Professional Documents
Culture Documents
CHAKIR EL MOSTAPHA
chakirsmi@gmail.com
Sécurité Informatique 1
Matières de formation
La sécurité informatique
Les attaques informatiques
La cryptographie
PKI (Public Key Infrastructure)
Les politiques de sécurité
L’authentification
Systèmes contribuant à la sécurité des réseaux informatiques
Les normes de sécurité
Les réseaux privés virtuels VPN
La supervision IP
Travaux pratiques: Cryptographie, PKI (Open SSL, Reverse
Proxy Apache), VPN SSL (OpenVPN)
Sécurité Informatique 2
Chapitre 1 : Notions de base de la sécurité
Informatique
Sécurité Informatique 3
Quel est le but de la sécuritéinformatique ?
Protéger la réputation
Satisfaire aux exigences légales
Eviter des pertes financières
Sécurité Informatique 4
Quel est le but de la sécuritéinformatique ?
Protéger l’informatique ?
Assurer son intégrité ?
Assurer sa confidentialité?
Assurer sa disponibilité ?
Apporter des preuves ?
Empêcher les accès aux utilisateurs non autorisés ?
Sécurité Informatique 5
Se protéger contre qui ?
Externes
➢ Pirates
➢ Saboteurs
➢ Concurrents
➢ Anciens employés
➢ Organisations criminelles
Internes
➢ Employés mécontents
➢ Fraudeurs
➢ Espions
➢ Innocents employés
Sécurité Informatique 6
Causes de l’insécurité
Sécurité Informatique 7
Causes de l’insécurité
Les failles réseaux : les réseaux informatiques sont fondés sur des
normes et des standards bien réfléchis où plusieurs organismes
collaborent pour les perfectionner.
Sécurité Informatique 8
Causes de l’insécurité
Sécurité Informatique 9
Causes de l’insécurité
Les failles applicatives : les failles applicatives sont des failles très
connues et très répondues.
▪ la mauvaise conception,
▪ non-traitement des exceptions,
▪ faille dans le langage de programmation.
Sécurité Informatique 10
Causes de l’insécurité
Sécurité Informatique 11
Principaux défauts de sécurité
Les défauts de sécurité d’un système d’information les plus souvent constatés sont:
Sécurité Informatique 12
Les Objectifs de la sécurité
La sécurité informatique vise généralement trois principaux objectifs :
L'intégrité, La confidentialité et La disponibilité.
L'intégrité : c'est-à-dire garantir que les données sont bien celles que l'on croit
être, l’intégrité consiste à garantir trois buts principaux :
Préserver le changement des informations par les utilisateurs non autorisés
1. Préserver le changement non autorisé ou involontaire d'information par les
utilisateurs autorisés
2. Préserver la cohérence interne et la cohérence externe :
Sécurité Informatique 15
Les Objectifs de la sécurité
Sécurité Informatique 16
Étude des risques
Les coûts d'un problème informatique peuvent être élevés et ceux de la sécurité
le sont aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin
d'identifier les problèmes potentiels avec les solutions avec les coûts associés.
Il faut cependant prendre conscience que les principaux risques restent : « câble
arraché », « coupure secteur », « crash disque », « mauvais profil utilisateur
», Voici quelques éléments pouvant servir de base à une étude de risque:
Sécurité Informatique 17
Motivations
Vengeance
Sécurité Informatique 18
Le bon objectif
Protéger l’entreprise
Sécurité Informatique 19
Comment faire
Evaluer
➢ Les difficultés
➢ Le contexte
➢ Quels sont les risques ?
➢ Quelles sont les menaces ?
Sécurité Informatique 20
Evaluer
Les difficultés
Le contexte
Quels sont les risques ?
Quellessont les menaces ?
Sécurité Informatique 21
Les difficultés
Beaucoup de travail
Nécessite de fortes compétences
➢ en réseau, en système, en droit, et une remise à niveau
permanente
Coûte de l’argent
➢ et ne rapporte rien
Pas de reconnaissance
➢ Si ça marche : "A quoi ça sert ?"
➢ Sinon : "Vous êtes nuls !"
Sécurité Informatique 22
Le contexte : Internet
Historique
Connexion de bout enbout
Réseau ouvert
Sécurité Informatique 23
Historique
Sécurité Informatique 24
Les risques
Destruction de données
Perte de marchés
Perte de temps et donc d’argent
Risques juridiques
Sécurité Informatique 25
Destruction de données
Comptabilité
Données clients
R & D, Conception, Production
Les PME meurent dans les 3 mois.
Sécurité Informatique 26
Perte demarché
➢ Recherche et développement
➢ Fichier client
Dégradation de l’image
Sécurité Informatique 27
Pertes financière etboursière
Exemple deYahoo
Sécurité Informatique 28
Pertes financière etboursière
Sécurité Informatique 29
Pertes financière etboursière
Causeou conséquence?
http://riskbasedsecurity.com
Sécurité Informatique 30
Perte de temps et donc d’argent
Arrêt de la production
Recherche des causes
Remise en état
Sécurité Informatique 31
Les menaces: attaques
Définition
Historique
Niveau des attaques
Types d’attaque
Déroulement d’une attaque
Sécurité Informatique 32
Les menaces: attaques
Pour l’aspect technique, on peut définir une attaque par l’exploitation de l’une
des failles précédemment citées pour des fins illégales. Il existe cinq formes
d’attaque que nous détaillons comme suit :
Sécurité Informatique 33
Les menaces: attaques
➢ L’attaque passive : les attaques passives représentent tout acte qui nous
permet de faire:
Sécurité Informatique 34
Les menaces: attaques
Sécurité Informatique 35
Les menaces: attaques
Sécurité Informatique 36
Les menaces: attaques
Interruption
Interception
Modification
Fabrication
Sécurité Informatique 37
Lesattaques: Motivations
Sécurité Informatique 38
Typologiesde pirates
Le terme « hacker » est souvent utilisé pour désigner un pirate informatique. Les
victimes de piratage sur des réseaux informatiques aiment à penser qu'ils ont été
attaqués par des pirates chevronnés ayant soigneusement étudié leur système et
ayant développé des outils spécifiquement pour en exploiter les failles.
