes d'information et aux menaces multiformes existantes, il est clair que tout
systme d'information peut tre impact par des risques. Un risque est un
vnement susceptible de se produire.
Selon la nature physique, on peut classer les risques en plusieurs catgories dont
voici quelques unes : Accident, perte de services, vols, fuites d'information.
0- 5isque 6accident6

Cette catgorie regroupe tous les sinistres comme les incendies, dgts des eaux,
explosions, catastrophes naturelles, etc. Certains de ces risques ne peuvent tre
raisonnablement pris en compte (par exemple, un effondrement caus par la
prsence d'une ancienne carrire souterraine), d'autres peuvent tre prvenus ou
combattus (par exemple, un incendie), l'informatique n'tant alors qu'un des
aspects du problme.
Enfin, des mesures simples permettent de limiter les consquences de certains
15
accidents (par exemple, si la salle informatique est situe au premier tage, on
vitera la perte du matriel en cas d'inondation, mme si celle-ci ne peut tre
combattue).
2- 5isque 6%erte de ser#ices6

On range dans cette catgorie les coupures de courant, de tlcommunications, les
ruptures de stocks de fournitures essentielles, etc. Il existe des moyens permettant
de palier ces problmes, notamment la redondance, les techniques statistiques et
les alarmes. Quelques exemples concrets :
Onduleur et ventuellement groupe lectrogne doublant le rseau EDF
Liaison satellite doublant la ligne spcialise
Choix de fournitures disponibles auprs de multiples sources (et pas
seulement de multiples fournisseurs d'une seule source)
Programmation d'interventions ou de remplacements prventifs
Ces mesures ont videmment un cot, mais lorsqu'il s'agit d'un service vital, ce
cot est de trs loin prfrable aux consquences d'une perte de service.
Remarquez que les pannes matrielles peuvent entrer dans cette catgorie : c'est
vident pour les serveurs, mais les imprimantes d'une socit d'affacturage
peuvent galement mriter certains gards.
Par contre une panne affectant un poste de travail banalis n'a aucune importance :
le remplacement d'un PC ne pose aucun problme et la panne n'affecte pas
srieusement la productivit de l'entreprise.
3- 5isque 6#ol6

Ces problmes sont la plupart du temps marginaux, sauf dans les grandes
entreprises, l'administration et les tablissements d'enseignement o les vols ou
dgradations sont gnralement commis par les personnes frquentant
habituellement les lieux (personnel, tudiants).
Ces problmes sont loin d'tre propres l'informatique et les solutions existantes
sont simples :
Installation d'alarmes et de dispositifs de tlsurveillance
Fixation du matriel au mobilier et verrouillage des botiers
Utilisation de cartes internes pour les cls lectroniques
Utilisation de matriel spcifique anti-vandalisme
4- 5isque 6fuite d'informations6

La fuite d'information est un phnomne difficile radiquer. Mais on peut en
fonction des moyens dont on dispose, le rendre difficile raliser.

16

III - "omment et a#ec
quoi les systmes
sont-ils attaqus
III

Les mthodes et types d'attaques 17
Les outils d'attaque 19

,- Les mthodes et ty%es d'attaques

Dfinition
Une attaque est une activit malveillante qui consiste exploiter une faille d'un
systme informatique (serveurs, routeurs, systme d'exploitation, logiciel, etc.)
des fins non connues par les responsables du systme et gnralement
prjudiciables pour le systme d'information en gnral.

Les attaques sont souvent menes suite aux motivations diverses :
Perturbation du bon fonctionnement d'un systme ou d'un service
Vol des informations sensibles (donnes bancaires par exemple)
Utilisation des ressources du systme d'autres fins
Etc.
Parmi les types d'attaques, nous pouvons citer : les attaques par intrusion, les
attaques par dni de service, les attaques par interception (homme du milieu), les
attaques par dictionnaire et par force brute, les attaques par ingnierie sociale.
0- ,ttaque %ar intrusion

Ce type d'attaque vise s'infiltrer physiquement ou logiquement dans un systme
informatique en vue de rcuprer des informations exploitables d'autres fins.

Exemple
Pas exemple, installer un couteur (sniffer) sur un rseau informatique constitue
une attaque de type intrusion sur le rseau.

