SÉCURITÉ DES RÉSEAUX

MASTER II
UVS (Université Virtuelle du Sénégal)

Formateur: Dr. Babacar MBAYE

Email : mbayebabacar39@gmail.com
Spécialités: Réseaux, Systèmes et Cybersécurité
Poste : Chef du département Electricité, Informatique et Sécurité à IPROSI
(Institut Professionnel pour la Sécurité Informatique)
 INTRODUCTION A LA
SECURITE INFORMATIQUE

Dr Babacar MBAYE Chef du département électricité, Informatique et Sécurité à IPROSI(Institut Professionnel pour la Sécurité Informatique)
 La notion de sécurité informatique couvre l'ensemble des moyens techniques
3 DEFINITION organisationnels, juridiques et humains pour préserver la confidentialité, l’intégrité et
la disponibilité des données et des systèmes informatique.

Les menaces se multipliant de plus en plus, (virus, vers, spywares [logiciels espions],
intrusions) et il est primordial de savoir quelles attitudes et actions adopter pour se
prémunir et réagir aux problèmes de sécurité.
4 OBJECTIFS DE La sécurité informatique à plusieurs objectifs, bien sûr liés aux types de
LA SECURITE menaces ainsi qu'aux types de ressources, etc... Néanmoins, les points
principaux points sont les suivants :

❑empêcher la divulgation non-autorisée de données

❑empêcher la modification non-autorisée de données

❑empêcher l'utilisation non-autorisée de ressources réseau ou

informatiques de façon générale

5
Article 431-61: Sera puni du maximum des travaux forcés à temps, tout
sénégalais ou tout étranger qui, dans l'intention de les livrer à tout pays
tiers, rassemblera des renseignements, objets, documents, procédés,
données ou fichiers informatisés dont la réunion et l'exploitation sont de
LOI
SENEGALAISE nature à nuire à la défense ...
SUR LA
CYBERCRIMINA
-LITE

Pour plus d’informations consultez les sites:

https://www.cdp.sn/textes-legislatifs
https://pssis.sec.gouv.sn/sites/default/files/loi-cybercriminalite.pdf
6 Les champs Ces objectifs s'appliquent dans différents domaines ou champs
d'application d'applications, chacun faisant appel à des techniques différentes pour
de la sécurité
informatique atteindre le ou les mêmes objectifs; ces champs sont :

❑ la sécurité physique
❑ la sécurité personnelle
❑ la sécurité procédurale (audit de sécurité, procédures informatiques...)
❑ la sécurité des émissions physiques (écrans, câbles d'alimentation,
courbes de consommation de courant...)
❑ la sécurité logique( données, applications ou systèmes d'exploitation)
❑ la sécurité des communications
7 La sécurité La sécurité physique vise à favoriser l’exploitation des équipements

physique informatiques dans des conditions fonctionnelles optimales, de manière à

bénéficier d’un maximum de performances durant un maximum de temps.

Quand on parle de mesures ou parades, il faut faire la différence entre les

actions préventives et les actions protectrices de celles-ci.
❑ Les mesures de prévention ont pour but d’éviter un sinistre.
❑ Les mesures de protection ont pour but de protéger le patrimoine en
cas de sinistre.

La sécurité physique repose principalement sur le contrôle physiques et la

sécurisation des locaux.
8 La sécurité Les technologies pour protéger son patrimoine informationnel, protéger

personnelle les personnes concernées des atteintes à leurs données.

Les données que vous laissez sur Internet vous échappent instantanément.
Des personnes malveillantes récoltent vos informations personnelles, le plus
souvent frauduleusement et à votre insu, afin de déduire vos mots de passe,
d’accéder à votre système informatique, voire d’usurper votre identité ou de
conduire des activités d’espionnage industriel.

Soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir et
pensez à décocher les cases qui autoriseraient le site à conserver ou à partager
vos données, par exemple avec des partenaires commerciaux.
Ne donnez accès qu’à un minimum d’informations personnelles sur les réseaux
sociaux

Utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur

Internet : une adresse réservée aux activités dites sérieuses (banques,
recherches d’emploi, activité professionnelle…) et une adresse destinée aux
autres services en ligne (forums, jeux concours…)
9 La
Le concept de sécurité dans le domaine des télécommunications englobe
sécurité non seulement la sécurité technique, mais également la sécurité juridique.
des télécom-
La sécurité des communications a pour objectif de garantir la protection
munications de l’information lors de connexions entre les sites distants d’une
entreprise ou d’une organisation en générale(Les garanties opérateurs
La cryptologie). Ces connexions doivent se faire de manière sécurisée par
liaisons spécialisées, canaux sécurisés de type « tunneling » ou bien par
VPN. Il convient également de ne pas oublier les réseaux sans fil et de les
sécuriser avec l’utilisation, entre autres, du chiffrement, contrôle des
adresses MAC …

Les accès distants au système d’information par les employés travaillant

hors des locaux de l’entreprise. De façon générale, tout accès à distance
au système d’information doit être sécurisé au niveau le plus fort.
10 Les
Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs
systèmes. Tout système vu dans sa globalité présente des vulnérabilités,
Vulnérabilités
qui peuvent être exploitables ou non.

Le Common Vulnerabilities and Exposures ou CVE est un dictionnaire des

informations publiques relatives aux vulnérabilités de sécurité. Le
dictionnaire est maintenu par l'organisme MITRE, soutenu par le
département de la Sécurité intérieure des États-Unis.

Les identifiants CVE sont des références de la forme CVE-AAAA-

NNNN (AAAA est l'année de publication et NNNN un numéro d'identifiant).

Toutes les vulnérabilités ne mènent pas forcément à une cyberattaque.

 Après découverte de vulnérabilités, elles sont majoritairement rendues
11 La
divulgation
publiques et corrigées. On dit qu’elles font l’objet d’un traitement en
complète
divulgation complète, full disclosure en anglais.
 D'autres prétendent qu'il est préférable de limiter en premier lieu la
12 Ladivulgation
publication uniquement aux programmeurs ou utilisateurs qui en ont un
responsable
besoin important (divulgation responsable), puis après un certain délai, de
publier en détail, s'il y a besoin.

Ces délais laissent le temps aux développeurs de corriger la vulnérabilité et

aux utilisateurs d'appliquer les patchs de sécurité nécessaires, mais ils
peuvent aussi accroître les risques pour ceux qui n'ont pas ces
informations.

En savoir plus sur la divulgation responsable

https://www.useblanco.com/fr/divulgation-responsable

https://www.mollie.com/fr/responsible-disclosure

https://www.iti-communication.com/security-policy.html
13 ZERO DAY La vulnérabilité « Zéro-day qui est une vulnérabilité informatique qui n’est
pas encore connue ou non corrigée. L'éditeur du logiciel ou le fournisseur
de service n'a pas encore connaissance, ou qui n'a pas encore reçu de
correctif.

Les 0-day sont notamment exploitées secrètement par les gouvernements

pour des opérations sécurité nationale (et internationale) mais aussi par
des hackers, pour des actions malveillantes.

Alors que les anti-virus traditionnels ne se montrent pas performants pour

les attaques zero day du fait de leur signature virale inconnue,
les solutions de sécurité basées sur le comportement peuvent apporter
une aide considérable.

Une attaque ZETA (Zero Day Exploit Attack), cyberattaque ciblée basée sur
une vulnérabilité zero-day, survient le jour même où une faiblesse est
détectée dans un logiciel. Ce point faible est exploité avant la mise à
disposition d'un correctif par le créateur du logiciel.
14 EXPLOIT Les attaques (exploits): Un exploit est toute attaque contraire à
l'éthique ou illégale qui tire parti des vulnérabilités des
applications, des réseaux ou du matériel. Elles représentent les
moyens d'exploiter une vulnérabilité. Il peut y avoir plusieurs
attaques pour une même vulnérabilité mais toutes les
vulnérabilités ne sont pas exploitables.

Si on considère que la faille est une fenêtre ouverte sur le

système, l’exploit est la corde ou l’échelle qu’utilise le voleur pour
atteindre cette fenêtre. Un exploit est tout simplement un outil
créé pour exploiter une vulnérabilité donnée, et sans vulnérabilités,
il n’y a rien à exploiter.

Ex1: https://www.exploit-db.com
15 EXPLOIT
Ex2: EternalBlue est un exploit développé par la NSA. Il est révélé et publié
par le groupe de hacker The Shadow Brokers le 14 avril 2017.
EternalBlue utilise une faille de sécurité présente dans la première version
du protocole SMB(Server Message Block | Protocole de partage de fichierr
dans un réseau local)

WannaCry une attaque par ver qui utilisait l’exploit EternalBlue pour se
répandre de façon exponentielle sur les réseaux informatiques, infectant
au passage plus de 10 000 machines toutes les heures dans 150 pays.
Microsoft avait dejà publié la mise à jour de sécurité depuis le 14 mars
2017.

Dans sa forme de ransomware, WannaCry chiffrait les ordinateurs et les

rendait inutilisables, un problème énorme pour les services de santé
publique, les administrations, les universités et les grandes entreprises
affectées. Bien que WannaCry ne soit plus actif, d’autres exploits peuvent
encore s’appuyer sur EternalBlue pour attaquer les utilisateurs Windows
qui utilisent des logiciels obsolètes. Vérifiez donc bien que les vôtres sont
à jour.
16 ESSAYONS
DE
COMPRENDRE
 Les attaques peuvent à première vue être classées en 2 grandes catégories :
17 Types
d'attaques les attaques passives : consistent à écouter sans modifier les données ou le fonctionnement du
réseau. Elles sont généralement indétectables mais une prévention est possible.

les attaques actives : consistent à modifier des données ou des messages, à s'introduire dans des
équipements réseau ou à perturber le bon fonctionnement de ce réseau. Noter qu'une attaque
active peut être exécutée sans la capacité d'écoute. De plus, il n'y a généralement pas de prévention
possible pour ces attaques, bien qu'elles soient détectables (permettant ainsi une réponse
adéquate).
Attaque active Attaque passive

L’attaque passive tente de lire ou

Une attaque active tente de modifier
d’utiliser les informations du système
De base les ressources du système ou
mais n’influence pas les ressources
d’affecter leur fonctionnement.
du système.

Cause toujours des dommages au

Nuire au système Ne provoque aucun mal.
système.