Le terme hacker a eu plus d'une signification depuis son apparition à la fin des années
50. A l'origine ce nom désignait d'une façon méliorative les programmeurs
émérites, puis il servit au cours des années 70 à décrire les révolutionnaires de
l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes
entreprises informatiques.
C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes
impliquées dans le piratage de jeux vidéos, en désamorçant les protections de ces
derniers, puis en en revendant des copies.
Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes
s'introduisant dans les systèmes informatiques
Sécurité Informatique 39
Les attaques : historique
➢ (376 octets)
➢ doublait toutes les 2,5 secondes
➢ 90% des hôtes vulnérables infectés en 10 minutes
Sécurité Informatique 40
Les attaques : contemporain
Sécurité Informatique 41
Les attaques : 2017
Sécurité Informatique 43
Les attaques : en temps réel
http://map.honeynet.org
Sécurité Informatique 44
Les attaques : en temps réel 2
http://cybermap.kaspersky.com
Sécurité Informatique 45
Les attaques : en temps différé
http://zone-h.org
Sécurité Informatique 46
Les attaques : en devenir
Sécurité Informatique 47
Niveau desattaques
Niveau
Fast Flux
Backdoor
Sécurité Informatique 48
Type des attaquants : parcompétence
Les « white hat hackers », hackers au sens noble du terme, dont le but est d'aider à
l'amélioration des systèmes et technologies informatiques, sont généralement à l'origine
des principaux protocoles et outils informatiques que nous utilisons aujourd’hui.
Les « black hat hackers », plus couramment appelés pirates, c'est-à-dire des
personnes s'introduisant dans les systèmes informatiques dans un but nuisible ;
Sécurité Informatique 49
Type des attaquants : parcompétence
Sécurité Informatique 50
Type des attaquants : parcompétence
Sécurité Informatique 51
Type des attaquants : parcompétence
Script Kiddy
➢ 90% playstation 9% clickomane 1% intelligence
➢ utilise ce que font les autres
Amateur
➢ Faille connues
➢ Failles web
Professionnel
➢ En équipe
➢ Avec beaucoup de moyens (financiers, techniques, parfois
préparatoires)
➢ 0days possibles, voire courants.
Sécurité Informatique 52
Type desattaquants : parobjectif
L’argent
➢ piratage volumétrique
➢ cryptolocker "killer application"
Hacktiviste
➢ "Terroriste" Anonymous
Espions
➢ Etatique Industriel
"Petit con"
Sécurité Informatique 53
Evolution des attaquants
Ne pas se méprendre
La moyenne des pirates est plus bête qu’avant.
Mais les meilleurs pirates sont bien meilleurs qu’avant
Sécurité Informatique 54
But des attaques
Sécurité Informatique 55
Economie Virale
Sécurité Informatique 56
Typesdesattaques
Sécurité Informatique 57
Typesdesattaques
Attaques direct
Sécurité Informatique 58
Typesdesattaques
Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus
en plus courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à
proximité peut l'utiliser pour lancer des attaques !
Sécurité Informatique 59
Attaque des mots de passes
Attaque par force brute: On appelle ainsi « attaque par force brute » (en
anglais « brute force cracking », parfois également attaque exhaustive) le cassage
d'un mot de passe en testant tous les mots de passe possibles.
Attaque par dictionnaire : Les outils d'attaque par force brute peuvent demander
des heures, voire des jours, de calcul même avec des machines équipées de
processeurs puissants.
Sécurité Informatique 60
Attaque des mots de passes
Il existe des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs :
➢ Les keyloggers (littéralement « enregistreurs de touches »), sont des logiciels qui, lorsqu'ils sont
installés sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par
l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées
permettant de retenir temporairement le mot de passe et accessibles uniquement par le
système.
➢ L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des informations. Un
pirate peut ainsi obtenir le mot de passe d'un individu en se faisant passer pour un
administrateur du réseau ou bien à l'inverse appeler l'équipe de support en demandant de
réinitialiser le mot de passe en prétextant un caractère d'urgence ;
➢ L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate
d'observer les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de
passe. Par ailleurs, si le pirate fait partie de l'entourage de la victime, un simple coup d'oeil
par dessus son épaule lors de la saisie du mot de passe peut lui permettre de le voir ou de le
deviner.
Sécurité Informatique 61
Attaque man in the middle
La plupart des attaques de type « man in the middle » consistent à écouter le réseau à
l'aide d'un outil appelé sniffer.
Sécurité Informatique 62
Attaque par rejeu
Les attaques par « rejeu » (en anglais « replay attaque ») sont des attaques de type «
Man in the middle » consistant à intercepter des paquets de données et à les
rejouer, c'est-à-dire les retransmettre tels quel (sans aucun déchiffrement) au serveur
destinataire.
Ainsi, selon le contexte, le pirate peut
bénéficier des droits de l'utilisateur.
Sécurité Informatique 64
Attaque D.O.S.
Sécurité Informatique 65
Attaque D.O.S.
