Cours Sécurité 20180210 V06

Cours Sécurité Informatique
CHAKIR EL MOSTAPHA
chakirsmi@gmail.com
Sécurité Informatique 1
Matières de formation
 La sécurité informatique
 Les attaques informatiques
 La cryptographie
 PKI (Public Key Infrastructure)
 Les politiques de sécurité
 L’authentification
 Systèmes contribuant à la sécurité des réseaux informatiques
 Les normes de sécurité
 Les réseaux privés virtuels VPN
 La supervision IP
 Travaux pratiques: Cryptographie, PKI (Open SSL, Reverse
Proxy Apache), VPN SSL (OpenVPN)
Chapitre 1 : Notions de base de la sécurité
Informatique
Quel est le but de la sécuritéinformatique ?
 Protéger la réputation
 Satisfaire aux exigences légales
 Eviter des pertes financières
➢ La sécurité = {mesures} permettant d’assurer la protection de

l’information & Systèmes
Quel est le but de la sécuritéinformatique ?
 Protéger l’informatique ?
 Assurer son intégrité ?
 Assurer sa confidentialité?
 Assurer sa disponibilité ?
 Apporter des preuves ?
 Empêcher les accès aux utilisateurs non autorisés ?
Se protéger contre qui ?
 Externes
➢ Pirates
➢ Saboteurs
➢ Concurrents
➢ Anciens employés
➢ Organisations criminelles
 Internes
➢ Employés mécontents
➢ Fraudeurs
➢ Espions
➢ Innocents employés
Causes de l’insécurité
Au sein d’un réseau informatique, on distingue généralement cinq

types de faille qui peuvent causer l’état d’insécurité:
 Les failles physiques : généralement dans une entreprise ou une administration

la sécurité d’accès aux matériels informatiques n’a pas une grande importance.
➢ Il suffit de trouver des prétextes comme faire des tests, de la maintenance

ou le nettoyage pour accéder.
➢ L’exploitation de cet accès physique pour:
➢ voler un mot de passe,

➢ effacer des données,
➢ usurper l’identité d’un autre
➢ injecter des programmes malveillants peut causer des dégâts
catastrophiques pour une entreprise.
 Les failles réseaux : les réseaux informatiques sont fondés sur des
normes et des standards bien réfléchis où plusieurs organismes
collaborent pour les perfectionner.
➢ Malgré tous les efforts faits, il existe certaines failles ou

détournements de fonctionnement des standards exploitables.
➢ Le problème avec les failles réseau c’est la complexité de leurs

corrections qui varie d’après la taille du réseau.
➢ À titre d’exemple, corriger les failles réseau d’internet est

utopique, c’est la raison pour laquelle on se contente de faire
des améliorations comme le passage vers IPV6.
 Les failles systèmes: les systèmes d’exploitation sont de plus en

plus sophistiqués, ils intègrent différent mécanisme de sécurité
comme les mots de passe, les logs, séparation des privilèges...etc.
➢ La complexité, la mauvaise configuration ainsi que les

faiblesses de certains mécanismes des systèmes
d’exploitation représentent un danger pour les utilisateurs.
➢ Par exemple la complexité d’un mécanisme de sécurité pousse

les utilisateurs à le désactiver, de plus la mauvaise
configuration peut engendrer l’arrêt ou la saturation du
système.
 Les failles applicatives : les failles applicatives sont des failles très
connues et très répondues.
➢ Ils peuvent être causés par:
▪ la mauvaise conception,
▪ non-traitement des exceptions,
▪ faille dans le langage de programmation.
➢ Ces failles peuvent engendrer beaucoup de problèmes qui

influencent le fonctionnement du système.
Les failles Web : le monde du web représente la

combinaison de différent protocole, réseaux, système
et application.
➢ Les failles web peuvent être causées par l’une des

failles précédemment citées ou par des failles qui
résident au niveau des protocoles et des standards
du fonctionnement du web.
Principaux défauts de sécurité
Les défauts de sécurité d’un système d’information les plus souvent constatés sont:
 Installation des logiciels et matériels par défaut.

 Mises à jours non effectuées.
 Mots de passe inexistants ou par défaut.
 Services inutiles conservés (Netbios…).
 Traces inexploitées.
 Pas de séparation des flux opérationnels des flux d’administration des systèmes.
 Procédures de sécurité obsolètes.
 Eléments et outils de test laissés en place dans les configurations en production.
 Authentification faible.
 Télémaintenance sans contrôle fort.
Les Objectifs de la sécurité
La sécurité informatique vise généralement trois principaux objectifs :
L'intégrité, La confidentialité et La disponibilité.
L'intégrité : c'est-à-dire garantir que les données sont bien celles que l'on croit
être, l’intégrité consiste à garantir trois buts principaux :
Préserver le changement des informations par les utilisateurs non autorisés
1. Préserver le changement non autorisé ou involontaire d'information par les
utilisateurs autorisés
2. Préserver la cohérence interne et la cohérence externe :
▪ La cohérence interne : consiste à assurer la cohérence des données

interne. Par exemple dans une organisation on assure que le nombre total des
articles maintenus par cette organisation est égal à la somme des mêmes
articles dans la base de données.
▪ La cohérence externe : consiste à assurer que la cohérence entre les données
dans la base de données et le monde réel est maintenue. Par exemple dans
une entreprise on assure que le nombre des articles vendus est le même
nombre dans la base de données.
 Techniques utilisées: cryptage, signature numérique, contrôle d’accès, contrôle
d’intégrité
➢ La confidentialité: La confidentialité repose sur la prévention des accès

non autorisés à une information.
➢ La nécessité de confidentialité est apparue suite à l’intégration des

systèmes d’informations critiques, telles que les organisations
gouvernementales ou les industries, dans des zones sensibles.
➢ La confidentialité est ainsi définie par l’Organisation Internationale de
Normalisation (ISO) comme “le fait de s’assurer que l’information est
seulement accessible qu’aux entités dont l’accès est autorisé”.
➢ La disponibilité : La disponibilité se réfère à la possibilité d’utiliser l’information

ou une ressource désirée.
➢ Cette propriété est à mettre en parallèle avec la fiabilité car le fait d’avoir
un système qui n’est plus disponible est un système défaillant.
➢ Dans le cadre de la sécurité, la propriété de disponibilité se réfère au
cas où un individu peut délibérément interdire l’accès à certaines
informations ou ressources d’un système.
Techniques utilisées: la Supervision
➢ Non répudiation: Empêche l’émetteur ou le receveur de nier avoir

transmis ou reçu un message.
▪ Non répudiation d’envoi: Le destinataire prouve que la source

prétendue vient démettre le message en question.
▪ Non répudiation de réception: L’émetteur prouve que son

message a été reçu effectivement par la destination
prétendue.
Techniques utilisées: signature électronique (asymétrique),

notarisation.
➢ Authentification: S’assurer que l’origine du message soit correctement

identifiée:
➢ Assurer le receveur que le message émane de la source qui prétend

avoir envoyé ce message.
➢ Assurer l’authenticité des entités participantes: chacune des entités

est celle qui prétende l’être.
➢ Empêcher la perturbation de la connexion par une tierce partie qui

se fait passer pour une entité légitime (émission ou réception non
autorisée).
Techniques utilisées: Cryptage, signature numérique, secret (mots de

passes, PIN).
Étude des risques
 Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité
le sont aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin
d'identifier les problèmes potentiels avec les solutions avec les coûts associés.
 Il faut cependant prendre conscience que les principaux risques restent : « câble
arraché », « coupure secteur », « crash disque », « mauvais profil utilisateur
», Voici quelques éléments pouvant servir de base à une étude de risque:
➢ Quelle est la valeur des équipements, des logiciels et surtout des

informations ?
➢ Quel est le coût et le délai de remplacement ?
➢ Faire une analyse de vulnérabilité des informations contenues sur les

ordinateurs en réseau (programmes d'analyse des paquets, logs…).
➢ Quel serait l’impact sur la clientèle d'une information publique concernant

des intrusions sur les ordinateurs de la société ?
Motivations
 Le gain financier: Récupération de num de cartes bancaires, ...
 Vengeance
 Curiosité: Attaques d'étudiants du MIT sur le premier ordinateur

IBM 704 au MIT en 1959.
 Recherche d'émotions fortes
Le bon objectif
 Protéger l’entreprise
➢ Y compris sa version non informatique

 Par des moyens informatiques
Si vous n’êtes pas convaincus, essayez d’en convaincre vos interlocuteurs.
Comment faire
 Evaluer
➢ Les difficultés
➢ Le contexte
➢ Quels sont les risques ?
➢ Quelles sont les menaces ?
 Définir les rôles : politique de sécurité
➢ Qui fait quoi, comment et quand ?

➢ Qui peut faire quoi, comment et quand ?
 Définir un plan d’action
➢ Quelle sont les priorités ?
Evaluer
 Les difficultés
 Le contexte
 Quels sont les risques ?
 Quellessont les menaces ?
Les difficultés
 Génère des désagréments
 Beaucoup de travail
 Nécessite de fortes compétences
➢ en réseau, en système, en droit, et une remise à niveau
permanente
 Coûte de l’argent
➢ et ne rapporte rien
 Pas de reconnaissance
➢ Si ça marche : "A quoi ça sert ?"
➢ Sinon : "Vous êtes nuls !"
Le contexte : Internet
 Historique
 Connexion de bout enbout
 Réseau ouvert
Historique
 1962 : Réseau militaire

 1968 : Premiers tests réseau à paquets
 1 Octobre 1969 Arpanet(RFC,UNIX)
 Septembre 1978 : IPv4
 1991 : Création de WWW par Tim Lee Werners
 1992 : Découverte d’Internet par le grand public
Les risques
 Destruction de données
 Perte de marchés
 Perte de temps et donc d’argent
 Risques juridiques
Destruction de données
 Comptabilité
 Données clients
 R & D, Conception, Production
 Les PME meurent dans les 3 mois.
Perte demarché
 Vol ou divulgation d’information
➢ Recherche et développement
➢ Fichier client
 Dégradation de l’image
➢ Modification du site web

➢ Divulgation d’informations (vraies puis fausses)
➢ Perte de confiance
Pertes financière etboursière
Exemple deYahoo
Mais ce n’est pas toujours le cas
Causeou conséquence?
http://riskbasedsecurity.com
Perte de temps et donc d’argent
Arrêt de la production
Recherche des causes
Remise en état
Les menaces: attaques
 Définition
 Historique
 Niveau des attaques
 Types d’attaque
 Déroulement d’une attaque
Tout ordinateur connecté à un réseau informatique est potentiellement

vulnérable à une attaque.
Une attaque informatique est littérairement définie par toute tentative de

détruire, exposer, modifier, désactiver, voler ou obtenir un accès non autorisé ou
toute utilisation non autorisée d'une information, logiciels, physique comme un
serveur, services, des personnes et de leurs qualifications, et les biens incorporels
(ISO/IEC 27000, 2009).
Pour l’aspect technique, on peut définir une attaque par l’exploitation de l’une
des failles précédemment citées pour des fins illégales. Il existe cinq formes
d’attaque que nous détaillons comme suit :
➢ L’attaque passive : les attaques passives représentent tout acte qui nous
permet de faire:
▪ l'analyse et le décryptage du trafic,

▪ la surveillance des communications,
▪ et la capture des informations d'authentification.
➢ Les attaques passives peuvent entraîner la divulgation des informations ou des

données à un attaquant sans que la victime soit consciente.
➢ L’interception du mot de passe, numéros de carte de crédit, des emails

représente tous des attaques passives.
➢ L’attaque active : les attaques actives comprennent toute tentative a pour:

but de :
▪ contourner ou arrêter les fonctions de protection,

▪ introduire un code malveillant et de voler ou modifier des informations.
▪ Les attaques actives peuvent entraîner la divulgation et la diffusion des
données, un déni de service, ou la modification des données.
➢ L’attaque de proximité ou externe : les attaques de proximité (externes)

représentent l’utilisation de la proximité physique du réseau ou du système qui
a été obtenue grâce à l'entrée clandestine ou un accès ouvert afin de modifier,
collecter ou refuser l'accès à l'information.
➢ L’attaque interne : les attaques internes peuvent être intentionnelles ou

non intentionnelles. Les attaques intentionnelles représentent les tentatives
d’espionner, de voler ou d’endommager des informations, utiliser l'information
de manière frauduleuse, ou interdire l'accès à d'autres utilisateurs autorisés. Les
attaques non intentionnelles représentent le résultat d’une mauvaise
manipulation, la négligence ou le manque de connaissances.
➢ L’attaque de distribution : les attaques de distribution représentent toute

modification malveillante du matériel ou du logiciel en usine ou lors de la
distribution. Ces attaques consistent à introduire un code malveillant dans un
produit comme un port dérobé pour obtenir un accès non autorisé à des
informations ou une fonction système.
 Interruption
 Interception
 Modification
 Fabrication
Lesattaques: Motivations
Les motivations des attaques peuvent être de différentes sortes :
 Obtenir un accès au système ;

 Voler des informations, tels que des secrets industriels ou des propriétés
intellectuelles ;
 Glâner des informations personnelles sur un utilisateur ;
 Récupérer des données bancaires ;
 S'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
 Troubler le bon fonctionnement d'un service ;
 Utiliser le système de l'utilisateur comme « rebond » pour une attaque ;
 Utiliser les ressources du système de l'utilisateur, notamment lorsque
 Le réseau sur lequel il est situé possède une bande passante élevée
Typologiesde pirates
 Le terme « hacker » est souvent utilisé pour désigner un pirate informatique. Les
victimes de piratage sur des réseaux informatiques aiment à penser qu'ils ont été
attaqués par des pirates chevronnés ayant soigneusement étudié leur système et
ayant développé des outils spécifiquement pour en exploiter les failles.
 Le terme hacker a eu plus d'une signification depuis son apparition à la fin des années
50. A l'origine ce nom désignait d'une façon méliorative les programmeurs
émérites, puis il servit au cours des années 70 à décrire les révolutionnaires de
l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes
entreprises informatiques.
 C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes
impliquées dans le piratage de jeux vidéos, en désamorçant les protections de ces
derniers, puis en en revendant des copies.
 Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes
s'introduisant dans les systèmes informatiques
Les attaques : historique
 2001 : Code Rouge
 24 janvier 2003 : Slammer
➢ (376 octets)
➢ doublait toutes les 2,5 secondes
➢ 90% des hôtes vulnérables infectés en 10 minutes
 2004 : Location de zombies

 2008 : Les Anonymous commencent leurs attaques
Les attaques : contemporain
 2009 : Conficker (7%, Militaire, 250 K$, MD6)

 2010 : Opération Aurora, Mariposa (13 M), Comodo, Stuxnet, etc.
 2011 : Affaire DigiNoTar (certificat *.google.com),
 2012 : Pacemakers, Piratage de l’élysée,
 2013 : PRISM (Snowden), Backdoor DLink
 2014 : Cryptolocker, Shellshock(98), Sony, FIN4, Failles SSL
(Poodle, Heartbleed)
 2015 : Hacking Team, Full HTTPS, Ashley Madison, Backdoor
Cisco
 2016 : DNC, Méga DDos, IoT, Shadow Brokers
Les attaques : 2017
 Alerte sur les sites HTTP par chrome

 Sortie de Kaspersky des administrations américaines
 Piratage Equifax, Deloitte, Accenture
 Attaque hyperciblée de masse avec Ccleaner
 Vague de leak AWS public bucket
 Faille Eternal Blue
 Ver Wannacry
 GoogleDocs phishing
 Cloudflare leak
 CRACKER
 BadRabbit
 Petya
Les attaques
Les attaques : en temps réel
http://map.honeynet.org
Les attaques : en temps réel 2
http://cybermap.kaspersky.com
Les attaques : en temps différé
http://zone-h.org
Les attaques : en devenir
Niveau desattaques
Niveau
Fast Flux
Phishing Crypto High tech
Attaques distribuées Réseau C&CP2P

Attaques web
Interface graphique
Obfuscation
Maquillage de paquets Déni deservice
Techniques furtives
Exploration deréseau (scan)
Utilisation de SNMP
Désactivation des journaux

Détournement de sessions
Backdoor
Exploitation de vulnérabilités connues

Décryptage de mot de passe
Code Auto-répliquant
Essai de mots de passe
1980 1985 1990 1995 2005 2010 2015
Type des attaquants : parcompétence
En réalité il existe de nombreux types d'attaquants" catégorisés selon leur expérience et

selon leurs motivations :
 Les « white hat hackers », hackers au sens noble du terme, dont le but est d'aider à
l'amélioration des systèmes et technologies informatiques, sont généralement à l'origine
des principaux protocoles et outils informatiques que nous utilisons aujourd’hui.
 Les « black hat hackers », plus couramment appelés pirates, c'est-à-dire des
personnes s'introduisant dans les systèmes informatiques dans un but nuisible ;
➢ Les « script kiddies » (traduisez gamins du script, parfois également surnommés

crashers, lamers ou encore packet monkeys, soit les singes des paquets réseau)
sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur
Internet, généralement de façon maladroite, pour vandaliser des systèmes
informatiques afin de s'amuser.
➢ Les « phreakers » sont des pirates s'intéressant au réseau téléphonique

commuté (RTC) afin de téléphoner gratuitement grâce à des circuits
électroniques (qualifiées de box, comme la blue box, la violet box, ...)
connectés à la ligne téléphonique dans le but d'en falsifier le
fonctionnement. On appelle ainsi « phreaking » le piratage de ligne
téléphonique.
➢ Les « carders » s'attaquent principalement aux systèmes de cartes à puces

