SECURITE INFORMATIQUE

LES FAILLES

TETE K. Senam
Ingénieur Système & réseaux aux Centre
National de Traitement de Données (CNTD)
 Contenu du cours
Présentation
Besoins de la sécurité
Les domaines de confiances
Les failles
Les étapes de l’exploitation d’une faille
Les logiciels malins
Analyse des risques
La typologie des faiblesses de sécurité
 Présentation
 Un système d'information est généralement défini par
l'ensemble des données et des ressources matérielles et
logicielles de l'entreprise permettant de les stocker ou de les
faire circuler

 Organisation des activités consistant à acquérir, stocker,

transformer, diffuser, exploiter, gérer... les informations.

 Assurer la sécurité de l’information implique d’assurer la

sécurité des systèmes informatiques
 Les besoins de la sécurité
 Avec le développement de l'utilisation d'internet, de plus en plus

d'entreprises ouvrent leur système d'information à leurs partenaires ou

leurs fournisseurs, ce qui amène à une utilisation exponentielle des

ressources informatiques(se pose alors le problème de sécurité des

données et de leur transfert)

 Il est donc essentiel de connaître les ressources de l'entreprise à protéger

et de maîtriser le contrôle d'accès et les droits des utilisateurs du système

d'information (autorisation, authentification et monitoring)

 Les domaines de confiance
 Définition de domaine de confiance:

 C’est un champ d'application qui est assujetti à une politique

de sécurité administrée par une seule autorité.

 Différents niveaux de confiance pour autant de niveaux

d’accès autorisés ou non, facilités ou non

 Le domaine de confiance est renforcé au moyen d'ententes de

sécurité entre les partenaires et par l'utilisation d'interfaces
sécuritaires.
Les domaines de confiance
 Définition des concepts
 Domaine ou réseau de confiance supérieur: domaine dans lequel seuls les
utilisateurs référencés ont accès aux services ou ressources comme les serveurs
internes ,Contrôleurs de domaine ,Espaces de stockage….

 Domaine ou Réseau de confiance inférieur: domaine dans lequel les

ressources nécessitent juste un niveau de sécurité minimum. Les services
proposés (serveur de messagerie, ftp mail…. )obligent un accès depuis un réseau
extérieur. simplement une authentification permet d’avoir accès à ces services

 Réseau de confiance nulle: domaine dans lequel les utilisateurs distants son
non authentifiés. Ainsi la confiance est quasi impossible . On peut utiliser dans
ce cas des Certificats digitaux.(Réseau internet)
 Les accès
 Le réseau Internet est considéré comme un réseau de non confiance
(confiance faible)

 Les serveurs mail et web sont sur un réseau de confiance moyenne

 DMZ pour Demilitarized Zone

 Le réseau d’entreprise considéré comme étant un réseau de

confiance forte
 Les accès entre domaines
 De réseau de confiance supérieur à inférieur

 Pas de règles de sécurité

 De réseau de confiance inférieur à supérieur

 Règles de sécurité Politiques

 Autant de politiques qu’il existe de possibilité d’accès d’une

zone de confiance à une autre
 Les failles
 la faille est une faiblesse quelconque dans votre réseau qu’un hacker peut exploiter
au travers d’un logiciel qu’on appelle «exploiteur ».

 Il existe deux type d’exploitation de faille:

 locale : une exploitation est dite locale lorsqu’elle émane de l’intérieur du réseau.
Comme nous l’avons dit plus haut, si un hacker se sert du compte utilisateur d’un
nœud légitime de votre réseau pour augmenter ses privilèges, toute attaque à partir
de ce compte sera locale.

 distante : une exploitation distante ne vient pas du réseau en tant que tel. C’est un
hacker qui se trouve dans un réseau distant qui essaie d’exploiter une faille "à
distance" sans avoir accès à un compte local à votre réseau.
Les étapes d’exploitation d’une faille
 Les logiciels malins
 les logiciels malins :sont des morceaux de code qui profitent de la
présence des bugs dans un système ou des failles dans un réseau
pour avoir accès illégalement à des ressources, voire augmenter les
privilèges d’un compte utilisateur afin de mieux exploiter les
ressources et ouvrir une porte pour un autre hacker.

 Le terme générique qui désigne un de ces programmes est malware,

ou en français logiciel malicieux ou encore logiciel malveillant.