On distingue habituellement deux types de dénis de service :
Les dénis de service par saturation: consistant à submerger une machine de
requêtes, afin qu'elle ne soit plus capable de répondre aux requêtes réelles ;
➢ Saturation de la bande passante (UDP)
▪ 10000 zombies
▪ Impossible de lutter seul (se "cacher" derrière OVH,CloudFlare)
➢ Saturation de la table des connexions (TCP)
▪ 1000 zombies
▪ Lutte : utilisation des syncookies
➢ Saturation du nombre de processus
▪ 100 zombies mais les machines sont "grillées", connaissance minimale
▪ Lutte : limitation du nombre de processus, repérage et blocage très tôt
➢ Saturation de la CPU
▪ 10 zombies mais les machines sont "grillées", connaissances pointues
▪ Lutte : limitation de la CPU (noyau), mod_evasive (http)
➢ Plantage distant
▪ 1 zombie. Expertise nécessaire
▪ Patch régulier, durcissement noyau, protection applicative
Sécurité Informatique 66
Attaque D.O.S.
Les dénis de service par exploitation de vulnérabilités, consistant à exploiter une
faille du système distant afin de le rendre inutilisable.
Le principe des attaques par déni de service consiste à envoyer des paquets IP ou des
données de taille ou de constitution inhabituelle, afin de provoquer une saturation ou
un état instable des machines victimes et de les empêcher ainsi d'assurer les services
réseau qu'elles proposent.
Lorsqu'un déni de service est provoqué par plusieurs machines, on parle alors de «
déni de service distribué » (noté DDOS pour Distributed Denial of Service). Les attaques
par déni de service distribué les plus connues sont Tribal Flood Network (notée TFN) et
Trinoo.
Sécurité Informatique 67
Attaque D.D.O.S.
Se protéger d'un déni de service : Pour se protéger de ce type d'attaque, il est nécessaire
de mener une veille active sur les nouvelles attaques et vulnérabilités et de
récupérer sur internet des correctifs logiciels (patchs) conçus par les éditeurs de logiciels
ou certains groupes spécialisés :
➢ http://windowsupdate.microsoft.com/
➢ http://www.securityfocus.com/
Sécurité Informatique 68
Attaque par réflexion (Smurf)
1. Le serveur broadcast redirige les réponses vers la machine cible. Ainsi, lorsque
la machine attaquante adresse une requête à plusieurs serveurs de
diffusion situés sur des réseaux différents, l'ensemble des réponses des
ordinateurs des différents réseaux vont être routées sur la machine cible.
Sécurité Informatique 69
Attaque par réflexion (Smurf)
De cette façon l'essentiel du travail de l'attaquant consiste à trouver une liste de
serveurs de diffusion et à falsifier l'adresse de réponse afin de les diriger vers la
machine cible.
Sécurité Informatique 70
Attaque du ping de la morte
➢ L'« attaque du ping de la morte » (en anglais « ping of death ») est une des plus
anciennes attaque réseau.
Sécurité Informatique 71
Attaque SYN
➢ L'« attaque SYN » (appelée également « TCP/SYN Flooding ») est une attaque
réseau par saturation (déni de service) exploitant le mécanisme de poignéee de main
en trois temps (en anglais Three-ways handshake) du protocole TCP.
Sécurité Informatique 72
Attaque SYN
➢ Lorsqu'un client établit une connexion à un serveur, le client envoie une requête
SYN, le serveur répond alors par un paquet SYN/ACK et enfin le client valide la
connexion par un paquet ACK (acknowledgement, qui signifie accord ou
remerciement). Une connexion TCP ne peut s'établir que lorsque ces 3 étapes
ont été franchies.
➢ Les machines vulnérables aux attaques SYN mettent en file d'attente, dans une
structure de données en mémoire, les connexions ainsi ouvertes, et attendent
de recevoir un paquet ACK.
➢ Il existe un mécanisme d'expiration permettant de rejeter les paquets au bout
d'un certain délai.
Sécurité Informatique 73
Spoofing IP
Sécurité Informatique 74
Attaque par usurpation
➢ Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir
du réseau interne et sera relayé à la machine cible, tandis qu'un paquet contenant
une adresse IP externe sera automatiquement rejeté par le pare-feu.
➢ Cependant, le protocole TCP repose sur des liens d'authentification et d'approbation
entre les machines d'un réseau, ce qui signifie que pour accepter le paquet, le
destinataire doit auparavant accuser réception auprès de l'émetteur, ce dernier devant à
nouveau accuser réception de l'accusé de réception.
Sécurité Informatique 75
Modification de l'en-tête TCP
➢ Sur internet, les informations circulent grâce au protocole IP, qui assure
l'encapsulation des données dans des structures appelées paquets (ou plus exactement
datagramme IP). Voici la structure d'un datagramme :
➢ Avant d'accepter un paquet, une machine doit auparavant accuser réception de celui-
ci auprès de la machine émettrice, et attendre que cette dernière confirme la
bonne réception de l'accusé.
Sécurité Informatique 76
Annihiler la machine spoofée
➢ Dans le cadre d'une attaque par usurpation d'adresse IP, l'attaquant n’a aucune
information en retour car les réponses de la machine cible vont vers une autre
machine du réseau (on parle alors d'attaque à l'aveugle, en anglais blind attack).
Sécurité Informatique 77
Prédire les numéros de séquence
➢ Lorsque la machine spoofée est invalidée, la machine cible attend un paquet contenant
l'accusé de réception et le bon numéro de séquence. Tout le travail du pirate
consiste alors à « deviner » le numéro de séquence à renvoyer au serveur afin que
la relation de confiance soit établie.
➢ Pour cela, les pirates utilisent généralement le source routing, c'est-à-dire qu'ils
utilisent le champ option de l'en-tête IP afin d'indiquer une route de retour
spécifique pour le paquet. Ainsi, grâce au sniffing, le pirate sera à même de lire le
contenu des trames de retour...