Modification de l’information Se produit N’a pas lieu

Menace à Intégrité et disponibilité Confidentialité

La transmission est capturée en

Tâche effectuée par Juste besoin d’observer la
contrôlant physiquement la partie
l’attaquant transmission.
d’un lien.
 Confidentialité
18 Principaux Authentification (entité, origine des données)
Services de Intégrité:
❖ machines (tamper-résistance, exécution sécurisée...)
la sécurité ❖ données (avec possibilité de récupération)
informatique ❖ flux :
■mode non-connecté, au niveau paquet (échanges de type requête-réponse, comme UDP)
■mode orienté-connexion (ensemble de l'échange, comme TCP)
■intégrité de séquences partielles (VoIP, applications, etc... permet d'éviter les DoS par
exemple)
Contrôle d'accès (= autorisation, à différentier de l'authentification)
Non-répudiation (avec preuve d'émission ou avec preuve de réception)
 ❖ Disponibilité
19 Principaux Permet d’assurer les fonctions d’un système sans interruption, délai ou dégradation, au moment
Services de même où la demande est exprimée
la sécurité
❖ Authentification
informatique
Permet de vérifier l'identité revendiquée par une entité, ou l'origine d'un message, ou d'une donnée.
❖ Confidentialité
Permet de se protéger contre la consultation abusive des données par des entités tierces
indésirables
❖ Intégrité
Permet de vérifier qu'une données n'a pas été modifiée par une entité tierce (accidentellement ou
intentionnellement)

❖ Contrôle d'accès
Permet de vérifier que toute entité n'accède qu'aux services et informations pour lesquelles elle est
autorisée
❖ Non répudiation
Permet de se protéger contre la contestation d'envoi et de réception de données lors d'une
communication
20

Le monde des Virus

21 Virus Un virus informatique est un code malveillant (bien que pas toujours)
spécifique, à l’instar des virus biologiques, défini par des caractéristiques
Informatique
précises telles que la self-réplication (autoréplication) ou la propagation
via l’ajout d’un code viral, parfois en écrasant une partie du programme
d’origine.
 Malwares
22 Types de Le terme « Malware » signifie logiciel malveillant et sert de terme
Virus générique pour désigner un virus, un spyware, un ver, etc.

Les virus informatique qui se présentent le plus souvent en 3 catégories

types :

les vers ou « computer worm » sont des programmes malveillants

capables de se propager à travers un réseau.

les trojans (cheval de Troie) sont des virus permettant de créer une faille
dans un système généralement pour permettre à son concepteur de
s’introduire dans le système infecté afin d’en prendre le contrôle.

les bombes logiques, virus capables de se déclencher suite à un

évènement particulier (date système, activation distante, etc …)
 Un ver va donc essayer de se répandre sur un maximum d’ordinateurs, et bien que
23 Ver beaucoup d’entre eux ne font que de se répandre, certains contiennent des charges
utiles, c’est-à-dire des autres programmes malveillants qui vont s’exécuter sur les
systèmes infectés. Ces programmes malveillants peuvent voler des données, chiffrer
des fichiers, permettre un accès à distance (backdoor)…etc.

Il y’a deux types principaux de vers informatiques : ceux qui se répandent via
une faille dans le système, et ceux qui se répandent en comptant sur la crédulité
(naïveté) des utilisateurs infectés.

Ex1: Le ver Samy, un ver XSS, qui a infecté plus d’un million d’utilisateurs sur
MySpace en 20 heures. Le ver affichait “but most of all, samy is my hero” (“mais par
dessus tout, samy est mon héros”) sur le profil des victimes et chaque personne
visitant un profil infecté se faisait infecter à son tour. Il s’agit d’un ver XSS (Cross-
Site Scripting) qui utilisait une faille dans les pages de profil des utilisateurs.
24 Ver Ex2: Le ver Skype qui est Ex3: Le ver Facebook qui Ex4: Le ver Stuxnet
probablement un des envoie automatiquement développé par la NSA
vers informatiques un message aux amis de et les services secrets
parmi les plus célèbres. la victime avec un lien de israéliens, Stuxnet est
Une personne infectée téléchargement : le premier virus de
va automatiquement « cyberguerre », visant
envoyer un message à leprogramme nucléaire
iranien. Affectant une
tous ses contacts avec
plateforme industrielle
un lien vers un site
de Siemens, il était
permettant de diffusé via une clé USB
télécharger le ver. corrompue.
Théoriquement, il
s’attaque à la vitesse de
rotation des
centrifugeuses,
entraînant leur
détérioration voire leur
explosion. mais il s’est
échappé et a frappé des
entreprises en Europe.
 Pour se protéger des vers exploitant des failles informatiques, il n’y a pas de secrets : il
25 Protection faut mettre à jour son système et ses programmes régulièrement.
contre les
Vers Pour se protéger des vers exploitant la crédulité des personnes, il faut rester méfiant et
essayer de détecter ces attaques dans la mesure du possible.

Pour cela, il s’agit notamment de savoir si l’affirmation venant d’une personne infectée
pourrait être réelle ou non. Typiquement, sur Facebook, savoir qui visite votre profil
n’est pas possible.

Les messages en anglais ou les expressions irréalistes par rapport au caractère de la

personne infectée sont également des signes évidents.

Et enfin, les liens raccourcis permettant de cacher un autre lien (et/ou de répertorier les
clics) sont également suspects dans ce contexte (goo.gl, bit.ly…etc).

Ex:
1.’C’est toi sur la video ???? www.videololxd454.com/video.php?id=572271
2.qui visite ton profil sur : www.quivisitemonprofilAZ42.eu/bonnearnaque/profil.html
3.tu m’donne kel note sur cette foto??? www.1arnaquebidonsansphotos.tk/photos.JPG

Bien entendu, avoir un antivirus à jour et scanner un fichier suspect avant de

le lancer est également requis et constitue une barrière supplémentaire.
 Un Cheval de Troie se dissimule dans un logiciel ou un fichier utile qui paraît
26 TROJAN sain et par la suite il va infecter votre ordinateur afin d’en prendre le contrôle
à distance. Cependant contrairement au ver, il ne peut pas se reproduire.

Malgré tout, si vous ne détectez pas un cheval de Troie à temps, il fera de

votre ordinateur un véritable mort vivant.

Voici quelques exemples de ce que peut faire un cheval de Troie.

– Interception de vos mots de passe ainsi que de vos données personnelles
– Prendre possession de votre ordinateur et l’utiliser à des fins malveillantes
(spam ou autres…)
– Utilisez votre ordinateur et en faire une arme en attaquant d’autres PC.

Puisque les Trojan sont chargés par les entrées à chaque lancement du
système, le mieux c'est de les éliminer à cet endroit
 ❑ Ne pas cliquez sur un mail anglophones ou d'une personne inconnue dans vos
27 Protection
contre les contacts
TROJANS ❑ Ne pas laisser vos mails partout ou vous passez
❑ Créer un mot de passe puissant de + de 8 caractères et alphanumériques
❑ Éviter le P²P
❑ Avoir Plusieurs adresses mail différentes : Hotmail, Yahoo, Gmail, etc...
❑ Ne pas enregistrer vos mots de passes dans votre ordinateur
❑ Soyez méfiant à 100 % ne cliquez pas sous la panique, demandez de l'aide sur les
forums compétents ou à l’administrateur
❑ N'installez pas un jeu cracké donné par un copain ou copine
❑ Oubliez les sites warez(Le terme warez définit la plupart du temps un type de site
web spécialisé dans le partage de contenus numériques de façon illégale), pervers,
racistes ou Pédo-porno
❑ Avoir un OS à jour
❑ Avoir une version OS légale
 Les spywares sont une forme de malware qui se cache sur votre appareil, surveille
28 Spyware
votre activité et vole des informations sensibles telles que des coordonnées bancaires
ou des mots de passe. « Les spywares s'exécutent discrètement en arrière-plan et
collectent des informations. »

Quels sont les modes d'infection ?

Les failles de sécurité: cliquer sur un lien ou une pièce jointe inconnus dans un e-mail
qui vous redirige vers un site ou un programme…
Le marketing trompeur: Présentation d’un outil paraissant util pour votre système par
exemple…
Les packs de logiciels. Tout le monde aime les logiciels gratuits (freeware)
Divers. Outre leur intention malveillante principale, les chevaux de Troie, les vers et
les portes dérobées transmettent également des spywares.
29 Protection Comme pour la plupart des malwares, votre comportement est la première
contre les et meilleure défense contre les spywares. Respectez ces principes de base
Spywares
pour garantir une bonne cyberdéfense vous-même :
❑ N'ouvrez pas d'e-mails d'expéditeurs inconnus.
❑ Ne téléchargez pas de fichiers sauf s'ils proviennent d'une source de
confiance.
❑ Survolez les liens avec votre souris avant de cliquer dessus et assurez-
vous que vous allez être renvoyé vers la bonne page.
Mais le public étant davantage au fait des pratiques d'autodéfense sur le
Web, les pirates se sont tournés vers des méthodes d'infection par spyware
plus sophistiquées. Par conséquent, il est nécessaire d'installer un
programme de cybersécurité fiable afin de contrer les spywares avancés
comme par exemple Malwarebytes.
30 Ransomware Un ransomware, ou rançongiciel ou logiciel rançonneur ou logiciel de rançon ou logiciel
d'extorsion, est un logiciel informatique malveillant, prenant en otage les données. Le
ransomware chiffre et bloque les fichiers contenus sur votre ordinateur et demande
une rançon en échange d'une clé permettant de les déchiffrer. Les premières versions
de ransomwares ont été développées à la fin des années 1980. À cette époque, la
rançon devait être envoyée par courrier postal. Aujourd'hui, les auteurs de ransomware
demandent à être payés en crypto monnaie ou par carte de crédit.
 Un ransomware peut infecter votre ordinateur de plusieurs manières:
31 Mode
d’infection ❑ utiliser des spams malveillants (malspams), qui sont des e-mails indésirables
d’un incluant des pièces jointes piégées (PDF, fichiers Word, etc) employés pour livrer
des malwares.
Ransomware
❑ Une autre méthode d'infection est le malvertising, qui s'est avéré particulièrement
populaire en 2016. Le malvertising, ou publicité malveillante, est une méthode qui
consiste à utiliser des publicités en ligne pour distribuer des malwares et qui
nécessite peu ou pas d'interactions avec les utilisateurs.
 Il existe trois types de ransomwares classés selon leur gravité, du léger désagrément à la
32 Type de véritable crise de sécurité.
Ransomwares Scareware
Le scareware, ou alarmiciel, porte mal son nom. Ce type de ransomware comprend les faux
logiciels de sécurité et les arnaques au faux support technique. Une fenêtre s'ouvre, vous
informant qu'un malware a été détecté et que la seule manière de s'en débarrasser est de
passer à la caisse. Si vous ne faites rien, vous continuerez sûrement à être bombardé de
messages similaires, mais, dans l'absolu, vos fichiers resteront en sécurité.Si vous avez un
logiciel de sécurité, vous n'avez pas besoin de payer pour qu'il supprime l'infection, vous avez
déjà payé ce logiciel pour qu'il fasse exactement cela.