2- ,ttaque de l'homme du milieu (7an-In-The-7iddle)

Ce type d'attaque vise intercepter les communications entre deux parties
(personne, ordinateur) sans que ni l'une, ni l'autre ne puisse s'en apercevoir. Il
s'agit ici d'une attaque par interception. Le schma ci-aprs illustre ce type
d'attaque entre un ordinateur client et un ordinateur serveur.

17

3- ,ttaque %ar dni de ser#ice

Ce type d'attaque trs frquente, vise perturber le bon fonctionnement d'un
service. Elle exploite gnralement les faiblesses de la pile de protocole TCP/IP et
les vulnrabilits logicielles existantes et non traites.

Exemple
Par exemple, envoyer 1.000.000 de requtes en moins de 5 secondes un serveur
web avec des adresses IP sources fictives, constitue une attaque de type dni de
service sur le serveur Web.

4- ,ttaque %ar hame8onna&e (%hishin&)

Le phishing est une technique dans laquelle des bandes organises de
cybercriminels se font passer pour des organismes financiers ou grandes socits
en envoyant des emails ou des pages web frauduleux pour rcuprer des mots de
passe de comptes bancaires ou numros de cartes de crdit pour dtourner des
fonds. Le phnomne existe depuis 1996 et a connu une acclration significative
dbut 2003.

Complment
Pour en savoir d'avantage sur ce type d'attaque et comment se protger, nous vous
recommandons ce site : http://>>>.phishing.fr/

18
Comment et avec quoi les systmes sont-ils attaqus ?
9- ,ttaque %ar dictionnaire et %ar force brute (mot de
%asse)

Attaque par dictionnaire
L'attaque par dictionnaire vise retrouver un mot de passe partir d'un
dictionnaire labor au pralable. Elle consiste tester une srie de mots de passe
potentiels, les uns la suite des autres, en esprant que le mot de passe utilis
pour le chiffrement soit contenu dans le dictionnaire.

Attaque par force brute
L'attaque par force brute a le mme objectif que l'attaque par dictionnaire, sauf que
la technique change. Elle consiste tester une une, toutes les combinaisons
possibles. Cette attaque est difficile d'aboutir lorsque le mot de passe contient plus
de caractres varis (majuscules, minuscules, chiffres, caractre spciaux).
:- ,ttaque %ar in&nierie sociale

Ce type d'attaque trs frquente galement, vise rcuprer des informations
sensibles des utilisateurs en s'appuyant sur leur navet. Elle exploite l'abus de
confiance faite par les utilisateurs du systme d'information.

Exemple
Par exemple un hacker qui se fait passer pour un technicien du support en appelant
une secrtaire pour lui demander le mot de passe d'ouverture de session sur son
poste. Il s'agit l d'une usurpation d'identit.

/- Les outils d'attaque

Pour mener bien les attaques sur les systmes informatiques, les pirates utilisent
des outils informatiques bien connus du domaine. Ces outils sont galement utiliss
par les administrateurs et spcialistes de la scurit pour tester la robustesse de
leurs systmes d'information, gnralement dans le cadre d'un audit de scurit.
Parmi ces outils, nous pouvons citer :
Les programmes malveillants (virus, ver, cheval de troie, logiciel espion
[spyware])
Les scanners et sniffers
Les backdors (portes drobes)
Les spams (courriers indsirables)
0- Les %ro&rammes mal#eillants

Dfinition : Virus
Un virus informatique est un programme malveillant conu pour se propager
d'autres ordinateurs en s'insrant dans des programmes lgitimes appels htes
. Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur
infect. Il peut se rpandre travers tout moyen d'change de donnes
numriques comme les rseaux informatiques et les CD/DVD, les clefs USB, etc.

Dfinition : Ver
Un ver informatique est un programme malveillant qui se reproduit sur plusieurs
19
ordinateurs en utilisant un rseau informatique comme Internet.
Contrairement un virus informatique, un ver n'a pas besoin d'un programme pour
se reproduire. Il exploite les diffrentes ressources de l'ordinateur qui l'hberge
pour assurer sa reproduction.