Sécurité Informatique 78
Attaques réseau
➢ Spoofing ARP : Le spoofing ARP est une technique qui modifie le cache ARP. Le
cache ARP contient une association entre les adresses matérielles des machines
et les adresses IP, l’objectif du pirate est de conserver son adresse matérielle,
mais d’utiliser l’adresse IP d’un hôte approuvé. Ces informations sont
simultanément envoyées vers la cible et vers le cache. A partir de cet instant,
les paquets de la cible seront routés vers l’adresse matérielle du pirate.
Sécurité Informatique 79
Vol de session TCP (hijacking)
➢ Attaque à l'aveugle :Lorsque le source-routing est désactivé, ce qui est le cas de nos
jours dans la plupart des équipements, une seconde méthode consiste à envoyer
des paquets « à l'aveugle » (en anglais « blind attack »), sans recevoir de réponse,
en essayant de prédire les numéros de séquence.
Sécurité Informatique 80
Attaques applicatives
Sécurité Informatique 81
Attaques applicatives
➢ Les bugs : Tout logiciel comporte des bugs dont certains représentent des
trous de sécurité ou des anomalies qui permettent de violer le système sur
lequel tourne le programme.
➢ Il est abrégé XSS pour ne pas être confondu avec le CSS (feuilles de style),
X étant une abréviation commune pour « cross » (croix) en anglais
Sécurité Informatique 82
Arnaques - Ingénierie sociale
➢ Ingénierie sociale : Le terme d'« ingénierie sociale » (en anglais « social engineering »)
désigne l'art de manipuler des personnes afin de contourner des dispositifs de sécurité. Il s'agit
ainsi d'une technique consistant à obtenir des informations de la part des utilisateurs par
téléphone, courrier électronique, courrier traditionnel ou contact direct. L'ingénierie sociale est
basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs
en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc.
Sécurité Informatique 83
Arnaques - Ingénierie sociale
Sécurité Informatique 84
Arnaques - Ingénierie sociale
▪ Par téléphone,
▪ Par courrier électronique,
▪ Par courrier écrit,
▪ Par messagerie instantanée,
▪ etc.
Sécurité Informatique 85
Arnaques - Ingénierie sociale:Commentse protéger?
Sécurité Informatique 86
Phishing (hameçonnage)
➢ Le phishing (contraction des mots anglais « fishing », en français pêche, et
« phreaking », désignant le piratage de lignes téléphoniques), traduit parfois
en « hameçonnage », est une technique frauduleuse utilisée par les pirates
informatiques pour récupérer des informations (généralement bancaires)
auprès d'internautes.
Sécurité Informatique 87
Phishing (hameçonnage)
➢ Dans la mesure où les adresses électroniques sont collectées au hasard sur
Internet, le message a généralement peu de sens puisque l'internaute n'est
pas client de la banque de laquelle le courrier semble provenir. Mais sur la
quantité des messages envoyés il arrive que le destinataire soit
effectivement client de la banque.
Sécurité Informatique 88
Comment se protéger du phishing ?
Sécurité Informatique 89
Comment se protéger du phishing ?
Sécurité Informatique 90
Attaques virales
➢ la création,
➢ puis la reproduction,
➢ ensuite l’activation,
➢ ensuite le découvrir
➢ et en fin le détruire.
Sécurité Informatique 91
Attaques virales
Sécurité Informatique 92
Attaques virales
Sécurité Informatique 93
Attaques virales
Sécurité Informatique 95
Attaques virales
Sécurité Informatique 96
Attaques virales
Sécurité Informatique 97
Attaques virales
➢ Agit sur une machine déjà compromise. Il est utilisé dans une
étape après intrusion et l'installation d'une porte dérobée pour
cacher tous les changements effectués lors de l'intrusion afin de
préserver l'accès à la machine.
Sécurité Informatique 98
Attaques virales
Sécurité Informatique 99
Attaques virales
➢ Ainsi les détecteurs d'intrusion (IDS) sont basés sur un sniffeur pour la
capture des trames, et utilisent une base de données de règles (rules)
pour détecter des trames suspectes.
➢ Ce risque est encore plus important sur les réseaux sans fils car il est
difficile de confiner les ondes hertziennes dans un périmètre délimité, si
bien que des personnes malveillantes peuvent écouter le trafic en étant
simplement dans le voisinage.
➢ Utiliser des protocoles chiffrés pour toutes les communications dont le contenu
possède un niveau de confidentialité élevé.
➢ Pour les réseaux sans fils il est conseillé de réduire la puissance des matériels de telle
façon à ne couvrir que la surface nécessaire. Cela n'empêche pas les éventuels
pirates d'écouter le réseau mais réduit le périmètre géographique dans lequel ils ont la
possibilité de le faire.
➢ Les scanners de sécurité sont des outils très utiles pour les administrateurs système et
réseau afin de surveiller la sécurité du parc informatique dont ils ont la charge.
➢ A contrario, cet outil est parfois utilisé par des pirates informatiques afin de déterminer
les failles d'un système.
➢ Quelques outils :
▪ Nessus
▪ Nmap ("Network Mapper") - Utilitaire libre d'audits de sécurité et
d'exploration des réseaux
▪ The Art of Port Scanning par Fyodor
1. Collecte d’informations
2. Repéragedes vulnérabilités
3. Utilisation des vulnérabilités → intrusion
4. Accession aux droits administrateur (escalade)
5. Camouflage
6. Installation d’une backdoor
http://www.shodan.io
https://censys.io
https://www.zoomeye.org
Les bonnes politiques sont adaptées aux menaces. S'il n'y avait
pas de menaces, il n'y aurait pas de politique.
