Ecole Supérieure Multinationale des Télécommunications ESMT

Cours de Sécurité
informatique
Mr Dafé Gnabaly
Architecte Solutions Sécurité chez Orange Business Services
gnabaly@gmail.com
Skype : dafegn
Tel : +221 773320377
 Système informatique et système d'information

 Un système informatique est un ensemble de dispositifs (matériels et logiciels)

associés, sur lesquels repose un système d'information.

 Il est constitué généralement de serveurs, routeurs, pare-feu, commutateurs,

imprimantes, points d'accès, stations de travail, systèmes d'exploitation, applications,
bases de données, etc.

 Un système d'information est un ensemble de moyens (humains, matériels, logiciels,

etc.) organisés permettant d'élaborer, de traiter, de stocker et/ou de diffuser de
l'information grâce aux processus ou services.

 Un système d'information est généralement délimité par un périmètre pouvant

comprendre des sites, des locaux, des acteurs (partenaires, clients, employés, etc.), des
équipements, des processus, des services, des applications et des bases de données.
 Le Monde dans lequel on vit

L’information est partout.

On la retrouve dans divers systèmes:

• ordinateurs personnels (bureau et maison)

• serveurs de données (bases de données et serveurs web)
• systèmes téléphoniques (terminaux, interrupteurs, routeurs)
• téléphones portables (voix, image, vidéo, donnée)
• appareils manuels (ordinateurs portables, lecteur MP4)
• kiosque d’informations (données, services, Distributeurs
Automatiques de Billets)
• cartes à puces (identification, autorisation, monnaie électronique)
• systèmes incorporés (voiture, appareils domestiques)
• bien d’autres systèmes ...
 Le Monde dans lequel on vit

 Nous sommes face non seulement à une augmentation de la quantité, mais surtout de
l'importance des données.
 Avec le développement d'Internet, chacun a accès au réseau où de plus en plus
d'informations circulent.

Exemple:
 Les entreprises communiquent et diffusent des informations, que ce soit dans leurs
liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les relations entre
les employés eux-mêmes.

 Le transport des données en dehors du domicile d'un particulier ou d'une entreprise

mérite que l'on s'interroge sur la sécurité des transmissions pour ne pas compromettre
un système d'information.
un environnement et des besoins qui évoluent
d’une demande simple vers une demande complexe

du modèle réseau simplifié … … à des infrastructures

complexes
un environnement et des besoins qui évoluent
d’une demande simple vers une demande complexe
 des besoins de plus en plus complexes
… à des infrastructures … au Cloud Computing
complexes
 Qu’est-ce que la sécurité?
D’un premier point de vue :
 s’assurer que rien de “mauvais” arrive.
 réduire les chances que quelque chose de “mauvais” se produise.
 minimiser l’impact des “mauvaises choses”.
 fournir les éléments nécessaires pour se remettre des “mauvaises choses”.

D’un autre point de vue :

 autoriser les “bonnes choses” à arriver
 gestion du coût du système
Exemples:
o La sécurité de la maison
o La sécurité de la voiture
 Qu’est-ce que la sécurité?
 Définition de base : La sécurité informatique, est l'ensemble des
moyens mis en œuvre pour minimiser la vulnérabilité d'un système
contre des menaces accidentelles ou intentionnelles.

 Sécurité = “Safety”
o Protection de systèmes informatiques contre les accidents dus à
l'environnement, les défauts du système.

 Sécurité = “Security ”
o Protection des systèmes informatiques contre des actions malveillantes
intentionnelles.

 Note : Une vulnérabilité (ou faille) est une faiblesse dans un système
informatique.
 Qu’est-ce que la sécurité?
En général, Le risque en terme de sécurité est caractérisé par l'équation suivante :

× é é
=
−

 La menace représente le type d'action susceptible de nuire dans l'absolu.

 La vulnérabilité (faille) représente le niveau d'exposition face à la menace dans

un contexte particulier.

 La contre-mesure est l'ensemble des actions mises en œuvre en prévention de

la menace.