Verrouilleurs d'écran
Avec ceux-là, on passe au niveau d'alerte orange. Quand un ransomware verrouilleur d'écran
s'introduit dans votre ordinateur, celui-ci se retrouve bloqué et vous n'y avez plus du tout
accès. Votre écran verrouillé qui vous informe qu'une activité illégale a été détectée sur votre
ordinateur et que vous devez payer une amende.

Ransomwares chiffreurs
Là, on atteint le niveau critique. Les auteurs de ces ransomwares volent vos fichiers, les
chiffrent et exigent que vous leur payiez une rançon en échange de leur déchiffrement et de
leur retour. Le danger avec ce type de ransomware, c'est qu'une fois que les cybercriminels
ont mis la main sur vos fichiers, ne comptez pas sur un logiciel de sécurité ou une
restauration du système pour les récupérer. À moins de payer la rançon, vous pouvez faire
votre deuil de vos fichiers, pour ainsi dire. Et même si vous payez, vous n'avez aucune garantie
que les cybercriminels vous rendront vos fichiers.
 Les experts de la sécurité sont tous d'accord : la meilleure manière de se protéger d'une
33Protection attaque de ransomware est d'empêcher qu'elle se produise.
contre les 1. La première étape de la prévention contre les ransomwares consiste à investir dans une
solution de cybersécurité exceptionnelle, un programme fournissant une protection en
Ransomwares temps réel conçue pour empêcher les attaques des malwares avancés tels que les
ransomwares.
2. La deuxièmement étape est de créer des sauvegardes sécurisées de vos données
régulièrement sur le cloud disposant d'un haut niveau de chiffrement et d'une
authentification multi facteur, sur un support USB ou un disque dur externe, mais
assurez-vous de déconnecter physiquement ces appareils de votre ordinateur après
chaque sauvegarde au risque qu'ils soient eux aussi infectés par un ransomware.
3. Ensuite, assurez-vous que votre système et vos logiciels sont à jour. L'attaque du
ransomware WannaCry(Créé par la Corée du Nord)a profité d'une vulnérabilité dans les
systèmes Microsoft. La société avait pourtant publié un patch corrigeant cette faille de
sécurité en mars 2017, mais de nombreuses personnes n'avaient pas installé cette mise
à jour et se sont trouvées à la merci de cette attaque.
4. Enfin, informez-vous. L'ingénierie sociale est l'une des méthodes les plus répandues
d'infection par des ransomwares. Formez-vous (et vos employés, si vous êtes chef
d'entreprise) à détecter les malspams, les sites Web suspects et autres arnaques. Et
surtout, faites preuve de bon sens. Si quelque chose vous semble suspect, fiez-vous à
votre instinct.
Si malheureusement un ou des machines sont attaquées, pour éviter la contamination des autres ou du
réseau globalement, la recommandation sera donc d’isoler l’ordinateur du réseau, en le débranchant
d’Internet et en l’éteignant. Il s’agit de l’alternative la plus sûre pour éviter la propagation du virus aux
autres ordinateurs sains.
34

Comportements et Politiques
35

“Une porte blindée est inutile dans

un bâtiment si les fenêtres sont
ouvertes sur la rue… ”
 La sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects
36 Le monde de suivants :
l’entreprise ❑ La sensibilisation des utilisateurs aux problèmes de sécurité
❑ La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de
l'entreprise, les applications ou encore les systèmes d'exploitation.
❑ La sécurité des télécommunications : technologies réseau, serveurs de l'entreprise, réseaux
d'accès, etc.
❑ La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées,
lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

Utilisateurs

SI
INFRASTRUCTURES
Applications PHYSIQUES
 Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité
37 Politique de informatique d’une entreprise. Elle est matérialisée dans un document qui reprend
Sécurité l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette
stratégie.

Il existe des règles de base à suivre pour mettre en place une politique de sécurité :
❑Obtenir un document d’appui clair approuvé par la direction de l’entreprise
❑Participation de l’ensemble des constituants de l’entreprise ou de l’organisation
❑Bonne communication des procédures et avantages
❑Mise à jour et création de nouvelles procédures proportionnelles avec le
développement de la technologie
❑Insérer les procédures sans brutalité et sans contraintes aux employés
❑Tenir en compte les besoins de l’entreprise afin de mettre en place des procédures
réalistes en fonction de l’entreprise
❑Sensibiliser, former et contrôler.
 C'est la raison pour laquelle il est nécessaire de définir dans un premier
38 Politique de temps une politique de sécurité, dont la mise en œuvre se fait selon les
Sécurité quatre étapes suivantes :

❑ Identifier les besoins en terme de sécurité, les risques informatiques

pesant sur l'entreprise et leurs éventuelles conséquences

❑ Elaborer des règles et des procédures à mettre en œuvre dans les

différents services de l'organisation pour les risques identifiés

❑ Surveiller et détecter les vulnérabilités du système d'information et se

tenir informé des failles sur les applications et matériels utilisés

❑ Définir les actions à entreprendre et les personnes à contacter en cas de

détection d'une menace
 Une des meilleures pratiques à observer lors de l’élaboration de votre politique de sécurité
39 Politique de informatique :
Sécurité ❑ Désigner un responsable informatique, qui sera en charge de l’élaboration et de la mise
en place de cette politique de sécurité
❑ Définir le périmètre et les objectifs de la politique de sécurité informatique, à des fins
d’efficience et de mesure des résultats
❑ Effectuer une analyse de l’existant, matériel et logiciel, et tenir à jour un registre de
l’ensemble des éléments qui composent le système d’information.
❑ Effectuer une analyse des risques informatiques, au regard du préjudice possible et de la
probabilité d’occurrence de l’incident
❑ Déterminer les moyens nécessaires pour la réductions des risques et la prise en charge
des incidents, qu’il s’agisse de moyens matériels ou humains
❑ Définir les procédures adaptées, notamment en matière de gestion des incidents, ou de
gestion de la continuité d’activité
❑ Rédiger une charte informatique, à l’attention des collaborateurs
❑ Communiquer sur la politique de sécurité informatique auprès de l’ensemble de
l’entreprise
40Les causes de On distingue généralement deux types d'insécurités :
l’insécurité
❑l'état actif d'insécurité, c'est-à-dire la non connaissance par l'utilisateur
des fonctionnalités du système, dont certaines pouvant lui être nuisibles
(par exemple le fait de ne pas désactiver des services réseaux non
nécessaires à l'utilisateur)

❑l'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de

sécurité mis en place, par exemple lorsque l'administrateur (ou
l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il
dispose.
41

IMPORTANTS
42
43

https://www.servlinks.com/blog/2017/03/
44Qui nous Les attaques comme nous venons de le voir peut provenir de
attaquent ? différentes sources et présentent des dégâts proportionnels au type
d’attaque.
Mais qui sont derrières ces attaques?
❑ Le gentil, le White Hat Hacker (le hacker au chapeau blanc)
❑ Le méchant, le Black Hat Hacker (le hacker au chapeau noir)
❑ Le troisième type : Le Grey Hat Hacker (le hacker au chapeau
gris)
❑ Les hacktivistes
❑ Les script-kiddies

Et toi tu es où sur l’échelle?

 Il s’agit souvent d’une personne qui a atteint une maturité
45 White
Hat d’esprit ainsi que des qualifications suffisantes et approuvés les
Hacker autres.

Il aide les victimes à sécuriser les systèmes et mène un combat

contre la cybercriminalité.

Il travaille typiquement dans une grande entreprise pour sécuriser

les systèmes et réseaux, mais il peut très bien être un
jeune passionné ayant appris sur le tas.

Ce hacker au chapeau blanc est également le hacker éthique dont

on reparlera souvent, son slogan est “apprendre l’attaque pour
mieux se défendre” (et non pas pour causer des dommages).
 Le hacker au chapeau noir peut être aussi expérimenté que celui au
46 Black Hat chapeau blanc, voire plus. Mais il agit par contre à des fins qui lui
Hacker sont propres, et qui sont illégales.

Il vole des données, s’introduit illégalement dans les systèmes ou

encore pirate des comptes.

Cela va de la création de virus aux chevaux de Troie en passant par

les vers et les logiciels espions.

Ces personnes utilisent leurs compétences informatiques de façon

à en tirer un bénéfice financier ou bien dans le but de nuire à des
individus ou à des organisations(mais dans ce cas on parle plutôt
de cybercriminalité ou de cyber terrorisme).

Leur nombre ne cesse de grandir étant donné la valeur de plus en

plus grande des informations dans la guerre économique.
47 Grey Hat Comme si ce n’était pas encore assez compliqué, il nous a fallu un
Hacker troisième type de hackers.

Vous l’avez compris, c’est un mélange de White Hat et de Black Hat

Ce hacker agit des fois pour la bonne cause, comme un White Hat
le fait mais peut commettre de temps à autre des délits.

Il s’introduit par exemple illégalement dans un système afin d’en

prévenir ensuite les responsables des failles qu’il aura trouvées.

Son action est louable, mais tout de même illégale.

 Les hacktivistes (contraction de hacker et activiste) qui agissent
48
pour une cause souvent politique.
Hacktivistes
Ils attaquent généralement des entreprises et non pas des
utilisateurs particuliers. Vous pouvez y placer les
groupes Anonymous ou encore Lulzsec(qui semble inactif depuis
un bon moment).
 Les script-kiddies (les gamins qui utilisent les scripts) sont tous
49
ces jeunes hommes qui loin d’avoir compris les grands principes
Script du hacking et l’éthique du hacker, se servent des programmes tout
Kiddies faits pour causer des dommages qui peuvent êtres très gênants.

Ils se vantent aussi la plupart du temps en se faisant passer pour

les créateurs des programmes qu’ils utilisent et ne sont donc pas
appréciés dans les communautés.

VRAI !!! FAUX !!!

 SECURITE RESEAUX
PREVENTION & DETECTION
 PLAN

❑CONTEXTE ❑DMZ
❑Attaques réseaux ❑IDS/IPS
❑Pare-feu ❑VPN
❑Proxy ❑IPSEC
❑WAF ❑Tunneling

.
 CONTEXTE
Un réseau d’entreprise fait intervenir plusieurs composants qui assurent la communication et l’échange de
données entre les différents acteurs à l’interne comme à l’externe.