(en particulier les cartes bancaires) pour en comprendre le fonctionnement
et en exploiter les failles. Le terme carding désigne le piratage de cartes à
puce.
➢ Les « crackers » ne sont pas des biscuits apéritifs au fromage mais des
personnes dont le but est de créer des outils logiciels permettant d'attaquer
des systèmes informatiques ou de casser les protections contre la copie des
logiciels payants. Un « crack » est ainsi un programme créé exécutable chargé
de modifier (patcher) le logiciel original afin d'en supprimer les protections.
Les « hacktivistes » (contraction de hackers et activistes que l'on peut traduire

en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est
principalement idéologique. Ce terme a été largement porté par la presse, aimant
à véhiculer l'idée d'une communauté parallèle (qualifiée généralement de
underground, par analogie aux populations souterraines des films de science-
fiction.
 Script Kiddy
➢ 90% playstation 9% clickomane 1% intelligence
➢ utilise ce que font les autres
 Amateur
➢ Faille connues
➢ Failles web
 Professionnel
➢ En équipe
➢ Avec beaucoup de moyens (financiers, techniques, parfois
préparatoires)
➢ 0days possibles, voire courants.
Type desattaquants : parobjectif
L’argent
➢ piratage volumétrique
➢ cryptolocker "killer application"
Hacktiviste
➢ "Terroriste" Anonymous
Espions
➢ Etatique Industriel
"Petit con"
Evolution des attaquants
Ne pas se méprendre
 La moyenne des pirates est plus bête qu’avant.
 Mais les meilleurs pirates sont bien meilleurs qu’avant
➢ plus psychologues (Social Engineering, virus)

➢ plus pragmatiques (Efficacité, Argent)
➢ plus techniques (Ingénieurs au chomage après éclatement de la
bulle internet)
But des attaques
 Constitution d’un parc de zombies

➢ Campagne de SPAMs
➢ Campagne de phishing
➢ Campagne de racket
 Tag Casse
 Vol (codes bancaires, espionnage, marketing agressif) Spyware,
Keylogger, cryptolocker etc.
Economie Virale
Typesdesattaques
 Les systèmes informatiques

mettent en oeuvre différentes
composantes, allant de l'électricité
pour alimenter les machines au
logiciel exécuté via le système
d'exploitation et utilisant le réseau.
 Les attaques peuvent intervenir à

chaque maillon de cette chaîne, pour
peu qu'il existe une vulnérabilité
exploitable. Le schéma suivant
rappelle très sommairement les
différents niveaux pour lesquels un
risque en matière de sécurité existe :
Typesdesattaques
 Attaques direct
C'est la plus simple des attaques à réaliser :
 Le hacker attaque directement sa victime à partir de son ordinateur par des

scripts d’attaques faiblement paramétrable.
 les programmes de hack qu'ils utilisent envoient directement les packets à la

victime.
 Dans ce cas, il est possible en général de remonter à l'origine de l'attaque,

identifiant par la même occasion l'identité de l'attaquant.
Typesdesattaques
 Attaques par rebond

Lors d'une attaque, le pirate garde toujours
à l'esprit le risque de se faire repérer, c'est
la raison pour laquelle les pirates
privilégient habituellement les attaques par
rebond (par opposition aux attaques
directes), consistant à attaquer une machine
par l'intermédiaire d'une autre machine, afin
de masquer les traces permettant de
remonter à lui (telle que son adresse IP) et
dans le but d'utiliser les ressources de la
machine servant de rebond.
Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus
en plus courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à
proximité peut l'utiliser pour lancer des attaques !
Attaque des mots de passes
 Attaque par force brute: On appelle ainsi « attaque par force brute » (en
anglais « brute force cracking », parfois également attaque exhaustive) le cassage
d'un mot de passe en testant tous les mots de passe possibles.
➢ Il existe un grand nombre d'outils, pour chaque système d'exploitation,

permettant de réaliser ce genre d'opération.
➢ Ces outils servent aux administrateurs système à éprouver la solidité des mots
de passe de leurs utilisateurs mais leur usage est détourné par les pirates
informatiques pour s'introduire dans les systèmes informatiques.
 Attaque par dictionnaire : Les outils d'attaque par force brute peuvent demander
des heures, voire des jours, de calcul même avec des machines équipées de
processeurs puissants.
➢ Ainsi, une alternative consiste à effectuer une « attaque par dictionnaire ».

➢ En effet, la plupart du temps les utilisateurs choisissent des mots de passe ayant
une signification réelle. Avec ce type d'attaques, un tel mot de passe peut être
craqué en quelques minutes.
Attaque des mots de passes
 Attaque hybride : Les attaques de ce type, appelées « attaques hybrides », vise

particulièrement les mots de passe constitué d'un mot traditionnel et suivi d'une
lettre ou d'un chiffre (tel que « marechal6 »). Il s'agit d'une combinaison d'attaque
par force brute et d'attaque par dictionnaire.
Il existe des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs :
➢ Les keyloggers (littéralement « enregistreurs de touches »), sont des logiciels qui, lorsqu'ils sont
installés sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par
l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées
permettant de retenir temporairement le mot de passe et accessibles uniquement par le
système.
➢ L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des informations. Un
pirate peut ainsi obtenir le mot de passe d'un individu en se faisant passer pour un
administrateur du réseau ou bien à l'inverse appeler l'équipe de support en demandant de
réinitialiser le mot de passe en prétextant un caractère d'urgence ;
➢ L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate
d'observer les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de
passe. Par ailleurs, si le pirate fait partie de l'entourage de la victime, un simple coup d'oeil
par dessus son épaule lors de la saisie du mot de passe peut lui permettre de le voir ou de le
deviner.
Attaque man in the middle
 L'attaque « man in the middle » (littéralement « attaque de l'homme au milieu »

ou « attaques de l'intercepteur »), parfois notée MITM, est un scénario d'attaque
dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie
les échanges afin de se faire passer pour l'une des parties.
 La plupart des attaques de type « man in the middle » consistent à écouter le réseau à
l'aide d'un outil appelé sniffer.
Attaque par rejeu
 Les attaques par « rejeu » (en anglais « replay attaque ») sont des attaques de type «
Man in the middle » consistant à intercepter des paquets de données et à les
rejouer, c'est-à-dire les retransmettre tels quel (sans aucun déchiffrement) au serveur
destinataire.
 Ainsi, selon le contexte, le pirate peut
bénéficier des droits de l'utilisateur.
 Imaginons un scénario dans lequel un client

transmet un nom d'utilisateur et un mot de
passe chiffrés à un serveur afin de
s'authentifier.
➢ Si un pirate intercepte la
communication (grâce à un logiciel
d'écoute) et rejoue la séquence, il
obtiendra alors les mêmes droits que
l'utilisateur.
➢ Si le système permet de modifier le
mot de passe, il pourra même en mettre
un autre, privant ainsi l'utilisateur de
son accès
Attaque D.O.S.
Une « attaque par déni de service » (en anglais « Denial of

Service », abrégé en DoS) est un type d'attaque visant à rendre
indisponible pendant un temps indéterminé les services ou
ressources d'une organisation. Il s'agit la plupart du temps
d'attaques à l'encontre des serveurs d'une entreprise, afin
qu'ils ne puissent être utilisés et consultés.
Les attaques par déni de service sont un fléau pouvant toucher

tout serveur d'entreprise ou tout particulier relié à internet.
Le but d'une telle attaque n'est pas de récupérer ou
d'altérer des données, mais de nuire à la réputation de
sociétés ayant une présence sur internet et éventuellement de
nuire à leur fonctionnement si leur activité repose sur un
système d'information.
Attaque D.O.S.
 Deny Of Service ou Déni de service. Plusieurs principes de fonctionnement

➢ Le harcèlement
✓ Occupation permanente de la ligne
➢ Le livreur de pizzas
✓ Appel de plusieurs livreurs pour une fausse adresse
✓ Voir backscatter pour le repérage
 Le chewing gum dans la serrure
Attaque D.O.S.
On distingue habituellement deux types de dénis de service :
 Les dénis de service par saturation: consistant à submerger une machine de
requêtes, afin qu'elle ne soit plus capable de répondre aux requêtes réelles ;
➢ Saturation de la bande passante (UDP)
▪ 10000 zombies
▪ Impossible de lutter seul (se "cacher" derrière OVH,CloudFlare)
➢ Saturation de la table des connexions (TCP)
▪ 1000 zombies
▪ Lutte : utilisation des syncookies
➢ Saturation du nombre de processus
▪ 100 zombies mais les machines sont "grillées", connaissance minimale
▪ Lutte : limitation du nombre de processus, repérage et blocage très tôt
➢ Saturation de la CPU
▪ 10 zombies mais les machines sont "grillées", connaissances pointues
▪ Lutte : limitation de la CPU (noyau), mod_evasive (http)
➢ Plantage distant
▪ 1 zombie. Expertise nécessaire
▪ Patch régulier, durcissement noyau, protection applicative
Attaque D.O.S.
 Les dénis de service par exploitation de vulnérabilités, consistant à exploiter une
faille du système distant afin de le rendre inutilisable.
 Le principe des attaques par déni de service consiste à envoyer des paquets IP ou des
données de taille ou de constitution inhabituelle, afin de provoquer une saturation ou
un état instable des machines victimes et de les empêcher ainsi d'assurer les services
réseau qu'elles proposent.
 Lorsqu'un déni de service est provoqué par plusieurs machines, on parle alors de «
déni de service distribué » (noté DDOS pour Distributed Denial of Service). Les attaques
par déni de service distribué les plus connues sont Tribal Flood Network (notée TFN) et
Trinoo.
Attaque D.D.O.S.
 Distributed Deny Of Service ou déni de service distribué.
➢ D.O.S. appliqué par plusieurs (dizaines de milliers de) machines

➢ Généralement de type "livreur de pizzas"
➢ Rarement évitable (même par des sociétés spécialisées)
➢ Exemple du 7ème spammeur avec 8Gbit/s en 2006.
➢ Volume maximal actuel : 1.2 Tbit/s par de l’IoT
➢ http://atlas.arbor.net/summary/do
 Se protéger d'un déni de service : Pour se protéger de ce type d'attaque, il est nécessaire
de mener une veille active sur les nouvelles attaques et vulnérabilités et de
récupérer sur internet des correctifs logiciels (patchs) conçus par les éditeurs de logiciels
ou certains groupes spécialisés :
➢ http://windowsupdate.microsoft.com/
➢ http://www.securityfocus.com/
Attaque par réflexion (Smurf)
➢ La technique du smurf : est basée sur l’utilisation de serveurs broadcast pour

paralyser un réseau. Un serveur broadcast est un serveur capable de dupliquer un
message et de l’envoyer à toutes les machines présentes sur le même réseau que lui.
➢ Le scénario d'une telle attaque est le suivant :
1. La machine attaquante envoie une requête ping à un ou plusieurs serveurs

de diffusion en falsifiant l'adresse IP source (adresse à laquelle le serveur
doit théoriquement répondre) et en fournissant l'adresse IP d'une machine
cible.
1. Le serveur de diffusion répercute la requête sur l'ensemble du réseau ;
1. Toutes les machines du réseau envoient une réponse au server de

diffusion,
1. Le serveur broadcast redirige les réponses vers la machine cible. Ainsi, lorsque
la machine attaquante adresse une requête à plusieurs serveurs de
diffusion situés sur des réseaux différents, l'ensemble des réponses des
ordinateurs des différents réseaux vont être routées sur la machine cible.
Attaque par réflexion (Smurf)
De cette façon l'essentiel du travail de l'attaquant consiste à trouver une liste de
serveurs de diffusion et à falsifier l'adresse de réponse afin de les diriger vers la
machine cible.
Attaque du ping de la morte
➢ L'« attaque du ping de la morte » (en anglais « ping of death ») est une des plus
anciennes attaque réseau.
➢ Le principe du ping de la mort consiste tout simplement à créer un

datagramme IP dont la taille totale excède la taille maximum autorisée (65536
octets).
➢ Un tel paquet envoyé à un système possédant une pile TCP/IP vulnérable,

provoquera un plantage. Plus aucun système récent n'est vulnérable à ce type
d'attaque.
Attaque SYN
➢ L'« attaque SYN » (appelée également « TCP/SYN Flooding ») est une attaque
réseau par saturation (déni de service) exploitant le mécanisme de poignéee de main
en trois temps (en anglais Three-ways handshake) du protocole TCP.
➢ Le mécanisme de poignée de main en trois temps est la manière selon laquelle

toute connexion « fiable » à internet (utilisant le protocole TCP) s'effectue.
Attaque SYN
➢ Lorsqu'un client établit une connexion à un serveur, le client envoie une requête
SYN, le serveur répond alors par un paquet SYN/ACK et enfin le client valide la
connexion par un paquet ACK (acknowledgement, qui signifie accord ou
remerciement). Une connexion TCP ne peut s'établir que lorsque ces 3 étapes
ont été franchies.
➢ L'attaque SYN consiste à envoyer un grand nombre de requêtes SYN à un hôte

avec une adresse IP source inexistante ou invalide. Ainsi, il est impossible que la
machine cible reçoive un paquet ACK.
➢ Les machines vulnérables aux attaques SYN mettent en file d'attente, dans une
structure de données en mémoire, les connexions ainsi ouvertes, et attendent
de recevoir un paquet ACK.
➢ Il existe un mécanisme d'expiration permettant de rejeter les paquets au bout
d'un certain délai.
➢ Néanmoins, avec un nombre de paquets SYN très important, si les ressources

utilisées par la machine cible pour stocker les requêtes en attente sont épuisées, elle
risque d'entrer dans un état instable pouvant conduire à un plantage ou un
redémarrage
Spoofing IP
➢ L'usurpation d'adresse IP: (également appelé mystification ou en anglais

spoofing IP) est une technique consistant à remplacer l'adresse IP de
l'expéditeur d'un paquet IP par l'adresse IP d'une autre machine.
➢ Cette technique permet ainsi à un pirate d'envoyer des paquets

anonymement. Il ne s'agit pas pour autant d'un changement d'adresse IP,
mais d'une mascarade de l'adresse IP au niveau des paquets émis.
➢ Ainsi, certains tendent à assimiler l'utilisation d'un proxy (permettant de

masquer d'une certaine façon l'adresse IP) avec du spoofing IP.
➢ Toutefois, le proxy ne fait que relayer les paquets.
➢ Ainsi même si l'adresse est apparemment masquée, un pirate peut

facilement être retrouvé grâce au fichier journal (logs) du proxy.
Attaque par usurpation
➢ La technique de l'usurpation d'adresse IP peut permettre à un pirate de faire passer

des paquets sur un réseau sans que ceux-ci ne soient interceptés par le système de
filtrage de paquets (pare-feu).
➢ En effet, un système pare-feu fonctionne la plupart du temps grâce à des règles de
filtrage indiquant les adresses IP autorisées à communiquer avec les machines internes
au réseau
➢ Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir
du réseau interne et sera relayé à la machine cible, tandis qu'un paquet contenant
une adresse IP externe sera automatiquement rejeté par le pare-feu.
➢ Cependant, le protocole TCP repose sur des liens d'authentification et d'approbation
entre les machines d'un réseau, ce qui signifie que pour accepter le paquet, le
destinataire doit auparavant accuser réception auprès de l'émetteur, ce dernier devant à
nouveau accuser réception de l'accusé de réception.
Modification de l'en-tête TCP
➢ Sur internet, les informations circulent grâce au protocole IP, qui assure
l'encapsulation des données dans des structures appelées paquets (ou plus exactement
datagramme IP). Voici la structure d'un datagramme :
➢ Usurper une adresse IP revient à modifier le champ source afin de simuler un

datagramme provenant d'une autre adresse IP. Toutefois, sur internet, les paquets
sont généralement transportés par le protocole TCP, qui assure une transmission dite «
fiable ».
➢ Avant d'accepter un paquet, une machine doit auparavant accuser réception de celui-
ci auprès de la machine émettrice, et attendre que cette dernière confirme la
bonne réception de l'accusé.
Annihiler la machine spoofée
➢ Dans le cadre d'une attaque par usurpation d'adresse IP, l'attaquant n’a aucune
information en retour car les réponses de la machine cible vont vers une autre
machine du réseau (on parle alors d'attaque à l'aveugle, en anglais blind attack).
➢ De plus, la machine « spoofée » prive le hacker de toute tentative de connexion,

