Securite Syst Et Res-Chap1-Chap6

Module : scurit informatique
Matire 1 : Scurit des systmes et rseaux

matire 2 : outils de la scurit informatique
H. EL FADILI
Objectifs du cours :
Expliciter la diffrence entre les concepts souvent
confondus dans le domaine de la scurit
Expliquer les mcanismes dattaque les plus connus
et les parades sous-jacentes.
La mise en place dune politique de scurit globale
avec ses diffrentes mthodes et outils.

Scurit des systmes et rseaux
Introduction : aperu historique, aspects de la scurit

Concepts scurit : vulnrabilits,
Menaces
Menaces malveillantes : attaques
risques
Intrusion
protection
Politique de scurit : tapes
Piraterie informatique : types de piraterie
Tches dun administrateur de scurit
lments de la scurit informatique : confidentialit, intgrit,
authentification, disponibilit, non rpudiation
coutes rseaux : techniques dcoute
Outils de la scurit informatique
A- Firewall
B- Filtrage
C- DMZ
D- Architectures scurises
E- NAT

Matire 1 : Scurit des systmes et rseaux
matire 2 : outils de scurit informatique
Chap1 : Introduction
Sommaire :
Dfinitions
(information, systme dinformation, scurit des SI et des rseaux,
administrateur systme/rseau et scurit)
Aspects historiques
volutions des intrusions, changement dattitude ractive et proactive,
Prise de conscience de laspect scurit:

ouverture des systmes et exposition accrus aux attaques
Formes et caractristiques des malveillances
niveaux de danger, types dattaques (simple, complexe)
Politique de scurit
dfinition et caractristiques
Aspects de la scurit
globalit, minimisation de la contrainte
Introduction
Linformation est la pierre angulaire de toute les organisations

Cest le noyau autour duquel gravitent toutes les autres structures
(organisationnelles, techniques et humaines)
Cette information doit tre protge contre les multiples
menaces existantes impos par un contexte industriel fortement
concurrentiel.
Ces menaces qui peuvent provenir de lintrieur comme de
lextrieur de lorganisme sont de plus en plus nombreuses et
diversifies.
La ncessit dune stratgie de scurit visant la protection du
patrimoine numrique se rvle primordiale et incessante.
Sommaire :
Dfinitions
Aspects historiques
Politique de scurit
Introduction
Systme dInformation : SGDN(Secrtariat franais

Gnral de la Dfense Nationale)
tout moyen dont le fonctionnement fait appel dune faon ou
dune autre llectricit et qui est destin laborer, traiter,
stocker, acheminer, prsenter ou dtruire linformation
Systme dinformation : ensemble organis de
ressources : matriel, logiciel, donnes, personnel,
permettant dacqurir, de traiter, de stocker des
informations (sous forme de donnes, texte, image,
sons) dans et entre les organisations (Reix 2004)
Robert Reix, Systmes d'information et management des organisations , 2004.
Caractristiques dun SI:

Le systme dinformation se caractrise par
lensemble des traitements et procdures quil
utilise :
Traitement manuel/automatis
Traitement centralis/rparti
Systme clat/intgr
Traitement centralis : linformation est emmagasine

dans un noeud central serveur , les autres nuds sont
dits clients et la communication se fait par
requte/rponse (query/response).
Systme rparti : cest un ensemble de processus
autonomes sexcusant sparment et indpendamment
et changeant des messages par le moyen de protocoles.
Exemple :
DNS,
Systme intgr : systme qui prend en compte toutes

ses composantes ainsi que lenchanement de
lacheminement de linformation dans le but de garantir
la non redondance dans le traitement et les donnes.
Exemple : application RH :
Application 1 : Avancement de grade
Application 2 : Suivi des salaires
redondance au niveau des donnes et traitements.
Solution : une application intgre : unification des donnes et
traitements.
Finalit dun SI :
Restituer au moment opportun des informations sous forme
directement utilisable ceux qui en ont besoin pour contrler,
coordonner, prendre des dcisions.
privilges
Information
Dcideurs
utilisateurs
collaborateurs
Disponibilit tout moment
Introduction
Donne : l'objet informationnel minimum, La
donne est en elle-mme brute et inerte . Une
donne est en attente dun contexte et dune
interprtation.
Information : est un ensemble de donnes
regroupes, prenant un sens dans un contexte
particulier. Linterprtation dune donne
partir dun contexte est une information.
Connaissance : lensemble dinformations qui
permettent de choisir, de prendre des dcisions et
dagir.
Introduction
Dans le contexte scurit : Information =
support protg : renseignement, procd,
objet, document, donne informatise ou fichier
prsentant
un caractre confidentiel (logins, mot de
passe, fichiers sensibles, procd de
construction) ou
un caractre patrimonial conserver ( bases
de donnes historiques, culturelles).
Introduction
Scurit informatique (Scurit des systmes
dinformation SSI):
cest l'ensemble des mthodes, techniques(outils)
mises en uvre pour protger les ressources
dun systme dinformation contre les sinistres,
les erreurs et les malveillances de faon rduire
leur probabilit et/ou leur consquence un
niveau permettant une reprise sans perte.
Scurit rseau : lensemble des moyens visant la protection contre

lutilisation malveillante des ressources rseaux dans lobjectif de
sapproprier abusivement des informations quil fait circuler. Le rseau
nest donc pas une fin mais juste un moyen pour frauder.
De ce fait la scurit rseau est une composante parmi dautres de la

scurit des SI, cette dernire inclut de surcrot les aspects systme et
bases de donnes.
Rseau
Systme
S.I.
B.D.
Introduction
Administrateur systme (/rseau):

Personne charge de la mise au point, dploiement, de
l'exploitation(extraction dinfo utile), de la maintenance, du
contrle (modification des rgles et des config des
quipements) et des volutions (mises jour, changement
darchitectures) du systme informatique (/rseau).
Administrateur de scurit :
Personne charge de la mise en uvre, du maintien, du
contrle et de l'volution des mesures de scurit appliquer
tout systme d'information contenant de linformation utile.
Sommaire :
Dfinitions
Aspects historiques
Politique de scurit
Aspects historiques :
La scurit est abusivement lie la cryptographie qui est intimement li au
domaine militaire et celui de lespionnage
Le chiffre de Csar : une des mthodes de cryptographie les plus

anciennes : dcalage de lettres. une substitution : monoalphabtique.
1523 : Chiffrement de vigenere : une substitution polyalphabtique des lettres.
Introduction
1918 : machine ENIGMA (Arthur Scherbius en 1918 ) : substitution de lettres (en

utilisant une table de correspondance, on remplace le message en clair par un MSG
chiffr) : http://www.bibmath.net/crypto/debvingt/enigmajava.php3
http://www.secondeguerre.net/
Source : en.wikipedia.org
Une lampe s'allume indiquant par quelle lettre

on doit remplacer la lettre que l'on vient de
frapper.
permet de revenir en arrire

Permutations
la rversibilit : avec la mme cl secrte initiale, si on tape le message clair, on obtient le message
cod, et avec le message cod, on obtient le message clair.
Source : http://www.bibmath.net/
Cl :
Table de connexion
Position initiale des rotors.
1940 : machine de lorenz : gnration de

flux pseudo-alatoire et combinaison avec le
texte clair (roue qui tourne et gnre une srie de
chiffres qui vont servir de code de chiffrement).
Intrusions clbres :
Les annes 1970 : Le phreaking n aux tats-Unis dans le domaine

tlcommunication : Bell tlphone qui, suite la publication de la
constitution de ses machines, sest vu escroquer ses lignes tlphoniques
gratuitement.
1981 : pntration dans la centrale tlphonique COSMOS de la socit
Pacific Bell puis dtournement dappel tlphonique : kevin mitnick.
Kevin mitnick : clbre phreaker a prpar son intrusion par une
technique de collecte dinformation via le contact humain : ingnierie
sociale .
Cest lobjet de son livre sortis en 2002 intitul lart de la
supercherie/escroquerie
Aspects historiques
1983 : intrusion (kevin mitnick) au ministre de Dfense via une machine de
luniversit de Californie
ARPAnet est un rseau
initialement militaire entre le
ministre de dfense et les
tablissement universitaires,
son objectif tait de garantir la
communication militaire (de
rserve) en cas dattaque
nuclaire.
Kevin Mitnick rcidive en se procurant un compte valide de

luniversit califonia qui est lie lARPA (advanced research project
agency)
1994 : mise en pratique de lIP spoofing (usurpation dadresse IP) pour pntrer le
rseau de Tsutomu Shimomura (ancien hacker) et utilisation de SYN flooding (envoi massif
de paquet TCP pour paralyser une machine) et le vol de session TCP.
dtection tardive de lintrusion par journalisation
- 1995 : Vladimir Levin, jeune diplm russe se connecte des