Sécuriser ce réseau revient donc à optimiser l’état et le fonctionnement de ses composants afin de se
prémunir des attaques informatiques et des incidents liés à un mauvais usage.

La sécurité des réseaux est directement liée à la continuité des activités d'une organisation

.
 INTRODUCTION
• Qu'est-ce que la sécurité d'un réseau ?

La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon
optimale et que les utilisateurs des dites machines possèdent uniquement les droits qui leur ont été octroyés.

Il peut s'agir :

▪ d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante

▪ d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système

▪ de sécuriser les données en prévoyant les pannes

▪ de garantir la non-interruption d'un service

La sécurité de l’informatique ne se limite certes pas à celle du réseau, mais il est indéniable que la plupart des
incidents de sécurité surviennent par le réseau, et visent le réseau.

.
 SECURITE RESEAU
La sécurité réseau permet de mettre en place des fonctionnalités sécurisées telles que :

▪ Protéger le réseau de l’entreprise des agressions extérieures permanentes à partir d’internet,

▪ La surveillance proactive de la consommation de la bande passante internet,

▪ Mettre en place des règles pour filtrer l’utilisation de sites Internet,

▪ Permettre aux utilisateurs autorisés d’accéder à distance au réseau de l’entreprise,

▪ Construire des extensions de réseaux informatiques aux agences distantes.

Le maintien d'un réseau sécurisé exige de la vigilance de la part des professionnels de la sécurité réseau d'une
organisation. Ils doivent être constamment au courant des menaces et des attaques nouvelles et évolutives contre les
réseaux, ainsi que des vulnérabilités des dispositifs et des applications.

La sécurisation du réseau d’entreprise passe par le choix de bonnes solutions et technologies, et l’entretien régulier de
ces dernières.
.
 SECURITE RESEAU
La sécurité réseau permet de mettre en place des fonctionnalités sécurisées telles que :

▪ Protéger le réseau de l’entreprise des agressions extérieures permanentes à partir d’internet,

▪ La surveillance proactive de la consommation de la bande passante internet,

▪ Mettre en place des règles pour filtrer l’utilisation de sites Internet,

▪ Permettre aux utilisateurs autorisés d’accéder à distance au réseau de l’entreprise,

▪ Construire des extensions de réseaux informatiques aux agences distantes.

Le maintien d'un réseau sécurisé exige de la vigilance de la part des professionnels de la sécurité réseau d'une
organisation. Ils doivent être constamment au courant des menaces et des attaques nouvelles et évolutives contre les
réseaux, ainsi que des vulnérabilités des dispositifs et des applications.

La sécurisation du réseau d’entreprise passe par le choix de bonnes solutions et technologies, et l’entretien régulier de
ces dernières.
.
 Architecture d’un réseau sécurisé
▪ L’architecture est la façon dont les composants d'une chose s’organisent.

▪ S’agissant d’un système d'information en réseau, l'objectif est d'organiser et d'exploiter ce

système de manière à pouvoir le contrôler et à détecter des activités inattendues, indésirables
et malveillantes.

▪ Des efforts considérables sont consacrés à ce secteur pour combattre les failles de sécurité
inhérentes à l’architecture réseau.

▪ De nombreux outils sont disponibles pour aider les administrateurs réseau à adapter,
développer et mettre en œuvre des techniques d'atténuation des menaces.
 Notions de vulnérabilité, menace, attaque et intrusion
▪ Vulnérabilité : faiblesse au niveau d’un bien (au niveau de la conception, de la réalisation, de l’installation, de la
configuration ou de l’utilisation du bien).

▪ Menace: cause potentielle d’un incident, qui pourrait entrainer des dommages sur un bien si cette menace se
concrétisait.

▪ Risque: c’est la possibilité qu’une chose critique apparaisse mettant en cause l'intégrité ou la confidentialité d'une
information ou la possibilité d'y accéder.

▪ Attaque: c’est la concrétisation d’une menace, et nécessite l’exploitation d’une vulnérabilité.

▪ Intrusion : action de s’introduire de façon illégitime ou bien une faute opérationnelle, externe, intentionnellement
nuisible, résultant de l’exploitation d’une vulnérabilité dans le système.
 Conséquences d’une violation de la sécurité d’un réseau
▪ Pannes du réseau empêchant les communications et les transactions

▪ Perte d'intégrité du système et du réseau

▪ Vol ou compromission des informations

▪ Communication des détails de contrats avec des clients à des concurrents ou au public

▪ Si le public n’a plus confiance dans la capacité de l’entreprise à assurer les niveaux de confidentialité et d’intégrité
requis, la société risque de faire éventuellement faillite.

▪ Ces violations peuvent entraîner une perte de revenus pour les entreprises, le vol de la propriété intellectuelle, des
poursuites judiciaires et peuvent même menacer la sécurité publique.
 Types de cibles
• Cible opportune

• Au hasard : détecté par les pirates à la recherche de machines ou serveurs peu protégés

✓ Mettre à jour l’infrastructure avec les correctifs des systèmes

✓ Tester son système (essayer de trouver des failles)

• Cible de choix

• Cible précise : intérêt stratégique de l’entreprise

pour des tiers…

 Vecteurs d'attaques de réseau
▪ Un vecteur d'attaque est un chemin par lequel un acteur de la menace peut accéder à un serveur, un hôte ou un
réseau.
▪ Les vecteurs d'attaque proviennent de l'intérieur ou de l'extérieur du réseau de l'entreprise. Par exemple, les
acteurs de la menace peuvent cibler un réseau par le biais d'Internet, afin de perturber les opérations du réseau et
de créer une attaque par déni de service (DoS).
 Evolution des risques
• Croissance de l'Internet

• Croissance des attaques

• Failles des technologies

• Failles des configurations

• Failles des politiques de sécurité

 Réactions face aux risques
▪ Réduire le risque:
- Implémenter une ou plusieurs solutions qui réduisent le risque

(par exemple: anti-virus, IDS/IPS)

▪ Accepter le risque:

- Le gestionnaire décide d'accepter le risque ou de l'auto-assurer

▪ Transférer le risque:

- Principalement par contrat avec un tiers assureur ou un tiers responsable

▪ Supprimer le risque:

- Suppression ou destruction de l'actif ciblé par la menace

Cycle de vie du risque
 Stratégie d’une attaque
▪ Reconnaissance et collecte de renseignements(cible, groupes, tables de routage, Cartographie du
réseau)

▪ Sondage et scan, énumération (scan du port ) ou phase de Scanning

▪ Obtention d’un accès ou gagner l’accès

▪ Augmentation des privilèges

▪
▪ Progression et intensification de la présence ou maintenir l’accès

▪ Couverture des traces

 Typologie des attaques réseaux: Sniffing
▪ Analyser le trafic réseau

▪ Interception des paquets en transit sur un réseau

▪ Récupérer les échanges d’information pour y rechercher des données

sensibles.

▪ Simple à mettre en œuvre à condition d’avoir accès au

réseau. Ceci est facile puisqu’on a sur le schéma un

concentrateur («hub») répète tout ce qu’il reçoit à tous.

 Typologie des attaques réseaux : Man in the middle
• Attaque où l’adversaire fait intrusion sur le canal de communication entre deux nœuds terminaux du réseau :

- Injecte des faux messages

- Intercepte l’information transmise.

 Typologie des attaques réseaux: Smurfing
L’ attaque par réflexion(Smurfing) est basée sur l'utilisation de serveurs de diffusion pour paralyser un réseau. Un
serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer à toutes les machines présentes
sur le même réseau.

•la machine attaquante envoie une requête ping à un ou plusieurs serveurs de diffusion en falsifiant l'adresse IP
source (adresse à laquelle le serveur doit théoriquement répondre) et en fournissant l'adresse IP d'une machine cible.
 Typologie des attaques réseaux: Deny of Service
• Attaque d'un serveur destinée à l'empêcher de remplir sa fonction.

✓ Mettre hors jeu le système qui est visé

✓ Victime incapable d’accéder au réseau

✓ Utilisé autant contre un serveur qu’un poste client

✓ Tous les S/E sont vulnérables

• Il est aussi possible de bloquer à distance des routeurs en tirant parti de failles de leur software.
Typologie des attaques réseaux: dérouter les paquets
Chaque routeur possède une table de routage qui indique vers quel
routeur voisin transmettre les datagrammes. Cette table peut être
mise à jour dynamiquement en fonction des protocoles réseaux

But de l’attaque : dérouter les paquets à destination du réseau E,

vers le réseau F maitrisé par l’attaquant.

Méthodes :
L’attaquant utilise une faiblesse du protocole de routage pour
indiquer au routeur C que le routeur D est indisponible, et que le
routeur F peut router les paquets vers E ;
le routeur C transfère donc à F les paquets pour E, afin qu’ils
puissent être routés à destination ;
Selon le but visé par l’attaquant, celui-ci peut décider de router
ou non les paquets vers E.
 Typologie des attaques réseaux: Buffer over flow ou le
débordement de tampon
• Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données d’une taille
supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la machine
cible. A ce moment, il y aura débordement des variables internes.

• Suite à ce débordement, plusieurs cas se présentent : la machine se bloque, redémarre ou ce qui est plus grave,
écrit sur le code en mémoire.
Stratégies de sécurité
 Sécurité périmétrique
Afin de détecter et d’éviter les vulnérabilité, l’approche périmétrique est basée sur :

• Des pare-feu,
• Des systèmes de filtrage de contenus,
• Des IDS/IPS,
• Des SIEM (systèmes de gestion des événements et des informations de sécurité ou ou Security
Information and Event Management en anglais),
• le SOAR (Security Orchestration, Automation and Response)
• Des scanners de vulnérabilités et des anti-virus, etc…

Populaire:

• La majorité des développeurs n’ont pas de compétences en sécurité

• Les logiciels tierces qu’ils utilisent comportent aussi des vulnérabilités
• La compétitivité dans le marché de nouveaux logiciels et l’accélération technologies.
 Sécurité by design
▪ Une meilleure approche est dite Security by Design :

✓ traite les problèmes de sécurité à leur source

✓ au niveau de la conception et du développement du logiciel

✓ penser proactif et non réactif

▪ Les contrôles de sécurité peuvent être implémentés au niveau :

✓ du système d'exploitation,

✓ de la couche applicative

✓ et du SGBD
 Mise en place d’une architecture sécurisée
De nombreux outils sont disponibles pour aider les administrateurs réseau à adapter, développer et mettre en œuvre
des techniques d'atténuation des menaces :

✓ de la politique de sécurité à mettre en œuvre,

✓ du systèmes d’information à représenter,

✓ des services à assurer

Quelques questions techniques à se poser:

✓ Quels équipements (boitiers ou machines serveurs) accompliront les fonctions de routage ? de firewall ? de
serveurs?