NB:
Les contre-mesures à mettre en œuvre ne sont pas uniquement des solutions
techniques mais également des mesures de formation et de sensibilisation à
l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies.
 Qu’est-ce que la sécurité?
La sécurité des données se définit par :
 La disponibilité
o Offrir à l'utilisateur un système qui lui permette de continuer ses travaux
en tout temps.
o Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture
physique du réseau, l'erreur, la malveillance, etc.
 L'intégrité
o Garantir la qualité de l'information dans le temps.
o Peut être détériorée suite à des erreurs telles que saisie d'information
erronée voire illicite, destruction partielle ou totale de l'information, etc.
 La confidentialité
o Se prémunir contre l'accès illicite à l'information par des personnes non
autorisées.
o Peut être piratée, détournée, etc.
 Un peu de vocabulaire…
 Écoute passive
o Rôle du sniffer : vol de l'information, de mot de passe.
 Substitution
o Spoofing : trucage de la source (se faire passer pour un autre).
 Cheval de Troie (trojan)
o Traitement frauduleux sous le couvert d'un programme autorisé.
 Déni de service
o Rendre impossible l'accès à un service en le neutralisant ou en le
submergeant.
 Bombe logique
o Tout programme qui provoque le plantage d'un système (en général
malveillant).
 Flood
o Un ou plusieurs outils qui permettent d'inonder la file d'attente de
connexion d'un système exploitant TCP/IP et provoquant ainsi un déni de
service.
 Capture de frappe
o Utilitaire qui capture à l'insu de l'utilisateur sa frappe ; utilisé pour obtenir
le nom et mot de passe d'un utilisateur.
 Les différentes attaques possibles
 Attaques sur les systèmes
o Intégrité du système,
o Exécution de processus non autorisée,
o Cheval de Troie,
o Etc.
 Attaques sur les protocoles de communication
o Intrusion,
o Attaques du noyau (IP snoofing, TCP flooding, etc.),
o Exploiter les failles des protocoles (ICMP, UDP, etc.),
o Etc.
 Attaques sur l'information
o Propagation d'un virus dans l'entreprise,
o Écoute des données échangées sur le réseau,
o Modification des données pendant leur transport,
o Etc.
 Attaques sur les applications
o Applications à risque (DNS, SNMP, HTTP, NFS, FTP, SMTP, etc.),
o Attaquer des applications connues (Oracle, Office…),
o Etc.
 Les motivations des attaquants
Les motivations des attaques peuvent être de différentes sortes :

 obtenir un accès au système ;

 voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ;
 avoir des informations personnelles sur un utilisateur ;
 récupérer des données bancaires ;
 s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
 troubler le bon fonctionnement d'un service ;
 utiliser le système de l'utilisateur comme “rebond” pour une attaque ;
 utiliser les ressources du système de l'utilisateur, notamment lorsque le réseau sur lequel
il est situé possède une bande passante élevée.
 Les attaques
 Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à
une attaque.
 Une attaque est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par
l'exploitant du système.
 Les attaques
Types d’ attaques
 Les systèmes informatiques mettent en œuvre différentes composantes, allant de
l'électricité pour alimenter les machines au logiciel exécuté via le système
d'exploitation et utilisant le réseau.
 Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il
existe une vulnérabilité exploitable.
 Les attaques
Il est possible de catégoriser les risques de la manière suivante :

 Accès physique : il s'agit d'un cas où l'attaquant à accès aux locaux, éventuellement
même aux machines :
o Coupure de l'électricité
o Extinction manuelle de l'ordinateur
o Vandalisme
o Ouverture du boîtier de l'ordinateur et vol de disque dur
o Ecoute du trafic sur le réseau
 Interception de communications :
o Vol de session (session hacking)
o Usurpation d'identité
o Détournement ou altération de messages
 Dénis de service : il s'agit d'attaques visant à perturber le bon fonctionnement d'un
service. On distingue habituellement les types de déni de service suivant :
o Exploitation de faiblesses des protocoles TCP/IP
o Exploitation de vulnérabilité des logiciels serveurs
 Les attaques
 Intrusions :
o Balayage de ports.
o Elévation de privilèges : ce type d'attaque consiste à exploiter la vulnérabilité d'une
application en envoyant une requête spécifique, non prévue par son concepteur. Les
attaques par débordement de tampon (buffer overflow) utilisent ce principe.
o Maliciels (virus, vers et chevaux de Troie).