serveurs de la CitiBank.
Rcupration les identifiants et mots de passe de plusieurs clients de
la banque amricaine,
Transfert de 10,7 millions de dollars des comptes des clients de la
CitiBank vers les comptes bancaires aux Etats-Unis, en Hollande,
en Finlande ainsi quen Allemagne et Isral.
CitiBank a russi rcuprer 10,3 millions de dollars
Vladimir Levin fut condamn 3 ans de prison et une amende de
240.000 dollars.
- 1996 : Timothy Lloyd (Administrateur Systme) aprs 11

ans de travail fut licenci par Omega Engineering
(fournisseur de composants pour la NASA).
Pour ce venger, il dissimula une bombe logique compose
de seulement 6 lignes de codes dans le systme de la
socit.
la bombe virtuelle explosa, dtruisant une partie
importante des donnes de la socit Omega
Engineering, des dommages estims plus de 10
millions de dollars.
- 2001, des pirates qui nont pas t dcouverts ce jour

ont russi sintroduire dans un ordinateur de lUS
Navy et voler les codes source dun programme
OS/COMET , permettant le guidage des missiles et
des satellites grce au systme GPS.
Daprs les analyses, les pirates nauraient russi copier
que deux tiers du code source, rendant le programme
inutilisable.
- 2001-2002 : intrusion NASA et Pentagone par Gary

McKinnon recherche de preuves de l'existence
des OVNIs. Pertes financires colossales aprs arrt
du systme informatique dune base navale.
- 2010 : Intrusion hackers chinois contre google et le
systme Gaa accs des comptes Gmail de
militants des droits de lhomme et de la libert
dexpression .
- 2011 : vol de donnes personnelles de quelque 100
millions de clients sony revendiqu par Lulz
Security.
2011 : Reda Cherqaoui white-hacker, Createur de Viventic

communications laureat de lEcole marocaine des sciences de
lingnieur (EMSI), accde aux informations intgrales de 80.000
personnes sur Facebook.
Groupe de hackers : Anonymous : lancement dattaques contre
des sites de socits cibles comme ennemies des valeurs
dfendues par le mouvement : libert et dmocratie : lancement
du mouvement Occupy Wall Street.
NB: volution dune piraterie individuelle vers une piraterie
collective.
Sommaire :
Dfinitions
Aspects historiques
Modles de scurit: ractif/proactif
Politique de scurit
Les techniques de scurit ont notablement volu vers la

prvention alors quelles consistaient en une limitation des dgts
aprs dfaillance dun systme. On distingue deux modles de
scurit :
Attitude ractive (dfensive): il sagit historiquement du
premier type dattitudes : les administrateurs ajoutent des
mcanismes de scurit en fonction des besoins au cas par
cas. Cest une raction aprs sinistre : une protection
posteriori.
Attitude proactive (offensive) : les administrateurs de scurit
effectuent des analyses de risque mettant en place des
contrles strictes et des outils permanents de surveillance.
Cest une protection priori qui anticipe les attaques (adhrer
des coalitions qui localisent et dmantlent les rseaux de
hackers).
Introduction
Modle proactif :
Analyse et valuation de risque : un bilan de ltat actuel de la

scurit dans lentreprise (quelles ressources protger, quelles
menaces sattendre, comment se protger),
NB: Historique des incidents et ractions
Les incidents de scurit dj rencontres, les pertes
occasionnes et les ractions entames. utile pour se prmunir
contre les intrusions similaires.
incident
pertes
raction
Historique des incidents et ractions
Introduction
Compromis Ouverture/exposition :
la mutation des mthodes de travail des entreprises a induit une volution des
systmes dinformation et une ouverture sur de nouvelles techniques :
les transferts de fichiers,
le courrier lectronique,
les listes de diffusion(envoi de mail plusieurs utilisateurs)
Laccs distant aux services locaux
ont permis un dveloppement fructueux des changes.
Cependant, cette ouverture a occasionne lexposition de nouvelles formes
de malveillances pouvant nuire au fonctionnement normal des organismes
viss.
Compromis : ouverture/exposition.
Sommaire :
Dfinitions
Aspects historiques
Politique de scurit
Introduction
Caractristiques des malveillances

Une malveillance se caractrise par son aspect
Imprvisibilit : (alatoire ds le temps et lespace)

Complexit : (form de plusieurs sous-attaques : chanes dexploits).
Le niveau de danger de ces malveillances peut varier dune
simple consultation jusquaux

altrations des donnes et intrusions les plus graves considrs comme
des crimes ou dlits pouvant entrainer des poursuites judiciaires (35 ans
pour lintrusion de kevin Mitnick).
Sommaire :
Dfinitions
Aspects historiques
Politique de scurit
Introduction
Politique de scurit
Dfinition :
Elle indique lorganisation mettre en place, des
structures dfinir, lensemble des mesures prendre
afin :
dempcher (freiner) lutilisation anormale, lintrusion ou la

dtrioration des systmes et rseaux ;
de dtecter toute atteinte, malveillante ou non, lintgrit, la
disponibilit et la confidentialit des informations ;
dintervenir afin den limiter les consquences et, le cas
chant, poursuivre lauteur du dlit.
Empcher
dtecter
Restituer
Introduction
Politique de scurit
Une bonne politique de scurit requiert:
Un capital humain : bien form
Une logistique la hauteur des besoins et du patrimoine
numrique de lentreprise (larsenal ncessaire pour la protection
dune banque est diffrent dune petite entreprise de service par
exemple)
Une sensibilisation des utilisateurs vis vis des responsabilits
juridiques des fraudes
Sommaire :
Dfinitions
Aspects historiques
Politique de scurit
Introduction
Aspects dune politique de scurit :
on distingue deux aspects caractristiques essentielles de

la politique de scurit dun systme dinformation :
la Globalit
la minimisation de contrainte
1. Aspect globalit
Le concept de scurit est un ensemble
dentits(mesures) cohrentes (non
contradictoires) et interdpendantes demandant
une synergie des intervenants pour mener bien
le projet de scurisation des ressources.
IDS
des alertes dintrusion
dterminer
la vulnrabilit
modifier les rgles

sur les firewalls
Structure pour ragir

ces alertes temps rel
Source de lattaque
mise jour
(IDS, antivirus)
Exemple de cohrence : politique de scurit
Aspect minimisation de contrainte

Les problmes de scurit peuvent tre :
Interne : provenir de lintrieur de lentreprise (personnel ou

les utilisateurs itinrants).
Externe: provenir dun agent externe nayant pas le droit
lgitimement daccder aux ressources de lentreprise
(personne trangre, collaborateurs).
Une tude a montre que les utilisateurs internes des

systmes dinformation sont la source de 67% des
problmes de scurit.
Source de ltude : Impact des dcisions informatiques: Introduction l'informatique Par Philippe Dugerdil, 2005
Introduction

Les utilisateurs internes du SI considrent la scurit comme un
ensemble de contraintes incompatibles avec leurs objectifs, il vont
tenter de contourner les contraintes de scurit mises en place pour
accder plus facilement linformation.
un compromis entre des mesures fortes mais restrictives et des mesures

allges mais compromettantes.
Introduction
Exemple 1:
serveur mail interdisant les pices jointes dune certaine extension juge risqu par
ladministrateur de scurit (.exe par exemple).
Les utilisateurs demandent leurs correspondants de changer dextension ou
dincorporer le fichier dans un autre.
le fichier se trouve au sein du SI de lentreprise et constituera un risque potentiel.
Exemple 2:
Une organisation protge son rseau interne par le biais dun filtre de paquet .
Un utilisateur installe un modems sans fil permettant une connexion directe mais non
protge.
Le filtre de paquet est contourn et une brche est ainsi cre rduire nant les
efforts de scurit et les investissement normes de lentreprise.
Mme les mesures de scurit les plus strictes vont tre contournes par les utilisateurs.
Concevoir une Politique de scurit