car elle envoie systématiquement un drapeau RST à la machine cible. Le travail du pirate
consiste alors à invalider la machine spoofée en la rendant injoignable pendant toute la
durée de l'attaque.
Prédire les numéros de séquence
➢ Lorsque la machine spoofée est invalidée, la machine cible attend un paquet contenant
l'accusé de réception et le bon numéro de séquence. Tout le travail du pirate
consiste alors à « deviner » le numéro de séquence à renvoyer au serveur afin que
la relation de confiance soit établie.
➢ Pour cela, les pirates utilisent généralement le source routing, c'est-à-dire qu'ils
utilisent le champ option de l'en-tête IP afin d'indiquer une route de retour
spécifique pour le paquet. Ainsi, grâce au sniffing, le pirate sera à même de lire le
contenu des trames de retour...
➢ Ainsi, en connaissant le dernier numéro de

séquence émis, le pirate établit des
statistiques concernant son incrémentation
et envoie des accusés de réception jusqu'à
obtenir le bon numéro de séquence.
Attaques réseau
➢ Spoofing ARP : Le spoofing ARP est une technique qui modifie le cache ARP. Le
cache ARP contient une association entre les adresses matérielles des machines
et les adresses IP, l’objectif du pirate est de conserver son adresse matérielle,
mais d’utiliser l’adresse IP d’un hôte approuvé. Ces informations sont
simultanément envoyées vers la cible et vers le cache. A partir de cet instant,
les paquets de la cible seront routés vers l’adresse matérielle du pirate.
➢ Spoofing DNS : Le système DNS (Domain Name System) a pour rôle de

convertir un nom de domaine en son adresse IP et réciproquement, à savoir :
convertir une adresse IP en un nom de domaine. Cette attaque consiste à faire
parvenir de fausses réponses aux requêtes DNS émises par une victime. Il existe
deux types de méthode :
✓ DNS ID spoofing : L’attaquant essaie de répondre à un client en attente d’une

réponse d’un serveur DNS, avec une fausse réponse et avant que le serveur
DNS ne réponde.
✓ DNS Cache Poisoning : L’attaquant essaie d’empoisonner le cache (table de
correspondance IP- nom _machine) du serveur DNS.
Vol de session TCP (hijacking)
➢ Le vol de session TCP: Le « vol de session TCP » (également appelé détournement

de session TCP ou en anglais TCP session hijacking) est une technique consistant à
intercepter une session TCP initiée entre deux machine afin de la détourner. Dans la
mesure où le contrôle d'authentification s'effectue uniquement à l'ouverture de la
session, un pirate réussissant cette attaque parvient à prendre possession de la
connexion pendant toute la durée de la session.
➢ Source-routing : La méthode de détournement initiale consistait à utiliser l'option

source routing du protocole IP. Cette option permettait de spécifier le chemin à
suivre pour les paquets IP, à l'aide d'une série d'adresses IP indiquant les routeurs
à utiliser. En exploitant cette option, le pirate peut indiquer un chemin de retour pour
les paquets vers un routeur sous son contrôle.
➢ Attaque à l'aveugle :Lorsque le source-routing est désactivé, ce qui est le cas de nos
jours dans la plupart des équipements, une seconde méthode consiste à envoyer
des paquets « à l'aveugle » (en anglais « blind attack »), sans recevoir de réponse,
en essayant de prédire les numéros de séquence.
Attaques applicatives
 Les attaques applicatives:
➢ Injection SQL : Les attaques par injection de commandes SQL

sont des attaques visant les sites web s'appuyant sur des bases
de données relationnelles.
➢ Dans ce type de sites, des paramètres sont passés à la base

de données sous forme d'une requête SQL.
➢ Ainsi, si le concepteur n'effectue aucun contrôle sur les

paramètres passés dans la requête SQL, il est possible à un
pirate de modifier la requête afin d'accéder à l'ensemble de
la base de données, voire à en modifier le contenu.
Attaques applicatives
➢ Les bugs : Tout logiciel comporte des bugs dont certains représentent des
trous de sécurité ou des anomalies qui permettent de violer le système sur
lequel tourne le programme.
➢ Si c’est un programme d’application réseau, ces trous peuvent être

exploités à distance via Internet.
➢ Failles XSS: Le cross-site scripting, abrégé XSS, est un type de faille de

sécurité des sites Web, que l'on trouve typiquement dans les applications
Web qui peuvent être utilisées par un attaquant pour provoquer un
comportement du site Web différent de celui désiré par le créateur de la
page (redirection vers un site, vol d'informations, etc.).
➢ Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style),
X étant une abréviation commune pour « cross » (croix) en anglais
Arnaques - Ingénierie sociale
➢ Ingénierie sociale : Le terme d'« ingénierie sociale » (en anglais « social engineering »)
désigne l'art de manipuler des personnes afin de contourner des dispositifs de sécurité. Il s'agit
ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par
téléphone, courrier électronique, courrier traditionnel ou contact direct. L'ingénierie sociale est
basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs
en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc.
D'une manière générale les méthodes d'ingénierie sociale se déroule selon le

schéma suivant :
Une phase d'approche permettant de mettre l'utilisateur en confiance, en se
faisant passer pour une personne de sa hiérarchie, de l'entreprise, de son
entourage ou pour un client, un fournisseur, etc.
➢ Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité

de sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou
d'une situation d'urgence ;
➢ Une diversion, c'est-à-dire une phrase ou une situation permettant de rassurer

l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par
exemple d'un remerciement annonçant que tout est rentré dans l'ordre, d'une
phrase anodine ou dans le cas d'un courrier électronique ou d'un site
web, d'une redirection vers le site web de l'entreprise.
➢L'ingénierie sociale peut prendre plusieurs formes :
▪ Par téléphone,
▪ Par courrier électronique,
▪ Par courrier écrit,
▪ Par messagerie instantanée,
▪ etc.
Arnaques - Ingénierie sociale:Commentse protéger?
La meilleure façon de se protéger des techniques d'ingénierie sociale est

d'utiliser son bon sens pour ne pas divulguer à n'importe qui des
informations pouvant nuire à la sécurité de l'entreprise. Il est ainsi conseillé, quel
que soit le type de renseignement demandé :
➢ de se renseigner sur l'identité de son interlocuteur en lui demandant des

informations précises (nom et prénom, société, numéro de téléphone) ;
➢ de vérifier éventuellement les renseignements fournis ;
➢ de s'interroger sur la criticité des informations demandées.
Ainsi, une formation et une sensibilisation des utilisateurs aux problèmes de

sécurité peut s'avérer nécessaire.
Phishing (hameçonnage)
➢ Le phishing (contraction des mots anglais « fishing », en français pêche, et
« phreaking », désignant le piratage de lignes téléphoniques), traduit parfois
en « hameçonnage », est une technique frauduleuse utilisée par les pirates
informatiques pour récupérer des informations (généralement bancaires)
auprès d'internautes.
➢ La technique du phishing est une technique d'« ingénierie sociale » c'est-à-

dire consistant à exploiter non pas une faille informatique mais la «
faille humaine » en dupant les internautes par le biais d'un courrier
électronique semblant provenir d'une entreprise de confiance,
typiquement une banque ou un site de commerce.
➢ Le mail envoyé par ces pirates usurpe l'identité d'une entreprise

(banque, site de commerce électronique, etc.) et les invite à se connecter en
ligne par le biais d'un lien hypertexte et de mettre à jour des
informations les concernant dans un formulaire d'une page web factice,
copie conforme du site original, en prétextant par exemple une mise à
jour du service, une intervention du support technique, etc.
Phishing (hameçonnage)
➢ Dans la mesure où les adresses électroniques sont collectées au hasard sur
Internet, le message a généralement peu de sens puisque l'internaute n'est
pas client de la banque de laquelle le courrier semble provenir. Mais sur la
quantité des messages envoyés il arrive que le destinataire soit
effectivement client de la banque.
➢ Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les

identifiants et mots de passe des internautes ou bien des données
personnelles ou bancaires (numéro de client, numéro de compte en banque,
etc.).
➢ Grâce à ces données les pirates sont capables de transférer directement

l'argent sur un autre compte ou bien d'obtenir ultérieurement les
données nécessaires en utilisant intelligemment les données personnelles
ainsi collectées.
Comment se protéger du phishing ?
➢ Lorsque vous recevez un message provenant a priori d'un

établissement bancaire ou d'un site de commerce
électronique il est nécessaire de vous poser les questions
suivantes :
▪ Ai-je communiqué à cet établissement mon adresse de messagerie ?
▪ Le courrier reçu possède-t-il des éléments personnalisés

permettant d'identifier sa véracité (numéro de client, nom de l'agence,
etc.) ?
Comment se protéger du phishing ?
➢ Par ailleurs il est conseillé de suivre les conseils suivants :
▪ Ne cliquez pas directement sur le lien contenu dans le mail, mais

ouvrez votre navigateur et saisissez vous-même l'URL d'accès au
service.
▪ Méfiez-vous des formulaires demandant des informations bancaires. Il

est en effet rare (voire impossible) qu'une banque vous demande des
renseignements aussi importants par un simple courrier électronique.
Dans le doute contactez directement votre agence par téléphone !
▪ Assurez-vous, lorsque vous saisissez des informations sensibles, que

le navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la
barre du navigateur commence par https et qu'un petit cadenas
est affiché dans la barre d'état au bas de votre navigateur, et que
le domaine du site dans l'adresse correspond bien à celui annoncé (gare
à l'orthographe du domaine) !
Attaques virales
 Virus : Un virus est un logiciel qui s’attache à tout type de

document électronique, et dont le but est d’infecter ceux-ci et
de se propager sur d’autres documents et d’autres ordinateurs.
➢ Un virus a besoin d’une intervention humaine pour se

propager.
➢ Le cycle de vie d’un virus commence par:
➢ la création,
➢ puis la reproduction,
➢ ensuite l’activation,
➢ ensuite le découvrir
➢ et en fin le détruire.
Attaques virales
 Virus réticulaires (botnet): Ce sont des virus qui se propagent

sur des millions d’ordinateurs connectés à l’Internet, sans y
commettre le moindre dégât.
Attaques virales
➢ Un botnet (contraction de « robot » et « réseau ») est un réseau

des programmes connectés à Internet qui communiquent avec
d'autres programmes similaires pour l'exécution de certaines
tâches.
➢ Le sens de botnet s'est étendu aux réseaux de machines

zombies, utilisés pour des usages malveillants, comme :
▪ l'envoi de spam et virus informatiques,
▪ ou les attaques informatiques par déni de service (DDoS).
Attaques virales
 Les vers (Worm): Un ver informatique est

un programme qui peut s'auto-reproduire
et se déplacer à travers un réseau en
utilisant les mécanismes réseau, sans
avoir réellement besoin d'un support
physique ou logique (disque dur,
programme hôte, fichier, etc.) pour se
propager; un ver est donc un virus réseau.
 Les spaywares: Les spywares sont des

logiciels parasites indétectables. Ils n'ont
pas une action destructive (comme les
virus), mais servent à espionner vos
habitudes et vos "besoins", pour des buts
"commerciaux malsains".
Attaques virales
 Cheval de Troie: Programme bénin (jeux, documents…) cachant un autre

programme. Lorsque le programme est exécuté, le programme caché
s’exécute aussi et pourrait ouvrir une « porte cachée ».
Attaques virales
 Porte dérobé ou Backdoor: Moyen de contourner les

mécanismes de sécurité ; il s’agit d’une faille du système de
sécurité due à une faute de conception accidentelle ou
intentionnelle (cheval de Troie en particulier).
➢ Ces passages secrets sont ménagés par les concepteurs de

logiciels pour fournir des accès privilégiés pour les tests ou
la maintenance.
Attaques virales
RootKit: Code malicieux permettant à un attaquant de

maintenir en temps réel un accès frauduleux à un
système informatique, se greffant généralement dans
le noyau du système d'exploitation.
➢ A la différence d'un virus ou d'un ver, un rootkit ne

se réplique pas.
Attaques virales
➢ Agit sur une machine déjà compromise. Il est utilisé dans une
étape après intrusion et l'installation d'une porte dérobée pour
cacher tous les changements effectués lors de l'intrusion afin de
préserver l'accès à la machine.
Attaques virales
 Un ransomware, rançongiciel, logiciel rançonneur, logiciel de rançon ou

logiciel d'extorsion est un logiciel malveillant qui prend en otage des données
personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles
puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui
permettra de les déchiffrer.
➢ Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine

jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en
échange d'une somme d'argent.
➢ Les modèles modernes de rançongiciels sont apparus en Russie initialement,

mais on constate que le nombre d'attaques de ce type a grandement
augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-
Unis.
Attaques virales

Attaques virales

Attaques virales

Les attaques: ransomware

Les attaques

Les attaques

Déroulement d’attaque phishing

Déroulement d’attaque infection

Déroulement d’attaque infection / protection

Déroulement d’attaque infection contournement

Déroulement d’attaque intégration botnet

Déroulement d’attaque infection pour Spam/Virus

Déroulement d’attaque infection pour DDoS

Déroulement d’un piratage web

Déroulement d’un piratage réseau

Analyseurs réseau (sniffers)
➢ L'analyse de réseau :Un « analyseur réseau » (appelé également

analyseur de trames ou en anglais sniffer, traduisez « renifleur ») est un
dispositif permettant d'« écouter » le trafic d'un réseau, c'est-à-dire de
capturer les informations qui y circulent.
➢ En effet, dans un réseau non commuté, les données sont envoyées à

toutes les machines du réseau.
➢ Toutefois, dans une utilisation normale les machines ignorent les

paquets qui ne leur sont pas destinés.
➢ Ainsi, en utilisant l'interface réseau dans un mode spécifique (appelé

généralement mode promiscuous) il est possible d'écouter tout le
trafic passant par un adaptateur réseau (une carte réseau ethernet,
une carte réseau sans fil, etc.).

➢ Utilisation du sniffer : Un sniffer est un formidable outil permettant

d'étudier le trafic d'un réseau. Il sert généralement aux administrateurs pour
diagnostiquer les problèmes sur leur réseau ainsi que pour connaître le
trafic qui y circule.
➢ Ainsi les détecteurs d'intrusion (IDS) sont basés sur un sniffeur pour la
capture des trames, et utilisent une base de données de règles (rules)
pour détecter des trames suspectes.
➢ Malheureusement, comme tous les outils d'administration, le sniffer

peut également servir à une personne malveillante ayant un accès
physique au réseau pour collecter des informations.
➢ Ce risque est encore plus important sur les réseaux sans fils car il est
difficile de confiner les ondes hertziennes dans un périmètre délimité, si
bien que des personnes malveillantes peuvent écouter le trafic en étant
simplement dans le voisinage.

Il existe plusieurs façons de se prémunir des désagréments que pourrait provoquer
l'utilisation d'un sniffer sur votre réseau :
➢ Utiliser des protocoles chiffrés pour toutes les communications dont le contenu
possède un niveau de confidentialité élevé.
➢ Segmenter le réseau afin de limiter la diffusion des informations. Il est

notamment recommandé de préférer l'utilisation de switchs (commutateurs) à celle
des hubs (concentrateurs) car ils commutent les communications, c'est-à-dire que les
informations sont délivrées uniquement aux machines destinataires.
➢ Utiliser un détecteur de sniffer. Il s'agit d'un outil sondant le réseau à la recherche de

matériels utilisant le mode promiscuous.
➢ Pour les réseaux sans fils il est conseillé de réduire la puissance des matériels de telle
façon à ne couvrir que la surface nécessaire. Cela n'empêche pas les éventuels
pirates d'écouter le réseau mais réduit le périmètre géographique dans lequel ils ont la
possibilité de le faire.

Analyseurs réseau (sniffers) : Quelques outils
➢ Ethereal, le célèbre analyseur de protocoles

➢ TCP dump
➢ WinDump, portage de TCP dump sous Windows

Balayage de ports (scanners de vulnérabilités)
➢ Le balayage de ports : Un « scanner de vulnérabilité » (parfois appelé « analyseur de

réseaux ») est un utilitaire permettant de réaliser un audit de sécurité d'un réseau en
effectuant un balayage des ports ouverts (en anglais port scanning) sur une machine
donnée ou sur un réseau tout entier.
➢ Le balayage se fait grâce à des sondes (requêtes) permettant de déterminer les

services fonctionnant sur un hôte distant. Un tel outil permet de déterminer les risques
en matière de sécurité. Il est généralement possible avec ce type d'outil de lancer
une analyse sur une plage ou une liste d'adresses IP afin de cartographier
entièrement un réseau.

➢ Fonctionnement d'un scanner :Un scanner de vulnérabilité est capable de

déterminer les ports ouverts sur un système en envoyant des requêtes
successives sur les différents ports et analyse les réponses afin de déterminer
lesquels sont actifs.
▪ En analysant très finement la structure des paquets TCP/IP reçus, les

scanners de sécurité évolués sont parfois capables de déterminer le
système d'exploitation de la machine distante ainsi que les versions des
applications associées aux ports et, le cas échéant, de conseiller les
mises à jour nécessaires, on parle ainsi de caractérisation de version.