Exemple
Comme exemple de ver, nous avons le ver "I LOVE YOU" dcouvert pour la
premire fois le 4 mai 2000, le ver "MORRIS" dcouvert en 1988. Ce ver a t
l'origine de la cration du CERT (Computer Emergency Response Team).

Dfinition : Cheval de troie
Un cheval de Troie est un programme d'apparence lgitime conu pour excuter de
faon cache des actions l'insu de l'utilisateur. En gnral, un cheval de Troie
tente d'utiliser les droits appartenant son environnement pour dtourner, diffuser
ou dtruire des informations, ou encore pour ouvrir une porte drobe qui permet
un attaquant de prendre, distance, le contrle de l'ordinateur.

Dfinition : Logiciel espion (spyware, mouchard ou espiogiciel)
Un logiciel espion est un programme malveillant qui s'installe dans un ordinateur
dans le but de collecter et transfrer des informations sur l'environnement dans
lequel il s'est install, trs souvent sans que l'utilisateur en ait connaissance.
Un logiciel espion est gnralement compos de trois mcanismes distincts:
Infection, collecte et transmission

Dfinition : Rootkit
Un rootkit ("jeu de dmarrage" en franais) est un programme malveillant dont la
principale fonctionnalit est de dissimuler la prsence de son activit et celle des
autres programmes nfastes aux yeux de l'utilisateur du systme et des logiciels de
scurit (antivirus, pare-feu, IDS).
Certains rootkit peuvent en plus de cette fonctionnalit principale, installer des
backdors (porte drobe).
Les rootkits ont deux caractristiques principales :
Ils modifient profondment le fonctionnement du systme d'exploitation
Ils se rendent invisibles (difficile les dtecter)

Conseil : Dtection et suppression des rootkits
Vous trouvez plusieurs mthodes de dtection et de suppression des rootkits via ce
lien : http://>>>.commentcamarche.net/fa%/(?3&-s#pprimer-les-root5its

2- Les sniffers

Un sniffer est un outil matriel ou logiciel, permettant de lire les donnes qui
circulent dans un rseau. Si les donnes sont non chiffres, on peut obtenir des
informations sensibles comme les mots de passe. Ce genre d'outil peut galement
aider rsoudre des problmes rseaux en visualisant ce qui passe travers
l'interface rseau.

Exemple
Un exemple d'outil sniffer : :ireshar5
3

3 - http://www.wireshark.org/
20
3- Les bac;dors (%ortes drobes)

Une porte drobe n'est pas un programme, mais une fonctionnalit d'un
programme permettant de donner un accs secret au systme. Ce genre de
fonctionnalit est souvent ajoute un logiciel par l'diteur, afin de lui permettre
de surveiller l'activit du logiciel, ou de prendre le contrle en cas de sollicitation.
Gnralement, les pirates informatiques une fois entrs dans le systme, crent
une porte drobe afin de pourvoir y avoir accs n'importe quel moment.

21

IV - "omment se
%rot&er contre ces
attaques
IV

Sur le plan organisationnel 23
Sur le plan technique 26
Sur le plan mise en oeuvre oprationnelle 28

,- <ur le %lan or&anisationnel
0- ,%%lication des &rands %rinci%es de la scurit
informatique
a) Amlioration continue de la scurit (PDCA)
La roue de Deming
La roue de Deming est une illustration de la mthode qualit PDCA (Plan Do Check
Act), son nom vient du statisticien amricain William Edwards Deming (1900-
1993).
La mthode comporte quatre tapes, chacune entranant l'autre, et vise tablir un
cercle vertueux. Sa mise en place doit permettre d'amliorer sans cesse la qualit
d'un produit, d'une uvre, d'un service...
Plan : ce que l'on va faire
Do : production
Check : mesure, vrification
Act : dcision amliorative, corrective

23

b) laboration d'une Politique de Scurit du Systme
d'Information (PSSI)
La politique de scurit d'un systme d'informatique est un document formel
comprenant des directives, recommandations et principes de scurit applicables
un systme d'information pour garantir sa scurit. Il s'agit d'un document
stratgique gnralement valid par la hirarchie de l'organisme ou de l'entreprise.
Ce document vise dmontrer le soutien de la direction en ce qui concerne la
gestion de la scurit.
Une politique de scurit s'accompagne souvent des exigences de scurit et des
guides de bonnes pratiques visant mettre en application cette politique de
scurit. De mme, une PSSI est appel tre maintenue. Elle doit voluer en
fonction des changements survenus ou observs dans le Systme d'Information.
La rvision rgulire de la politique de scurit permet d'assurer sa continuit et
son efficacit.