✓ Quels systèmes d’exploitation et puissance pour les machines ?

✓ Quels regroupements de services ou de fonctions sur un boitier ou une machine serveur ?

✓ Où positionner les différents équipements entre eux et par rapport à l’internet ?

 Firewall (pare-feu)
• L’ ouverture des réseaux d’entreprise sur l’internet les rend vulnérables. Les tentatives d’intrusion sur les
systèmes en réseau se multiplient, ainsi que les DOS qui visent à rendre indisponible un service , une machine,
voire parfois le réseau lui-même.

• Pour se prémunir de ses attaques externes, la plupart des entreprises ont déployé des architectures
particulières , dans lesquelles le firewall est un élément important.

• Il permet de restreint l’ accès au réseau en un point précis. Il ne peut à lui seul résoudre tous les problèmes de
sécurité.

• Un firewall est plus un concept qu’un matériel ou un logiciel

✓ Filtre le trafic entre réseaux à différents niveaux de confiance
✓ Met en oeuvre une partie de la politique de sécurité
 Firewall (pare-feu)
Un firewall (ou pare-feu) est un système physique ou logique qui inspecte les paquets entrants et sortants du
réseau afin d'autoriser ou d'interdire leur passage en se basant sur un ensemble de règles définies par son
administrateur. On distingue:

➢ Firewall logiciels qui est mis en œuvre sur un PC avec plusieurs interfaces réseau, embraquant un OS
générique .

Les fonctions du pare-feu sont implémentées à l’aide d’un logiciel adapté (Ipchaines ou Netfilter/Iptables
sous linux; Packet filter sous OpenBSD).

➢ Firewall matériel se présente sous la forme d’un boitier spécialisé en embraquant un OS souvent
minimaliste
Le Pare- feu permet d'assurer la sécurité des informations d'un réseau en filtrant les entrées et en
contrôlant les sorties . Donc c’est en effet une barrière qui empêche la propagation d'un incendie
 Rôle d’un Firewall
• Toute communication avec l’extérieur passe par le firewall (pare-feu)

• déterminer le type de trafic qui sera acheminé ou bloqué

• limiter le trafic réseau et accroître les performances

• fournir un niveau de sécurité d’accès réseau de base

• autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau

• filtrer certains hôtes afin de leur accorder ou de leur refuser l’accès à une section de réseau

• translation d’adresses ou de ports (connexion et protection des réseaux à adressage privé)

• Analyse les paquets entrants et sortants, et élimine ceux qu’il juge indésirables

Mission de filtrer les communications pouvant nuire : intrusion, vol ou fuite de données sensibles, destruction de
données, perturbation de services réseaux. . .

• Parfois, le routeur est aussi le firewall

 Avantages des firewall
Tous les pare-feu ont des propriétés communes :

✓ Les pare-feu sont résistants aux attaques du réseau.

✓ Les pare-feu sont le seul point de transit entre les réseaux internes de l'entreprise et les réseaux externes, car tout
le trafic passe par le pare-feu.
✓ Les pare-feu appliquent la politique de contrôle d'accès.

L'utilisation d'un pare-feu dans un réseau présente plusieurs avantages :

✓ Ils empêchent l'exposition d'hôtes, de ressources et d'applications sensibles à des utilisateurs non fiables.
✓ Ils assainissent le flux de protocole, ce qui empêche l'exploitation des failles de protocole.
✓ Ils bloquent les données malveillantes provenant des serveurs et des clients.
✓ Ils réduisent la complexité de la gestion de la sécurité en déchargeant la plupart des contrôles d'accès au réseau
sur quelques pare-feu du réseau.
 Limites d’un firewall
Les pare-feu ont également certaines limites :

✓ Un pare-feu mal configuré peut avoir de graves conséquences pour le réseau, en devenant par exemple un point
de défaillance unique.
✓ Les données de nombreuses applications ne peuvent pas être transmises en toute sécurité par les pare feu.
✓ Les utilisateurs peuvent chercher de manière proactive des moyens de contourner le pare-feu pour recevoir des
éléments bloqués, ce qui expose le réseau à des attaques potentielles.
✓ Les performances du réseau peuvent être ralenties.
✓ Le trafic non autorisé peut être tunnelisé ou dissimulé en tant que trafic légitime à travers le pare-feu.
✓ Il ne protège pas des menaces internes.
✓ Il n’établit pas la connectivité par défaut et n’applique pas tout seul les politiques de sécurité et leur
surveillance.
✓ Il ne protège pas contre les virus et ne protège contre des menaces imprévues (hors politique).
 Politiques de sécurité d’un Firewall
La politique de sécurité définit l’ensemble des règles de filtrage à implémenter sur le pare-feu.

Cela consiste à spécifier l’ensemble des services et protocoles TCP/IP pouvant être accessibles par des utilisateurs
internes ou externes au site. Le firewall doit décider si un paquet entrant ou sortant doit être détruit.

Essentiellement deux politiques possibles :

➢Autoriser tous les paquets sauf ceux explicitement interdits :

✓ Difficulté d´établir la liste de tout ce qui est potentiellement dangereux

✓ Obligation de mettre a jour la liste chaque fois qu’un danger est découvert

➢ Interdire tous les paquets sauf ceux explicitement autorisés

✓ l’extérieur n’a accès qu’à une liste prédéterminée de services internes

✓ le personnel n’a accès qu’à une liste prédéterminée de services externes. . .

La politique la plus utilisée car beaucoup plus prudente : seules les communications jugées sûres sont autorisée
 Types de Firewalls
• Il est important de comprendre les différents types de pare-feu et leurs capacités spécifiques afin d'utiliser le bon
pare-feu pour chaque situation.

• Le choix dépendra de l'utilisation que l'on souhaite en faire, mais aussi des différentes contraintes imposées par
le réseau devant être protégé.
 Packet filtering (stateless) firewall
Les pare-feu de filtrage de paquets font généralement partie d'un pare-feu de routeur, qui autorise ou refuse le trafic en fonction
des informations des couches 3 et 4. Il s'agit de pare-feu sans état qui utilisent une simple consultation de table de politique
pour filtrer le trafic en se basant sur une liste de règles de filtrages prédéfinie par l'administrateur appelées Access Control Lists.
 Filtrage sans états (stateless): Avantages
L'utilisation d'un pare-feu à filtrage de paquets présente plusieurs avantage:

• Les filtres de paquets sont faciles à mettre en œuvre et sont pris en charge par la plupart des routeurs et ont
un faible impact sur les performances du réseau.

• Ils fournissent un premier degré de sécurité au niveau de la couche réseau.

• Les filtres de paquets exécutent presque toutes les tâches d'un pare-feu haut de gamme à un coût bien
moindre.
 Filtrage sans états (stateless):inconvénients
L'utilisation d'un pare-feu à filtrage de paquets présente plusieurs inconvénients :

• Les filtres de paquets sont sensibles à l'usurpation d'adresse IP.

• Ils utilisent des listes de contrôle d'accès complexes, qui peuvent être difficiles à mettre en œuvre et à maintenir.

• Ils ne peuvent pas filtrer dynamiquement certains services.

• Les filtres de paquets sont sans état. Ils examinent chaque paquet individuellement plutôt que dans le contexte de
l'état d'une connexion..

La principale limite des firewalls sans états est que l’administrateur va être rapidement contraint à autoriser un trop
grand nombre d’accès, ce qui limite la protection. Ces pare-feux ont donc tendance à être obsolètes mais restent
présents sur certains routeurs. La plupart des routeurs incluent un filtrage de paquet statique

Exemple des réges ACL:

 Filtrage avec état (stateful firewall)
Le filtrage de paquet avec états fournit un filtrage dynamique des paquets en utilisant les informations de connexion
conservées dans une table d'état. Le filtrage Stateful est une architecture de pare-feu qui est classée au niveau de la
couche réseau. Il analyse également le trafic au niveau des couches 4 et 5

Les firewalls à états maintiennent un tableau des connexions ouvertes et

associent les nouvelles demandes de connexion avec des connexions

autorisées existantes.

Ce genre de filtre bloque ou autorise les paquets en fonction:

• De leur contenu actuel

• Du contenu des paquets précédents

Les firewalls à états prennent alors ses décisions en fonction des états

de connexions et peuvent réagir dans le cas de situations protocolaires anormales.

 Firewall à états (stateful)
Les firewalls à états seront capables de traiter les paquets non plus uniquement suivant les règles définies par

l'administrateur, mais également par rapport à l'état de la session :

– NEW : Un client envoie sa première requête.

– ESTABLISHED : Connexion déjà initiée. Elle suit une connexion NEW.

– RELATED : Peut être une nouvelle connexion, mais elle présente un rapport direct avec une connexion déjà connue.

– INVALID : Correspond à un paquet qui n'est pas valide.

Les attributs gardés en mémoires sont les adresses IP, numéros de port et numéros de séquence des paquets qui ont

traversé le firewall.

Le pare-feu à états est limitée à garder un suivi du trafic avec sa table d’états et d’établir la correspondance ou pas.

Ce qui veut dire qu’une fois que l’accès à un service a été autorisé, il n’y a aucun contrôle effectué sur les requêtes et

réponses.
 Filtrage avec état (stateful firewall) : Avantages
L'utilisation d'un pare-feu dynamique dans un réseau présente plusieurs avantages :

• Les pare-feu stateful sont souvent utilisés comme moyen de défense principal en filtrant le trafic non désiré,
inutile ou indésirable.

• Ils renforcent le filtrage des paquets en fournissant un contrôle plus rigoureux de la sécurité.

• Ils améliorent les performances par rapport aux filtres de paquets ou aux serveurs proxy.

• Les pare-feu dynamiques se défendent contre l'usurpation d'identité et les attaques DoS en déterminant si les
paquets appartiennent à une connexion existante ou proviennent d'une source non autorisée.

• Les pare-feu dynamiques fournissent davantage d'informations de journal qu'un pare-feu à filtrage de paquets.
 Filtrage avec état (stateful firewall) : Limites
• Les pare-feu stateful ne peuvent pas empêcher les attaques de la couche application car ils n'examinent pas le
contenu réel de la connexion HTTP.

• Tous les protocoles ne sont pas à état.