 Sociale ingénierie :
o Dans la majeure partie des cas le maillon faible est l'utilisateur lui-même!
o C'est souvent lui qui, par méconnaissance va ouvrir une faille dans le système, en donnant
des informations (mot de passe par exemple) au pirate informatique ou en exécutant une
pièce jointe.

 Backdoor :
o Il s'agit d'une porte dérobée dissimulée dans un logiciel, permettant un accès ultérieur à
son concepteur.

Zoom sur les méthodes les plus répandues…

 Système D ou "ingénierie sociale"
 Terme utilisé par les hackers pour une technique d’intrusion
sur un système qui repose sur les points faibles des
personnes qui sont en relation avec un système informatique.

o Piéger les gens en leur faisant révéler leur mot de passe ou toute
autre information qui pourrait compromettre la sécurité du système
informatique.

o Deviner le mot de passe d’un utilisateur. Les gens qui peuvent trouver
des informations sur un utilisateur, peuvent utiliser ces informations
pour deviner le mot de passe de ce dernier (le prénom de ses enfants,
leur date de naissance ou bien encore la plaque d’immatriculation de
sa voiture sont tout à fait candidats à être des mots de passe).
 Spoofing : usurpation d'adresse IP
 Cible : serveur(s) de l'entreprise même protégé(s) par un
pare-feu

 But : tromper la machine cible pour obtenir un droit d'accès

 Méthode :
o L'@ IP de l'agresseur sera un client certifié par le serveur
o Construction d'une route source jusqu'au serveur

 Riposte :
o Chiffrer les sessions avec ssh
o Filtrer les paquet IP issus de l'Internet mais arborant une adresse
source locale
 Ping de la mort (Ping Of Death)
 Cible : serveurs et routeurs

 But :
o Paniquer la machine et la bloquant en déclenchant une série de refus
de connexion (deny of service)
o Affaiblir l'adversaire, l'empêcher d'agir

 Méthode :
o Envoyer un paquet 1 octet plus gros que le datagramme du ping
o Fragmentation du ping et à l'arrivée le serveur se bloque en tentant de
recoller les fragments. L'écho répond dans le vide

 Variante du flooding.

 Riposte :
La plupart des systèmes sont protégés contre cette attaque : les
outils de ping sont limités à 65500 octets
 Attaque frontale
 Cible : toute machine connectée à Internet protégée par un identifiant et
un mot de passe

 But : obtenir les droits sur cette machine pour remonter vers le serveur

 Méthode :
o Tentative par telnet (même sécurisé) ou ftp
o Moulinette pour trouver mot de passe

 Riposte
o Mot de passe dynamique
o Calculette du type Secure ID
o Questions bloquantes posées durant la session d'identification
 Cheval de Troie (Trojan)
 Cible : système d'exploitation de la machine déjà attaquée
 But : récupérer les données
 Méthode :
C'est un programme p de petite taille caché dans un autre
programme P.
Lorsque P est lancé, p se lance également et ouvre les ports.
p verrouille alors tous les programmes de protection et
d'identification
 Riposte :
Les Antivirus
Les patchs
 Spoofing : usurpation d'adresse IP
 Cible : serveur(s) de l'entreprise même protégé(s) par un pare-feu

 But : tromper la machine cible pour obtenir un droit d'accès

 Méthode :
o L'@ IP de l'agresseur sera un client certifié par le serveur
o Construction d'une route source jusqu'au serveur

 Riposte :
o Chiffrer les sessions avec ssh
o Filtrer les paquet IP issus de l'Internet mais arborant une adresse
source locale
 Mail Bomber
 Cible : machine recevant des e-mails

 But : planter la machine car un système planté est vulnérable

 Méthode : bombarder de mails une machine

o Il existe des programmes qui permettent de lancer depuis n'importe
quelle machine sur Internet, une multitude (certains génèrent 1000 e-
mails/min) de mails vers une personne sans qu'elle sache l'expéditeur.