Rappel
L'laboration d'une PSSI passe par une mthodologie et doit faire intervenir
plusieurs acteurs du Systme d'Information (RSSI, administrateurs, utilisateurs,
partenaires, etc.). Certaines mthodes d'analyse de risques peuvent tre utilises
pour laborer une PSSI. C'est le cas par exemple de la mthode EBIOS (Expression
des Besoins et Identification des Objectifs de Scurit).

c) Mise en place d'une gestion des risques
En matire de scurit des systmes d'information, la gestion des risques est un
processus visant :
apprcier les risques qui psent sur les actifs de l'entreprise, ses valeurs et
parfois son personnel
traiter les risques apprcis
Un risque se dfini comme un vnement potentiel prvisible ou non.
Le processus de gestion des risques comprend plusieurs activits illustres par le
schma ci aprs :
Schma d'illustration des activits du processus de gestion des risques.
24
Comment se protger contre ces attaques ?

Mthodes de gestion des risques
Tout comme l'laboration d'une PSSI, la gestion des risques s'appuie sur une
mthodologie. Plusieurs mthodes de gestion des risques existent. Nous pouvons
citer : !=.78
4
, 7C/+'!
5
, -!@+).
6
, C)+--
7
, etc..
2- ,%%lication des &rands %rinci%es de dfense

Les grands principes de dfense d'un systme d'information peuvent tre classs en
quatre grandes catgories : Prvention, Protection, Dtection et Raction.
a) Principe de prvention
Le principe de prvention consiste mettre en place des moyens ou dispositifs en
vue de prvoir des ventuelles attaques qui pourraient avoir lieu sur le systme.

Exemple
Par exemple, le fait de cloisonner un rseau en domaine de scurit afin d'viter
qu'une attaque sur une partie du rseau n'affecte les autres parties du rseau, fait
partie des principes de prvention.

b) Principe de protection
Le principe de protection consiste mettre en place des moyens ou dispositifs
permettant de protger un bien ou un ensemble de biens (essentiel ou support) du
systme d'information

Exemple
Par exemple, installer un pare-feu l'entre du rseau local d'une entreprise pour
assurer le filtrage des paquets entrant et/ou sortant, fait partie des principes de
protection contre les attaques.

c) Principe de dtection
Le principe de dtection consiste mettre en place des dispositifs matriels et/ou
logiciels permettant identifier les intrusions dans un systme ou dans une
application. Sur le plan logiciel, ce principe s'appuie sur des outils tels que des
bases de donnes, des algorithmes pour dtecter les attaques.
Gnralement, la procdure de dtection est couple la procdure d'alerte, ce qui
est tout a fait logique, car une dtection sans alerte n'apporte pas de valeur ajoute
la scurisation d'un systme.

Exemple
Par exemple, le fait de mettre en place une camera vido couple un dclencheur
automatique d'alarme dans un btiment en vue de dtecter les intrusions
physiques, fait partie des principes de dtection.

d) Principe de raction
Le principe de raction consiste mettre en place un ensemble de moyens,
procdures ou dispositifs (matriels ou logiciels) visant ragir vis vis des
dysfonctionnements identifis sur le systme. Des procdures de raction doivent
4 - http://www.securite-informatique.gouv.fr/gp_article82.html
5 - http://www.cert.org/octave/
6 - http://www.clusif.asso.fr/fr/production/mehari/
7 - http://www.cramm.com/
25
tre rdiges de manire non ambigu, et mises la disposition non seulement des
spcialistes en charge de la scurit, mais aussi des utilisateurs.

Exemple
Par exemple, rviser les rgles de filtrage au niveau d'un pare-feu suite une
attaque sur le rseau depuis l'extrieur, fait partie des principes de raction.