• Il est difficile de suivre les connexions qui utilisent la négociation dynamique des ports. Certaines
applications ouvrent plusieurs connexions. Cela nécessite une toute nouvelle gamme de ports qui doivent être
ouverts pour permettre cette deuxième connexion.

• Les pare-feu dynamiques ne prennent pas en charge l'authentification des utilisateurs.

 Application gateway firewall (proxy firewall)
Un pare-feu de passerelle d'application permet de filtrer les informations au niveau des couches 3, 4, 5 et 7 de OSI.
Les requêtes sont traitées par des processus dédiés (par exemple une requête de type Http sera filtrée par un
processus proxy Http). Il vérifie la conformité du paquet par rapport à un protocole applicatif attendu

Il fait l’intermédiaire en invoquant le service demandé à la place

de l’utilisateur en validant chaque contenu et en masquant certains

informations. On parle de « masquage d’adresse » : lorsqu’un

utilisateur interroge un site web, c’est le proxy firewall qui en tant

que relais contacte le serveur externe avec sa propre adresse, et

non celle du système de l’utilisateur final.

En outre le fait de devoir connaître les règles protocolaires de chaqu e

protocole filtré pose des problèmes d'adaptabilité à de nouveaux protocoles.

 Next-generation firewalls (NGFW)

Les pare-feu de nouvelle génération (NGFW) vont au-delà des pare-feu à état en fournissant :

• Une prévention intégrée des intrusions

• Une connaissance et un contrôle des applications

pour voir et bloquer les applications à risque.

• Des voies de mise à niveau pour inclure les futurs

flux d'informations

• Des techniques pour faire face à l'évolution des

menaces de sécurité.
 Architecture de Firewall
Un firewall peut être placé entre le réseau interne et l’internet ou entre des réseaux locaux ou sur les postes
personnels

Il doit être Installer en un point de passage obligatoire entre le réseau à protéger et un réseau non sécuritaire.

Les autres méthodes de mise en œuvre des pare-feu sont les suivantes :

• Pare-feu basé sur l'hôte :Un PC ou un serveur sur lequel fonctionne un logiciel de pare-feu.

• Pare-feu transparent : Filtre le trafic IP entre une paire d'interfaces pontées.

•Pare-feu hybride : Une combinaison des différents types

de pare-feu. Par exemple, un pare-feu d'inspection des

applications combine un pare-feu dynamique et

un pare-feu de passerelle d'applications.

 Rappel sur les ACL
Les ACL permettent de filtrer les accès entre les différents réseaux ou de filtrer les accès au routeur lui même.

Les paramètres contrôlés sont les adresses sources et destinations, protocoles utilisés ainsi que les numéros de port

Le but des ACL est de protéger le réseau contre tout trafic indésirable (Pirates, Accès non autorisé …)

• Elles permettent à un administrateur de gérer le trafic et d'analyser des paquets particuliers.

• Elles sont associées à une interface du routeur et tout trafic acheminé par cette interface est vérifié afin d'y
déceler certaines conditions faisant partie de la liste de contrôle d'accès.

• Les ACL opèrent selon un ordre séquentiel et logique, en évaluant les paquets à partir du début de la liste
d’instructions

• Il faut donc placer les instructions les plus précises en premier et l'instruction la plus générique en dernier.
Par défaut, tout le traffic est interdit.
 Caractéristiques des ACLs
• Les paquets peuvent être filtrés lorsqu’ils entrent sur une interface, avant la décision de routage

• Les paquets peuvent être filtrés avant de quitter une interface après la décision de routage

• Cisco emploie le terme deny pour signifier que des paquets doivent être rejetés et le terme permit pour signifier

que les paquets doivent être acceptés

• Une instruction implicite indiquant qu’il faut rejeter tout trafic (deny all) est incluse à la fin de chaque liste d’accès

• Si un paquet ne correspond à aucune des instructions de la liste, il est bloqué

• Une notation améliorée est possible pour remplacer le masque 255.255.255.255 qui désigne une machine

- Utilisation du terme host

• 0.0.0.0 avec le wildcard masque à 255.255.255.255 qui désigne tout le monde

- Utilisation du terme any
 Différents Types d’ACLs
➢ Standards: le filtrage est uniquement basé sur l’adresse IP source des paquets. Au niveau de l’utilisation de ces ACLs,
ces filtres sont généralement appliqués au plus proche de la destination,

• Une ACL standard se crée avec la commande: access-list <acl-number>[permit|deny]<@IPsource>

<wildcard>

• le numéro d’ACL est compris entre 1 et 99 ou 1300 et 1999

➢ Etendues: le filtrage des paquets se fait en fonction de la source ou de la destination IP, des ports et des
protocoles.Une ACL étendue se crée avec la commande suivante:

• access-list<numero>{permit/deny}<protocole><@IPsource><wildcard><@IPdest><wildcard>operat[port]

• Le numéro de liste doit être compris entre 100 et 199 ou 2000 et 2699

➢ Nommées peuvent être soit standards, soit étendues ; elles n’ont pour but que de faciliter la compréhension et de
connaître la finalité de l’ACL. Voici la syntaxe des ACLs nommées :

▪ ipaccess-list{standard | extended} nom de l’ACL instructions

▪ instruction
 L’assignation d’une liste de contrôle d’accès à une
interface
Une fois la liste de contrôle d’accès crée, il faut l’assigner à une interface de la manière suivante :

• ipaccess-group numéro_liste_d’accès{in | out }

• In | out indique si la liste doit être appliquée pour le trafic entrant ou sortant

La commande show access-list saffiche le contenu de toutes les listes de contrôle d'accès. La saisie du nom ou du
numéro d'une liste de contrôle d'accès en tant qu'option de cette commande vous permet de consulter une liste
spécifique.
 Recommandations
La création, la mise à jour, le débuggage nécessitent beaucoup de temps et de rigueur dans la syntaxe. Il est donc
conseillé:

• De créer les ACL à l'aide d'un éditeur de texte et de faire une copier/coller dans la configuration du routeur

• Placer les extendes ACL au plus près de la source du paquet que possible pour le détruire le plus vite
possible

• Placer les ACL standard au plus près de la destination en raison de leur faible précision

-Rappel : les ACL standard ne regardent que l'IP source

• Placer la règle la plus spécifique en premier

• Avant de faire le moindre changement sur une ACL.

Configuration d’une ACL
 Firewall dans la conception des réseaux
La conception d'un pare-feu concerne principalement les interfaces des dispositifs qui autorisent ou refusent le trafic
en fonction de la source, de la destination et du type de trafic.

Voici trois modèles de pare-feu courants.

 Firewall dans la conception des réseaux: public and
private
• Le réseau public (ou réseau extérieur) n'est pas fiable, et le réseau privé (ou réseau intérieur) est fiable.

En général, un pare-feu à deux interfaces

• Le trafic provenant du réseau privé

est autorisé et inspecté lorsqu'il se dirige vers le

réseau public.

Le trafic inspecté revenant du réseau public

et associé au trafic provenant du réseau privé est autorisé.

• Le trafic provenant du réseau public et se dirigeant vers le réseau privé est généralement bloqué.
 Firewall dans la conception des réseaux:
Demilitarized zone (DMZ)
• Une zone démilitarisée (DMZ) est une conception de pare-feu où il y a généralement une interface intérieure
connectée au réseau privé, une interface extérieure connectée au réseau public et une interface DMZ.

• Il permet à ces machines d’accéder a Internet et/ou de publier des services sur Internet sous le contrôle du
pare-feu externe.

• Un serveur situé en DMZ est susceptible d’être corrompu par une attaque. Le cloisonnement et l’isolement
rendent plus difficile une attaque du réseau interne depuis le serveur en DMZ.

• DMZ publique : C’est une zone accessible depuis l’extérieur (internet) et l’intérieur (réseau interne entreprise).

• DMZ privée : Uniquement accessible par les réseaux internes.

La zone démilitarisée est plus ouverte sur le réseau externe que le réseau interne
 Firewall dans la conception des réseaux: DMZ
• Le trafic provenant du réseau privé est inspecté lorsqu'il se dirige vers le réseau public ou DMZ. Ce trafic est
autorisé avec peu ou pas de restrictions. Le trafic inspecté qui revient de la DMZ ou du réseau public vers le réseau
privé est autorisé.

• Le trafic provenant du réseau DMZ et se dirigeant vers le réseau privé est généralement bloqué.

• Le trafic provenant du réseau DMZ et se rendant sur le réseau public est autorisé de manière sélective en
fonction des exigences du service.

• Le trafic provenant du réseau public et se dirigeant

vers la DMZ est autorisé de manière sélective et inspecté. Le trafic de

retour de la DMZ vers le réseau public est autorisé de façon dynamique.

• Le trafic provenant du réseau public et se dirigeant vers

le réseau privé est bloqué.

 Firewall dans la conception des réseaux: Zone-based
policy firewalls
• Les pare-feu à stratégie par zones (ZPF) utilisent le concept de zones pour offrir une flexibilité supplémentaire. Une
zone est un groupe d'une ou plusieurs interfaces qui ont des fonctions ou des caractéristiques similaires. Elle aide à
spécifier où une règle ou une politique de pare-feu doit être appliquée.

• Par défaut, le trafic entre les interfaces d'une même

zone n'est soumis à aucune politique et passe librement.

En revanche, tout le trafic de zone à zone est bloqué.

Pour autoriser le trafic entre zones, une politique

autorisant ou inspectant le trafic doit être configurée.

La seule exception à cette politique de refus par défaut

est la zone du routeur lui-même.

 Firewall dans la conception des réseaux:
Zone- based policy firewalls
Les politiques identifient les actions que le ZPF va effectuer sur le trafic réseau. Trois actions possibles peuvent être
configurées pour traiter le trafic par protocole, zones source et destination (paires de zones), et autres critères.

• Inspecter - Cette action permet d'effectuer une inspection étatique des paquets Cisco IOS.

• Drop - Cette action est analogue à une déclaration de refus dans une ACL. Une option de journal est disponible
pour enregistrer les paquets rejetés.

• Pass - Cette action est analogue à une déclaration d'autorisation dans une liste de contrôle d'accès.
L'action pass ne suit pas l'état des connexions ou des sessions dans le trafic.
Firewall dans la conception des réseaux:
Exemple de conceptions ZPF
 Les différents types de pare-feux. Les pare-feux bridge
• Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en plus.
• Leurs interfaces ne possèdent pas d'adresse IP et ne font que transférer les paquets d'une interface à une autre en
leur appliquant les règles prédéfinies.
▪ Cela signifie que le pare-feu est indétectable pour un hacker lambda. En effet, quand une requête ARP est
émise sur le câble réseau, le pare-feu ne répondra jamais. Ses adresses Mac ne circuleront jamais sur le
réseau,

▪ Ces pare-feux se trouvent typiquement sur les Switch.