➢ On distingue habituellement deux méthodes :
▪ L'acquisition active d'informations consistant à envoyer un grand nombre

de paquets possédant des en-têtes caractéristiques et la plupart du temps non
conformes aux recommandations et à analyser les réponses afin de déterminer la
version de l'application utilisée.
▪ En effet, chaque application implémente les protocoles d'une façon
légèrement différente, ce qui permet de les distinguer.
▪ L'acquisition passive d'informations (parfois balayage passif ou scan non

intrusif) est beaucoup moins intrusive et risque donc moins d'être détecté par un
système de détection d'intrusions.
▪ Son principe de fonctionnement est proche, si ce n'est qu'il consiste à analyser
les champs des datagrammes IP circulant sur un réseau, à l'aide d'un sniffer.
▪ La caractérisation de version passive analyse l'évolution des valeurs des champs
sur des séries de fragments, ce qui implique un temps d'analyse beaucoup plus
long.
▪ Ce type d'analyse est ainsi très difficile voire impossible à détecter.

➢ Les scanners de sécurité sont des outils très utiles pour les administrateurs système et
réseau afin de surveiller la sécurité du parc informatique dont ils ont la charge.
➢ A contrario, cet outil est parfois utilisé par des pirates informatiques afin de déterminer
les failles d'un système.
➢ Quelques outils :
▪ Nessus
▪ Nmap ("Network Mapper") - Utilitaire libre d'audits de sécurité et
d'exploration des réseaux
▪ The Art of Port Scanning par Fyodor

Déroulement d’une attaque
1. Collecte d’informations
2. Repéragedes vulnérabilités
3. Utilisation des vulnérabilités → intrusion
4. Accession aux droits administrateur (escalade)
5. Camouflage
6. Installation d’une backdoor

Collecte desinformations
 Par "social engineering" ou manipulation psycho-relationnelle Par

ingénierie informationnelle
 Par interrogation TCP/IP
➢ Scan (de ports ou de machines)
✓ Rapide/lent
✓ Classique/furtif
 Interrogation desservices
➢ Cartographie DNS
➢ Récupération des versions
➢ Récupération desoptions

Attaques : quelquesstatistiques
 Ceschiffres sont desmoyennes en 2016

➢ 200 tests par seconde ( 17 000 000 par jour )
➢ 1200 scanspar jour ( >3 ports ou 10 machines)
➢ 16 à2000 machines à chaque fois
➢ 5 à 10 campagnes de phishing par jour.

Attaques : incidents
67 incidents de sécurité depuis 13 ans dont :

➢ 16 incidents de phishing
➢ 49 virus (sortants ou crypto) sur des postes
➢ 2 intrusions automatiques (vers) sur desserveurs
➢ 1 boite noire piratée(ShellShock)
➢ 2 "DDoS" réussis en Février2015.
Année Total Virus Phishing Autres Commentaires

2017 8 3 4 1 Parasitisme avancé
2016 12 6 1 5 3 DoS, 2 extorsions
2015 16 8 4 4 2 DoS
2014 17 8 4 5
2013 10 6 4 0

Pourquoi les services sont vulnérables ?
 Mauvaise conception (volontaire ounon)

➢ Peaceand Love
➢ Backdoor
➢ Incompétence : WEP
➢ Complexité : OpenSSL, Bash,WPA2
 Mauvaise configuration
➢ postfix, DNS, HTTP
 Mauvaise utilisation
➢ Scripts php, cgi-bin
➢ incorrects
 Mauvais utilisateurs
➢ Manque d’intelligence entre la chaiseet le clavier

Heureusement
C’est super dur de trouver desfailles

Site de recensement de failles
source h t t p : / / www. c v e d e t a i l s . com

Heureusement
C’est super dur de trouver comment exploiter des failles

Site d’utilisation de failles
source h t t p : / / www. e x p l o i t - d b . com

Heureusement
Les antivirus nousprotègent.

Les antivirus

Heureusement
Les grosses entreprises ne sefont jamaispirater !!!

Les plus grosses fuites dedonnées
source h t t p : / / www. i n f o rm a t i oni s b eaut i f ul . net

Heureusement
On peut repérer les pirates quand ils cherchent desfailles.

Shodan, Censys, Zoomeyeetc.
http://www.shodan.io
https://censys.io
https://www.zoomeye.org

Définir les rôles : politique de sécurité
 Une politique de sécurité est comme une politique étrangère

pour un pays, elle définit les buts et les objectifs.
 Un système d’information sans une politique de sécurité est

susceptible d'avoir un désordre de contre-mesures.
 Les bonnes politiques sont adaptées aux menaces. S'il n'y avait
pas de menaces, il n'y aurait pas de politique.

Définir les rôles : politique de sécurité
 Que voulez-vous faire ?
 Qui fait quoi, comment et quand ?
 Les pièges à éviter

Que voulez-vous faire?
 Protéger contre la CIA/NSA ?

 Protéger contre des adversaires précis ?
 Protéger contre l’interne ?
 Protéger contre le "normal" ?
 N’oubliez jamais
 Vous voulez assurer la survie de votreorganisme

Qui aura le droit de faire quoi ?
Politique desécurité
Le web est autorisé pour qui, pour quoi ?
Qui peut utiliser la messagerie ?
Qui définit les règles?
Qui les annonce et comment ?
Quelles sont les sanctions ?

Les priorités
 Empêcher les agressions (volontaires ou non) : Protection Repérer les agressions: Détection
 Confiner les agressions et limiter leurs conséquences Accumuler lespreuves
 Comprendre, apprendre, retenir (itération) Retour à lanormale

La protection
 Nous parlerons ici de la protection dite périmétrique

➢ Partie la plus efficace
✓ 70% à 80% d’attaques en moins
✓ La moinscoûteuse
✓ entemps
✓ en argent
✓ en compétence
➢ La plus stable dans le temps
➢ La plusvisible

La détection
 La détection permet de réagir

 Permet de prévoirl’avenir
➢ scan sur des ports inconnus
➢ analyse des comportement anormaux
 Permet de justifier lescoûts
➢ En présentant correctement lesinformations

Confinement desagressions
 "Réactif" en cas d’échec de protection

 Protection enprofondeur
 Doit être placé "en plus" avant la détection (proactif)
 De plus en plus utile avec lesvers

Accumuler lespreuves
 Optionnel
 En casde recours enjustice
➢ A notre initiative
➢ Mais aussi à notre encontre
 Tâche ingrate et rarementeffectuée
➢ Réputation
➢ Argent
➢ Temps

Comprendre, apprendre, retenir
L’attaque aréussi
➢ Pourquoi ?
➢ Comment y remédier ?
➢ Parer à la faille utilisée
➢ Réfléchir à une généralisation de cette faille

Remise enétat
 Plan de reprise/Plan desecours

 Si elle est faite avant decomprendre
➢ Vous ne pourrez apprendre
➢ Vousn’aurez donc rien appris
➢ Vousresubirez l’attaque
 Nécessité d’une machine à remonter le temps
 Phaserarement testée

Collecte desinformations : exercices
Exercice 1 : Ingénierie informationnelle

Collecter toute information utile pour attaquer le domaine
bourse-maroc.ma
Exercice 2 : jouons avecnmap

Découvrir les utilisations de NMAP, pour les ports, les applications, les
versions.

Résolution desproblèmes
La tronçonneuse
Le ciseau à bois
Le papier de verre

La tronçonneuse
 On enlève l’inutile:
➢ Protection contre l’extérieur;
➢ Protection contre l’intérieur;
➢ Protection àl’intérieur.

Protection contre l’extérieur
 Travail effectué par le firewall :

➢ On bloque tout cequi vient del’extérieur;
➢ Hormis cequi est spécifiquement autorisé;
➢ Letout basésurunenotion deport;
➢ Les entrées sont limitées en rapidité;
➢ On jette et on n’avertit pas.

Protection contre l’intérieur
Tout est autorisé en sortie SAUF

Cequi est offert en interne
 DNS, SMTP, NTP, etc.
 Cequi est dangereux pourl’extérieur
 SNMP, Netbios, etc.
 Cequi est illégal, non productif
 P2P, pédopornographie Jeux en ligne,
pornographie
 Les "zones ouvertes" qui doivent être contrôlées
 Show Room WiFi

Protection à l’intérieur
Travail effectué par un filtrage interne. Tout est autorisé en intra-

établissement SAUF
 Cequi est dangereux
 Les zones ouvertes
 Les zones fragiles doivent être injoignables

Le ciseau àbois
 On enlève ceque l’on sait dangereux dans cequi est autorisé

➢ Le courrier électronique
➢ Le Web
➢ Les services engénéral

Le courrier électronique
Le SMTP rentre mais

 Il ne rentre pas pourressortir
 Il ne doit pas être vecteur de virus
 Il est analysé contre le spam (ou plutôt contre tout danger).

Le Web
Le Web sortmais
 Certains sites sont interdits
 Les nids à virus sont inspectés
 On journalise ce qui passe

Les services
 Certains services sont offerts, mais

➢ Les serveurs sontpatchés
➢ Ils remontent les anomalies
➢ Un détecteur d’anomalies veille
➢ On limite les conséquences desanomalies

Le reste
Le reste sort mais:

➢ Limitation des débits
➢ On suit les connexions (journaux)

Le papier de verre
On repère ce qui va être dangereux

Les logs
Les journaux sont nos seuls amis. On va donc faire appel à eux pour:
➢ Les machines internes qui déclenchent des alertes.

➢ Les services qui sont auscultés par l’extérieur
➢ Les alertes récurrentes

Comment protéger?
Dans un mondeparfait
➢ Bien concevoir lesservices
➢ Bien configurer lesservices
➢ Bien lesutiliser
Dans le monde réel
➢ Limiter les accès aux servicesnécessaires
✓ En nombre de machines
✓ En nombre de services
➢ Limiter lesconséquencesd’une intrusion

Mais garder à l’esprit
 Une protection périmétrique ne protège pas :

➢ du WiFi
➢ desportables infectés
➢ desapplications web infectées

D’où l’idée
 Séparer les services publics et les services internes

 Limiter la communication et la visibilité depuisl’extérieur
 Obliger le passagepar un point unique de contrôle = > Le pare-feu (Firewall)

Chapitre 2 : Cryptographie

Le chiffrement
Le chiffrement symétrique

Le chiffrement asymétrique
Les condensats (Hash)
La signature
Les certificats
La paire de clés PGP (Pretty Good Privacy)
PKI

La Cryptographie: Problématique
Failles dans les protocoles de communication :
➢ Toute information circulant sur Internet peut être capturée et enregistrée

et/ou modifiée
▪ Problème de confidentialité et d’intégrité
➢ Toute personne peut falsifier son adresse IP (spoofing) ce qui engendre une
fausse identification
▪ Problème d’authentification
➢ Aucune preuve n’est fournie par Internet quant à la participation dans un

échange électronique
▪ Problème d’absence de traçabilité

Cryptographie: Vocabulaire
 Coder : rendre inintelligible une information à l’aide d’uncode

 Décoder : rendre intelligible une information préalablement
codée à l’aide de la clé
 Décrypter : décoder mais sans le code
 Chiffrer=coder
 Crypter : en théorie n’existepas
Pour plusd’information:
http://michel.arboi.free.fr/cryptFAQ/

La Cryptographie: Définition
La cryptographie: Science
mathématique permettant
d’effectuer des opérations
sur un texte intelligible
afin d’assurer une ou
plusieurs propriétés de la
sécurité de l’information.

Définition d’un crypto-système
Un crypto-système est décrit par cinq uplets (P,C,K,E,D), satisfaisant

ces conditions:
 « P » est un ensemble fini de textes clairs (Plain text)

 « C » est un ensemble fini de textes cryptés (Cypher text)
 « K » est l’espace de clés (key space), représente un ensemble
fini de clés possibles.
Pour chaque k € K, il existe une fonction cryptage ek € E,et une

fonction de décryptage correspondante dk € D
▪ Les fonctions ek : P C et dk : C  P doivent satisfaire:
dk(ek(x))=x pour chaque x € P

Principaux objectifs
Le texte clair ne doit pas être facilement obtenu à partir d’un
texte crypté.
Les clés ne doivent pas être facilement obtenues à partir d’un

texte crypté.
L’espace des clés doit être assez large pour résister aux attaques
brute-force.

Cryptanalyse
 Principes et méthodes permettant de trouver un message clair à partir

d’un message crypté sans connaissance de la clé.
 Attaques classifiées selon le type de connaissance disponible pour l’intrus
(cryptanalyst).
 Connaissant C=E(P,K) mais pas K, l’objectif est de trouver P ou K.
 Types d’attaques de cryptanalyse:

 Texte chiffré uniquement: uniquement C et E sont connus par l’intrus
 Texte clair connu: Uniquement E, C, et quelques paires de messages
clairs/cryptés avec K, sont connus par l’intrus
 Texte clair choisi: E, C, sont connus, et P a été choisi par l’intrus.

Cryptanalyse Sécurité et chiffrement : cryptologie
Cryptologie par substitution

➢ Substitution simple
➢ Codage de césar
➢ Le carré de Polybe
Cryptologie par clé
➢ Le chiffre de Vigenère
➢ Les méthodes symétrique à clés secrètes
Les méthodes à clés publiques et clé privée

Substitution simple
 Le codage par substitution mono-alphabétique (on dit aussi les

alphabets désordonnés) est le plus simple à imaginer.
 Dans le message clair, on remplace chaque lettre par une lettre

différente.
 Texte clair ABCDEFGHIJKLMNOPQRSTUVWXYZ
 Texte codé WXEHYZTKCPJIUADGLQMNRSFVBO

Cryptographie : Codage de César
Discipline incluant les principes, les moyens et les méthodes de transformation

des données, dans le but de masquer leur contenu, d'empêcher leur
modification ou leur utilisation illégale
• Décaler les lettres de l'alphabet de trois crans vers la gauche
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
AVE CAESAR
DYH FDHVDU
WIKIPEDIA L'ENCYCLOPEDIE LIBRE

ZLNLSHGLD O'HQFBFORSHGLH OLEUH


Le chiffre de César fonctionne par décalage des lettres de

l'alphabet. Par exemple dans l'image ci-dessus, il y a une distance
de 3 caractères, donc B devient E dans le texte codé

Crypter un message
void crypter(char [] mess) {

?????
}
void deCrypter(char [] mess) {

?????
}

Décrypter un message
void deCrypter(char [] mess) { char aux ;
for(int i=0; i<mess.length; i++) { aux = (char)(mess[i]-3) ;
if (aux < 'a') aux=(char)(aux + 26); mess[i]=aux;

}

Chercher un élément dans un tableau
int indexOf(char[] t, char c){ int i=0;
while(i<t.length && t[i]!=c) i++; if (i==t.length)
return -1;
else
return i;

Chiffrement de César
Cette technique simple de chiffrement effectuant un

décalage est appelé chiffrement de César.
Par exemple, avec un décalage de trois, mon nom

deviant
➢CHAKIR= FKDNLU
➢(On décale aussi les espaces…)
Cette technique de chiffrement est-elle sécuritaire?

Chiffrement de César
 On intercepte le message
 FAGEMYREMPURZV_EMZR_R FMNMDAZR
 Essayons différents décalages…
1. E_FDLXQDLOTQYUZDLYQZQZELMLC_YQ
2. DZECKWPCKNSPXTYCKXPYPYDKLKBZXP
3… 4… 5… 6… 7… 8… 9… 10… 11… 12…
13. TOUS_LES_CHEMINS_MENENT_A_ROME
Clairement, le chiffrement de César n’est pas sécuritaire !!

Substitution mono-alphabétique
Essayons autre chose.
_ABCDEFGHIJKLMNOPQRSTUVWXYZRDOHXA
MTC_BKPEZQIWNJFLGVYUS
TOUS_LES_CHEMINS_MENENT_A_ROME
Devient
FQLJRPAJRHCAE_ZJREAZAZFRDRNQEA
Le décodage devrait être plus difficile. Peut-on essayer tous les

décodages possibles?
Il y a 27!=10 888 869 450 418 352 160 768 000 000 possibilités…

Exemple
BQPSNRSJXJNJXLDPCLDLPQBE_QRKJ
XHNKPKSJPJIKSPUNBDKIQRBKPQPB
QPZITEJQDQBTSKPELNIUNPHNKPBK
PCKSSQWKPSLXJPSNVVXSQCCKDJP
BLDWPXBPSNVVXJPGKPJKDXIPZLCE
JKPGKSPSJQJXSJXHNKSPGPLZZNIIK
Comment DZKPGKSPGXVVKIKDJKSPBKJJIKS déchiffrer ce

message?
Chaque lettre est chiffrée de la même façon… Certaines lettres

sont utilisées plus souvent.