/- <ur le %lan technique
0- ,%%lication des mcanismes de scurit

Un mcanisme de scurit peu tre vu au sens large comme une combinaison
d'lments destins fonctionner ensemble pour produire un rsultat. Dans le
carde d'un systme d'information, il s'agit d'un groupe de fonctions ou de moyens
ayant un objectif commun.

Mcanisme d'authentification
Ce mcanisme permet de vrifier la vracit des utilisateurs, du rseau et des
documents. Il est utilis dans le cadre du contrle d'accs (physique ou logique).

Mcanisme de chiffrement
Ce mcanisme permet de rendre inintelligible des informations ceux qui n'ont pas
l'autorisation. Il est utilis pour assurer la confidentialit des donnes et la
signature numrique.

Mcanisme de contrle d'accs
Ce mcanisme permet d'identifier tous les accs au systme. Ces accs peuvent
tre physiques ou logiques.

Mcanisme de filtrage
Ce mcanisme permet de filtrer les paquets ou requtes provenant d'une source
(hte, rseau), ou alors destination d'un hte ou d'un rseau. Il est utilis par des
quipements de filtrage tels que les parefeu, proxy, etc.

Mcanisme de dtection
Ce mcanisme permet de dtecter des anomalies dans un rseau, un systme ou
une application. Par exemple la dtection des injections de code SQL dans une
application.
2- ,%%lication du mcanisme de cloisonnement et du
%rinci%e de l'architecture n-tiers

Le cloisonnement fait partie des principes fondamentaux de la scurit des
systmes d'information. Lorsqu'il est appliqu un rseau, il consiste segmenter
physiquement ou logiquement le rseau en domaines de scurit (intranet, Wifi,
DMZ, etc..). Les quipements de scurit tels que les pare-feu, les commutateurs
peuvent tre utiliss cet effet.
Lorsqu'il est appliqu une application, on parle plutt d'architecture applicative n-
tiers. Il s'agit d'une architecture en couches. Ainsi, dans une architecture 3-tiers, on
distinguera trois couches :
26
une couche "prsentation" qui est charge de prsenter les rsultats traits
par la couche application. Exemple : un portail web
une couche "application" qui est charge de traiter des donnes et de les
mettre la disposition de la couche prsentation.
une couche "donne" qui est charge de stocker des donnes brutes ou
traites.

Le schma suivantt illustre un
cloisonnement dans un rseau

Le schma suivant illustre une
architecture applicative 3-tiers
3- 7ise en %lace des dis%ositifs de scurit

Sur le plan technique, la protection d'un systme informatique passe par :
la mise en place des dispositifs (matriel ou logiciel) de scurit tels que les
firewalls, IDS, HIPS, alarme, etc.
l'installation et la configuration des logiciels de scurit tels que les
antivirus, anti-spam, etc.
le durcissement (hardering) des dispositifs de scurit, des serveurs et des
stations de travail.
l'installation et la configuration des dispositifs de contrle (monitoring) afin
de voir ce qui se passe aussi bien sur le rseau que sur les quipements du
rseau.

Attention
Les quipements de scurit doivent eux mme tre protgs et contrls afin de
s'assurer qu'ils fonctionnent parfaitement. Quant aux logiciels de scurit, ils
doivent tre mis jour rgulirement.

4- ,%%lication des correctifs de scurit

Les logiciels tant dvelopps par des humains, ils sont susceptibles de contenir des
erreurs. Lorsque des erreurs (failles) sont dcouvertes dans un logiciel, des actions
sont entreprises par l'diteur ou le responsable afin de les corriger. Ces corrections
sont gnralement fournies sous forme de modules appels "patches" ou correctifs.
Il est recommand de toujours appliquer les correctifs de scurit aux logiciels, afin
d'viter que les failles ne soient exploites.
27
cloisonnement-resea#
cloisonnement-appli
"- <ur le %lan mise en oeu#re o%rationnelle

Assurer la scurit d'un systme informatique sur le plan mise en oeuvre
oprationnelle consiste prendre en compte tous les aspects en rapport avec la
scurit, avant, pendant et aprs la mise en production d'un service, d'une
application ou d'un quipement.
Ces aspects peuvent porter sur :
la dfinition et le suivi des contrats de maintenance avec les fournisseurs
l'laboration des procdures d'acquisition, de mise en place et de
maintenance
l'laboration des manuels de procdures et le test de ces procdures. Par
exemple, les procdures de gestion des incidents de scurit.
la sensibilisation et la formation des acteurs du systme (responsable,
administrateurs, utilisateurs, etc.)
la ralisation des audits scurit afin de s'assurer que le niveau de scurit
en place est satisfaisant
l'laboration d'un plan de continuit d'activits
etc.