 Riposte :
o Mettre en place une partition pour le répertoire de mails
o Mettre un quota disque par personne
 Les attaques
Attaques par rebond

 Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire

repérer.

 C'est la raison pour laquelle les pirates privilégient habituellement les attaques
par rebond (par opposition aux attaques directes), consistant à attaquer une
machine par l'intermédiaire d'une autre machine.

 L’objectif est de masquer les traces permettant de remonter à lui (telle que son
adresse IP) et dans le but d'utiliser les ressources de la machine servant de
rebond.

 Avec le développement des réseaux sans fils, ce type de scénario risque de

devenir de plus en plus courant car lorsque le réseau sans fil est mal sécurisé,
un pirate situé à proximité peut l'utiliser pour lancer des attaques.
 Les pirates
Les différents types de pirates fonction de l’expérience et de la motivation

 Les “white hat hackers” ou « gentils hackers » au sens du terme, aide les
entreprises et les industriels à améliorer les systèmes, outils et technologies
informatiques, surtout dans la sécurité.
o Exemples : le courrier électronique en est une illustration.

 Les “hacktivistes” (cybermilitant ou cyberrésistant), sont des hackers dont la

motivation est principalement idéologique.

 Les “black hat hackers”, plus couramment appelés pirates, c'est-à-dire des
personnes s'introduisant dans les systèmes informatiques dans un but nuisible.
o Les “crackers”: personnes ayant pour objectif de créer des outils permettant
d'attaquer des systèmes informatiques et/ou de casser des protections contre la
copie des logiciels payants.
 Méthodologie d’une intrusion
Présentation général d’une intrusion

 Les hackers recherchent des failles, dans les protocoles, les systèmes
d'exploitations, les applications ou même le personnel d'une organisation!
Note: vulnérabilité = trou de sécurité.

 Pour mettre en œuvre un exploit (exploiter une vulnérabilité), la première

étape du hacker consiste à récupérer le maximum d'informations sur
l'architecture du réseau et sur les systèmes d'exploitations et applications
fonctionnant sur celui-ci.

Note: La plupart des attaques sont l’ œuvre de script kiddies essayant bêtement
des exploits trouvés sur internet, sans aucune connaissance du système, ni des
risques liés à leur acte.
 Méthodologie d’une intrusion

 Une fois que le hacker a établi une cartographie du système, il est en mesure de
mettre en application des exploits relatifs aux versions des applications qu'il a
recensées. Un premier accès à une machine lui permettra d'étendre son action
afin de récupérer d'autres informations, et éventuellement d'étendre ses
privilèges sur la machine.

 Lorsqu'un accès administrateur (root) est obtenu, on parle alors de

compromission de la machine (ou plus exactement en anglais root
compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés.
Le hacker possède alors le plus haut niveau de droit sur la machine.

 La dernière étape consiste à effacer ses traces, afin d'éviter tout soupçon de la
part de l'administrateur du réseau compromis et de telle manière à pouvoir
garder le plus longtemps possible le contrôle des machines compromises.
Méthodologie d’une intrusion
 Méthodologie d’une intrusion
Déroulement d’une intrusion

 La récupération d'informations sur le système: L'obtention d'informations sur

l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable
à toute attaque. Elle consiste à rassembler le maximum d'informations:
o Adressage IP
o Noms de domaine,
o Protocoles de réseau et services activés,
o Architecture des serveurs, etc.

 Consultation de bases publiques: En connaissant l'adresse IP publique d'une des

machines du réseau (ou le nom de domaine de l'organisation), un pirate est
potentiellement capable de connaître l'adressage du réseau tout entier. Il suffit de
consulter les bases publiques d'attribution des adresses IP et des noms de domaine:
o http://www.iana.net
o http://www.ripe.net pour l'Europe
o http://www.arin.net pour les Etats-Unis
Note: La simple consultation des moteurs de recherche permet parfois de rassembler des
informations sur la structure d'une entreprise.
 Méthodologie d’une intrusion
 Balayage du réseau: Lorsque la topologie du réseau est connue par le pirate,
il peut le scanner, c'est-à-dire déterminer à l'aide d'un outil logiciel quelles sont
les adresses IP actives sur le réseau, les ports ouverts correspondant à des
services accessibles, et le système d'exploitation utilisé par ces serveurs.