Le carré de Polybe
1 2 3 4 5
 Polybe : historien grec 205 – 125
1 A B C D E avant JC.
2 F G H I,J K
 Il dispose les lettres dans un
3 L M N O P tableau 5*5 (nous sommes ici
obligés d'identifier le i et le j de
4 Q R S T U manière identique) :
5 V W X Y Z

Le carré de Polybe
 Le principe est assez simple:
 Il consiste à ordonner les lettres de l’alphabet en ordre alphabétique dans un

tableau carré de 5 cases de côté dont chaque ligne et chaque colonne sont
numérotées, de gauche à droite et de haut en bas.
 Considérant que l’alphabet français comporte 26 lettres et que le carré possède

seulement 25 cases, par convention les lettres i et j sont fusionnées — comme
dans l’image ci-contre. Parfois, d’autres lettres sont fusionnées à la place de celles-
ci comme x et z.
 Ensuite, pour chiffrer un mot, il faut trouver la paire de numéros correspondants à

chaque lettre.
 Le premier chiffre est le numéro de la ligne et le second celui de la colonne.

Par exemple, le mot « bonjour » est ainsi chiffré par le carré de Polybe : 12 34
33 24 34 45 42. Pour déchiffrer un mot, il suffit d'effectuer la méthode inverse

Le carré de Polybe
 On remplace chaque lettre par ses

1 2 3 4 5 coordonnées dans le tableau, en écrivant
d'abord la ligne, puis la colonne.
1 A B C D E
 Par exemple, le A est remplacé par 11, le B
2 F G H I,J K est remplacé par 12, le F par 21, le M par
32....
3 L M N O P  Si nous codons :
4 Q R S T U LONGTEMPS JE ME SUIS COUCHE DE BONNE

HEURE
5 V W X Y Z
 Nous obtenons:
313433224415323543 2415 3215
133445132315 1415 1234333315
2315454215

Carré de Vigenère
 Le chiffre de Vigenère est un système de chiffrement polyalphabétique, c’est

un chiffrement par substitution, mais une même lettre du message clair peut,
suivant sa position dans celui-ci, être remplacée par des lettres différentes,
contrairement à un système de chiffrement monoalphabétique comme le
chiffre de César (qu'il utilise cependant comme composant).
 Cette méthode résiste ainsi à l'analyse de fréquences, ce qui est un avantage

décisif sur les chiffrements monoalphabétiques.
 Il est nommé ainsi au xixe siècle en référence au diplomate du xvie siècle

Blaise de Vigenère, qui le décrit (intégré à un chiffrement plus complexe) dans
son traité des chiffres paru en 1586. On trouve en fait déjà une méthode de
chiffrement analogue dans un court traité de

Carré de Vigenère
Pour coder - ou décoder - un texte, on utilise
 un mot clef
 le tableau carré constitué de 26 alphabets décalés
Et on code lettre à lettre : chiffré = clair + clef

Carré de Vigenère

Carré de Vigenère

Carré de Vigenère
 Pour coder un message, on choisit une

clé qui sera un mot de longueur
arbitraire.
 On écrit ensuite cette clé sous le

message à coder, en la répétant aussi
souvent que nécessaire pour que sous
chaque lettre du message à coder, on
trouve une lettre de la clé.
 Pour coder, on regarde dans le tableau

l'intersection de la ligne de la lettre à
coder avec la colonne de la lettre de la
clé.

Carré de Vigenère
 Pour chaque lettre en clair, on sélectionne la colonne correspondante et pour une lettre
de la clé on sélectionne la ligne adéquate, puis au croisement de la ligne et de la colonne
on trouve la lettre chiffrée.
 La lettre de la clé est à prendre dans l'ordre dans laquelle elle se présente et on répète la
clé en boucle autant que nécessaire.
Clé : musique
Texte : J'adore écouter la radio toute la journee
Texte en clair : j'adore ecouter la radio toute la journee
Clé répétée : M USIQU EMUSIQU EM USIQU EMUSI QU EMUSIQU
^ ^^^
| ||Colonne O, ligne I : on obtient la lettre W.
| |Colonne D, ligne S : on obtient la lettre V.
| Colonne A, ligne U : on obtient la lettre U.
Colonne J, ligne M : on obtient la lettre V.

Carré de Vigenère
 Le texte chiffré est alors :
V'UVWHY IOIMBUL PM LSLYI XAOLM BU NAOJVUY
 Si on veut déchiffrer ce texte, on regarde pour chaque lettre de la clé répétée la ligne
correspondante et on y cherche la lettre chiffrée.
 La première lettre de la colonne que l'on trouve ainsi est la lettre déchiffrée.
Texte chiffré : V'UVWHY IOIMBUL PM LSLYI XAOLM BU NAOJVUY

Clé répétée : M USIQU EMUSIQU EM USIQU EMUSI QU EMUSIQU
^ ^^^
| ||Ligne I, on cherche W : on trouve la colonne O.
| |Ligne S, on cherche V : on trouve la colonne D.
| Ligne U, on cherche U : on trouve la colonne A.
Ligne M, on cherche V : on trouve la colonne J.

Carré de Vigenère
 Mathématiquement, on identifie les lettres de l'alphabet aux nombres de 0 à 25 (A=0,
B=1...). Les opérations de chiffrement et de déchiffrement sont, pour chaque lettre,
celles du chiffre de César. En désignant la ie lettre du texte clair par Texte[i], la ie du
chiffré par Chiffré[i], et la ie lettre de la clé, répétée suffisamment de fois, par Clés[i],
elle se formalise par :
➢ Chiffré[i] = (Texte[i] + Clés[i]) modulo 26

➢ Texte[i] = (Chiffré[i] - Clés[i]) modulo 26
 où x modulo 26 désigne le reste de la division entière de x par 26. Pour le chiffrement il

suffit d'effectuer l'addition des deux lettres puis de soustraire 26 si le résultat dépasse
26.
 Pour le déchiffrement il suffit d'effectuer la soustraction et d'additionner 26 si le résultat

est négatif. Le déchiffrement est aussi une opération identique à celle du chiffrement
pour la clé obtenue par Clé'[i] = 26 - Clé[i]. Un disque à chiffrer (en), qui utilise une
représentation circulaire de l'alphabet (après Z on a A), permet de réaliser directement
cette opération.
 Le chiffré d'un texte suffisamment long constitué uniquement de A donne la clé ( 0

+ x = x, soit A + Clés[i] = Clés[i] ).
Le chiffre de Vigenère
 Cet algorithme de cryptographie comporte beaucoup de points forts.
➢ Il est très facile d'utilisation, et le décryptage est tout aussi facile si on

connait la clé.
➢ En outre, l'exemple précédent fait bien apparaitre la grande

caractéristique du code de Vigenère : la lettre E a été codée en I, en A,
en Q, et en E. Impossible par une analyse statistique simple de
retrouver où sont les E.
➢ On peut produire une infinité de clés, il est très facile de convenir avec
quelqu'un d'une clé donnée.

Cryptage symétrique
 Exigences:
➢ Un algorithme de cryptage solide.

➢ Une clé secrète partagée et connue entre l’émetteur et le récepteur.
▪ Y= EK(X)
▪ X = DK(Y)
 Suppose que l’algorithme de cryptage est connu à l’avance.
 Les clés sont distribuées à travers des canaux sécurisés.
 Exemples :
➢ Algorithmes : DES, IDEA, AES

➢ Taille des clés : 56-128-192-256-… bits

 Les clés de chiffrement et de déchiffrement sontidentiques

 Les algorithmes de chiffrement et déchiffrement ne sont pas forcément
identiques.
 Pour communiquer il faut que Alice et Bob soient tous les 2 au courant de
la clé, ce qui signifie un échange préalable

Cryptage symétrique :caractéristiques
Les chiffrements et déchiffrements sont rapides
Leur décryptage peut être très long
 64 bits = 8 octets = 1,8 x 1019 possibilités

 à 1 million de tests par seconde
 1,8 x 1013 secondes soit 5800 siècles
AES est disponible en version 128,192 et 256 bits

Cryptage symétrique: principe de base

Cryptage symétrique: Modes Opérationnels
Cryptage par flots (Stream Cipher)
➢ Le chiffrement de flux, chiffrement par flot ou chiffrement en continu (en

anglais stream cipher) est une des deux grandes catégories de chiffrements
modernes en cryptographie symétrique, l'autre étant le chiffrement par bloc.
➢ Un chiffrement par flot arrive à traiter les données de longueur quelconque

et n'a pas besoin de les découper.
➢ Une liste non-exhaustive de chiffrements par flot :
➢ A5/1, algorithme publié en 1994, utilisé dans les téléphones mobiles de type
GSM pour chiffrer la communication par radio entre le mobile et l'antenne-relais
la plus proche ;
➢ RC4, le plus répandu, conçu en 1987 par Ronald Rivest, utilisé notamment par le
protocole WEP du Wi-Fi ;
➢ Py, un algorithme récent de Eli Biham ;
➢ E0 utilisé par le protocole Bluetooth.

Cryptage symétrique: Modes Opérationnels
 Cryptage par bloc (Bloc Cipher)

➢ Le chiffrement par bloc (en anglais block cipher) est une des deux grandes
catégories de chiffrements modernes en cryptographie symétrique, l'autre
étant le chiffrement par flot. La principale différence vient du découpage des
données en blocs de taille généralement fixe.
➢ La taille de bloc est comprise entre 32 et 512 bits, dans le milieu des années
1990 le standard était de 64 bits mais depuis 2000 et le concours AES le
standard est de 128 bits.
➢ Les blocs sont ensuite chiffrés les uns après les autres.
➢ Une liste non-exhaustive de chiffrements par bloc :
▪ DES, l'ancêtre conçu dans les années 1970, a été passablement étudié
▪ AES, le remplaçant de DES
▪ Blowfish, Serpent et Twofish, des alternatives à AES

Cryptage Symétrique: opérations de base
 Substitution
➢ Remplacement de chaque élément (bit, lettre, groupe de bits ou

de lettres) dans le texte clair par un autre élément.
 Transposition
➢ Réarrangement des éléments du texte clair
 La plupart des systèmes utilisent plusieurs étapes de transposition et

de substitution.
 Aucune information ne doit être perdue durant ces deux opérations

Chiffrement Par Flots
Caractéristiques
 Pas besoin de lire le message ni d'avoir sa longueur pour commencer a

chiffrer
 Génération de pseudo-aléa, appelé flux de clé (keystream) que l’on

combine (souvent par XOR) avec le flux de donnees

Chiffrement Par Flots

Exemple de cryptage par substitution
Exemple: Caesar's cipher
 Etapes:
➢ Clé = 3
➢ Remplacer chaque lettre par celle qui la succède de trois (3).
➢ a devient d, b devient e, …, y devient b, z devient c
 L’algorithme peut être décrit comme suit: C = E(p) = (p+3) mod (26)
➢ Problèmes rendant la cryptanalyse de cet algorithme simple:
▪ Algorithme de cryptage et de décryptage connu.

▪ Seulement 25 clés à essayer.
▪ Le langage du message clair est connu et facilement identifiable.

Cryptographie Symétrique : exemples
Algorithmes de chiffrement en continu (Stream Cipher)
 Exemple : RC4 (RSA Security)

➢ Taille de la clé variable (128 bits en pratique).
➢ Algorithmes de chiffrement par blocs (Block Cipher)
 Chiffrement par blocs de texte clair: 64 bits (DES), 128 bits (AES).
 DES (clé 56 bits), 3DES (clé de 168 bits ou 112 bits).
 RC2 (clé 128 bits), Blowfish (clé 128bits, jusqu'à 448 bits), AES (clé 128,
192, 256 bits).

Avantages
 Confidentialité des données.

 Rapidité, et facilité de mise en œuvre sur des circuits.
Limitations
 Problématique de l'échange de la clé de chiffrement
➢ Établissement préalable d'un canal sûr pour la transmission de la clé
 Une tierce partie ne peut pas s’assurer de l’authenticité des messages.

 Problème de la distribution des clés de cryptage
➢ Nécessité d’établir un canal sécurisé pour la transmission de la clé

Exemple: Chiffrement RC4




Exemple: DES (Data Encryption Standard)
 Le Data Encryption Standard (DES) est un algorithme de chiffrement

symétrique (chiffrement par bloc) utilisant des clés de 56 bits.
 Son emploi n'est plus recommandé aujourd'hui, du fait de sa lenteur à

l'exécution et de son espace de clés trop petit permettant une attaque
systématique en un temps raisonnable.
 Quand il est encore utilisé c'est généralement en Triple DES, ce qui ne fait
rien pour améliorer ses performances.
 DES a notamment été utilisé dans le système de mots de passe UNIX.
 Le premier standard DES est publié par FIPS le 15 janvier 1977 sous le nom
FIPS PUB 46.
 La dernière version avant l'obsolescence date du 25 octobre 1999

Chiffrement symétrique :AES
 http://www.securiteinfo.com/crypto/aes.shtml
 Nouveau standard (il s’appellait Rijndael à l’origine après un concours de la
NSA)
 Auteurs Rijmen et Daemen
 Plusieurs versions de 128,192 ou 256 bits
 Plus rapide que DES (il ne travaille qu’avec desentiers)

Cet algorithme suit les spécifications suivantes :
 L’AES est un standard, donc libre d'utilisation, sans restriction d'usage ni

brevet.
 C’est un algorithme de type symétrique
 C’est un algorithme de chiffrement par blocs
 Il supporte différentes combinaisons [longueur de clé]-[longueur de
bloc] : 128-128, 192-128 et 256-128 bits (en fait, l’AES supporte
également des tailles de blocs variables, mais cela n'est pas retenu dans
le standard)

Caractéristiques et points forts de l'AES
Le choix de cet algorithme répond à de nombreux critères plus généraux dont nous pouvons
citer les
suivants :
 Sécurité ou l'effort nécessaire pour une éventuelle cryptanalyse
 Puissance de calcul qui entraine une grande rapidité de traitement
 Besoins en ressources et mémoire très faibles
 Flexibilité d'implémentation, cela inclut une grande variété de plateformes et
d'applications ainsi que des tailles de clés et de blocs supplémentaires
 Compatibilité hardware et software, il est possible d'implémenter l'AES aussi bien
sous forme logicielle que matérielle
 Simplicité, le design de l'AES est relativement simple

Détails techniques
L'AES opère sur des blocs de 128 bits qu'il transforme en blocs
cryptés de 128 bits par une séquence de N opérations ou «
rounds », à partir d'une clé de 128, 192 ou 256 bits. Suivant la
taille de celle-ci, le nombre de rounds diffère : respectivement
10, 12 et 14 rounds.

Le schéma suivant décrit succinctement le déroulement du chiffrement :
 BYTE_SUB (Byte Substitution) est une fonction non-
linéaire opérant indépendamment sur chaque bloc à
partir d’une table dite de substitution.
SHIFT_ROW est une fonction opérant des décalages
(typiquement elle prend l'entrée en 4 morceaux de 4 octets
et opère des décalages vers la gauche de 0, 1, 2 et 3 octets
pour les morceaux 1, 2, 3 et 4 respectivement).
 MIX_COL est une fonction qui transforme chaque octet
d'entrée en une combinaison linéaire d'octets d'entrée et
qui peut être exprimée mathématiquement par un
produit matriciel.
 Le signe + entouré d'un cercle désigne l'opération de OU
exclusif (XOR).
 Kn est la n ème sous-clé calculée par un algorithme à
partir de la clé principale K.
Le déchiffrement consiste à appliquer les opérations inverses,

dans l'ordre inverse et avec des sous-clés également dans
l'ordre inverse.
Chiffrement asymétrique
On génère 2 clés inter-dépendantes appelées

 clé publique (qui avocation àêtre largement distribuée)
 clé privée (qui doit absolument être protégée)
Ce qui est chiffrée par l’une est déchiffrable par l’autre, et
uniquement elle !
Il est mathématiquement impossible, dans des temps
"humains" dedéduire une clé depuis l’autre.

Chiffrement asymétrique

Chiffrement asymétrique :exemples
Algorithmes
R.S.A.
D.S.S./Diffie Helmann
El Gamal (logarithme discret)
Courbes elliptiques
Outils
PGP
GPG
Openssl

Cryptographie asymétrique (2)
 Clés à grande taille (ex: RSA: 1024-2048-…).
 Fonction trappe à sens unique:
➢ Kpr: clé privée, Kpu: clé publique
➢ n Y=fKpr(X) facile à calculer si Kpr et X sont connus.
➢ n X=fKpu-1(Y) facile si Kpu et Y sont connus, mais impossible si Y est connu et Kpu
non connue.
 Utilisé généralement pour
➢ Cryptage / décryptage: assurer la confidentialité.
➢ Signature numérique: assurer l’authentification et la non répudiation.
➢ Distribution de clés: se mettre d’accord sur une clé de

Cryptographie asymétrique: Scénario d’utilisation
Scénario : Confidentialité

Scénario: authenticité de l’émetteur et non répudiation d’envoi

Scénario: Distribution des clés de session (clés symétriques)

Cryptographie asymétrique : exemples
L'algorithme de chiffrement
Départ :
Il est facile de fabriquer de grands nombres premiers p et q (+- 100 chiffres)
Etant donné un nombre entier n = pq, il est très difficile de retrouver les
facteurs p et q
 ( 1 ) Création des clés
➢ La clé secrète : 2 grands nombres premiers p et q
➢ La clé publique : n = pq ; un entier e premier avec (p-1)(q-1)
 ( 2 ) Chiffrement : le chiffrement d'un message M en un message codé C se

fait suivant la transformation suivante : C = Me mod n
 ( 3 ) Déchiffrement : il s'agit de calculer la fonction réciproque
M = Cd mod n
tel que e.d = 1 mod [(p-1)(q-1)]

➢ Alice voudrait bien envoyer un message M à Bob
➢ Alice seule détient la clé secrète d et diffuse la clé publique (n,e)
➢ Alice va se servir de la clé publique pour chiffrer le message M
( 1 ) Alice accompagne son message chiffré de sa signature, qui correspond à :

Md
( 2 ) Bob va donc voir si l'égalité (Md)e mod n = M est vérifiée. Si c'est le cas,
Alice est bien l'émettrice du message.