Modle PDCA ISO27001
Modle PDCA ISO27001
connu sous le nom de Roue de Deming, le modle PDCA (PlanDoCheck-Act) est lillustration dune mthode de gestion en 4
tapes.
1re tape, Planifier, consiste planifier la ralisation. Elle se
droule gnralement en 3 phases:
1. Identifier le problme
2. Rechercher les causes
3.elaborer des solutions et un cahier de charge
2 tape, Dployer, est la construction, le dveloppement et la

ralisation de luvre.
3 tape, Contrler, consiste vrifier quil ny a pas dcart entre
ce que lon a planifi et ce que lon a deploy.
4 tape, Agir, est la correction et lamlioration continue de la
solution.
Synthse
Pourquoi scuriser un SI:
Protger les ressources de type logiciel ,
matriel et donnes .
viter les arrts de service de lentreprise.
Protger judiciairement les utilisateurs contre les
malveillances quils peuvent commettre leurs
insu (zombie).
Sommaire
Chapitre 1 : Introduction
Chapitre 2 : Concepts scurit
Chapitre 2 : Concepts
scurit
- Vulnrabilits -
Concepts de la scurit
la mise en uvre de toute politique de scurit efficace passe par :
La comprhension des faiblesses de notre SI appeles
vulnrabilits,
prendre connaissance des menaces qui existent autour de
lenvironnement de notre Systme et
des risques qui peuvent exploiter ces faiblesses et enfin
de mettre en uvre les protections qui simposent.
Comprendre le mode opratoire type des intrusions
On se propose de dfinir les concepts cls suivants:
Vulnrabilit
Menace
Risque
Protection : Contre mesure (parade)
Intrusion
3
Vulnrabilit :
Dfinition : (faille, brche) une faiblesse non apparente lors de la
conception, la mise en uvre ou lutilisation dun produit
matriel ou logiciel pouvant altrer, si elle est dcouverte par une
personne malveillante, la scurit dun systme.
Exemple : vulnrabilit du produit sygate (2002) permettant
lintrusion sans contrle de paquet portant l@IP Srce celle de
bouclage : 127.0.0.1
Vulnrabilit :
Une vulnrabilit est corrige mesure de sa dcouverte par des
correctifs (patch) qui sont disponibles sous forme :
Modifications du code source et recompilation : open source.
Programme excutable qui apporte les modifications au
logiciel originel : applications propritaires (windows).
Quand les correctifs deviennent importants on les regroupe dans
un Service Pack.
Familles des vulnrabilits
Gnralement les vulnrabilits sont classes selon le domaine auquel elles sont
lies, on distingue 3 types
Vulnrabilits lies au domaine Physique(matriel et quipements)
Organisationnel (RH)
Technologique (services, applications, OS)

Vulnrabilits lies au domaine physique :
on peut noncer dans ce cadre :
Manque de redondance et de ressources au niveau quipement : (Redondance : duplication des
lments physique permettant la continuit
continuit du service malgr
malgr les pannes occurrentes.
Si le pont tombe en panne:
pas d
dacc
accs au serveur,
pr
prvoir un 2eme pont
Btiment A
Btiment B
Accs non scuris aux salles informatiques(contrle daccs physique par

carte)
Absence ou mauvaise stratgie de sauvegarde de donnes (si aucune politique de
sauvegarde nest entame, les donnes sont irrcuprables aprs un sinistre).
7
Exemple : Redondance
Redondance : quipements
rseau, serveurs, liaisons
Switch cisco
Nexus 5020

Vulnrabilits lies au domaine organisationnel :
Manque de
ressources humaines et de
personnel qualifi.
Manque de contrle priodique, de moyens
organisationnels et de document de
procdures adapt lentreprise (charte de
scurit)

Vulnrabilits lies au domaine technologique :
Failles nombreuses dans les services et applicatifs web et les

bases de donnes
Pas de mises jour des systmes dexploitation et des
correctifs
Rseaux complexes non protgs (plusieurs segments)
Bien configurer les

routeurs et dfinir
les rgles de filtrage
10

Exemple : faille technologique
1. Vulnrabilit du service TCP/IP
Ces vulnrabilits hrit du manque de scurit de TCP/IP se
retrouvent dans un grand nombre d'applications comme
celles bases sur les services RPC(Remote procedure call), les
serveurs FTP, les serveurs de messageries notamment
Sendmail, etc...
En effet TCP est un protocole de transport fiable assurant la

livraison des segments de donnes mais ne fait aucun contrle
sauf celui de l@IP source et destination et numro de
squence usurpation
11

Exemple : faille technologique
2. Non chiffrement des donnes
la plupart du trafic transitant dans le rseau interne
seffectue en clair.
Facilit de surveiller et de collecter des messages (mail
par exemple), des mots de passes et autres
Le login et le mot de passe
transitent sur lentte du
protocole IMAP(internet mail
acces protocol) en clair
12
tats de scurit dun systme
Il existe trois tats que peut

prendre un systme dinformation:
tat scuris
tat vulnrable
tat compromis
13
Lanalyse post-mortem consiste identifier

les services compromis
Le degr de perte (lecture, modif, destruction des
donnes)
la source de la compromission : les traces du malveillant
14
tats de scurit dun systme
Principe : Un Systme d'Information (SI) ne se maintient pas

dans un tat stable de scurit, il drive de lui-mme vers un tat
sans scurit qui est son tat naturel d'quilibre : un systme ne
devient scuris quaprs lintervention de ladministrateur.
Une vulnrabilit est une partie intgrante de tous systme

(certaines failles sont prsentes pendant des annes avant dtre
dcouvertes : on peut citer des failles du service IIS(Internet
information service) dcouverte en 2001 et exploit par un virus :
CODERED).
15
Cycle de vie dune vulnrabilit

Six stations sont importantes dans la dure de vie dune
vulnrabilit :
La dcouverte de la faille (interne ou externe, malveillante ou
non).
Avertissement du concepteur (ou non).
Publication de la faille (par le concepteur ou par des
organismes de diffusion (CERT: Computer Emergency
Response Team ) ou bien par les hackers malveillants :
publication underground).
Dveloppement du correctif par le concepteur
Application du correctif par les administrateurs de scurit
Disparition de la vulnrabilit
16
Les administrateurs de scurit doivent
si un exploit a t mis en uvre exploitant la

vulnrabilit, ladministrateur doit dans ce cas
consulter les bulletins de scurit des constructeurs de

matriel ou logiciel pour sinformer des nouvelles failles
appliquer les patchs et planifier des mises jour
automatiques
radiquer lexploit puis

colmater la vulnrabilit
sinon si la machine na pas t infecte par une attaque

alors il lui suffit dappliquer le patch
17
Cycle de vie dune vulnrabilit

Organismes de diffusion des vulnrabilits
CERT : Computer Emergency Response Team
(centre dexpertise d'alerte et de raction aux
attaques informatiques), sont des organismes de
scurit officiels chargs d'assurer des services de
prvention des risques et d'assistance aux
traitements d'incidents.
Objectifs :
collecte des informations sur les incidents de scurit,

constituer une base de donnes des vulnrabilits,
publication de bulletins dalerte.
18
Le premier CERT t cre en 1988 aux tats

unis suite au lancement sur internet dun virus
paralysant des milliers de machines.
En France par exemple, il y a 3 CERTs selon le
domaine de comptence:
CERT-IST (Industrie, Services) : dans le
domaine de lindustrie et autres
CERT-RENATER : enseignement et recherche
CERTA : pour ladministration
19
20
Les CERTs font partie dun rseau mondiale
(forum FIRST : Forum for Incident

Response & Security Teams) pour changer
leurs alertes.
21
scurit
- Menaces -
Menace
Dfinition : cest un danger qui existe dans lenvironnement dun

systme, toute action ou vnement pouvant porter prjudice
ce que lon dsire protger (information).
Cest laction pouvant porter atteinte lune voire plusieurs
caractristiques critiques de linformation et du systme qui la
traite : confidentialit (fichiers), intgrit (mission-rception) et
la disponibilit (services offerts).
Menace
Caractristique :
Une menace se veut gnrique : elle ne dpend pas du
contexte et du systme tudi, elle est valable pour chaque
entreprise, individu ou entit quelle vise (virus, incendie,
dgts des eaux).
Une menace ne peut sexcuter seule, elle lui faut un ractif :
une vulnrabilit
Classes des menaces

les menaces sont classes selon 2 critres:
la motivation de leurs acteurs
Le degr daltration des donnes
Classe des menaces
Critre 1 : les menaces sont classes selon la

motivation de leurs acteurs, on cite les menaces :
A/ Intentionnelles
B/ Accidentelles
C/ Erreurs ou omission
La malveillance constitue la catgorie la plus

significative.
Classe des menaces

A/ Intentionnelles/ malveillantes : des actes
malicieux, calculs et volontaires dans le but de
dstabiliser un systme dinformation ou le rendre
inoprant.
Exemple :
Espionnage : accs aux donnes confidentielles

Sabotage : arrter ou faire dysfonctionner un service
NB : Piratage : toutes sortes dintrusion dans un SI pour des

actions malveillantes.
B/ Accidentelles : problmes imprvus : incendies,

surtensions, coupures de courant.
C/ Erreurs ou omission:
Mauvaise manipulation
omission de sauvegarde
mconnaissance des nouvelles menaces
Absence de
mise jour du systme de scurit

manque de formation en matire de scurit
Classe de menaces
Critre 2 : Les menaces peuvent tre classes

selon : Le degr daltration des donnes, on
distingue
menaces passives: couter et copier les donnes