28

V - Les outils de
scurit des
systmes et
rseau'
V

Les outils rseaux 29
Les outils systmes 30
Les outils mixtes (systmes et rseaux) 32

Il existe une multitude d'outils logiciels en scurit informatique. La plupart de ces
outils sont libres et gratuits. Cette partie prsente quelques outils libres et gratuits,
frquemment utiliss dans le monde de la scurit des systmes d'information.
Nous avons class ces outils en trois catgories : rseaux, systmes et mixtes, c'est
dire pouvant tre utiliss la fois pour les rseaux et les systmes.

,- Les outils rseau'
0- O%en$,< (O%en $ulnerability ,ssessment <ystem)

OpenVAS est une excellente bote outils et services offrant une solution complte
pour scanner les vulnrabilits rseaux. Cet outil open source remplace "NESSUS",
un autre scanner de vulnrabilit qui n'est plus maintenu.
Pour plus de dtails sur "OpenVAS", consultez son site officiel :
http://>>>.openvas.org
2- =7,!

"NMAP" est un outil permettant de scanner un rseau afin d'identifier les services
oprationnels. Cet outil est gnralement utilis par les administrateurs scurit
pour l'audit scurit, mais aussi pas les hackers pour attaquer les systmes. C'est
un outil multi-plateforme (Unix/Linux, Windows, Mac) disposant plus d'une
centaines d'options lorsqu'il est utilis en ligne de commande.
3- +ireshar;

Wireshark est un outil permettant de visualiser ce qui se passe dans un rseau. A
travers la bibliothque "libpcap", il capture les paquets qui circulent dans le rseau
et fournit des informations sur ceux ci. Par exemple, partir de Wireshark, on peut
29
avoir des informations sur le contenu d'un paquet (IP source et destination,
protocole, etc.).
Il s'agit d'un logiciel open source plac sous la licence GPL (General Public Licence),
pouvant s'excuter sur plusieurs plates formes (UNIX/Linux, Windows, Mac)
Pour plus d'information sur cet outil, consultez son site officiel :
http://>>>.>ireshar5.org
/- Les outils systmes
0- ,I.1 (,d#anced Intrusion .etection <ystem)

AIDE est un systme de dtection d'intrusion bas sur les htes (hosts). Il s'agit
d'un outil open source pouvant tre install sur des systmes Unix/Linux. Il peut
tre considr comme une clone avance du clbre outil de contrle d'intgrit
systme "Tripwire".

Complment : Principe de fonctionnement
Une fois install, AIDE construit une base de donnes de signatures de l'ensemble
des fichiers (systmes, configurations, bases de donnes, etc.) se trouvant sur la
machine dont il est install. Cette base de signatures est cre grce des
algorithmes d'empreinte cryptographique des fichiers. AIDE va ensuite calculer
rgulirement ces empreintes afin de garder la base toujours jour.
Au niveau des vrifications, AIDE va comparer l'ensemble des fichiers prsents sur
le systme aux signatures prsentes dans la base de donnes. Si les empreintes
(noms des fichiers, dates de dernire modification, etc.) sont diffrentes, AIDE
dtectera une modification de fichiers et en informera l'administrateur systme soit
par mail, soit par un fichier journal.

Mise en oeuvre de AIDE
La partie pratique (tudes de cas) de ce support contient un volet sur la mise en
oeuvre de AIDE.
2- "assa&e et test des mots de %asse a#ec 7edusa

Medusa est un logiciel open source de type brute-forceur d'authentification rapide.
Il permet ainsi de tester la robustesse des mots de passe des services d'un
systme. Le mot de passe tant un lment essentiel dans la scurit d'un systme
informatique, cet outil peut tre utilis aussi bien par des hackers que par des
administrateurs des systmes et rseaux.
Au moment de la rdaction de ce contenu, "Medusa" est disponible uniquement
sous Unix/Linux. Les tests peuvent se faire en parallle.
Les services pour lesquels "Medusa" peut tester les mots de passe sont nombreux :
AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare), NNTP, PcAnywhere,
POP3, PostgreSQL, rexec, rlogin, rsh, SMB, SMTP (AUTH/VRFY), SNMP, SSHv2,
SVN, Telnet, VmAuthd, VNC.