Exemple : chiffrer BONJOUR
1) Alice crée ses clés :
La clé secrète : p = 53 , q = 97 (Note : en réalité, p et q devraient comporter plus de 100

chiffres !)
La clé publique : e = 7 (premier avec 52*96), n = 53*97 = 5141
2) Alice diffuse sa clé publique (par exemple, dans un annuaire).
3) Bob ayant trouvé le couple (n,e), il sait qu'il doit l'utiliser pour chiffrer son message. Il
va tout d'abord remplacer chaque lettre du mot BONJOUR par le nombre correspondant
à sa position dans l'alphabet :
B = 2, O = 15, N = 14, J = 10, U = 21, R = 18
BONJOUR = 2 15 14 10 15 21 18

4) Ensuite, Bob découpe son message chiffré en blocs de même longueur représentant
chacun un nombre plus petit que n.
bloc << n
n contient 4 chiffre on prend bloc de 3
BONJOUR = 002 151 410 152 118
5) Bob chiffre chacun des blocs que l'on note B par la transformation C = Bemod n (où C
est le bloc chiffré) :
C1 = 27mod 5141 = 128

C2 = 1517mod 5141 = 800
C3 = 4107mod 5141 = 3761
C4 = 1527mod 5141 = 660
C5 = 1187mod 5141 = 204
On obtient donc le message chiffré

C : 128 800 3761 660 204.

RSA: Algorithme
 Etapes
1. Sélectionner deux entiers premiers entre eux « p » et « q »

2. Calculer n = p x q
3. Calculer φ(n)=(p-1)(q-1)
4. Sélectionner « e » tel que: pgcd(φ(n),e)=1 ; 1<e<φ(n)
▪ En général « e » est un entier de petite taille.
5. Calculer d=e-1 mod φ(n) En d’autre terme: d.e = 1 mod (φ(n))
6. Clé publique: Kpu={e,n}
7. Clé privée Kpr = {d,n}
 Pour crypter un message M < n, l’émetteur:
➢ Obtient une clé publique du récepteur et calcule « C= Me mod n »
 Pour décrypter un message crypté C le récepteur

➢ Utilise sa clé privée et calcule « M = Cd mod n »

RSA: Exemple
p = 17, q = 11, n = p x q= 187

▪ F(n) = 16 x 10 =160,
▪ Choisir e = 7,
d.e =1 (modF(n)) d=23

Chiffrement asymétrique :PGP
 Pretty Good Privacy

 Auteur : Phil R. Zimmermann
 Basésur RSA
 Notion d’anneau de confiance
 A l’origine du standard OpenPGP (RFC2440)

Chiffrement asymétrique :GPG
 GNU Privacy Guard

 Logiciel libre
 Compatible avec PGP
http://www.hsc/ressources/breves/gpg.html

Hashage : définition
 Transformation d’une suite d’octets de longueur généralement quelconque

en une suite de longueur finie,
 Souvent appelé"condensat",
 Génère une "empreinte" pseudo-unique,
 Cette opération est constante (même fichier, même hash),
 Cette opération est non réversible.

Hashage : définition

Fonction de Hashage
 Entrée: message M avec contenu et taille arbitraire.

 Sortie: message de taille fixe h=H(M).
 La fonction de hachage permet d’extraire une empreinte qui caractérise les
données.
➢ Une empreinte a toujours une taille fixe indépendamment de la taille
des données.
 Irréversible:
➢ Etant donnée h, il est difficile de trouver x tel que: h = H(x)
➢ Complexité de l’ordre de 2n, n est le nombre de bits du digest.
 Calcul facile et rapide (plus rapide que le cryptage symétrique).

 Exemples:
 MD5, SHA, …
 Taille du digest: 128-160-… bits

Hashage : utilité
 Le "Hash" est utilisé pour garantir l’intégrité des données

 Il permet de vérifier l’égalité d’un mot de passe, sansen conserver
l’original
 Une petite modification du fichier original donne une grande variation
du Hash (généralement)

Hashage : utilisation pour les mots de passe
 Génération :
 Alice choisit son mot de passeM1
 Le système "hashe" M1 pour obtenir HASH1
 Le système ne conserve que HASH1
 Utilisation
 Alice sereconnecte, en tapant le mot de passeM2 (normalement
identique à M1)
 Le système hashe M2 et obtient HASH2
 Si HASH2=HASH1 alors M2=M1, donc OK

Fonctions de Hachage: Principes
Texte clair Texte clair
Internet
Hachage =? Hachage
Empreinte Empreinte Empreinte

reçue recalculée
1) = Le texte reçu est intègre

Empreinte Empreinte
reçue recalculée
2) ≠ Le texte reçu est altéré

Empreinte Empreinte
reçue recalculué

Fonctions de Hachage: Exemples
 MD5 : Message Digest 5

➢ Développé en 1991
➢ Génère une empreinte de taille 128 bits en traitant les données
d’entrée par blocs de 512 bits.
 SHA-1 : Secure Hash algorithm

➢ Génère une empreinte de taille 160 bits.
➢ Plus fort que MD5.
 Le crypt unix
 "password" → "5GKtdsqlkgy"

Chiffrement asymétrique :Signature
La signature est la garantie

 de l’identité de l’expéditeur du message
 de l’intégrité du message
La procédure
 On prend l’empreinte du message
 On la code avec sacléprivée
 On l’expédie
 Le destinataire décode l’empreinte avec la clé publique et compare
les 2empreintes

Signatures numériques
 Principe de fonctionnement
➢ Le Hash (résultat de la fonction de hachage) d’un message est crypté avec

la clé privée de l’émetteur.
➢ La clé publique est utilisée pour la vérification de la signature
 Soit:
➢ M: message à signer, H: fonction de hachage

➢ Kpr, Kpu: paire de clés privée/publique de l’émetteur.
➢ E / D: fonction de cryptage / Décryptage en utilisant Kpu / Kpr.
 En recevant (M, EKpr(H(M))), le récepteur vérifie si:

H(M)=DKpu(EKpr(H(M)))

Exemple

Signature numérique: Génération
Clé privée
du signataire
Signature
Texte clair numérique
Fonction de Hachage CryptageAsymétrique
Empreinte
Processus de Génération de la Signature numérique

Signature numérique: Vérification
Texte clair
Hachage
Empreinte
recalculée
Clé publique =?
de l’émetteur
Signature
numérique
Décryptage
Empreinte
reçue
1) = La signature reçue est correcte

Empreinte Empreinte
reçue recalculée
2) ≠ La signature reçue est incorrecte
Empreinte Empreinte
reçue recalculée

Signature numérique VS Signature Manuscrite
 Les deux signatures (numérique & manuscrite )

assurent:
➢ Authentification du signataire
Intégrité
➢ Non répudiation. Authentification
 La signature numérique, seule,
assure l’intégrité des données.
Non Répudiation

Les certificats numériques
 Les certificats numériques fonctionnent sur le même principe.
➢ Alice veut certifier que sa clé publique lui appartient. Elle envoie sa clé
à un organisme de certification, ainsi que différentes informations la
concernant (nom, email, etc...).
➢ Cet organisme vérifie les informations fournies par Alice, et ajoute au
certificat son propre nom, une date limite de validité, et surtout une
signature numérique.
➢ Cette signature est calculée de la façon suivante : à partir des
informations du certificat, l'organisme calcule un résumé en
appliquant une fonction de hachage connue, comme MD5. Puis il
signe ce résumé en lui appliquant sa clé secrète.

Les certificats numériques

Autorité de certification
 A qui appartient la clé publique ?

 Possibilité d’usurpation d’identité
 Utilisateur
 Machine
 Problème de confiance Notion de tiers deconfiance
 Notion d’autorité de certification

Autorité de certification : création
• Une "autorité de certification" est désignée "d’un commun accord"

par sa communauté
• Elle génère son bi-clé (couple clé publique/clé privée) Elle
génère un certificat auto-signé
• Le certificat est délivré à chaque membre de la communauté. Les
membres l’intègrent dans les navigateurs.

Autorité de certification : certification
 Un membre de la communauté crée sonbi-clé

 Il va auprès de l’Autorité d’enregistrement sefaire reconnaître et valider son
certificat.
 L’AE envoie la signature à l’AC
 L’AC signe avec saclé privée le certificat.
 Le membre récupère le certificat et l’intègre dans sonserveur.

Autorité de certification : utilisation
 L’utilisateur, membre de la communauté reçoit le certificat.

 Il regarde dans le certificatl’AC.
 Il la reconnaît et regarde si la signature du certificat est exacte.

Autorité de certification : chaîne
 Une AC peut-être membre d’une communauté avec elle-même une AC

 La vérification se répète :
 Vérification du certificat (arrêt et validation si l’AC l’ayant généré
est reconnue)
 Vérification du certificat de l’AC auprès de l’AC supérieure (arrêt si
celle-ci estreconnue).
 Boucle jusqu’à
 AC auto-certifiée (que l’utilisateur accepte ou non)
 AC reconnue

Certificats : Une normeX509
Que contient un certificat ?

 Une clé publique
 Un identifiant (email ou nom de machine)
 Un rôle (chiffrement, signature,AC)
 Des renseignements administratifs

Certificats : Une normeX509
Certificate:
Data:
Version: 1 (0x0)
S e r i a l Number: 7829 (0x1e95)
S i gn a t u r e Algorithm: md5WithRSAEncryption
I s s u e r : C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting c c ,
OU=Certification Serv i ces D i v i s i o n ,
CN=Thawte Server CA/emailAddress=server-certs@thawte.com
Validity
Not Befo re: J u l 9 16:04:02 1998 GMT
Not Aft er : J u l 9 16:04:02 1999 GMT
S u b j e c t : C=US, ST=Maryland, L=Pasadena, O=Brent Baccal a,
OU=FreeSoft, CN=www.freesoft.org/emailAddress=baccala@freesoft.org
S u b j e c t P u b l i c Key I n f o :
Pu b l i c Key Algorithm: rsaEncryption
RSAPu b l i c Key: (1024 b i t )
Modulus (1024 b i t ) :
0 0 : b 4 : 3 1 : 9 8 : 0 a: c 4 : b c : 6 2 : c1 : 8 8 : a a: d c: b 0 : c8 : b b :
...
d 2 : 7 5 : 6 b : c1 : e a: 9 e: 5 c: 5 c: e a: 7 d : c 1 : a 1 : 1 0 : b c : b 8 :
e 8 : 3 5 : 1 c: 9 e : 2 7 : 5 2 : 7 e: 4 1 : 8 f
Exponent: 65537 (0x10001)
S i gn a t u r e Algorithm: md5WithRSAEncryption
93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d:
....
0d:19:aa:ad:dd:9a:df:ab:97:50:65:f5:5e:85:a6:ef:19:d1:

Les AC pré-chargées

Cryptage asymétrique: Avantages et inconvénients
Avantages
➢ Pas besoin d’établir un canal sûr pour la transmission de la clé.

➢ Plusieurs fonctions de sécurité: confidentialité, authentification, et non-répudiation
Inconvénient
➢ Généralement dix fois plus lent que le cryptage symétrique.
➢ Problème d’implémentation sur les équipements disposants de faible
puissance de calcul (ex: cartes bancaire, stations mobiles, etc.)
▪ Clés longues
▪ Complexité algorithmique de la méthode (ex: réalisation des opérations modulo
n)
Solution: Utilisation du cryptage asymétrique pour l’échange des clés secrètes de session
d'un algorithme symétrique à clés privées.

URLographie
http://michel.arboi.free.fr/cryptFAQ
http://www.ossir.org/resist/supports/cr/200203/
crypto.pdf
http://cr.yp.to/

L’authentification
 Différence identification et authentification

 Multi-facteurs ou pas
 Sur quels périmètres
 Accèsaux machines Accès
 aux applications
 Accèsau réseau
 SSO : Same Sign On ou Single Sign On ?

Méthodes d’authentification
 Locale (Fichiers, SQL)

 Radius (historique, multiprotocoles, AAA)
 LDAP et Active Directory (parfois en backend)
 Kerberos (SSO général, mal implémenté par Microsoft)
 SSOWeb Intra-organisation (CAS)
 SSOTrans-organisations (Shibboleth,Oauth)

Vérifier sasécurité
 Etre persuadé que sasécurité est efficace n’est pas suffisant : il faut à
minima vérifier que cela correspond à laréalité.
 Vérifier que les outils de sécurité sont actifs
 Vérifier que les procédures de sécurité sont suivies
 Permettre aux utilisateurs de découvrir leurs outils de sécurité Vérifier
notree-réputation
 Faire tester sa sécurité.

Vérifier que les outils de sécurité sontactifs
 Vérifier les antivirus grâce http://eicar.com.

 Déclenchent-ils des alertes sur le poste ?
 sur le serveur de messagerie ?
 sur le proxy web?
 Vérifier les ports ouverts grâce à ShieldUp de grc.com
 Vérifier le niveau de chiffrement avecsslabs.com

Vérifier que les procédures sontactives
 Les antivirus sont-ils à jour ? Comment le voit-on ?

 Les infections virales remontent-elles sur la console centrale ?
 Y-a-t-il desremontées d’alarmes (syslog par exemple) en cas de problème ?
 Les filtres d’url fonctionnent-ils ?
 Les vérifications de procédures sont-elles régulières et
automatiques ?
 etc.

Aider les utilisateurs à vérifier leur sécurité
Pourquoi ?
 Leur montrer comment réagissent leurs outils de sécurité (et ainsi éviter les
"fake").
 Leur faire prendre conscience de la sécurité, Les rendre
autonomes,
 Les rendre "détecteursd’incident".
Comment ?
 Déclencher une alerte avec http://eicar.com pour l’antivirus Tester le
firewall local avec grc.com
 Voir le repérage desspams, phishing, etc.

Vérifier son e-réputation
Pourquoi ?
 Parce que c’est une valeur importante del’entreprise,
 Parce ceque cela peut faciliter ou compliquer voire interdire la
communication avec lesclients.
Comment ?
 Voir la réputation mail avec
 mxtoolbox pour savoir si l’on est blacklisté
 backscatter pour repérer nos refus de mails fautifs
 chez CISCO
 Voir la réputation web avec
 chez McAfee
 Avons nous une zone DNS propre ?

Chapitre 3 : Systèmes contribuant à la sécurité
des réseaux informatiques

La Solution Globale
123
Anti-Virus
Proxy
Applications
Firewall
Réseau
Transport
TCP-UDP
Routeur Réseau
filtrant logique
« Dédier pour mieux
IP-ICMP
résister » Switch Réseau
filtrant physique

Motivations
123
 Evolution des systèmes d’information

 La connectivité d’un réseau local à Internet, permet au monde externe
d’atteindre et d’interagir avec les ressources de ce réseau.
 Difficulté de sécuriser chaque ressource à part:
 Nombre important de machines.
 Différents types d’applications, services, systèmes d’exploitation,
et protocoles utilisés, tous contenant des bugs.
 Besoin de minimiser les risques.
 Utilisation des pare-feux (Firewalls)

Définitions
 IP
 ICMP
 La notion de port
 TCP
 UDP
 Protocoles

IP : Internet Protocol
Protocole de communication en version IPv4/6
IPv6 en cours de déploiement (Free depuis Décembre 2007)
Chaque machine sur Internet a une adresse IP unique
Les paquets se propagent de routeur en routeur
 Protocole non fiable mais résistant

 Format d’une adresse Classes (obsolète)

➢ A : de 1.0.0.0 à127.255.255.255
➢ B : de 128.0.0.0 à191.255.255.255
➢ C : de 192.0.0.0 à223.255.255.255
➢ D : de 224.0.0.0 à 239.255.255.255(Multicast)
 Notion deCIDR
➢ Classless Inter Domain Routing
➢ Plus assezde classes C ou B disponibles
➢ 193.49.48.0/24 ou193.49.50.0/23

Ensemble de diverses adresses non disponibles : RFC3330 (ex

RFC1918)
Adresses privées non routables sur Internet
➢ 10.0.0.0/8
➢ 172.16.0.0/16 à172.31.0.0/16
➢ 192.168.0.0/24 à192.168.255.0/24
Adresses spécifiques
➢ 127.0.0.0/8
➢ 224.0.0.0/4
➢ 192.0.2.0/24
➢ 169.254.0.0/16
➢ etc.