Menaces actives : altrer les donnes ou services
Classe de menaces
Rcapitulatif :
Critre 1 : les menaces sont classes selon la

motivation de leurs acteurs, on cite les menaces :
Malveillantes/Intentionnelles
Accidentelles
Le fruit derreurs ou omission
Critre 2 : Les menaces peuvent tre classes

selon : Le degr daltration des donnes, on
distingue
menaces passives: couter et copier les donnes

Menaces actives : altrer les donnes ou services
9
scurit
-Menaces malveillantes-Attaques10
Pourquoi ladministrateur de scurit doit

connatre les mcanismes dattaques?
Activer les mesures de protection et de raction
pour limiter leurs impacts.
Sensibiliser les utilisateurs non avertis des
dangers de divulgation ou dexposition des
ressources de lentreprise.
11
Facteurs de russite dune attaque :

Connaissance de la cible et de ses vulnrabilits
(scan de ports, dtection de faille,)
Capacit de rendre lattaque furtive
(indtectable) : rootkit, effacer les traces
Clrit de ralisation de lattaque.
12
Attaques : typologie
Ingnierie sociale
Attaques rseau
Accs non autoris
usurpation identit:
1-login/password
2-Ipspoofing
DoS : denial of service
DDos : distribute DoS
coutes rseau
empoisonnement cache
ARP
switch jamming
MITM
MITM dans le cas
chiffr
Vol de session TCP
IDLE scan
Attaques web & BD

Dfacement de site web
Dtournement de mail
Cybersquatting
Typosquatting
Phishing
injection sql
Attaques virales
Cheval de Troie
virus
13
Ingnierie sociale : technique utilise comme

tape prliminaire pour mener une attaque
complexe. Cest une exploitation de la crdulit
des utilisateurs et un abus de la confiance et de
lignorance de limportance des rgles de scurit
afin de soutirer des informations confidentielles
(login, mots de passes, fichiers, )
14
Attaques rseau
Accs non autoris

usurpation identit:
1-login/password
2-Ipspoofing
coutes rseau
empoisonnement cache ARP
switch jamming
MITM
MITM dans le cas chiffr
Vol de session TCP
IDLE scan
15
Accs non autoris : accs frauduleux o

une personne accde une ressource quelle
na pas droit dutiliser.
16
Attaques rseau
Accs non autoris

usurpation identit:
1-login/password
2-Ipspoofing
coutes rseau
switch jamming
MITM
Vol de session TCP
IDLE scan
17
Usurpation didentit : accs un systme

avec une fausse identit :
Extorquer
le login et password pour accder au
systme.
Modifier l@ SRCE dun paquet : IP spoofing
18
IP spoofing
Dfinition : Envoi des datagrammes IP par une machine
malicieuse en utilisant l@IP dune autre machine dans
lobjectif de :
Masquer sa propre identit lors dune attaque pour viter
de localiser la provenance de l'attaque. .
Bnficier des services auxquels machine possde avec une
machine de confiance
Dtourner le filtrage ayant comme critere l@IP SRCE
19
IP spoofing
On distingue
La machine spoofe : cest la machine avec laquelle la
machine attaquer entretient des liaisons de confiance
(appartenance au mme rseau local par exemple)
La machine cible (victime) : une machine offrant un
service donne et qui est cible dune attaque.
20
IP spoofing
Exemple 1
21
IP spoofing
Exemple 2
Relation de confiance
22
IP spoofing
Exemple 3
23
Datagramme IP
24
L'IP spoofing a souvent lieu contre les services

rlogin et rsh car leur mcanisme
d'authentification est base sur l'adresse IP de la
machine cliente
rlogin : protocole dauthentification distance
sans login et mot de passe seulement avec
l@IP.
Rsh : excution dune commande distance sur
une autre machine
25
Attaques rseau
Accs non autoris

usurpation identit:
1-login/password
2-Ipspoofing
coutes rseau
switch jamming
MITM
Vol de session TCP
IDLE scan
26
Attaques DoS
Dni de service:
Dfinition: attaque visant la saturation dun systme de fausses
requtes dans le but dempcher le fonctionnement normal dune
application sensible de lentreprise (site des commandes en-ligne,
application dchange avec des partenaires).
pas daltration ni rcupration de donnes, attaque touchant la
disponibilit.
Exemple :
janvier 2003 : attaque des serveurs corens et amricains affectant 13000

distributeurs de billets de la Bank of america avec destruction des
journaux de transactions.
Attaque 2002 et 2007 (1 heure) contre les serveurs DNS racines 7
serveurs parmi 13 : flux de 100 000 200 000 requtes par seconde (40
fois le volume habituel des requtes )
27
Attaques DoS
Autres techniques : mettre hors-ligne le serveur par nimporte quel
moyen que ce soit.
Couper lalimentation du serveur.

Inonder la cible par un flux important de messages (Emails, messages
diverses)
Exploiter les vulnrabilits pour rendre le serveur inutilisable.
28
Types de DoS
DoS direct: lattaquant tablit une relation directe avec la cible
Lattaquant laisse une trace : @IP source

Facilit de remonter la source
29
Types de DoS:
DoS par rebond:
Lattaquant ne laisse pas de trace : @IP source de la machine rebond

figure seul dans les LOG de la cible
Insu de lintermdiaire : on laisse croire que cest lui lattaquant.
difficult de remonter la source
30
Attaques rseau
Accs non autoris

usurpation identit:
1-login/password
2-Ipspoofing
coutes rseau
switch jamming
MITM
Vol de session TCP
IDLE scan
31
Attaque DoS distribue : DDos

distributed denial of service
zombie
1
Cest une attaque dun mme serveur

par plusieurs machines
simultanment.
N.B. 150 millions/ 600 millions d'ordinateurs

connects Internet appartiendraient un
botnet leurs insu (dclaration en 2007 par
Vinton Cerf fondateur internet)
32
Botnet : exemples
diffuser des spam,

paralyser des serveurs Web (avec ou non demande de ranons)
voler des donnes sensibles.
33
Exemple DoS
1/ ICMP Flooding
2/ SMURF
3/ SYN flooding
34
ICMP Flooding
Principe:
La mthode consiste en l'envoi d'une multitude de paquets
"ICMP echo-request", (en modifiant ou non l'adresse source de
chaque paquet). La machine cible est sature par cette multitude
de petits paquets et ne peut plus rpondre aux demandes de
connexions car l'ensemble de la bande passante est utilise.
Inconvnient : limit par la bande passante de la machine de

lattaquant
35
Smurf
Principe:
faire planter un serveur sous la rception d'une multitude de
rponses des requtes qu'il n'a pas pos.
Envoi d'un paquet ICMP echo-request en broadcast avec une

fausse adresse source (machine cible) . Les cibles rpondent
"normalement" cette requte "ping" par l'envoi de
datagrammes ICMP la fausse cible. Sous la masse considrable
de ces datagrammes, la cible est submerge et plante.
la diffrence dune attaque de type ICMP Flood, ici, un seul

paquet cre un flux considrable de datagrammes ICMP en
rponse et l'attaquant bnficie de la trs large bande passante
des ordinateurs intermdiaires.
36
Smurf
Bande passante 2
Bande passante 1
37
SYN flooding
Principe :
mission dun nombre important de demandes de synchronisation
TCP vers un serveur
But : nombre de SYN important saturation des ressources serveur
Dni de service
Exemple : SlowLoris
(attaque applicative pour
serveur web apache)
38
Attaques rseau
Accs non autoris

usurpation identit:
1-login/password
2-Ipspoofing
coutes rseau
switch jamming
MITM
Vol de session TCP
IDLE scan
39
coute du trafic : intercepter les paquets

transitant sur un rseau pour y dceler des
informations confidentielles
coute
passive : wireshark,
active : ping/traceroute qui envoie des paquets et
mesure du RTT, ltat de la liaison, les IP des
routeurs traverss).
40
Possibilits dcoute sur un rseau:

Diffus : facile
commut : moyennant des attaques :
switch jamming
Empoisonnement cache
ARP de la victime
41
coutes rseau
switch jamming : Quelques commutateurs anciens peuvent

tre transforms en mode diffusion. Il faut inonder les
tables de commutation avec une multitude de paquets dots
de fausses adresses MAC.
Empoisonnement cache ARP de la victime pour faire un
hijacking
42
Attaques rseau
Accs non autoris

usurpation identit:
1-login/password
2-Ipspoofing
coutes rseau
switch jamming
MITM
Vol de session TCP
IDLE scan
43
coutes rseau
MITM : cas non chiffr (ARP)
Principe : Empoisonnement des deux caches ARP
44
coutes rseau
MITM : cas chiffr
Principe : falsification des cls
45
symtrique
Rapide
Ncessite un change
scuris de cls
asymtrique
Le rcepteur du message (x) gnre deux cls, une
secrte quil garde et une publique quil diffuse
lmetteur du message quil dsire recevoir de lui.
La cl publique sert chiffrer le message du cot de

lmetteur et
la cl priv sert le dchiffrer du cot du rcepteur.
Exemple: XOR
46
Rcepteur
publique1
priv1
publique2
+
publique2
Homme au
milieu
Lintrus leurre le
rcepteur en lui
faisant croire quil
est lexpditeur :
dissiper le doute
Expditeur
publique1
publique2
publique1
+
priv2
+
Lintrus dchiffre le
msg de lexpditeur
47
Lattaque MITM :
suppose une autre attaque : empoisonnement du
cache ARP.
Ne permet de dchiffrer que les messages de
lmetteur vers le rcepteur.
48
Attaques rseau
Accs non autoris

usurpation identit:
1-login/password
2-Ipspoofing
coutes rseau
switch jamming
MITM
Vol de session TCP
IDLE scan
49
Voir TP
50
Attaques web & BD

Dtournement de mail
Cybersquatting
Typosquatting
Phishing
injection sql
Attaques virales
Cheval de Troie
virus
51
le dfacement, dfaage (defacing) est

un anglicisme dsignant la modification non
sollicite de la prsentation d'un site web, la
suite du piratage de ce site.
Moyens :
Via injections sql : le pirate obtient le
login/passwrd enregistrs sur une BD.
FTP : une fois le login/password obtenus, le
pirate heberge la page modifie.
52
Dtournement de mail : rcupration
de messages dune personne de manire

illgale en utilisant le
transfert de
mail,
mailsquatting,
leurre par usurpation didentit.
53
Exemple
Dtournement de mail : techniques
a/transfert de mail :
lattaquant accde au moins une fois la messagerie
de la victime et active la fonction de transfert de mail
reus vers une boite de lattaquant.
Les mails reus sont alors transmis vers lattaquant.
Contrainte : ncessite davoir auparavant pirat son
mot de passe.
54
Transfert de mail :
Transfert de mail sur yahoo
55
b/mailsquatting : lattaquant installe un service de

messagerie public avec un nom sapprochant dun nom
connu : exemple justice.com
Lattaquant compte sur linattention des internautes
concernant lutilisation des noms et il pourra recevoir
sur ce serveur des mails errons pouvant contenir des
informations importantes.
Contrainte : les organismes de rglementation vrifient
les noms de domaine avant de les attribuer.
Pour lentreprise : acquisition de nom de domaine
proche de son nom et linclure comme charge de
scurit combinaisons difficiles prvoir.
56
c/envoi de message pour leurrer les internautes:

Envoi dun message de vrification didentit ou des
problmes de congestion qui poussent lorganisme
dsactiver les comptes
Se faire passer pour ladministrateur du site afin de
rcolter des informations confidentielles.
57
Exemple : message de leurre sur la messagerie
58
Cybersquatting : se procurer un nom de

domaine qui correspond une marque bien
connue pour ensuite le revendre aux ayants
droits (france3.com)
59
Exemple : cyber-squating
Site portant le nom de France3.com la proprit dun squatteur, le

site a t revendu france3 et donne une redirection vers france3.fr
60
Typosquatting: tronquer le nom dune marque

connue pour profiter des erreurs de frappe des
internautes afin de les rediriger vers un site clone
lui permettant
davoir des infos confidentielles (num de comptes
bancaire, mot de passe carte guichet,)
Motivation idologique : attijariwafabank
atijariwafabank
Profit financier.
61
Attaques web & BD

Dtournement de mail
Cybersquatting
Typosquatting
Phishing
injection sql
Attaques virales
Cheval de Troie
virus
62
Phishing : mot deriv des termes phreaking

(dtournement de communications des centraux
tlphoniques) et de fishing (pche).
Utilisation de la messagerie lectronique pour
leurrer les internautes afin de les inciter livrer
eux-mmes sur un site web leurs informations
sensibles (logins, password, num de compte) qui
seront ensuite exploits des fins malveillantes.
63
64
Source : wikipedia
65
Attaques web & BD

Dtournement de mail
Cybersquatting
Typosquatting
Phishing
injection sql
Attaques virales
Cheval de Troie
virus
66
Cheval de Troie
Le cheval de Troie est un logiciel en apparence

lgitime, mais qui contient une malveillance. Le
rle du cheval est de faire entrer un programme
sur l'ordinateur et de linstaller l'insu de
l'utilisateur.
Rcuprer des infos confidentielles linsu de
lutilisateur
Envoi de spam travers cette machine
67
Virus
Dfinition
: un virus ou CPA (Code Auto

Propageable) est un programme autonome
conu pour se reproduire et se diffuser par
tous les moyens dchange informatiques
dans le but de nuire au bon
fonctionnement dun systme
informatique.
68
Virus
Proprits dun virus : les proprits les plus

gnrales sont :
Le mode de reproduction :
automatique/intervention de lutilisateur
Actions quil engage : changement dextension des
fichiers, saturation des disques durs, altration de la
mmoire...
69
Quelques types de virus:

1/Ver (Worm) : tandis quun virus normal a besoin
pour se reproduire de lintervention manuelle de
lutilisateur victime(infection dun programme
excutable pour se propager ), un ver est capable de
se reproduire de manire autonome sans aucune
intervention
Exemple : Code Red qui infecte les serveurs IIS 5
70
Exemple 1:
On reoit un Email avec en pice jointe un programme
prsent comme un nouveau jeu. Cest un virus car il est
inoffensif tant que lutilisateur ne le lance pas, il naffecte la
machine quavec laide de lutilisateur.
Exemple 2 :
un programme a affect une machine du rseau, il utilise une
faille de scurit de votre systme dexploitation et se
reproduit automatiquement dans toutes les machines du
rseau.
cest un ver car il sest reproduit sans laide de lutilisateur.
71
2/ Rtrovirus : cest un virus qui a la particularit

dattaquer les antivirus. Ds infection de la
machine ils procdent
larrt des antivirus afin dviter dtre dtects,
Dsactivation de la procdure de tlchargement
automatique des mises jour
Dsactivation du pare-feu
Exemple : Fizzer qui rallie les fonctionnalits

ver et rtrovirus.
72
Mcanisme dinfection rtrovirus: exemple rtrovirus Fizzer
La victime Tlcharge le fichier en pice jointe/sur un support qlcque. Le

virus bnficie des droits de la victime.
Si la victime rapatrie le virus en session administrateur, le virus dispose des
mmes droits :
Modification de la base de registre :
Ecriture dune cl :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SystemInit=(chemin disque du virus)\iservc.exe
pour dmarrer automatiquement avec le systme
Le virus sinstalle sur la Mmoire

Reconnaissance de lantivirus et puis dsactivation : recherche par chaine de
caractre : ANTIV AVP F-PROT NAV SCAN TASKM VIRUS VSS
Excution dun code malicieux : ouverture dune porte drobe : dmarrage dun
serveur http ou telnet et liaison avec un port permettant laccs distant.
73
scurit
- Risque -
Risque
Dfinition : un risque est la probabilit quune menace

exploite une vulnrabilit pour causer un dommage.
Principes cls de la gestion de risque:
Assumer que les risques sont inhrents tout systme ou
processus
Spcifier les risques avant de les grer : identification et
dfinition prcise
valuation des risques en continu : ladministrateur doit
rgulirement rvaluer les risques en raison des
changements continus survenant dans lenvironnement
du SI,
Caractristiques dun risque

Un risque est caractris par:
Une source: intrus, employ malveillant,...
Une menace : programme malveillant, virus,

Potentialit : Probabilit doccurrence
Une vulnrabilit : physique, technologique,
humaine,...
Impact (prjudice) : la consquence de la
menace
Protections (parades): mesures pour sen
protger
3
Mthodologie danalyse de risque

Il existe des mthodologie danalyse et valuation des risques :
MEHARI : MEthodologie HArmonise dAnalyse des RIsques