Politique desécurité
Le web est autorisé pour qui, pour quoi ?
Qui peut utiliser la messagerie ?
Qui définit les règles?
Qui les annonce et comment ?
Quelles sont les sanctions ?
Empêcher les agressions (volontaires ou non) : Protection Repérer les agressions: Détection
Confiner les agressions et limiter leurs conséquences Accumuler lespreuves
Comprendre, apprendre, retenir (itération) Retour à lanormale
Optionnel
En casde recours enjustice
➢ A notre initiative
➢ Mais aussi à notre encontre
Tâche ingrate et rarementeffectuée
➢ Réputation
➢ Argent
➢ Temps
L’attaque aréussi
➢ Pourquoi ?
➢ Comment y remédier ?
➢ Parer à la faille utilisée
➢ Réfléchir à une généralisation de cette faille
La tronçonneuse
Le ciseau à bois
Le papier de verre
On enlève l’inutile:
➢ Protection contre l’extérieur;
➢ Protection contre l’intérieur;
➢ Protection àl’intérieur.
Le Web sortmais
Certains sites sont interdits
Les nids à virus sont inspectés
On journalise ce qui passe
Les journaux sont nos seuls amis. On va donc faire appel à eux pour:
Dans un mondeparfait
➢ Bien concevoir lesservices
➢ Bien configurer lesservices
➢ Bien lesutiliser
Dans le monde réel
➢ Limiter les accès aux servicesnécessaires
✓ En nombre de machines
✓ En nombre de services
➢ Limiter lesconséquencesd’une intrusion
➢ Toute personne peut falsifier son adresse IP (spoofing) ce qui engendre une
fausse identification
▪ Problème d’authentification
Pour plusd’information:
http://michel.arboi.free.fr/cryptFAQ/
La cryptographie: Science
mathématique permettant
d’effectuer des opérations
sur un texte intelligible
afin d’assurer une ou
plusieurs propriétés de la
sécurité de l’information.
Le texte clair ne doit pas être facilement obtenu à partir d’un
texte crypté.
L’espace des clés doit être assez large pour résister aux attaques
brute-force.
➢ Le chiffre de Vigenère
➢ Les méthodes symétrique à clés secrètes
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
AVE CAESAR
DYH FDHVDU
return -1;
else
return i;
➢CHAKIR= FKDNLU
➢(On décale aussi les espaces…)
On intercepte le message
FAGEMYREMPURZV_EMZR_R FMNMDAZR
1. E_FDLXQDLOTQYUZDLYQZQZELMLC_YQ
2. DZECKWPCKNSPXTYCKXPYPYDKLKBZXP
3… 4… 5… 6… 7… 8… 9… 10… 11… 12…
13. TOUS_LES_CHEMINS_MENENT_A_ROME
_ABCDEFGHIJKLMNOPQRSTUVWXYZRDOHXA
MTC_BKPEZQIWNJFLGVYUS
TOUS_LES_CHEMINS_MENENT_A_ROME
Devient
FQLJRPAJRHCAE_ZJREAZAZFRDRNQEA
Il y a 27!=10 888 869 450 418 352 160 768 000 000 possibilités…
BQPSNRSJXJNJXLDPCLDLPQBE_QRKJ
XHNKPKSJPJIKSPUNBDKIQRBKPQPB
QPZITEJQDQBTSKPELNIUNPHNKPBK
PCKSSQWKPSLXJPSNVVXSQCCKDJP
BLDWPXBPSNVVXJPGKPJKDXIPZLCE
JKPGKSPSJQJXSJXHNKSPGPLZZNIIK
1 2 3 4 5
Polybe : historien grec 205 – 125
1 A B C D E avant JC.
2 F G H I,J K
Il dispose les lettres dans un
3 L M N O P tableau 5*5 (nous sommes ici
obligés d'identifier le i et le j de
4 Q R S T U manière identique) :
5 V W X Y Z
un mot clef
La lettre de la clé est à prendre dans l'ordre dans laquelle elle se présente et on répète la
clé en boucle autant que nécessaire.
Clé : musique
Texte : J'adore écouter la radio toute la journee
Texte en clair : j'adore ecouter la radio toute la journee
Clé répétée : M USIQU EMUSIQU EM USIQU EMUSI QU EMUSIQU
^ ^^^
| ||Colonne O, ligne I : on obtient la lettre W.
| |Colonne D, ligne S : on obtient la lettre V.
| Colonne A, ligne U : on obtient la lettre U.
Colonne J, ligne M : on obtient la lettre V.
Si on veut déchiffrer ce texte, on regarde pour chaque lettre de la clé répétée la ligne
correspondante et on y cherche la lettre chiffrée.
La première lettre de la colonne que l'on trouve ainsi est la lettre déchiffrée.
➢ On peut produire une infinité de clés, il est très facile de convenir avec
quelqu'un d'une clé donnée.
Exigences:
Exemples :
➢ A5/1, algorithme publié en 1994, utilisé dans les téléphones mobiles de type
GSM pour chiffrer la communication par radio entre le mobile et l'antenne-relais
la plus proche ;
➢ RC4, le plus répandu, conçu en 1987 par Ronald Rivest, utilisé notamment par le
protocole WEP du Wi-Fi ;
➢ Py, un algorithme récent de Eli Biham ;
➢ E0 utilisé par le protocole Bluetooth.
➢ La taille de bloc est comprise entre 32 et 512 bits, dans le milieu des années
1990 le standard était de 64 bits mais depuis 2000 et le concours AES le
standard est de 128 bits.