ICMP : Internet Control MessageProtocol
 Protocole de signalisation
➢ Service/machine/réseau injoignable
➢ Demande deralentissement
 Peut être utilisé pour lesattaques
➢ ICMP Redirect
➢ ICMP Echo
✓ Attaque smurf

TCP/UDP: La notion de port
 Le port est un numéro de 0 à 65535

 Lors d’une communication, le serveur et le client ont chacun un port utilisé
 Chaque machine associe une communication à un quadruplet (IP-C/Port-
C/IP-S/Port-S)

TCP/UDP : La notion de port (2)
 Dénomination
 Port destination : port du destinataire
 Port source : port de l’expéditeur (provenance dupaquet)

 Les ports sont définis par le IANA (http://www.iana.org)

➢ De 1 à 1023 : well known ports ( < et > 512)
➢ TCP/23 : telnet
➢ UDP/53 : DNS
 de 1024 à 49151 : user (registered) ports
➢ TCP/3128 : Squid
➢ UDP/2049 : NFS
 de 49152 à 65535 : dynamics or private ports

 Hormis casexceptionnel, une communication a lieu entre un port haut

et un portbas
 Port du serveur généralement < 1024, toujours < 49152
 Port du client toujours supérieur à 1023, parfois>=49152

TCP : Transport Control Protocol
 Protocole connecté
➢ Assure la cohérence de la connexion
➢ A un début et unefin
 Un "triple handshake" initialise la connexion
➢ L’aléa du numéro de séquence n’est pas toujours bon
➢ S’il est prévisible, on peut "simuler" une connexion

TCP : Schéma
Client Serveur
Choix du SYN (1000) Choix du
N° SEQ SYN (2000),ACK(1001) N° SEQ
ACK(2001)
Communication Etablie
Tout paquet possède un ACK
ACK (2300), FIN(1500)

ACK(1501)
ACK(1501),FIN(2300)
ACK(2301)

Protocole TCP
123 protocole Applicatif

Application Application
protocole TCP, UDP
Transport Transport
protocole IP protocole IP
Réseau IP Réseau
Liaison de Network Liaison de

Liaison Liaison
Access
données données
La couche Transport fournit des ports: canaux logiques identifiés par un

nombre
Ex: http sur port 80, Telnet sur port 21, etc.

Format de données

Notions de base: Mécanisme d’établissement de connexion
(TCP three-way handshake connection establishment )

UDP :User Datagram Protocol
 Protocole non connecté L’application sedébrouille
➢ En cas dedésordre
➢ En cas de perte depaquet
 Plus rapide
➢ Pas d’attente d’acquittement

➢ Peut être utilisé pour du multicast

Protocoles applicatifs
 Situés au dessusdescouches TCP et UDP

 Ils ont desordres spécifiques à leur fonction
 Souvent cesont desordres "lisibles"
➢ SMTP (HELO, DATA, MAIL FROM, etc...)
 Plus ou moins complexes
➢ Port unique fixe (http, smtp, pop, dns, ...) Port(s) dynamique(s) (ftp,
irc, h323, ...)

Protocole simple :HTTP

Protocole complexe FTP actif

Les pare-feux
 De nombreux noms
 Firewall
 Garde-Barrières
 Gatekeeper
 Qu’est-ce que c’est ?
 Comment ça marche ?
 Evaluer et choisir unpare-feu

Qu’est ce qu’un Firewall
 Interconnecte des réseaux de différents niveaux de confiance.

 Définit un point de passage obligépour le contrôle etle suivi de trafic.
 Restreindre l’accès aux ressources (information ou services) selon la politique de
sécurité.
 Faire obéir le trafic entrant etsortant à une ensemble de règlesde filtrage
 Ex: seul le trafic http estautorisé, seule l’adresse IP 1.2.3.4 est autorisée.
 Permet d’auditer etde contrôler l’accès.

 Génération d’alertes pour les utilisations malveillantes.
 Fournit une protection contre les attaques (ex: IP Spoofing).
 Représente un endroit commode pour l’implémentation des
fonctionnalités réseaux (ex: translation d’adresses)

Emplacement d’un Firewall (1)
Internet
Firewall
Réseaux protégés

Emplacement d’un Firewall (2)
Réseau non digne
de confiance
Réseau avec niveau
de confiance X
ALERT!!
Firewall
Réseau local Internet
Routeur
DMZ
Serveurs accessibles
depuis le réseau Internet
Réseau avec Niveau de confiance Y

Politique de sécurité : lefirewall
La sortie
Qui ?
Pour quoi ?
L’entrée
Qui ?
Pour quoi ?

Politique de sécurité par défaut
Un système pare-feu contient un ensemble de règles prédéfinies

permettant :
 D'autoriser la connexion (allow) ;

 De bloquer la connexion (deny) ;
 De rejeter la demande de connexion sans avertir l'émetteur (drop).
 Ce qui n’est pas explicitement permis est interdit. (default = Deny)
 Ce qui n’est pas explicitement interdit est permis. (default = Forward)

Type de Firewalls
 Deux types de Firewalls sont étudiés dans cecours:

 Firewalls à Filtrage de paquets(Packet-Filtering)
 Stateless(filtrage réseau, introduit sur les routeurs)
 Stateful ( assure le suivi de l'état des connexions de réseau(tels

que les flux TCPouUDP)
 Passerelle niveau application (Application-Level Gateway)

Firewalls à Filtrage de paquets
134
 Leplus simple desFirewalls.
 Pour chaque paquet IPrencontré, il décide de le faire passer (forward)ou
de l’éliminer (deny), selon des règles de filtrages.
 Le filtrage se fait depuis et vers toutes les directions (ex: depuis et vers
Internet).
 Règles de filtrage, basées sur l’analyse des champs dans l’entête IPet TCP:
 Adresse IPsource et destination.
 Protocole (TCP,UDP,ICMP,etc).
 Port (TCPou UDP)source etdestination.
 TCPFlags (SYN, ACK,FIN, RST,PSH, etc)
 Type de Message ICMP.…
 Deux types de Firewalls à filtrage de paquets: Stateful, Stateless

Exemples de règles de filtrage (cas de stateless Packet Filtering Firewalls)
Packet-filtering Firewall
Internet
193.1.1.0/24
entrant
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.0/24 * 10.1.1.1/32 *
Allow TCP Sortant 193.1.1.0/24 * * 80
Allow TCP Entant * 80 193.1.1.0/24 * ACK
Deny IP * * * * *
 Règle1: Touteconnexiondepuis le réseauinterne (193.1.1.0) versla machinesuspecte 10.1.1.1 est bloquée.

 Règle2: SeulementlesconnexionsHTTP(TCP,port 80) depuis le réseauxinterne (193.1.1.0) sontpermises.
 Règle3: Seulement la trafic web en réponse à une connexion déjà initiée du réseau interne sera accepté de
l’extérieur.
 Règle4: Lapolitique de sécuritépar défaut.

Limitation desFirewalls à filtrage de paquets (type stateless)
 Connexion TCP.
 Port serveur inférieur à 1024.
 Port client compris entre 1024 et 16383.
 LesPorts <1024 sont affectés de façons permanente.
 FTP:20,21 – Telnet :23 – SMTP:25 – HTTP:80
 Tousles Ports >1024 doivent être disponibles aux clients pour

faire leurs connexions.
 Ceci créé une vulnérabilité qui peut être exploitée par les intrus.

Limitation desFirewalls à filtrage de paquets (type stateless)
Ceci présente une limitation pour les Firewalls de type stateless packet filtering
Solution: utilisation de Firewalls de type stateful packet filtering
StatefulPacketfiltering Firewalls
 Renforce les règles de filtrage en suivant l’état desconnexions:

Port Etat de la
@IP Src @IP Dst Port dst
Src connexion
223.43.21.231 1990 193.2.1.3 80 Etablie
223.42.21.230 1234 193.5.6.1 23 Etablie
223.42.21.222 2562 193.4.2.1 80 Etablie
… … … … …
 Si un paquet représente une nouvelle connexion, alors vérification des règles de

configuration
 Si un paquet fait partie d’une connexion existante (ex: TCP flag ACK activé), alors
vérificationdanslatabled’étatdesconnexions,puismiseàjourdelatable.
 Le trafic entrant vers un port « x » supérieur à 1024, est autorisé seulement s’il est en
direction d’une machine qui a déjà établie une connexion avec un port source
inférieurà1024etunportdedestinationégaleà«x»

Stateful Packet-Filtering Firewall Serveur Telnet
Client Telnet
193.1.1.1 10.1.2.3
Le Firewall se souviendra
De cette information
Cohérent avec le
paquet précédent
Pas de cohérence
avec la connexion
en cours

Firewalls à filtrage de paquets: avantages et inconvénients
 Avantages
 Simplicité du fonctionnement.
 Rapidité dansle traitement.
 Transparenceaux utilisateurs.
 Inconvénients
 Ne protège pas contre les attaques qui exploitent des vulnérabilités sur les
applications (nebloque pas certaines commandes).
 Lesfichiers logs générés necontiennentpas d’informations assezpertinentes (seulement:
@IP, ports).
 Ne supporte pas desmécanismesavancésd’authentification desutilisateurs.
 Unesimpleerreur dansla configuration desrègles peut cassertoute la
sécurité.

Attaques sur les Firewalls à filtrage de paquets
 Usurpation d’adresse IP(IP address spoofing)

 L’intrus envoi un paquet de l’externe avec une fausse @IP (généralement égale
à une @IP d’une machine interne), afin de réussir à passer le mécanisme de
filtrage.
 Solution: bloquer tout paquet entrant (venant de l’interface externe)
ayant une @IPsource interne.
 Fragmentation de paquets (Tiny fragment attacks)

 Unpaquet IPest divisé en plusieurs fragments, où seul le premier
fragment contient le numéro de port.
➢ insuffisance d’informations pour filtrer cespaquets.
 Solution: rejeter les paquets fragmentés ou les rassembler avant
vérification.
Attaques sur les Firewalls à filtrage de paquets

Filtre de paquets : Trucs
 Toujours définir une règle par défaut

 elle existe toujours, mais il faut ladéfinir
 Optimisation de la vitesse:
 règle de passage générale des paquets acquittés (75%)
 Gestion desICMP
 (unreachable, etc ...) : ne pas lesrenvoyer
 Définir les règles sur une autre machine

Filtre de paquets : Trucs 2
 Préférer les noms de machines dans la conception desrègles

 Préférer les adressesIP dans les règles
 Utiliser un générateur derègles
 Evite les erreurs bêtes

Filtre de paquets : Questions à poser
 Ordre desrègles:
 Séquentiel
 A précision décroissante
 A branchement
 Arrêt sur correspondance (on match) ?
 Filtres entrée et sortie?
 Pare-feu auto-protégé
 Filtre indépendant sur chaque interface ?

Filtre de paquets : Questions à poser.
 Possibilité de mettre desfiltres sur desoptions du paquet

 Filtrage sur le port
 Capacité dejournalisation
 Vitesse annoncée pour quelles conditions ? Quasiment
toujours pour
 2 machines
 1 seule règle (ACCEPT)
 1 protocole simple
 Gestion desVlans

Filtre de paquets : Options courantes
 Limitation de débit
 Eviter les abus internes
 Limiter les rebonds deflooding
 Journalisation
 du refus
 des paquets refusés

Filtre de paquets : Exemples
 IOS cisco
 Filtre commutateurs et routeurs
 Iptables (mais peut faire mieux)
 Pktfilter sur windows 2K/XP/2003
 De manière générale : tout filtre accéléré par ASIC

Filtre de paquets : exercices
Filtrage enentrée
Autorisez du ssh, puis du ftp passif et du ftp actif
Filtrage ensortie
Autorisez du ssh, puis du ftp actif et duftp passif

Pare-feu Next-Generation
 Terme à relent marketing

 Evolution du stateful inspection
 utilisation de paramètres supplémentaires
 l’identité de la personne
 l’application (et non plus le port), surtout que tout passepar le 80.
 Facebook
 Gmail
 GoogleDrive

Pare-feu Next-Generation
 Recouvre beaucoup deréalités

 Comment sefait la détection de la personne
 Par remontée de l’authentification AD ?
 Par l’installation d’un client ?
 Comment-est utilisée cette authentification?
 Une personne < = > 1 IP?
 Une communication < = > 1 personne ?
 Est-ce dynamique?
 Comment sont détectées les applications?
 par schéma ? (donc abonnement ?)
 par url ?
 par IP ?

Pare-feu NG :avantages
 Simplicité de la maintenance (changement d’IP = pas de changement de

droit)
 On sait QUI aaccès.
 On devient très fin dans le filtrage.

Pare-feu NG :inconvénients
 Incompatible avec du "wirespeed" (reconstitution despaquets)

 Ne pourra jamais aller aussi loin qu’un relaisapplicatif
 Dégâts collatéraux

Pare-feu NG :acteurs
 Palo Alto
 iptables + L7 Filter + NuFW (UFWi)
 Maintenant tout FW est forcément NG.....

Les astuces générales
 Utiliser un serveur Syslog centralisé

 Synchroniser les horloges par NTP
 Bien segmenter son réseau (règles simples)
 Eviter de nuire aux utilisateurs!!!!

 Vérifier son pare-feu
 NMAP
 Services visibles par un pirate
 Filter rules
 Analyse des filtres réellement en place
 NIDS après lePF
 Vérifie que rien ne passe.

Gérer sonpare-feu
 Configurer
 Interface graphique ?
 Console ?
 A distance ?
 Console d’administration centrale
 Par telnet ou ssh
 Sur la console ?

Pare-feu : l’arme absolue?
 Compléments indispensables
 IDS et NIDS
 Anti-Virus
 Suivre l’actualité sécuritaire
 Problèmes delégalité

Les Systèmes de Détection d’Intrusions (IDS)
On appelle IDS (Intrusion Detection System) un

mécanisme écoutant le trafic réseau de manière furtive
afin de repérer des activités anormales ou suspectes et
permettant ainsi d'avoir une action de prévention sur
les risques d'intrusion

Attaques et intrusions
 Attaque
➢ Recherche de failles dans le réseau et son exploitation
 Intrusion
➢ Prise de contrôle d’unemachine
 Différents types d’attaques :
➢ Virus
➢ Spoofing (IP, ARP, DNS)
➢ DoS (Denial of Services)
➢ Bugs
➢ etc.

Sécurité active et passive
Sécurité active
➢ Filtrer et bloquer des flux (IPS)
Sécurité passive
➢ Détection/Reconnaissance d’intrusions (IDS)

Définition
 Intrusion: Ensemble d’actions entraînant la compromission de la

sécurité (intégrité, confidentialité, disponibilité, etc.) de
l’information possédée par une organisation.
 Détection d’Intrusions: L’identification de:
 Ceux qui utilisant le système sans autorisation (ex: intrus).

 Ceux qui ont un accès légitime au système mais sont en
train d’abuser de leurs privilèges.
 Les tentatives d’utilisation aux systèmes sans autorisation et
les tentatives d’abus de privilèges.

Définition
 Système de Détection d’Intrusions: un système

informatique permettant de
 Analyse en temps réel ou différé des évènements en provenance
desdifférentssystèmes.
 Détectiondessignesde violation de la politique de sécurité.
 Alerte encasd’occurrenced’uneattaque
 Collecte destracesd’intrusionspour servir commepreuve.
 Réactionaux attaques.

Définition
 Système de Détection d’Intrusions: un système

informatique permettant de
 Analyse en temps réel ou différé des évènements en provenance
desdifférentssystèmes.
 Détectiondessignesde violation de la politique de sécurité.
 Alerte encasd’occurrenced’uneattaque
 Collecte destracesd’intrusionspour servir commepreuve.
 Réactionaux attaques.

Définition: IDS : logiciel + matériel

Définition: IDS : logiciel

IDS : Actions
Un IDS peut avoir plusieurs actions :
 Générer des alarmes sans bloquer les paquets

 Mettre fin « poliment » aux sessions suspectes
 Bloquer les sessions suspectes
Des alarmes sont générées dans tous les cas !