EBIOS : Expression des besoins et identification des objectifs de scurit.
OCTAVE : Operationally Critical Threat, Asset and vulnerability
evaluation
Mthodologies dordre gnral quil faut adapter aux besoins de

lentreprise tudier (taille, nature des donnes, besoins en
scurit).
Elles permettent une tude quantitative des ressources,
vulnrabilits, menaces et protections.
scurit
- Protections/parades -
Protection
Dfinition: une protection ou contre mesure est

lensemble des moyens mis en uvre pour rduire les
risques qui pourraient nuire au bon fonctionnement du
systme dinformation.
Classes des protections : les mesures de protection
peuvent tre:
Prventives
Dtectives
Correctives
Protections de base
Nous rsumons les protections de base que lon
doit mettre en place pour garantir lessentiel de
la scurit interne:
Protection lectrique
Journalisation
Tolrance aux pannes
Sauvegardes
Filtre de paquet
Dtecteurs dintrusion
Chiffrement
VPN
scanners
Protections de base
Onduleurs
Groupes lectrognes
Protections de base
Dfinition : : (UPS : Uninterruptible Power Supply : support dnergie
ininterrompu) : un dispositif permettant la protection du matriel
lectronique (quipements rseaux, serveurs) contre les alas
lectriques. Il est plac entre le rseau lectrique (branch sur le
secteur) et le matriel protger.
Un onduleur est un composant important de la scurit informatique
Protections de base
Composants :
Un onduleur se compose de trois parties.

le redresseur qui transforme le courant alternatif du secteur
en un courant continu destin charger les batteries.
les batteries qui stockent l'nergie
l'onduleur (convertisseur) qui transforme la tension continue
dlivre par les batteries en une tension alternative de 230
volts 50 Hz, identique celle du secteur.
Redresseur
Batteries
convertisseur
10
Protections de base
Fonctions de base :
Coupures :
1/ Maintenir l'alimentation du matriel pendant un temps rduit (de l'ordre 5
10 minutes) grce l'nergie emmagasine dans la batterie de secours ce qui
permet la sauvegarde des donnes en transit.
Au-del du temps d'autonomie de la batterie de l'onduleur, on peut
basculer vers d'autres sources d'nergie (groupe lectrogne par
exemple..).
Surtensions/chutes :
2/ Dconnecte les appareils en cas de surtension, foudre etc.
3/ Rgulation de la tension lectrique : L'onduleur permet de supprimer les
crtes de tension dpassant un certain seuil : chute / pic
Exemple de chute : En noir la tension secteur,

en vert la sortie onduleur. Idem pour les pics.
11
Protections de base
Types donduleurs :
Il existe 3 types:
Offline
Line interactive
On-line
12
Offline : ce type est branch en parallle via un relais qui ouvre le circuit
en cas de baisse ou hausse de tension mais ne permet pas la dtection des
microcoupures qui peuvent arrter le fonctionnement notamment des
serveurs.
destin aux postes de travail.
13
Line interactive : il permet via un branchement parallle et un relais

intelligent (dot dun processeur et mmoire) de dtecter les
microcoupures et de fournir la tension compensatoire ncessaire aux
composants,
Selon la qualit du relais : les variations de tension ne sont pas bien
rgules .
destin aux serveurs internes
14
On-line : ce type est branch en srie, et il permet une stabilisation

permanente de la tension secteur et permet de ce fait de dtecter les
microcoupures.
adapt aux serveurs sensibles.
15
3 types donduleurs :
u9
En cas de panne de londuleur,

Les quipements sont arross par la tension secteur dans le cas des
onduleurs en parallle
les quipements sont arross par la ligne bypass pour les onduleurs
srie.(un bypass peut tre automatique ou manuel)
16
Caractristiques dun onduleur :

La dure de protection lectrique se mesure en VA (VoltAmpere)
Rgle de calcul:
Pour 10 minutes de protection, la capacit de londuleur est la
puissance de tous le matriel couverts multipli par 1.6
Exemple:
Soit 100 quipements ayant chacun une puissance de 125W
la capacit de londuleur (pour une protection de 10 minute)=
125*100*1.6 = 20KVA
17
Exemple de Protection
Onduleurs
Groupes lectrognes
19
Groupe lectrogne
Dfinition : cest une source auxiliaire dnergie. un

dispositif dont la fonction principale est de
fournir llectricit soit dans les zones ou il ny a pas de

distribution lectrique
dfaillance provisoire du rseau de distribution
alimenter des secteurs trs sensibles ne supportant pas la
perte de donnes dues aux coupures lectriques (Banques,
hpitaux, etc).
Ils sont utiliss en complments avec dautres

quipements tel les onduleurs qui eux nassurent la
distribution que provisoirement sur une priode
avoisinant les 15 minutes.
20
Fonctionnement :
Ils fonctionnent partir de tous les carburants
Le principe du fonctionnement est la transformation
dune nergie mcanique (mouvement du moteur)
combin avec le champ magntique des bobines de
la turbine en une tension induite la sortie du
groupe.
Sa capacit est mesur en VA (volt ampre)
21
Exemple de Protection
Journalisation
Tolrance aux pannes
Sauvegardes
Filtre de paquet
Chiffrement
VPN
scanners
22
Types de protection
Journalisation : (logging) lenregistrement squentiel de tous les

vnements normaux et anormaux, touchant un processus en
excution, dans un fichier particulier appel (fichier journal) Log
file.
vnement 2
vnement 1
Processus
Jgfjgv
Bvhkhbvk
Bv,bv
..
.kbhkb*
Fichier Log
vnement N
23
Journalisation
Les fichiers journaux retracent tous les

vnements de linteraction du processus avec
son environnement class par ordre
chronologique. ils permettent :
Avoir des informations sur la perte de performance
dun systme
la dtection des traces des fraudeurs aprs intrusion.
24
Journalisation
Les systmes ont 3 types de logs au moins (les serveurs ont en plus) :
La log Systme contient les vnements rapports par les composants systme
(process, drivers..).
La log Application contient les vnements rapports par les diffrentes applications
installes sur lmachine.
La log Scurit :
les tentatives de connexion valides et non valides,
les vnements lis l'utilisation des ressources, : la cration, l'ouverture ou la suppression de
fichiers.
- sous windows Ces fichiers se trouvent dans : %SystemRoot%\System32\Config\
SysEvent.evt--AppEvent.evt--SecEvent.evt
- Les systmes Unix utilisent le protocole Syslog pour mettre en uvre la

journalisation systme : fichier : /var/log/syslog
en plus de fichiers de certaines applications : mail, mysql,
N.B : la log scurit peut tre paramtre pour auditer laccs des
ressources sensibles sur la machine locale ou distante et
ventuellement leurs lier des tches dalertes afin de dtecter tous trafic
suspect.
25
Exemple de log de scurit : Evnements dclenchs automatiquement

aprs une fermeture de session et une rouverture de session.
26
Journalisation
vnements :
Chaque log peut contenir 5 types d'vnements :
Information - Cet vnement indique, par exemple, qu'une application, un driver, ou

un service a dmarr correctement.
Erreur - Cet vnement indique un problme, une perte de fonctionnalit ou une

erreur pendant le dmarrage. Par exemple, si un service ne dmarre pas au dmarrage,
un vnement de type erreur sera crit dans la log.
Avertissement - Cet vnement non ncessairement significatif, peut indiquer un futur

problme. Par exemple, si l'espace disque devient trop restreint, un message
d'avertissement apparatra dans la log.
Audit des Succs - Ce type d'vnement apparat dans la log Scurit lors d'un logon
par exemple.
Audit des Echecs - Ce type d'vnement apparat dans la log Scurit lors d'un logon
par exemple, si un mot de passe erron a t entr.
27
Exemple: vnements sous Vista
28
Evnements de scurit suspects
Ces vnements sont considrs comme critiques et

peuvent rvler une tentative dintrusion en cours :
Tentatives d'ouverture de session non valides.

checs de tentatives d'utilisation de privilges.
checs de tentatives d'accs et de modification de fichiers
.bat ou .cmd.
Tentatives de modification des privilges de scurit.
Tentatives d'arrt du serveur.
29
Les fichiers logs peuvent contenir des informations

confidentielles (adresses IP, configuration du systme, liste de
processus...). Suivant l'environnement de travail, leur accs
devrait tre scuris. Pour cela, il faut limiter les droits d'accs
ces fichiers.
30
Protections de base
Journalisation
Tolrance aux pannes
Sauvegarde
Filtre de paquet
Chiffrement
VPN
scanners
31
Protections de base
Tolrance aux pannes (tolrance aux fautes):
Dfinition : cest La capacit d'un systme fonctionner
(ventuellement dans un tat dgrad : moins de service)
malgr une dfaillance d'une de ses composantes. Cest la
possibilit de passer un backup matriel ou logiciel pour
minimiser les temps darrt (down times).
Dans le cas de pannes matriel : il est prfrable dutiliser
des composante extractible chaud hot swappable pour
permettre de les remplacer sans arrter la totalit du
systme. Exemple : disque durs, batteries de londuleur
Critre de mesure de la tolrance:
Temps moyen entre pannes : MTBF (mean time between
failures ). C'est la moyenne arithmtique du temps entre
pannes d'un systme.
32
Tolrance aux pannes :

On cite deux exemples de base pour la tolrance aux
pannes :
Le systme RAID: qui permet une redondance au niveau du

stockage des donnes sur les disques physiques.
La rpartition de charge : qui permet une redondance des
quipements entiers en garantissant une disponibilit du
service.
33