➢ Les blocs sont ensuite chiffrés les uns après les autres.
▪ DES, l'ancêtre conçu dans les années 1970, a été passablement étudié
▪ AES, le remplaçant de DES
▪ Blowfish, Serpent et Twofish, des alternatives à AES
Substitution
Transposition
Caractéristiques
Etapes:
➢ Clé = 3
➢ Remplacer chaque lettre par celle qui la succède de trois (3).
➢ a devient d, b devient e, …, y devient b, z devient c
L’algorithme peut être décrit comme suit: C = E(p) = (p+3) mod (26)
Chiffrement par blocs de texte clair: 64 bits (DES), 128 bits (AES).
DES (clé 56 bits), 3DES (clé de 168 bits ou 112 bits).
RC2 (clé 128 bits), Blowfish (clé 128bits, jusqu'à 448 bits), AES (clé 128,
192, 256 bits).
Avantages
Limitations
Quand il est encore utilisé c'est généralement en Triple DES, ce qui ne fait
rien pour améliorer ses performances.
Le premier standard DES est publié par FIPS le 15 janvier 1977 sous le nom
FIPS PUB 46.
http://www.securiteinfo.com/crypto/aes.shtml
Nouveau standard (il s’appellait Rijndael à l’origine après un concours de la
NSA)
Auteurs Rijmen et Daemen
Plusieurs versions de 128,192 ou 256 bits
Plus rapide que DES (il ne travaille qu’avec desentiers)
Détails techniques
L'AES opère sur des blocs de 128 bits qu'il transforme en blocs
cryptés de 128 bits par une séquence de N opérations ou «
rounds », à partir d'une clé de 128, 192 ou 256 bits. Suivant la
taille de celle-ci, le nombre de rounds diffère : respectivement
10, 12 et 14 rounds.
Algorithmes
R.S.A.
D.S.S./Diffie Helmann
El Gamal (logarithme discret)
Courbes elliptiques
Outils
PGP
GPG
Openssl
➢ n X=fKpu-1(Y) facile si Kpu et Y sont connus, mais impossible si Y est connu et Kpu
non connue.
L'algorithme de chiffrement
Départ :
Il est facile de fabriquer de grands nombres premiers p et q (+- 100 chiffres)
Etant donné un nombre entier n = pq, il est très difficile de retrouver les
facteurs p et q
( 1 ) Création des clés
( 2 ) Bob va donc voir si l'égalité (Md)e mod n = M est vérifiée. Si c'est le cas,
Alice est bien l'émettrice du message.
3) Bob ayant trouvé le couple (n,e), il sait qu'il doit l'utiliser pour chiffrer son message. Il
va tout d'abord remplacer chaque lettre du mot BONJOUR par le nombre correspondant
à sa position dans l'alphabet :
B = 2, O = 15, N = 14, J = 10, U = 21, R = 18
BONJOUR = 2 15 14 10 15 21 18
4) Ensuite, Bob découpe son message chiffré en blocs de même longueur représentant
chacun un nombre plus petit que n.
bloc << n
n contient 4 chiffre on prend bloc de 3
BONJOUR = 002 151 410 152 118
5) Bob chiffre chacun des blocs que l'on note B par la transformation C = Bemod n (où C
est le bloc chiffré) :
Etapes
▪ Choisir e = 7,
Génération :
Alice choisit son mot de passeM1
Le système "hashe" M1 pour obtenir HASH1
Le système ne conserve que HASH1
Utilisation
Alice sereconnecte, en tapant le mot de passeM2 (normalement
identique à M1)
Le système hashe M2 et obtient HASH2
Si HASH2=HASH1 alors M2=M1, donc OK
Internet
Hachage =? Hachage
Le crypt unix
"password" → "5GKtdsqlkgy"
Principe de fonctionnement
Soit:
Clé privée
du signataire
Signature
Texte clair numérique
Fonction de Hachage CryptageAsymétrique
Empreinte
Processus de Génération de la Signature numérique
Texte clair
Hachage
Empreinte
recalculée
Clé publique =?
de l’émetteur
Signature
numérique
Décryptage
Empreinte
reçue
Empreinte Empreinte
reçue recalculée
➢ Alice veut certifier que sa clé publique lui appartient. Elle envoie sa clé
à un organisme de certification, ainsi que différentes informations la
concernant (nom, email, etc...).
➢ Cet organisme vérifie les informations fournies par Alice, et ajoute au
certificat son propre nom, une date limite de validité, et surtout une
signature numérique.
➢ Cette signature est calculée de la façon suivante : à partir des
informations du certificat, l'organisme calcule un résumé en
appliquant une fonction de hachage connue, comme MD5. Puis il
signe ce résumé en lui appliquant sa clé secrète.
Certificate:
Data:
Version: 1 (0x0)
S e r i a l Number: 7829 (0x1e95)
S i gn a t u r e Algorithm: md5WithRSAEncryption
I s s u e r : C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting c c ,
OU=Certification Serv i ces D i v i s i o n ,
CN=Thawte Server CA/emailAddress=server-certs@thawte.com
Validity
Not Befo re: J u l 9 16:04:02 1998 GMT
Not Aft er : J u l 9 16:04:02 1999 GMT
S u b j e c t : C=US, ST=Maryland, L=Pasadena, O=Brent Baccal a,
OU=FreeSoft, CN=www.freesoft.org/emailAddress=baccala@freesoft.org
S u b j e c t P u b l i c Key I n f o :
Pu b l i c Key Algorithm: rsaEncryption
RSAPu b l i c Key: (1024 b i t )
Modulus (1024 b i t ) :
0 0 : b 4 : 3 1 : 9 8 : 0 a: c 4 : b c : 6 2 : c1 : 8 8 : a a: d c: b 0 : c8 : b b :
...
d 2 : 7 5 : 6 b : c1 : e a: 9 e: 5 c: 5 c: e a: 7 d : c 1 : a 1 : 1 0 : b c : b 8 :
e 8 : 3 5 : 1 c: 9 e : 2 7 : 5 2 : 7 e: 4 1 : 8 f
Exponent: 65537 (0x10001)
S i gn a t u r e Algorithm: md5WithRSAEncryption
93:5f:8f:5f:c5:af:bf:0a:ab:a5:6d:fb:24:5f:b6:59:5d:9d:
....