 Nous allons voir les principaux types de malware: les adwares, Les
keyloggers, les backdoors, les spywares, les trojans, les virus, les
vers, les rootkits.
 Les logiciels malins

 Un adware, ou en français publiciel, est un logiciel qui

affiche de la publicité sur votre ordinateur. Il n'est pas
forcément illégitime : certains logiciels "gratuits" installent un
adware pour compenser la gratuité. Mais certains le sont et
affichent des publicités dans le but d'ennuyer l'utilisateur et
surtout de gagner de l'argent auprès des annonceurs !
Il existe des logiciels permettant de détecter et supprimer ces
adwares, comme Ad-Aware (qui ne fait pas que ça, d'ailleurs).
 Les logiciels malins
 Un keylogger, ou enregistreur de frappes, est un logiciel qui
enregistre ce que l'utilisateur tape au clavier et le sauvegarde dans
un fichier, ou l'envoie par Internet sur un serveur. Ces logiciels
sont généralement discrets et ont pour objectif d'intercepter des
mots de passe, des numéros de carte de crédit, et d'autres données
confidentielles. Ces logiciels ne sont pas évidents à déceler, car ils
n'ont besoin pour fonctionner que de fonctions plutôt banales,
qu’un logiciel légitime peut utiliser aussi Les logiciels anti-
espions comme Spybot peuvent les déceler.
 Les logiciels malins
 Une backdoor, ou porte dérobée, est un programme qui ouvre un
accès sur votre ordinateur. Si une porte dérobée est ouverte sur votre
ordinateur, on peut s'y connecter via le réseau et effectuer différentes
actions définies par le développeur du programme.

 Pour s'en protéger, on peut utiliser un pare-feu comme OpenOffice

comme Netfilter sous Linux. Attention, une porte dérobée
fonctionnant en serveur sera vite repérée car elle demandera d'ouvrir
un port sur la machine, tandis qu'une backdoor fonctionnant en client
demandera simplement à établir une connexion avec un serveur
comme le ferait n'importe quel logiciel.
 Les logiciels malins
 Les spywares, ou logiciels espions, sont des programmes qui
espionnent la machine. Ils peuvent espionner votre historique de
navigation, vos fichiers personnels, dérober vos mots de passe, etc.

On peut les contrer avec des anti-spywares (anti-espions) comme

Spybot.
 Les logiciels malins
 Un trojan, ou cheval de Troie, est un logiciel en apparence légitime
(utilitaire, jeu, ...) mais qui inclut une fonction d'infiltration qui
permet d'installer des espions ou autres en tous genres sur
l'ordinateur.

Les trojans peuvent être détectés par les logiciels antivirus comme
Antivir, BitDefender, Kaspersky, ...

 À propos d'antivirus, tous ces programmes malveillants ne sont

pas tous des virus. En effet, un virus se réplique. Mais ce n'est
pas le seul.
 Les logiciels malins
 Un ver est un programme qui se duplique tout seul. Quand il s'exécute, il va se
copier aux endroits choisis par la personne qui l'a programmé. Il peut se
dupliquer par le réseau, par exemple grâce au partage de documents, ou encore
en s'envoyant par e-mail aux adresses qu'il aura collectées (le célèbre ver "I love
you" en est un exemple). La plupart des vers servent à des fins malveillantes
(espionnage, ...). Les logiciels antivirus sont capables de les détecter s'ils ne sont
pas assez discrets. Par exemple, si un ver tente de remplacer un programme
système, comme le programme "shutdown" qui commande l'extinction de
l'ordinateur (sous Windows et Linux, du moins), il aura tôt fait de se faire repérer
!
 Les logiciels malins
 Un virus, contrairement à un ver, n'est pas un fichier exécutable
mais un morceau de code destiné à être exécuté et à se
répliquer. Le virus va infecter un fichier qui peut être de
n'importe quelle nature (image, son, ...) en se copiant dans ce
fichier. Il faut que le programme avec lequel le fichier infecté va
être ouvert possède une faille pour que le virus puisse s'exécuter et
se répliquer dans d'autres fichiers. Ça vous paraît abstrait ?
 Les logiciels malins
 un rootkit est un programme qui va s'incruster au cœur du système d'exploitation
pour devenir très difficile à déloger. Une fois installé au cœur du système, il se
lance avec tous les privilèges et peut faire n'importe quoi : désactiver les systèmes
de sécurité, se dupliquer dans d'autres endroits stratégiques pour devenir encore
plus coriace, télécharger et exécuter des espions, etc. Il est donc particulièrement
dangereux.

 Un rootkit peut prendre n'importe quelle forme pour s'installer, et tous les rootkits
ne sont pas détectés par les systèmes de protection (antivirus, anti-spyware...).
Faites attention à ce que vous téléchargez et exécutez sur votre système et mettez à
jour vos logiciels : c'est encore le meilleur moyen de ne pas avoir un système
infesté de malwares.
 Pirates!
 Hackers

accès non autorisés aux données informatiques dans un but de

nuisance

 Crackers

Pénètrent les systèmes dans un but de challenge, ou pour tester la

sécurité d’un réseau de données

Scripts kiddies

Utilisent des programmes déjà conçus pour tenter d’obtenir des accès
non autorisés
 Considération sur les attaques

Considérer uniquement les attaques externes est une erreur

 Une très forte proportion de menaces viennent de l’intérieur du

réseau ou entreprise

 accès authentifiés non autorisés

 installation de programmes non autorisés

 logiciels non mis à jour

 Evolution des risques

 Croissance de l'Internet

 Croissance des attaques

 Failles des technologies

 Failles des configurations

 Failles des politiques de sécurité

 Changement de profil des pirates

 Analyse des risques
 Quelle est la valeur des équipements, des logiciels et surtout des
informations ?