Rappel : Les caractristiques d'un mauvais mot de passe
Il peut facilement tre devin
Il s'apparente une liste de mots (dictionnaire)
Il peut tre cass en un temps raisonnable

30
Les outils de scurit des systmes et rseaux

Remarque : Les mauvais mots de passe les plus populaires
Rang Mot de passe Nombre
d'instances
1 123456 290,731
2 12345 79,078
3 123456789 76,790
4 Password 61,958
5 iloveyou 51,622
6 princess 35,231
7 rockyou 22,588
8 1234567 21,726
9 12345678 20,553
10 abc123 17,542
Source : http://>>>.server>atch.com

Complment : Les mots de passe par dfaut
Site de la base de donnes des mots de passe par dfaut utiliss par les
constructeurs et les diteurs: http://>>>.cirt.net/pass>ords

Complment : Outils similaires Medusa
"Hydra" : c'est un outil proof of concept permettant de casser ou de tester
les mots de passe. Il support galement plusieurs protocoles.
"John-the-ripper" : c'est un outil de cassage de mots de passe par
dictionnaire. Il est disponible pour Windows, Unix/Linux et Mac. Pour en
savoir plus sur John-the-ripper (Installation, configuration, utilisation),
visitez ce lien : http://>>>.open>all.com/"ohn/
Site de comparaison entre "Medusa" et "Hydra" :
http://>>>.foof#s.net/A"m5/med#sa/med#sa-compare.html

3- ,utres outils systmes
a) Nikto
"Nikto" est un outil permettant de dtecter les vulnrabilits des serveurs Web.
Pour plus d'information, consultez le site officiel http://>>>.ni5to.org
b) SATAN
"SATAN" est un outil de test de vulnrabilits et de dtection des erreurs de
configuration. Pour plus d'information sur cet outil, consultez le site suivant :
http://>>>.satan.org
31
"- Les outils mi'tes (systmes et rseau')
0- I- /ac;Trac;
a) Dfinition et description
BackTrack est une distribution Linux ddie l'analyse du rseau, aux tests
d'intrusions et l'audit de la scurit des systmes d'information. Avec plus d'une
centaine d'outils de scurit, BackTrack constitue une plate forme idal pour les
spcialistes de la scurit.
Au moment de la rdaction de ce contenu, BackTrack est sa version 4 avec un
noyau 2.6.29.4. Cette distribution utilise le systme de fichiers "squashfs" qui est
un systme de fichiers compresss et accessibles en lecture seule.
Entre BackTrack 4 et les versions antrieures, de nombreux changements ont eu
lieu. Afin de dcouvrir ces changements, nous vous invitons cliquer sur ce lien :
http://>>>.offensivesec#rity.com/videos/bac5trac5sec#ritytraining
video/#p andr#nningbac5trac5.html
b) Les catgories d'outils de BackTrack
Les outils dans BackTrack sont classs par catgories. Voici quelques unes :
BackTrack - Brutforce
BackTrack - Discovery
BackTrack - Passwords
BackTrack - Spoofing
BackTrack - Sniffers
BackTrack - Cisco
BackTrack - Wireless
BackTrack - Databases
BackTrack - Penetration

Remarque
Avec le systme de catgorisation des outils, BackTrack 4 comprend galement des
"mta paquetages". Il s'agit d'un modle de paquetages qui comprend plusieurs
autres paquetages. Par exemple, le mta paquetages "BackTrack-web" comprend
tous les outils de test de pntration offerts par BackTrack pour les applications
web.