 L'un des outils les plus connus pour scanner un réseau est Nmap. Cet outil agit
en envoyant des paquets TCP et/ou UDP à un ensemble de machines sur un
réseau, puis il analyse les réponses.

 Le repérage des failles: Il existe des scanneurs de vulnérabilité permettant

aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de
constater si certaines applications possèdent des failles de sécurité.

 Les deux principaux scanneurs de failles sont :

o Nessus (http://www.tenable.com/)
o SAINT (http://www.saintcorporation.com/)
 Méthodologie d’une intrusion
 Intrusion: Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder
à des comptes valides sur les machines qu'il a recensées. Pour ce faire, plusieurs
méthodes sont utilisées par les pirates :
o L'ingénierie sociale, c'est-à-dire en contactant directement certains
utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des
informations concernant leur identifiant de connexion et leur mot de
passe. Ceci est généralement fait en se faisant passer pour l'administrateur
réseau.

o La consultation de l'annuaire ou bien des services de messagerie ou de

partage de fichiers, permettant de trouver des noms d'utilisateurs valides.
o
o Les attaques par force brute (brute force cracking), consistant à essayer
de façon automatique différents mots de passe sur une liste de compte
(par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le
mot de passe password, ou passwd, etc).
 Méthodologie d’une intrusion
 Extension de privilèges: Lorsque le pirate a obtenu un ou plusieurs accès sur le
réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à
augmenter ses privilèges en obtenant l'accès root .

 Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité
d'examiner le réseau à la recherche d'informations supplémentaires.

 Il lui est ainsi possible d'installer un sniffeur, c'est-à-dire un logiciel capable d'écouter le
trafic réseau en provenance ou à destination des machines situées sur le même brin.

 Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots
de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur
d'autres machines du réseau afin d'être à même de contrôler une plus grande partie du
réseau.

 Les serveurs NIS (Network Information Service) présents sur un réseau sont
également des cibles de choix pour les pirates car ils regorgent d'informations sur le
réseau et ses utilisateurs.
 Méthodologie d’une intrusion

 Compromission : Grâce aux étapes précédentes, le pirate a pu dresser une

cartographie complète du réseau, des machines s'y trouvant, de leurs failles et
possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible
d'étendre encore son action en exploitant les relations d'approbation existant
entre les différentes machines.

 Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de

pénétrer des réseaux privilégiés auxquels la machine compromise a accès.

 Porte dérobée: Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à

compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir. Pour
ce faire celui-ci va installer une application afin de créer artificiellement une
faille de sécurité, on parle alors de porte dérobée.
 Méthodologie d’une intrusion
 Nettoyage des traces : Lorsque l'intrus a obtenu un niveau de maîtrise
suffisant sur le réseau, il lui reste à effacer les traces de son passage en
supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs des
machines dans lesquelles il s'est introduit.

 Il existe des logiciels, appelés «rootkits» permettant de remplacer les outils

d'administration du système par des versions modifiées afin de masquer la
présence du pirate sur le système.

 En effet, si l'administrateur se connecte en même temps que le pirate, il est

susceptible de remarquer les services que le pirate a lancé ou tout simplement
qu'une autre personne que lui est connectée simultanément. L'objectif d'un
rootkit est donc de tromper l'administrateur en lui masquant la réalité.
 Exercices

 Exercice 1 : Quels sont les objectifs d’une attaque par rebond?

 Exercice 2 : Expliquer les mots suivants: exploit, scanner,

sniffer, spoofing, rootkit, Zombie

 Exercice 3 : Décrire la méthodologie d’une intrusion en

général?

 Exercice 4 : Pourquoi un ordinateur connecté à un réseau peut

être attaqué?

 Exercice 6 : Expliquer la notion de balayage du réseau?