 Quel est le coût et le délai de remplacement ?

 Faire une analyse de vulnérabilité des informations contenues sur les

ordinateurs en réseau (programmes d'analyse des paquets, logs…).

 Quel serait l’impact sur la clientèle d'une information publique

concernant des intrusions sur les ordinateurs de la société ?
 Analyse des risques
Il faut cependant prendre conscience que les principaux risques restent :

 Le vol d’information et du matériel

 Une mauvaise utilisation du système d’information

 Le non respect des règles de sécurité

 Les bugs

 Les virus

 Les pannes

Le risque « zéro » n’existe pas, il faut définir le risque résiduel que l’on
est prêt à accepter
 Les attaques
Les attaques touchent généralement les trois composantes

suivantes d’un système :

 la couche réseau, en charge de connecter le système au réseau,

 le système d’exploitation, en charge d’offrir un noyau de

fonctionnement au système,

 la couche applicative, en charge d’offrir des services spécifiques.

Toutes ces composantes d’un système constituent autant de

moyens de pénétration pour des attaques de toute nature.

Les attaques
 La typologie des faiblesses de sécurité
 Les protocoles réseau sont encore jeunes, et aucun d’eux n’a été
conçu pour tenir compte des problèmes de sécurité. Le protocole IP,
par exemple, ne comporte pas de couche sécurité.

 La plupart des protocoles utilisés dans un réseau, tels SNMP (Simple

Network Management Protocol) pour la supervision ou BGP (Border
Gateway Protocol) pour le routage, n’implémentent pas de véritable
couche de sécurité et s’exposent à diverses attaques, comme les
attaques par fragmentation, déni de service, etc.
Typologie des faiblesses de sécurité
 Typologie des faiblesses de sécurité
 De même, les protocoles réseau n’ont prévu aucun mécanisme
d’authentification véritable et subissent des attaques qui s’appuient
sur ces faiblesses d’authentification, comme les attaques de type

 spoofing(usurpation d’identité),

 man-in-the-middle(attaque qui a pour but d'intercepter les

communications entre deux parties, sans que ni l'une ni l'autre ne
puisse se douter que le canal de communication entre elles a été
compromis), etc.
 Typologie des faiblesses de sécurité
 Les faiblesses d’implémentation ou bogues des programmes (système
d’exploitation, application de routage, etc.) exposent à d’autres attaques, de loin
les plus importantes en nombre.

 La raison à cela est que le développement des logiciels et des piles réseau se fait
de plus en plus rapidement et sans règles strictes.

 Parmi les innombrables attaques qui utilisent de mauvaises implémentations ou

des erreurs de programmation, citons :

 les attaques de type SYN flooding une attaque informatique visant à atteindre un
déni de service (attaque ayant pour but de rendre indisponible un service,
d'empêcher les utilisateurs légitimes d'un service de l'utiliser),

 le ping-of-death attaque historique de type déni de service réalisé par l'envoi de

paquet ping malformé.
 Typologie des faiblesses de sécurité

 Les faiblesses de configuration des équipements réseau peuvent provenir d’une

mauvaise configuration d’un pare-feu, laissant passer du trafic non autorisé par la
politique de sécurité, ou d’un équipement réseau, permettant à un attaquant d’y
accéder, etc. En s’appuyant sur ces faiblesses, le pirate peut lancer un ensemble
d’attaques permettant d’influencer le comportement du réseau ou de récolter des
informations importantes.

 Les attaques réseau peuvent être lancées directement, le pirate attaquant sa

victime et exposant ainsi son identité,
 Typologie des faiblesses de sécurité
 Les attaques réseau peuvent aussi être lancées
indirectement par l’intermédiaire d’un système rebond afin
de masquer l’identité (adresse IP) du pirate et d’utiliser les
ressources du système intermédiaire. Les paquets d’attaque
sont dans ce cas envoyés au système intermédiaire, lequel
répercute l’attaque vers le système cible
 Typologie des faiblesses de sécurité

 Certaines attaques, dites indirectes par réponse, offrent au pirate les

mêmes avantages que les attaques par rebond. Au lieu d’envoyer
l’attaque au système intermédiaire pour qu’il la répercute,
l’attaquant lui envoie une requête, et c’est la réponse à cette requête
qui est envoyée au système cible
FIN