Les mta paquetages sont regroups en deux grandes groupes :
"BackTrack-World" comprenant tous les mta paquetages
"BackTrack-Desktop" contenant : "BackTrack-World", "BackTrack-
Networking" et "BackTrack-multimdia"

Complment
Pour en savoir plus sur "BackTrack", consultez le site suivant :
http://>>>.bac5trac5-lin#$.org/

32

VI - (tudes des cas
(document s%ar)
VI

Case study 1 : Dtection d'une intrusion dans un systme
Linux avec AIDE 33
Case study 2 : Utilisation de OpenVAS pour identifier les
vulnrabilits d'un systme 33
Case study 3 : Cassage d'un mot de passe grce une attaque
par force brute avec MEDUSA 33
Case study 4 : Utilisation des outils de BackTrack pour
attaquer le site web de la socit "ELSI" 34

,- "ase study 0 > .tection d'une intrusion dans un
systme Linu' a#ec ,I.1

Cette tude de cas est dveloppe dans un document spar. Voir module pratique.
/- "ase study 2 > ?tilisation de O%en$,< %our
identifier les #ulnrabilits d'un systme

"- "ase study 3 > "assa&e d'un mot de %asse &r@ce A
une attaque %ar force brute a#ec 71.?<,

.- "ase study 4 > ?tilisation des outils de /ac;Trac;
%our attaquer le site Beb de la socit 61L<I6


33

VII - )lossaire*
+ebo&ra%hie
VII

Glossaire 35
Webographie 35

,- )lossaire

AFNOR : Association Franaise de NORmalisation
ANSSI : Agence Nationale de la Scurit des Systmes d'Information (ancien
DCSSI)
BP : Bonnes Pratiques
CERT : Computer Emergency Response Team
CLUSIF : CLUb de la Scurit des systmes d'Information Franais
CNIL : Commission Nationale d'Informatique et des Liberts
DCSSI : Direction Centrale de la Scurit des Systmes d'Information (devenue
ANSSI)
EBIOS : Expression des Besoins et Identification des Objectifs de Scurit
FEROS : Fiche d'Expressions Rationnelles des Objectifs de Scurit
HIPS : Host based Intrusion Prevention System
IDS : Intrusion Detection System
ISO : International Standardization Organization
NIDS : Network Intrusion Detection System
NSA : National Security Agency
OCTAVE : Operationally Critical Threat, Asset, and Vulnerability Evaluation
PSSI : Politique de scurit des systmes d'information
SI : Systme d'Information
SSIC : Scurit des Systmes de l'Information et de la communication
/- +ebo&ra%hie

Portail web de l'ANSSI : http://>>>.ssi.go#v.fr/
Site ddi au phishing : http://>>>.phishing.fr/
Site NBS sur la scurit informatique : http://>>>.nbs-
system.com/sec#rite-informati%#e/
Haching, IT security magazine : http://ha5in?.org/
MISC, le magazine franais spcialis dans la scurit informatique :
35
http://>>>.miscmag.com/ ou http://>>>.ed-diamond.com
SecurityFocus, site web anglophone de rfrence, consacr la scurit
informatique : http://>>>.sec#rityfoc#s.com/
SANS Institute (SysAdmin, Audit, Network, Security) est une organisation
regroupant prs de 165 000 professionnels de la scurit :
http://>>>.sans.org/
L'universite du SANS Institute : http://>>>.sans.ed#/

36
Glossaire, Webographie

"onclusion

Ce document thorique portant sur la scurit des systmes d'information en gnral et des
systmes informatiques en particulier, prsente les notions, principes, mthodes et
mcanismes de scurit. Il a t labor dans le but de sensibiliser les tudiants de Licence
de Technologie de l'Institut Universitaire de Technologie Fotso Victor de Banjoun, aux
problmatiques de scurit dans les systmes d'information.
Loin d'tre une rfrence en la matire, il constitue tout de mme un bon guide pour ceux
qui aspirent aux mtiers lis la scurit informatique. Bien que destin aux tudiants, il
peut tre utilis par des administrateurs et consultant scurit dans le cadre de l'exercice de
leurs activits.
Le document tant appel voluer, nous restons trs sensibles vos retours. Cela nous
permettra de l'amliorer.
37

Securite Info Theorie

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Securite Info Theorie

Uploaded by

Copyright:

Available Formats

La scurit des

You might also like