• Avantages

- Impossible de l'éviter (les paquets passeront par ses interfaces) et peu coûteux

• Inconvénients

- Possibilité de le contourner (il suffit de passer outre ses règles)- Configuration souvent contraignante- Les
fonctionnalités présentes sont très basiques (filtrage sur adresse IP, port, le plus souvent en Stateless).
 Les différents types de pare-feux: pare-feux matériels
Ce sont de type boite noire prêt à l'emploi sur lequel un logiciel et des applications sont préinstallés. Ils se trouvent
souvent sur des routeurs achetés dans le commerce par de grands constructeurs comme Cisco ou Nortel.

• Avantages:

- leur interaction avec les autres fonctionnalités du routeur est simplifiée

- ils sont aussi peu vulnérables aux attaques, car présent dans la « boite noire » qu'est le routeur. Son administration
est souvent plus aisée que les pare-feu bridges

- la partie logiciel étant liée au matériel, l'accès au code est assez difficile, leur niveau de sécurité est de plus très bon,
sauf découverte de faille éventuelle comme tout pare-feu.

• Inconvénients:

- seules les spécificités prévues par le constructeur du matériel sont implémentées. Cette dépendance induit que si une
possibilité nous intéresse sur un pare-feu d'une autre marque , son utilisation est impossible.
 Les différents types de pare-feux:
Pare-feux logiciel
• Les firewalls logiciels tournant généralement sous linux ou BSD (Packet Filter), car ces OS offrent une sécurité
réseau plus élevée et un contrôle plus adéquat

• Ils ont pour but d'avoir le même comportement que les firewall matériels des routeurs, à ceci prêt qu'ils sont
configurables à la main.

• Le plus courant est Netfilter et iptables, qui utilise directement le noyau linux.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de sécurité
appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance qu'on leur
porte.
 Option d’iptables et Format des règles de filtrage
- Filtrage des paquets IP, TCP, UDP ou ICMP
- Spécification de règle pour le rejet ou l’acceptation de paquet
- Utilisation de la table FILTER et des chaînes INPUT, OUTPUT et FORWARD
- Règles traitées de manière séquentielle : Le paquet sort dès qu’il rencontre une règle qui peut lui être appliquée
-L Affiche toutes les règles de la table indiquée
-F Supprime toutes les règles de la table sauf la politique par défaut
-P Modifie la politique par défaut
-A Ajoute une règle à la fin de la table spécifiée
-I Insère la règle avant celle indiquée
-D Supprime une règle
Exemple: Accepter tous les paquets en provenance de n’importe où
et destinés à l’adresse du routeur 192.168.1.1.
Iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 –p TCP -j ACCEPT
 Proxy
• Un proxy est un programme servant d'intermédiaire pour accéder à un autre réseau, généralement internet ou
pour faciliter ou surveiller leurs échanges.

• Il permet d'envoyer des requêtes et de recevoir les réponses à la place de ses clients. Ces requêtes peuvent
être des requête de divers protocoles, les plus utilisées étant le HTTP, HTTPS, FTP et SSL.

• Les serveurs proxy assurent différents niveaux de fonctionnalité, de sécurité et de confidentialité, selon votre
type d’utilisation, vos besoins ou la politique de votre entreprise

• Le proxy constitue une protection supplémentaire par rapport au firewall puisqu’il peut intervenir dans le
filtrage du contenu délivré, et qu’il n'agit pas au niveau du flux de données tel que le firewall (couche
transport et couches inférieures du modèle TCP/IP) mais sur des données ciblées

(au niveau de la couche application du modèle TCP/IP).

• Il est souvent derrière un firewall

 Architecture serveur Proxy
• Un serveur proxy remplace les paramètres TCP/IP de l’émetteur et le rend plus transparent sur le réseau.
D’une certaine manière il peut renforcer l’anonymat.

• Pour assurer la sécurité des données et les performances du réseau, les serveurs proxy modernes font office de
pare-feu et filtrent le Web, fournissent des connexions réseau partagées et placent les données en cache . Un bon
serveur proxy protège les utilisateurs et le réseau interne des menaces que recèle Internet.

• Enfin, les serveurs proxy garantissent un niveau élevé de confidentialité.

 Avantages Proxy
• L'avantage du proxy est que les clients deviennent invisible pour l'Internet . Si un client est derrière un proxy, les autres
machines sur Internet penseront qu'il s'agit du serveur.

• Il permet de rendre anonyme les machines en masquant les adresses IP,

• Accélérer l’affichage des pages web en utilisant le cache pour les pages les plus demandées.

• Journaliser les accès, et offrir une traçabilité centralisé des flux.

• Un serveur proxy peut modifier votre adresse IP

• Il peut chiffrer vos données, ce qui les rend illisibles pendant leur transit

• Il peut bloquer l’accès à certaines pages Web, en se basant sur leur adresse IP.

Inconvénients:

• Moins performant en terme de débit.

• Ne fonctionne que pour quelques protocoles.

 Types de serveurs proxy
• Proxy transparent informe les sites Web qu’il est un serveur proxy et leur transmet votre adresse IP, ce qui
permet aux serveurs Web de vous identifier. Il augmenter la vitesse de téléchargement de sites populaires en
cachant leurs données.

• Proxy anonyme s’identifiera en tant que proxy, mais il ne transmettra pas votre adresse IP au site Web. Cela
contribue à éviter le vol d’identité et à préserver la confidentialité de vos habitudes de navigation. Ces proxies ne
montrent même pas leur propre IP et encodent tout le trafic passant à travers eux.

• Proxy déformant transmet pour vous une fausse adresse IP tout en s’identifiant comme un proxy.

• Proxy à anonymat élevé modifie périodiquement l’adresse IP qu’il présente au serveur Web, ce qui rend très
difficile le suivi d’un trafic
 Serveur proxy: Cache
• Le cache permet de stocker un certain nombre de fichier pendant que vous naviguez sur Internet pour pour
accélérer le traitement des requêtes les plus courantes.

• Un serveur cache-proxy permet de faire la même chose à un plus grand niveau. Il est dédié au stockage des
fichiers et pages Internet les plus visitées. Toutes les machines qui passent à travers le proxy lui font stocker
des pages et fichiers d'Internet, du coup les sites les plus visités par les clients utilisant le réseau deviennent
plus rapides à télécharger.
 WAF (Web Application Firewall)
• Le WAF est un type de pare-feu qui permet la protection d’un serveur d’applications internet contre les attaques.
Tout comme un serveur proxy agit comme un intermédiaire pour protéger l’identité d’un client, un WAF fonctionne
de la même manière, mais à l’inverse, c’est un proxy inversé, il agit comme un intermédiaire qui protège le serveur
de l’application web contre un client potentiellement malveillant.

• Il filtre, surveille et bloque tout trafic HTTP/S malveillant se dirigeant vers une application Web, et empêche toute
donnée non autorisée de quitter l’application ou le site.
• les WAF constituent une première ligne de défense fiable pour les applications, en particulier pour se protéger
contre le Top 10 de l’OWASP, la liste fondamentale des vulnérabilités applicatives les plus fréquentes.
• Les WAF peuvent prendre la forme d’un logiciel, d’un appareil ou d’un service à la demande (SaaS). Les politiques
peuvent être personnalisées pour répondre aux besoins uniques de votre application Web ou de l’ensemble des
applications Web
 Caractéristiques du WAF
• flexibilité du WAF ;

• possibilité d’obtenir de nouvelles mises à jour et de solliciter une signature manuelle ou dynamique ;

• supprimer les attaques et les autorisations non approuvées ;

• inspecter tout protocole pour le transfert de données vers une application web ;

• examiner le contenu des pages web, de même que des pages web de protocole de transfert ;

• s’occuper de la terminaison SSL/TLS . Le trafic chiffré n'est pris en compte par WAF que si l'opération de terminaison SSL
est effectuée avant d'atteindre le trafic vers l'application Web.

• capacité de contrôler l’application de sorite et de réponse par le biais de la définition des politiques et exigences
sécuritaires et l’exécution adéquate (masquer, alerter, bloquer, autoriser) ;

• anticiper les pertes d’informations ;

• surveillance stratégique de la rentrée et de la sortie des applications web par l’élaboration des règles de sécurité ;
 Déploiement d’un WAF
Un WAF peut être mis en œuvre de trois manières, chacune ayant ses propres avantages et inconvénients :

• Un WAF basé sur le réseau , installé au niveau local, réduit la latence mais représentent l’option la plus
coûteuse. Ils nécessitent de l’espace et la maintenance des équipements physiques.

• Un WAF basé sur l’hôte peut être entièrement intégré dans le logiciel d’une application. Cette solution est moins
coûteuse qu’un WAF basé sur le réseau et offre plus de possibilités de personnalisation.

L’inconvénient d’un WAF basé sur l’hôte est la consommation des ressources du serveur local, la complexité de la
mise en œuvre et les coûts de maintenance.

Ces composants nécessitent généralement du temps d’ingénierie et peuvent s’avérer coûteux.

 Déploiement d’un WAF
• Les WAF basés sur le cloud offrent une option abordable et très facile à mettre en œuvre ;

Ils offrent une solution qui est constamment mise à jour pour se protéger contre les menaces les plus récentes
sans aucun travail ou coût supplémentaire de la part de l'utilisateur.

L'inconvénient d'un WAF basé sur le cloud est que les utilisateurs confient la responsabilité à une tierce partie, ce
qui fait que certaines fonctionnalités du WAF peuvent être une boîte noire pour eux.

Le WAF peut protéger contre les attaques assez générales, mais il ne peut pas prémunir contre les requêtes entrantes
ciblant un bug spécifique dans l’implémentation de l'application web. Il faut bien connaître les services fournis par
l'application web que le WAF doit protéger afin de configurer le pare-feu au mieux.
 Exemple d’architecture WAF
• Le WAF est placé devant un serveur Web (typiquement) dans la zone DMZ du pare-feu.
 Attaques de type Zero-Day
Les pare-feu ont un rôle limité et ne peuvent pas fournir une protection contre tous les logiciels malveillants et les
attaques de type "zero-day".

• Une attaque de type "zero-day"est une cyberattaque qui tente d'exploiter des vulnérabilités logicielles inconnues
ou non divulguées par le fournisseur du logiciel. Le terme "zero-day" décrit le moment où une menace
précédemment inconnue est identifiée.