0d:19:aa:ad:dd:9a:df:ab:97:50:65:f5:5e:85:a6:ef:19:d1:
Avantages
http://michel.arboi.free.fr/cryptFAQ
http://www.ossir.org/resist/supports/cr/200203/
crypto.pdf
http://cr.yp.to/
Etre persuadé que sasécurité est efficace n’est pas suffisant : il faut à
minima vérifier que cela correspond à laréalité.
Vérifier que les outils de sécurité sont actifs
Vérifier que les procédures de sécurité sont suivies
Permettre aux utilisateurs de découvrir leurs outils de sécurité Vérifier
notree-réputation
Faire tester sa sécurité.
Pourquoi ?
Leur montrer comment réagissent leurs outils de sécurité (et ainsi éviter les
"fake").
Leur faire prendre conscience de la sécurité, Les rendre
autonomes,
Les rendre "détecteursd’incident".
Comment ?
Déclencher une alerte avec http://eicar.com pour l’antivirus Tester le
firewall local avec grc.com
Voir le repérage desspams, phishing, etc.
Pourquoi ?
Parce que c’est une valeur importante del’entreprise,
Parce ceque cela peut faciliter ou compliquer voire interdire la
communication avec lesclients.
Comment ?
Voir la réputation mail avec
mxtoolbox pour savoir si l’on est blacklisté
backscatter pour repérer nos refus de mails fautifs
chez CISCO
Voir la réputation web avec
chez McAfee
Avons nous une zone DNS propre ?
123
Anti-Virus
Proxy
Applications
Firewall
Réseau
Transport
TCP-UDP
Routeur Réseau
filtrant logique
« Dédier pour mieux
IP-ICMP
résister » Switch Réseau
filtrant physique
123
IP
ICMP
La notion de port
TCP
UDP
Protocoles
Protocole de signalisation
➢ Service/machine/réseau injoignable
➢ Demande deralentissement
Peut être utilisé pour lesattaques
➢ ICMP Redirect
➢ ICMP Echo
✓ Attaque smurf
Dénomination
Port destination : port du destinataire
Port source : port de l’expéditeur (provenance dupaquet)
Protocole connecté
➢ Assure la cohérence de la connexion
➢ A un début et unefin
Un "triple handshake" initialise la connexion
➢ L’aléa du numéro de séquence n’est pas toujours bon
➢ S’il est prévisible, on peut "simuler" une connexion
Client Serveur
Choix du SYN (1000) Choix du
N° SEQ SYN (2000),ACK(1001) N° SEQ
ACK(2001)
Communication Etablie
Tout paquet possède un ACK
protocole IP protocole IP
Réseau IP Réseau
➢ En cas dedésordre
➢ En cas de perte depaquet
Plus rapide
De nombreux noms
Firewall
Garde-Barrières
Gatekeeper
Qu’est-ce que c’est ?
Comment ça marche ?
Evaluer et choisir unpare-feu
Ex: seul le trafic http estautorisé, seule l’adresse IP 1.2.3.4 est autorisée.
Internet
Firewall
Réseaux protégés
Routeur
DMZ
Serveurs accessibles
depuis le réseau Internet
La sortie
Qui ?
Pour quoi ?
L’entrée
Qui ?
Pour quoi ?
Internet
193.1.1.0/24
entrant
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.0/24 * 10.1.1.1/32 *
Allow TCP Sortant 193.1.1.0/24 * * 80
Allow TCP Entant * 80 193.1.1.0/24 * ACK
Deny IP * * * * *
Connexion TCP.
Port serveur inférieur à 1024.
Port client compris entre 1024 et 16383.
LesPorts <1024 sont affectés de façons permanente.
FTP:20,21 – Telnet :23 – SMTP:25 – HTTP:80
Ceci présente une limitation pour les Firewalls de type stateless packet filtering
Solution: utilisation de Firewalls de type stateful packet filtering
Sécurité Informatique 298
StatefulPacketfiltering Firewalls
193.1.1.1 10.1.2.3
Le Firewall se souviendra
De cette information
Cohérent avec le
paquet précédent
Pas de cohérence
avec la connexion
en cours
Avantages
Simplicité du fonctionnement.
Rapidité dansle traitement.
Transparenceaux utilisateurs.
Inconvénients
Ne protège pas contre les attaques qui exploitent des vulnérabilités sur les
applications (nebloque pas certaines commandes).
Lesfichiers logs générés necontiennentpas d’informations assezpertinentes (seulement:
@IP, ports).
Ne supporte pas desmécanismesavancésd’authentification desutilisateurs.
Unesimpleerreur dansla configuration desrègles peut cassertoute la
sécurité.
Ordre desrègles:
Séquentiel
A précision décroissante
A branchement
Arrêt sur correspondance (on match) ?
Filtres entrée et sortie?
Pare-feu auto-protégé
Filtre indépendant sur chaque interface ?