Types IDS/IPS
> N-IDS & H-IDS
 Détection d’intrusions sur le réseau/hôtes

 Sécurité passive
> N-IPS & H-IPS
 Prévention des intrusions sur le réseau/hôtes.
 Défense proactive
 Fonctionnalité intégrée aux firewalls
 Un IPS ne remplace pas un firewall
> IDS Hybrides
 Surveillance du réseau et de terminaux
 NIDS + HIDS

Les faux positifs et Faux negatifs
> Alertes formatées

 IDWG (IETF) – « Intrusion Detection Working Group »: standardisation
 Norme IDMEF – « Intrusion Detection Message Exchange Format » (RFC 4765)
 XML
 Protocole IDXP – « Intrusion Detection eXchange Protocol » (RFC 4767)
➢ Encore au statut expérimental
> Faux positif

 Détection erronée
> Faux négatif
 Non détection d’un paquet malicieux

Types de détections
Approche par scénarios et approche comportementale

Approche par scénarios
 Recherche de motifs (Pattern matching)
 Facilité de mise à jour.
 Limite : « 0 day » et modification des signatures
 Analyse de protocoles : protocoles et conformité
• Exemple : « Ping of death » et fragmentation
 Analyse heuristique
• Exemple : nombre de sessions dépassant un seuil défini

Types de détections
158
Approche comportementale
Détection en fonction du comportement passé de l’utilisateur
Exemple de métriques : charge CPU, volumes de données échangées, heures de
connexion, répartition statistiques des protocoles utilisés, etc.
 Approche probabiliste
 Représentation d’une utilisation courante d’une application ou d ’un
protocole.
 Approche statistique
 Quantification des paramètres liés à l’utilisateur
 Utilisation processeurs, mémoire, nombre de connexions sortantes par jour,
vitesse de frappe au clavier, sites les plus visités etc.
 Difficultés de mise en place
Contrôle d’intégrité

IDS: Positionnement
 L’IDSpeut être exécuté par :
 Lefirewallfiltrant
Networ-
 Un équipement spécialisé qui va alors agir sur les filtres du
based IDS
firewall. Cet équipement doit être placé en série ou en sonde à
(NIDS)
l’entrée du réseau
 Cet équipement doit avoir de bonnes capacités de
traitementcaril vérifie touslesflux !
Host-
 Surunserveurparticulier pourprotégerceserveur
based IDS
(HIDS)  Peutaussiêtre compliquéquandil y a beaucoupde serveurs

IDS: Positionnement
L’IDSpeut être placé de deux manières:
 In-line : en série
Inspecte forcément tout le trafic
Peutdirectement agir surle trafic par
IDS
filtrage
IDS
 Passive Monitoring : passif ousonde

N’est pas obligé de tout inspecter
Fait agir le routeur ou la firewall HUB
(retard)

IDS: Positionnement
Routeur interne Firewall Routeur filtrant
DMZ
IDS IDS
 En tête de réseau, on compare ce que détecte l’IDS sur le lien public, avec ce
qu’il détecte après le premier filtrage
 Si il y a des VPNs sur le firewall, le premier IDS ne verra rien dans les paquets
cryptés
 Il faut donc en utiliser un autre avant le réseau interne Le coût peut être très
élevé

IDS: Reponses
 Passive: simplement signaler/enregistrer l’attaque.
 Active: effet sur l’attaque en progression

IDS: Reponses actives
 Actions contre l’intrus: assistés par l’administrateur ou

automatiques
 Filtrage au niveau Firewall de l’adresse source de l’intrus.
 Fin de la session
 Changement de l’état interne de l’IDS.
 Changement des règles de détection (basculement vers
une politique de sécurité plus restrictive).
 Collecte d’informations additionnelle
 Redirection de l’intrus vers des Honeypots (pots de miels
permettant de leurrer les intrus).
 Sauvegarde des keystrokes (touches clavier tapées)

Quelque exemples empiriques (Cisco IDS)
Kill the
TCP Reset session
Tuer la session
Block
Blocking attacker
Bloquer l’@ IP DDeennyy
de l’intrus
Quelque exemples empiriques (Cisco IDS)
Session Log Session Log
Capture automatique du trafic de l’intrus

IDS: Réponses passives
 Affichage d’une alerte

 Alerte sonore
 Envoi d’un message d’alerte par SMS.
 Envoi d’un message d’alerte par email.
 Envoi d’un message d’alerte par pager.

Oû placer l’IDS?
169
Sonde Sonde
Sonde
 Sonde sur le réseau externe:

 Visualise tout le trafic (y compris celui bloqué par leFirewall).
 Permet de donner une idée sur la nature des attaques et desintrus.
 Beaucoup de faux signaux (bruit).
 Sonde sur le réseau interne:
 Analyse le trafic ayant réussi à surpasser le Firewall.
 Analyse les attaquesinternes.
 Sonde sur la DMZ:
 Analyse lNeiszaartctahaqaubeasnaiyant réussi à asettceuirnitdérinefolermsasetiqruveeurspubliques..
Les attaques sur les NIDS
 Insertion et Evasion
 Ambiguïté dans l’interprétation des champs des
entêtes.
 Ambiguïté dans la gestion des options dans les
entêtes.
 Ambiguïté dans le rassemblement des fragments
et des segments.
➢ L’IDS accepte ou rejette les paquets et les
segments, d’une façon différente aux machines.
➢ L’IDS et la machine cible obtiennent des vus
différentes des données reçues

Attaque d’insertion
Le NIDS accepte des paquets que la machine destinataire

rejette ou ne reçoit pas
Exemple: Attaque par TTL
S R t U S E R r o o t
Paquet inséré avec un

checksum erroné NIDS rejeté
5 hops 10 hops
S R TTL=15 U S E R r
TTL=8
t o o t
Un TTL petit pour TTL=15
rejeté (TTL
NIDS

Attaque d’évasion
 La machine destinataire accepte des paquets que l’IDS rejette
Exemple: Attaque par chevauchement de fragments

(fragments overlapping)
Données envoyés par l’intrus

# séquence 1 2 3 3 4 5 6
Donnée A T X T A C K
L’IDS rejette le 3ème paquet La machine destinataire écrase

(overwrite) le premier paquet reçu
1 2 3 3 4 5 6 1 2 3 3 4 5 6
A T X T A C K A T X T A C K

Attaques sur les N-IDS
 Déni de Servie (DoS)
 Problème:
 L’IDS doit simuler toute les opérations réalisées par les systèmes surveillés.
 Epuisement des ressources CPU: émission d’un trafic qui engendre des traitements
lourds
 Rassemblement de fragments
 Cryptage/décryptage
 Epuisement des ressources mémoire: émission d’un trafic qui nécessite un grand
espace mémoire pour le traitement
 TCP Handshake
 Stockage temporaire des Fragments/Segments
 Épuisement de la bande passante disponible

 Emission d’un trafic inutile avec un débit élevé, empêchant l’IDS de capturer tout
le trafic
 Induire les IDS réactifs en erreur en prenant des fausses décisions
 Génération d’alarmes false positives
 Générer des attaques avec des adresses IP spoofées.

Pot de miel(Honey Pot)
 Un pot de miel est une machine qui présente ou simule des failles de
sécurité très répandues. Disposant des moyens renforcés de
surveillance, la machine peut servir d'appât pour apprendre la stratégie
des attaquants et construire des signatures exactes d'attaques. Par
ailleurs la simulation du comportement d'une machine doit être aussi
réaliste pour ne pas éveiller les soupçons des attaquants.
 Un pot de miel dispose de plusieurs outils de surveillance et

d'archivage, nécessaires pour collecter les informations des activités
suspectes.
 Ces outils doivent être maintenus en permanence puisqu'ils sont

déployés dans un environnement fréquenté principalement par des
attaquants. De plus, l’isolation du pot de miel du reste du réseau est
indispensable pour qu'il ne se transforme pas en une base pour
compromettre d'autres machines.

Réseau Privé Virtuel VPN
 Un réseau VPN (Virtuel Privat Network) est un service qui permet Network)
d’établir des connexions sécurisées privées (c'est dire faire un réseau privé)
sur un réseau public comme Internet.

La supervision IP
La supervision est une technique qui permet d’indiquer de

suivre et de piloter l’état d’un système.

Les normes sécurité
Les normes desécurité

Les normes sécurité
 Pourquoi ?
 Besoin de définir desbonnes pratiques (pas de notion d’absolu !)
 Besoin de parler de la même chose
 Besoin de certification (évaluation) commune
 Evaluation des hommes (pour lerecrutement)
 Evaluation des entreprises (pour la publicité, ou les cercles de confiance)
 Appliquer à la sécurité les principes de la qualité

Les normes ISO27000
Pourquoi ?
ISO 27000 : Le vocabulaire
ISO 27001 : Le système de gestion de la sécurité SMSI ISO 27002 : Les
bonnes pratiques de la sécurité
ISO 27003 : Installation d’un SMSI
ISO 27004 : Indicateurs et tableaux de bord ISO 27005 : La
gestion du risque
ISO 27006 : Les audits de sécurité
ISO 27007 : Guide pour l’audit d’un SMSI

Les normes ISO 27000 sectorielles
ISO 27011 : Guide pour le secteur destélécommunications ISO

27032 : Cybersécurité
ISO 27033 : Sécurité desréseaux informatiques ISO
27034 : Sécurité applicative
ISO 27799 : Guide pour le secteur de la santé Plus les
autres (ISO 27012, ISO 27013, ...)

La norme ISO 27000
 S’occupe desdéfinitions et du vocabulaire Publiée en 2009 et réviséeen

2012
 Ne donnepas lieu à une certification
 Permet de parler de la même chose
 Risque ? Menace ? Vulnérabilité ?

La norme ISO 27001
Mise en place d’un SMSI (Système de Management de la Sécurité de l’Information)

Publiée en 2005, révisée en2013
Donne lieu à une certificationd’organisme
C’est quasiment une méta-norme qui référence les autres La sécurité c’est
"ni trop, ni troppeu"
Cette certification peut être "fumigène" : choix du périmètre et des
contraintes desécurité
en aout 2007 : 5 certif françaises, 73 allemandes, 2280 japonaises

La norme ISO 27002
 Ensemble de bonnes pratiques de la sécurité Publiée

 ex norme ISO17799
 133 mesures à prendre (mais pas toutes, car pas toujours adaptées !)
 11 chapitres
 39 objectifs

La norme ISO 27003
 Guide d’implémentation d’un SMSI

Publiée en2010

La norme ISO 27004
 Donne une liste d’indicateurs de sécurité à produire A l’état de Draft

 Ne donne pas lieu à une certification 20 indicateurs maximum
 Indicateurs doivent être associés à desobjectifs Pastoujours
"informatiques"

La norme ISO 27005
 Tout ce qui tourne autour de la gestion du risque informatique.

 Ne donne pas les solutions pour diminuer le risque (les autres normes s’en
chargent)
 Intégré dans la norme ISO31000 (gestion du risque global). Donne lieu à
une certificationindividuelle
 En concurrence avec les méthodes Mehari, Ebios Définition de
mesures de risques
 Définition de scénarii demenaces

La norme ISO 27006
 Exigences que doivent remplir les organismes d’audit et de certifications desSMSI.

 Publiée et mise à jour en 2011 Donne lieu à une
certification

La norme ISO 27007
Guide pour l’audit d’un SMSI

Draft
Recueil de bonnespratiques

La norme ISO 27011
Guide pour le secteur destélécommunications

Publié en2008

La norme ISO 27012
Guide pour le secteur desfinances

Proposée (Stade avant le Draft) puis abandonnée.

La norme ISO 27013
Guide pour le secteur de l’industrie

publiée en2012.

La norme ISO 27015
Directives pour l’accréditation

Publiée en2012

La norme ISO 27016
Audits et revues
Publiée en2014

La norme ISO 27031
Continuité d’activité
Publiée en2011
Baséesur un British standard (BS 25999) et le (BC/DR SS507)
singapourien

La norme ISO 27032
Cybersécurité (Internet)
Publiée en2012

La norme ISO 27033
Sécurité desréseauxinformatiques
Publiée de 2009 à 2014 suivant les parties.
révision de l’ISO18028
Découpé en 7 parties (27033-1, 27033-2, ...)

La norme ISO 27034
Sécurité Applicative
Publiée en2011

La norme ISO 27799
Guide pour le secteur de la santé

Publiée en2008
ISO 27002 spécifique au secteur dela santé

Comment cela s’applique?
 Le coeur est la norme ISO27001 et référence la plupart des autres.

 C’est un modèle d’amélioration (PDCA)
 On peut (doit) commencer petit
 On peut (doit) accepter sedonner le droit à l’erreur
 On fait une analyse de risques de haut niveau On
sélectionne les risques à traiter
 On regarde les bonnes pratiques (27002) qui correspondent On
fait une analyse du risque pour le reste (27005)

Quelques liens
http://www.club-27001.fr/ Association pour la promotion de l’ISO 27001

http://www.iso27001security.com http://www.iso27001certificates.com/Qui
est certifié ?

Quelques revues
MISC (pluridisciplinaire, complexe, reconnue)

http://www.miscmag.com
Hackin9 (version française d’un magazine anglais)
http://www.hakin9.org/

Les organismes pour vous aider
De nombreux organismes ou associations fournissent d’excellents supports

pour améliorer sasécurité
l’OSSIR http://www.ossir.org
le CLUSIFhttp://www.clusif.fr
les CLUSIRs : émanations régionales du CLUSIF
les CERTs dont le CERTAhttp://www.ssi.gouv.fr
le SANShttp://www.sans.org
la NSA http://www.nsa.govd’excellents documents techniques
desécurisation
CAIDA http://www.caida.org
l’OWASP http://www.owasp.org
l’assocation Club 27001 http://www.club-27001.fr/

Urlographie : informations
Quelques sites web référents dans le domaine de la sécurité.

http://www.nolimitsecu.fr https://zythom.blogspot.fr/
http://www.hsc.fr
http://www.zataz.com/
http://insecure.org

Cours Sécurité 20180210 V06

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours Sécurité 20180210 V06

Uploaded by

Copyright:

Available Formats

Cours Sécurité Informatique

➢ La sécurité = {mesures} permettant d’assurer la protection de

Au sein d’un réseau informatique, on distingue généralement cinq

 Les failles physiques : généralement dans une entreprise ou une administration

➢ Il suffit de trouver des prétextes comme faire des tests, de la maintenance

➢ voler un mot de passe,

➢ Malgré tous les efforts faits, il existe certaines failles ou

➢ Le problème avec les failles réseau c’est la complexité de leurs

➢ À titre d’exemple, corriger les failles réseau d’internet est

 Les failles systèmes: les systèmes d’exploitation sont de plus en

➢ La complexité, la mauvaise configuration ainsi que les

➢ Par exemple la complexité d’un mécanisme de sécurité pousse

➢ Ils peuvent être causés par:

➢ Ces failles peuvent engendrer beaucoup de problèmes qui

Les failles Web : le monde du web représente la

➢ Les failles web peuvent être causées par l’une des

 Installation des logiciels et matériels par défaut.

▪ La cohérence interne : consiste à assurer la cohérence des données

➢ La confidentialité: La confidentialité repose sur la prévention des accès

➢ La nécessité de confidentialité est apparue suite à l’intégration des

➢ La disponibilité : La disponibilité se réfère à la possibilité d’utiliser l’information

➢ Non répudiation: Empêche l’émetteur ou le receveur de nier avoir

▪ Non répudiation d’envoi: Le destinataire prouve que la source

▪ Non répudiation de réception: L’émetteur prouve que son

Techniques utilisées: signature électronique (asymétrique),

➢ Authentification: S’assurer que l’origine du message soit correctement

➢ Assurer le receveur que le message émane de la source qui prétend

➢ Assurer l’authenticité des entités participantes: chacune des entités

➢ Empêcher la perturbation de la connexion par une tierce partie qui

Techniques utilisées: Cryptage, signature numérique, secret (mots de

➢ Quelle est la valeur des équipements, des logiciels et surtout des

➢ Quel est le coût et le délai de remplacement ?

➢ Faire une analyse de vulnérabilité des informations contenues sur les

➢ Quel serait l’impact sur la clientèle d'une information publique concernant

 Le gain financier: Récupération de num de cartes bancaires, ...

 Curiosité: Attaques d'étudiants du MIT sur le premier ordinateur

 Recherche d'émotions fortes

➢ Y compris sa version non informatique

Si vous n’êtes pas convaincus, essayez d’en convaincre vos interlocuteurs.

 Définir les rôles : politique de sécurité

➢ Qui fait quoi, comment et quand ?

 Définir un plan d’action

➢ Quelle sont les priorités ?

 Génère des désagréments

 1962 : Réseau militaire

 Vol ou divulgation d’information

➢ Modification du site web

Mais ce n’est pas toujours le cas

Tout ordinateur connecté à un réseau informatique est potentiellement

Une attaque informatique est littérairement définie par toute tentative de

▪ l'analyse et le décryptage du trafic,

➢ Les attaques passives peuvent entraîner la divulgation des informations ou des

➢ L’interception du mot de passe, numéros de carte de crédit, des emails

➢ L’attaque active : les attaques actives comprennent toute tentative a pour:

▪ contourner ou arrêter les fonctions de protection,

➢ L’attaque de proximité ou externe : les attaques de proximité (externes)

➢ L’attaque interne : les attaques internes peuvent être intentionnelles ou

➢ L’attaque de distribution : les attaques de distribution représentent toute

Les motivations des attaques peuvent être de différentes sortes :

 Obtenir un accès au système ;

 2001 : Code Rouge

 24 janvier 2003 : Slammer

 2004 : Location de zombies

 2009 : Conficker (7%, Militaire, 250 K$, MD6)