Systmes RAID
Acronyme de : Redundant Array of Independent Disks : tableau

redondant de disques independants.
Dfinition : stockage des donnes sur de multiples disques
durs afin d'amliorer, la tolrance aux pannes et/ou les
performances de l'ensemble en cas de perte de lun des
disques durs.
Il existe deux types de RAID :
Logiciel et
Matriel
34

RAID logiciel:
Le contrle RAID est ralis par une couche logicielle du

systme dexploitation Pilote RAID.
Caractristiques:
Avantages :
Pas dinvestissement matriel : contrleurs
Inconvnients :
le diagnostic logiciel nest pas aussi performant quun diagnostic
matriel donc pas de dtection de dysfonctionnement temps.
La gestion logicielle ncessite une consommation processeur et bus
centrales affaiblir les performances gnrales du systme.
Le RAID logiciel est intgr dans la plupart des systmes

dexploitation linux et Windows.
35
RAID logiciel :
36

RAID matriel :
Le contrle RAID est ralis par une carte = un composant
lectronique qui peut tre intgr en carte mre ou via carte
dextension.
Un contrleur RAID gre tous les aspects du systme de stockage
RAID grce au microcode embarqu (firmware). Un micrologiciel
intgr dans le contrleur et permettant son exploitation.
Caractristiques :
Diagnostic matriel et donc Dtection des dfauts temps rel
Remplacement chaud des units dfectueuses (hot
swappable).
Reconstruction des disques dfaillants (aprs dpannage) de
manire transparente lutilisateur partir des autres disques.
Rduction de la charge du processeur central (dlgation au
processeur du contrleur)
37
RAID Matriel
38
Niveaux RAID
Niveaux RAID: il existe diffrents niveaux RAID avec possibilit

de combinaisons, toutefois nous allons se contenter des RAIDs
les plus importants.
RAID 0 : galement connu sous le nom de entrelacement de disques :
Fonctionnement de n disques en parallle (n2).
Les informations concernant le mme fichier sont dispatchs sur plusieurs
disques.
Cette solution noffre aucune tolrance aux pannes : car la perte dun
disque entraine la perte de toutes les donnes
Acclration des performances car un disque ninscrit que (1/n) des
donnes diminution du temps daccs aux disques en criture.
Destin aux applications requrant un traitement rapide d'une grande
quantit de donnes (serveurs de base de donnes ou entrept de
donnes).
39
Niveaux RAID
Exemple RAID 0:
Soit un fichier de 500 Ko, et un RAID 0 ayant une bande de 64ko et deux disques.
Le fichier sera partitionn en 8 bandes de 64ko reparties sur les deux disque de la manire suivante:
64KO
Inscription de
des donnes
52KO
Inscription de
des donnes
40
Niveaux RAID
Niveaux RAID:
RAID 1 : Mirroring
Fonctionnement de n disques redondants (n2).
Chaque disque contient les mmes donnes que les autres.
Excellent niveau de protection des donnes par duplication.
Accepte une dfaillance de (n 1) lments de la grappe
(lensemble des disques). disponibilit du service malgr la panne
de tous les lments sauf un seul.
Nombre de disques lev scurit leve Cot onreux de la
solution.
La capacit relle de stockage est divise par N (N disques)
Lors dune dfaillance :
Le contrleur dsactive le disque dfectueux
Remplacement (hot swap) du disque.
Reconstitution automatique du miroir par le contrleur RAID
aprs rparation
41
Exemple RAID 1
42
Niveaux RAID
Niveaux RAID:
RAID 5 :
Le miroitage RAID1 s'avre tre une solution onreuse, car ncessite
d'acqurir les priphriques de stockage en plusieurs exemplaires.
Ide : rduire la notion de miroitage au profit dune rgnration des
donnes manquantes partir des donnes restantes accessibles par la
notion de parit.
Le bit de parit est gale 0 si le nombre de 1 est pair, il est 1 si le nombre
de 1 est impair.
Lorsque l'un des n + 1 bits de donnes devient indisponible, il est alors
possible de rgnrer le bit manquant en appliquant nouveau la mme
mthode sur les n lments restants..
43
Niveaux RAID
RAID5 fonctionne en mode hybride, il combine la mthode de

lentrelacement de disques (striping) une parit rpartie
circulairement.
Ncessite imprativement un minimum de trois disques durs
Suppose que la probabilit de dfaillance simultane de plusieurs
disques est extrmement faible : Il tolre la panne dune seule
machine de la grappe
Dans le cas dune dfaillance dun disque il faut reconstruire:
Les bandes contenant la parit, il suffit de la recalculer
Les bandes de donnes : sont reconstitus partir des donnes
et de la parit de mme niveau
facilit de reconstruire le disque une fois chang
Rapidit en lecture : moyenne, voisine du RAID 0
En criture : pnalit supplmentaire cause du calcul de la parit
44
Exemple RAID5
Dfaillance du
disque 4
Reconstruction
facile : ou
exclusif
Reconstruction
donnes + parit
45
Rcapitulation
Systme
utilit
RAID 0
Ecriture : vitesse eleve

Lecture : vitesse moyenne
Tolrance aux pannes : nulle
RAID 1
Ecriture : vitesse faible

Lecture : vitesse rapide
Tolrance aux pannes (mirroring) - leve
RAID 5
Ecriture : vitesse faible

Lecture : vitesse moyenne
Tolrance aux pannes - moyenne
46

On cite deux exemples de base pour la tolrance aux
pannes :
Le systme RAID: qui permet une redondance au niveau du

stockage des donnes sur les disques physiques.
La rpartition de charge : qui permet une redondance des
quipements entiers garantissant une disponibilit du service.
47

Rpartition de charge:
Dfinition : L'quilibrage de charge (load balancing) consiste

distribuer une tche un pool de machines ou de priphriques afin :
de lisser le trafic rseau : rpartir la charge globale vers diffrents
quipements (serveurs) : clustering rpartition de charge;
Exemple : DNS (un seul nom de domaine correspond plusieurs serveurs

ayant des IP diffrentes)
de s'assurer de la disponibilit des quipements, en n'envoyant des

donnes qu'aux quipements
en mesure de rpondre (actif/passif),
clustering de haute disponibilit: .
Exemple : Mise en miroir : SQL server 2005 (serveurs tmoin, principal et
miroir)
48
Rpartition de charge:
le rpartiteur de charge est charg de distribuer le travail entre diffrentes machines.

Il existe plusieurs faons de mettre en uvre le load balancing :
Grce un commutateur de niveau 4 ;

Grce un serveur utilisant une mthode de type
RoundRound-Robin : Dans ce cas, le r

rpartiteur utilise chaque serveur la suite, selon un ordre cyclique.
Least Connections : Cet algorithme consiste envoyer la nouvelle requte sur le serveur le moins
charg
charg.
49
Exemple rpartition de charge/haute disponibilit

50
Protections de base
Journalisation
Tolrance aux pannes
Sauvegarde
Filtre de paquet
Chiffrement
VPN
scanners
51
Protections de base
Sauvegarde :
la sauvegarde (backup) est l'opration qui consiste recopier

(dupliquer) et mettre en scurit les donnes contenues dans
un systme informatique (bases de donnes, fichiers sensibles,
fichiers systme) sur :
un support externe : disques optiques/magntiques,

Serveurs externes,
NAS : Network Attached Storage : baies de disque durs externes
SAN : Storage Area network
Dans le cadre de la scurit, la sauvegarde est

lenregistrement des donnes pour permettre la
restauration en cas de perte de donnes (rtablissement
du systme son tat initial).
52
DAS Direct Attached storage
Connexion direct avec le

serveur : SCSI, IDE/ATA
SATA, ...
NAS : Network Attached storage SAN : Storage Area network
Connexion directe sur un