Limitation de débit
Eviter les abus internes
Limiter les rebonds deflooding
Journalisation
du refus
des paquets refusés
IOS cisco
Filtre commutateurs et routeurs
Iptables (mais peut faire mieux)
Pktfilter sur windows 2K/XP/2003
De manière générale : tout filtre accéléré par ASIC
Filtrage enentrée
Autorisez du ssh, puis du ftp passif et du ftp actif
Filtrage ensortie
Autorisez du ssh, puis du ftp actif et duftp passif
Palo Alto
iptables + L7 Filter + NuFW (UFWi)
Maintenant tout FW est forcément NG.....
NMAP
Services visibles par un pirate
Filter rules
Analyse des filtres réellement en place
NIDS après lePF
Vérifie que rien ne passe.
Configurer
Interface graphique ?
Console ?
A distance ?
Console d’administration centrale
Par telnet ou ssh
Sur la console ?
Compléments indispensables
IDS et NIDS
Anti-Virus
Suivre l’actualité sécuritaire
Problèmes delégalité
Attaque
➢ Recherche de failles dans le réseau et son exploitation
Intrusion
➢ Prise de contrôle d’unemachine
Différents types d’attaques :
➢ Virus
➢ Spoofing (IP, ARP, DNS)
➢ DoS (Denial of Services)
➢ Bugs
➢ etc.
Sécurité active
➢ Filtrer et bloquer des flux (IPS)
Sécurité passive
➢ Détection/Reconnaissance d’intrusions (IDS)
Approche comportementale
Détection en fonction du comportement passé de l’utilisateur
Exemple de métriques : charge CPU, volumes de données échangées, heures de
connexion, répartition statistiques des protocoles utilisés, etc.
Approche probabiliste
Représentation d’une utilisation courante d’une application ou d ’un
protocole.
Approche statistique
Quantification des paramètres liés à l’utilisateur
Utilisation processeurs, mémoire, nombre de connexions sortantes par jour,
vitesse de frappe au clavier, sites les plus visités etc.
Difficultés de mise en place
Contrôle d’intégrité
Lefirewallfiltrant
Networ-
Un équipement spécialisé qui va alors agir sur les filtres du
based IDS
firewall. Cet équipement doit être placé en série ou en sonde à
(NIDS)
l’entrée du réseau
Cet équipement doit avoir de bonnes capacités de
traitementcaril vérifie touslesflux !
Host-
Surunserveurparticulier pourprotégerceserveur
based IDS
(HIDS) Peutaussiêtre compliquéquandil y a beaucoupde serveurs
In-line : en série
Inspecte forcément tout le trafic
Peutdirectement agir surle trafic par
IDS
filtrage
IDS
(retard)
DMZ
IDS IDS
En tête de réseau, on compare ce que détecte l’IDS sur le lien public, avec ce
qu’il détecte après le premier filtrage
Si il y a des VPNs sur le firewall, le premier IDS ne verra rien dans les paquets
cryptés
Il faut donc en utiliser un autre avant le réseau interne Le coût peut être très
élevé
Kill the
TCP Reset session
Tuer la session
Block
Blocking attacker
de l’intrus
Sécurité Informatique 338
IDS: Reponses actives
169
Sonde Sonde
Sonde
Insertion et Evasion
Ambiguïté dans l’interprétation des champs des
entêtes.
Ambiguïté dans la gestion des options dans les
entêtes.
Ambiguïté dans le rassemblement des fragments
et des segments.
➢ L’IDS accepte ou rejette les paquets et les
segments, d’une façon différente aux machines.
➢ L’IDS et la machine cible obtiennent des vus
différentes des données reçues
S R t U S E R r o o t
5 hops 10 hops
S R TTL=15 U S E R r
TTL=8
t o o t
Un TTL petit pour TTL=15
rejeté (TTL
NIDS
Epuisement des ressources mémoire: émission d’un trafic qui nécessite un grand
espace mémoire pour le traitement
TCP Handshake
Stockage temporaire des Fragments/Segments
Un pot de miel est une machine qui présente ou simule des failles de
sécurité très répandues. Disposant des moyens renforcés de
surveillance, la machine peut servir d'appât pour apprendre la stratégie
des attaquants et construire des signatures exactes d'attaques. Par
ailleurs la simulation du comportement d'une machine doit être aussi
réaliste pour ne pas éveiller les soupçons des attaquants.
Un réseau VPN (Virtuel Privat Network) est un service qui permet Network)
d’établir des connexions sécurisées privées (c'est dire faire un réseau privé)
sur un réseau public comme Internet.
Pourquoi ?
Besoin de définir desbonnes pratiques (pas de notion d’absolu !)
Besoin de parler de la même chose
Besoin de certification (évaluation) commune
Evaluation des hommes (pour lerecrutement)
Evaluation des entreprises (pour la publicité, ou les cercles de confiance)
Appliquer à la sécurité les principes de la qualité
Pourquoi ?
ISO 27000 : Le vocabulaire
ISO 27001 : Le système de gestion de la sécurité SMSI ISO 27002 : Les
bonnes pratiques de la sécurité
ISO 27003 : Installation d’un SMSI
ISO 27004 : Indicateurs et tableaux de bord ISO 27005 : La
gestion du risque
ISO 27006 : Les audits de sécurité
ISO 27007 : Guide pour l’audit d’un SMSI
Audits et revues
Publiée en2014
Continuité d’activité
Publiée en2011
Baséesur un British standard (BS 25999) et le (BC/DR SS507)
singapourien
Cybersécurité (Internet)
Publiée en2012
Sécurité desréseauxinformatiques
Publiée de 2009 à 2014 suivant les parties.
révision de l’ISO18028
Découpé en 7 parties (27033-1, 27033-2, ...)
Sécurité Applicative
Publiée en2011