LAN
partag par toutes les
machines du LAN
OS est sur lquipement
Les baies de stockage

sont partages entre les
serveurs.
High speed data
transfer : Fibre Channel
gestion des donnes

provenant dOS
htrognes diffrents.
53
Protections de base
Journalisation
Tolrance aux pannes
Sauvegardes
Filtre de paquet
Chiffrement
VPN
scanners
54
Protections de base
Filtre de paquet:
Lune des mesures devenues essentielles et intgr la plupart des solutions
de scurit est la dotation de son architecture rseau dun quipement
permettant le filtrage des paquets.
Ces filtres dits firewall permettent de Controller le trafic rseau entrant et
sortant du LAN via des rgles de filtrage.
Dfinition : Un firewall est un quipement logiciel ou matriel permettant de
restreindre une srie daccs qui pourraient permettre une intrusion
malveillante.
Il est implment suivant plusieurs architectures permettant la scurit des
communications soit entre le rseau interne et externe, soit au sein mme du
rseau interne.
Larchitecture la plus frquente est celle o il est implment avec la DMZ
(zone dmilitarise) permettant un accs au serveur publics de lentreprise.
55
Protections de base
Journalisation
Tolrance aux pannes
Sauvegardes
Filtre de paquet
Chiffrement
VPN
scanners
56
Dtecteur dintrusion
Dit : IDS : intrusion detection system
Objectif : dtecter toute violation de la politique de scurit, il
permet de signaler les attaques en temps rel portant atteinte la
scurit dun systme.
Pour mettre en place une dtection dintrusion on utilise des
outils IDS spcifiques qui vont permettre de
collecter de faon automatise des donnes reprsentant lactivit du
systme (serveurs, applications, OS, rseaux.. )
Analyser ces donnes
Avertir les administrateurs scurit en cas de dtection de signes
dattaques.
Un IDS est un observateur dvnement qui dtecte dventuels

intrusions, il a un rle plutt passif car se contente de signaler
des alarmes compar un firewall qui lui permet un contrle et
des restrictions le trafic.
57
Protections de base
Journalisation
Tolrance aux pannes
Sauvegardes
Filtre de paquet
Chiffrement
VPN
scanners
58
Protections de base
Chiffrement
cest lopration qui transforme un message dit clair en un
message chiffr (cryptogramme), lobjectif est la transmission au
sein dun rseau des donnes sous forme brouille de maniere
tre inintelligible par un intrus.
Il existe deux type de chiffrement :
Chiffrement symtrique : ou cl secrte : une mme cl est utilise pour

chiffrer et dchiffrer.
Si la cl secrte est intercepte un attaquant peut dchiffrer.

Exemple : 3DES (Data encyption standard), AES (Advanced Encryption
Standard).
Chiffrement asymtrique: ou cl publique : Un couple de cls est gnr

lune (publique) sert chiffrer et lautre (secrte) dchiffrer.
Mme si un attaquant intercepte la cl publique, il ne peut dchiffrer.

exemple : RSA (Rivest Shamir Aleman)
59
Lattaque MITM :
suppose une autre attaque : empoisonnement du
cache ARP.
Ne permet de dchiffrer que les messages de
lmetteur vers le rcepteur.
60
Protections de base
Journalisation
Tolrance aux pannes
Sauvegardes
Filtre de paquet
Chiffrement
VPN
scanners
61
Protections de base
VPN : acronyme de virtual private network
Cest une technique permettant lutilisateur de crer un chemin
virtuel scuris entre une source et une destination,
Ce transfert scuris et fiable est surtout utile pour le transfert de
donnes sensibles via internet (rseau non scuris) grce un
principe de tunnel dont chaque extrmit est identifie (adresse
publique), les donnes transitent aprs avoir t chiffres.
Lavantage du VPN est de raliser des rseaux privs moindre
cot. En chiffrant les donnes tout se passe comme si la
connexion se passait en dehors dinternet.
Utilisations VPN:
Raccordement par modem aux ressources de lentreprise

Interconnexion des sites distants dune mme entreprise qui partagent les
mmes ressources(filiales).
62
Dautres solutions alternatives dinterconnexion

plus coteuses consistent en :
lutilisation de liaisons spcialises offert par un FAI
Interconnecter directement les rseaux distants via
des supports physique :
Fibre optique
Faisceaux hertzien
63
Protections de base
Journalisation
Tolrance aux pannes
Sauvegardes
Filtre de paquet
Chiffrement
VPN
scanners
64
Protections de base
Scanners :
Ce sont des outils logiciels permettant de signaler les
faiblesses potentielles ou avres sur les machines
testes.
Ils peuvent tre utiliss dans un cadre de :
Audit de scurit
Malveillance
65
Ils permettent de donner :

les fautes de configuration (firewall, routeurs)
les services vulnrables des attaques permettant la
prise de contrle de la machine, l'accs des
informations sensibles (lecture de fichiers
confidentiels par exemple).
les mises jour ou patchs de scurit non appliqus
(en extrayant les informations sur les versions par
exemple).
66
les mots de passe communs, et l'absence de mots de

passe sur certains comptes systmes. Des scanners
peuvent consulter des programmes externes ( tel
Hydra qui est un systme de test des mots de passe
faible ou simple l'aide d'un dictionnaire).
les services jugs faibles (on suggre par exemple de
remplacer Telnet par SSH)
les dnis de service contre la pile TCP/IP
67
Types de scanners
Scanners de vulnrabilits :
Scanners rseau :
Scanners host :
68
Types de scanners
Scanners de vulnrabilits:
Ce sont des outils qui permettent daider
ladministrateur de scurit trouver les diffrentes
vulnrabilits exploitables
et ce par consultation dune base de donnes interne
contenant les signatures de ces vulnrabilits.
Exemples :
Nessus est le
plus important de ces outils,

SATAN, CONNECT
69
Types de scanners
Scanners rseau :
Permettent dobtenir une srie dinformation

concernant le fonctionnement rseau dun systme
par exemple :
Les systmes
de filtrage mis en place

Les ports TCP/UDP ouverts
Les versions des systmes dexploitation
Le plus connu est NMAP qui permet une surveillance

rseau et des audits de scurit, il permet danalyser
une machine ou un rseau.
70
Types de scanners
Scanners
host:
Permettent de vrifier la scurit dune machine

prcisment :
les droits daccs aux fichiers,
les listes dutilisateurs,

la configuration des services connus dangereux (ftp,
telnet par exemple)
Les outils les plus connus sont : TARA, SARA,

TIGER
71

Securite Syst Et Res-Chap1-Chap6

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Securite Syst Et Res-Chap1-Chap6

Uploaded by

Copyright:

Available Formats

Module : scurit informatique

Matire 1 : Scurit des systmes et rseaux

Module : scurit informatique

Introduction : aperu historique, aspects de la scurit

Outils de la scurit informatique

Module : scurit informatique

Prise de conscience de laspect scurit:

Linformation est la pierre angulaire de toute les organisations

Systme dInformation : SGDN(Secrtariat franais

Caractristiques dun SI:

Traitement centralis : linformation est emmagasine

Systme intgr : systme qui prend en compte toutes

Disponibilit tout moment

Scurit rseau : lensemble des moyens visant la protection contre

De ce fait la scurit rseau est une composante parmi dautres de la

Administrateur systme (/rseau):

Le chiffre de Csar : une des mthodes de cryptographie les plus

1523 : Chiffrement de vigenere : une substitution polyalphabtique des lettres.

1918 : machine ENIGMA (Arthur Scherbius en 1918 ) : substitution de lettres (en

Une lampe s'allume indiquant par quelle lettre

permet de revenir en arrire

1940 : machine de lorenz : gnration de

Les annes 1970 : Le phreaking n aux tats-Unis dans le domaine

Kevin Mitnick rcidive en se procurant un compte valide de

- 1995 : Vladimir Levin, jeune diplm russe se connecte des

- 1996 : Timothy Lloyd (Administrateur Systme) aprs 11

- 2001, des pirates qui nont pas t dcouverts ce jour

- 2001-2002 : intrusion NASA et Pentagone par Gary

2011 : Reda Cherqaoui white-hacker, Createur de Viventic

Modles de scurit: ractif/proactif

Les techniques de scurit ont notablement volu vers la

Analyse et valuation de risque : un bilan de ltat actuel de la

Historique des incidents et ractions

Caractristiques des malveillances

Imprvisibilit : (alatoire ds le temps et lespace)

Le niveau de danger de ces malveillances peut varier dune

simple consultation jusquaux

dempcher (freiner) lutilisation anormale, lintrusion ou la

on distingue deux aspects caractristiques essentielles de

modifier les rgles

Structure pour ragir

Exemple de cohrence : politique de scurit

Aspect minimisation de contrainte

Interne : provenir de lintrieur de lentreprise (personnel ou

Une tude a montre que les utilisateurs internes des

Aspect minimisation de contrainte

un compromis entre des mesures fortes mais restrictives et des mesures

Concevoir une Politique de scurit

Modle PDCA ISO27001

2 tape, Dployer, est la construction, le dveloppement et la

Familles des vulnrabilits

Accs non scuris aux salles informatiques(contrle daccs physique par

Familles des vulnrabilits

Familles des vulnrabilits

Failles nombreuses dans les services et applicatifs web et les

Bien configurer les

Familles des vulnrabilits

En effet TCP est un protocole de transport fiable assurant la

Familles des vulnrabilits

tats de scurit dun systme

Il existe trois tats que peut

Lanalyse post-mortem consiste identifier

tats de scurit dun systme

Principe : Un Systme d'Information (SI) ne se maintient pas