• Pour se défendre contre ces attaques

qui évoluent rapidement, les professionnels de

la sécurité des réseaux doivent adopter une vision

plus sophistiquée de l'architecture du réseau.

 Surveillance des attaques
• Pour prévenir les exploits de logiciels malveillants, l'administrateur doit surveiller le réseau en permanence et
analyser les fichiers journaux générés par les périphériques réseau.

• Il est désormais admis que les logiciels malveillants pénètrent dans le réseau malgré les meilleures défenses. C'est
pourquoi une approche multicouche de la protection contre les logiciels malveillants doit être employée.

• Les fichiers journaux générés par les dispositifs de chaque couche permettront d'identifier si un exploit a eu lieu, les
caractéristiques de diagnostic de l'exploit et l'étendue des dommages au sein de l'entreprise.

• Les informations recueillies dans les fichiers journaux permettront également d'informer les mesures prises en
réponse à l'exploit, telles que le confinement et l'atténuation.
Dispositifs de prévention et de détection des intrusions
• Un changement de paradigme dans l'architecture des réseaux est nécessaire pour se défendre contre les attaques
qui évoluent rapidement et qui sont en constante mutation.

• Cela doit inclure des systèmes de détection et de prévention rentables, tels que les systèmes de détection

d'intrusion (IDS) ou les systèmes de prévention d'intrusion (IPS), plus évolutifs.

• L'architecture du réseau intègre ces solutions aux points d'entrée et de sortie du réseau.

• Lors de la mise en œuvre d'un IDS ou d'un IPS, il est important de se familiariser avec les types de systèmes
disponibles, les approches basées sur l'hôte et sur le réseau, le placement de ces systèmes, le rôle des
catégories de signatures et les actions possibles
 Distinction entre pare-feu et IDS/IPS
▪ Un pare-feu surveille les intrusions vers l’extérieur afin de les empêcher de se produire.

▪ Les pare-feu limitent l’accès entre les réseaux pour prévenir les intrusions et ne signalent pas une attaque de
l’intérieur du réseau.

▪ Un IDS décrit une intrusion suspectée une fois qu’elle a eu lieu et signale une alarme.

▪ Un IDS surveille également les attaques provenant de l’intérieur d’un système.

▪ Un système qui termine les connexions s’appelle un système de prévention des intrusions et effectue le
contrôle d’accès comme un pare-feu de couche d’application.
 IDS (Intrusion Detection System)
Un système de détection des intrusions (IDS) est un dispositif ou une application logicielle qui surveille un réseau ou
des systèmes pour détecter toute activité malveillante, toute tentative d'effraction volontaire ou non ou toute
violation de politique de sécurité et d’emettre des alertes .

Les IDS analysent le trafic qui passe à travers les pare‐feux et supervisent les activités des utilisateurs sur le réseau
local.

Un IDS a pour fonction d’analyser en temps réel ou différé les évènements en provenance des différents systèmes, de
détecter et de prévenir en cas d’attaque. Les buts sont nombreux :

– collecter des informations sur les intrusions,

– gestion centralisée des alertes,

- effectuer un premier diagnostic sur la nature de l’attaque permettant une réponse rapide et efficace,
 IDS (Intrusion Detection System)
• En travaillant hors ligne, l'IDS compare le flux de trafic capturé avec les signatures malveillantes connues, comme
un logiciel qui recherche les virus. Travailler hors ligne signifie plusieurs choses :

• L'IDS fonctionne de manière passive.

• Le dispositif IDS est physiquement positionné dans le réseau

de sorte que le trafic doit être mis en miroir pour l'atteindre.

.
• Le trafic réseau ne passe pas par l'IDS à moins qu'il ne soit mis en miroir.
•La latence ajoutée au flux de trafic réseau est très faible

Bien que le trafic soit surveillé, enregistré et peut-être signalé,

aucune action n'est prise sur les paquets par l'IDS.

Cette mise en œuvre hors ligne de l'IDS est appelée mode promiscuous.
 Avantages et inconvénients des l'IDS
Un IDS est déployé en mode hors ligne et donc :

• L'IDS n'a pas d'impact sur les performances du réseau.

• L'IDS n'affecte pas la fonctionnalité du réseau si le capteur tombe en panne ou surchargé. Cela affecte uniquement
la capacité de l'IDS à analyser les données.

Inconvénients

• Un capteur IDS ne peut pas arrêter les paquets qui ont déclenché une alerte et sont moins utiles pour détecter les
virus de courrier électronique et les attaques automatisées, comme les vers.

• Le réglage des capteurs IDS pour atteindre les niveaux attendus de détection d'intrusion peut prendre beaucoup de
temps.

• Une implémentation IDS est plus vulnérable aux techniques d'évasion de la sécurité du réseau car elle n'est pas en
ligne.
 Composants d’un IDS
Les IDS ont 3 composants nécessaires, qui sont :

➢ surveillance du système d'information qui est chargée d'enregistrer toutes les actions et ces dernières viennent soit
du trafic réseau ou du Système d'exploitation.

➢ monitoring, qui fait la synthèse des données récoltés par le composant de surveillance du système d'information. Son
but est d'évaluer les menaces pesant sur le système d'information en recherchant les événements.

Après avoir identifié la menace, il va alors indiquer son jugement sur la sécurité du réseau ou des systèmes et
transmettre sa décision à la couche décision.

➢ décision

Si la couche surveillance juge que le système a été compromis, l'IDS peut prendre plusieurs décisions :

- de prévenir l'administrateur du système d'information afin qu'il puisse prendre les décisions qui s'imposent

- d'effectuer une action définie à l'avance par l'administrateur système afin d’empêcher l'intrusion (ou la ralentir).
 Positionner son IDS
Il existe plusieurs endroits stratégiques où il convient de placer un IDS.

➢ ( 1 ): l'IDS va pouvoir détecter l'ensemble des attaques frontales, provenant de l'extérieur, en amont du firewall.
➢( 2 ): l'IDS détectera les attaques qui n'ont pas été filtrées par le firewall

et qui relèvent d'un certain niveau de compétence.

➢( 3 ): L'IDS peut rendre compte des attaques

internes, provenant du réseau local de l'entreprise.

À cause de la diversité des attaques que mettent en œuvre

les pirates, la détection d’instrusion doit se faire à plusieurs

niveaux.
 Différents types d’IDS
Il existe différents types d’IDS :

▪ Les systèmes de détection d’intrusions "réseaux" (NIDS)

▪ Les systèmes de détection d’intrusions de type hôte (HIDS)

▪ Les systèmes de détection d’intrusions hybrides

▪ Honeypots( pots de miel)

▪ Les systèmes de prévention d’intrusions (IPS)

 Systèmes de détection d’intrusions réseaux (NIDS)
• Les NIDS sont les IDS plus intéressants et les plus utiles du fait de l’omniprésence des réseaux dans notre vie
quotidienne.

• Un NIDS écoute tout le trafic réseau, puis l’analyse et génère des alertes si des paquets semblent dangereux
grâce à une base de signature. Il contient une base de données avec tous les codes malicieux et peut détecter
leurs envois sur une des machines.

• Le NIDS travaille comme un sniffer, sauf qu'il analyse automatiquement les flux de données pour détecter une
attaque.
 Systèmes de détection d’intrusions de type hôte (HIDS)
• Un HIDS est une application de sécurité complète qui combine les fonctionnalités des applications anti-malware
avec la protection du pare-feu.

• Ils se basent sur la surveillance des hôtes par analyse des logs de l’hôte. Ils analysent en temps réel les flux
relatifs à une machine sur lesquelles ils sont installés ainsi que les journaux et avertissent l’administrateur en
cas compromission d’une machine.

• Les HIDS peuvent s'appuyer sur des fonctionnalités d'audit propres

ou non au système d'exploitation, pour en vérifier l'intégrité, et générer des alertes.

• Un HIDS a besoin d’un système sain pour vérifier l’intégrité des donnés.

Si le système a été compromis par un pirate, le HIDS ne sera plus efficace.

 Systèmes de détection d’intrusions hybrides
Généralement utilisés dans un environnement décentralisé, ils permettent de réunir les informations de diverses
sondes placées sur le réseau.

• Hybride parqu’ils sont capables de réunir aussi bien des informations provenant d’un système HIDS qu’un NIDS.
Ils permettent, en un seul outil, de surveiller le réseaux et les terminaux.

• L’exemple le plus connu dans le monde Open-Source est Prelude.

Ce framework permet de stocker dans une base

de données des alertes provenant de différents

systèmes relativement variés.

Utilisant Snort comme NIDS, et d’autres logiciels

tels que Samhain ou TripWire en tant que HIDS.

Il permet de combiner des outils puissants tous ensemble pour permettre une visualisation centralisée des attaques.
 Réponse active et passive
Il existe deux types de réponses, suivant les IDS utilisés.

• La réponse passive est disponible pour tous les IDS, elle consiste à enregistrer les intrusions détectées dans un
fichier de log qui sera analysé par le responsable sécurité.

• La réponse active est plus ou moins implémentée, elle a pour but de stopper une attaque au moment de sa
détection. Pour cela nous disposons de deux techniques :

- la reconfiguration du firewall permet de bloquer le trafic malveillant au niveau du firewall, en fermant le

port utilisé ou en interdisant l’adresse de l’attaquant.

- l’interruption d’une connexion TCP permet d’ empêcher le transfert de données ou la modification du

système attaqué.
 Systèmes de prévention d’intrusions (IPS)
IPS est un ensemble de composants logiciels et matériels dont la fonction principale est d’empêcher toute activité
suspecte détectée au sein d’un système. Il apparait comme une amélioration des systèmes de détection d’intrusion.

Les IPS sont conçus pour identifier les attaques potentielles et exécuter de façon autonome une contre-mesures
pour les empêcher, sans affecter la système d'exploitation normale

Comme les IDS, ils ne sont pas fiables à 100 %

et risquent même en cas de faux positif de

bloquer du trafic légitime.

 Composant d’un IPS
Un capteur IPS est composé de deux éléments :

• Moteur de détection et d'application de l'IPS :Pour valider le trafic, le moteur de détection ,compare le trafic

entrant avec les signatures d'attaque connues qui sont incluses dans le paquet de signatures d'attaque de l'IPS.

• Paquet de signatures d'attaque IPS : Il s'agit d'une liste de signatures d'attaque connues qui sont contenues dans un

fichier. Le pack de signatures est fréquemment mis à jour lorsque de nouvelles attaques sont découvertes. Le trafic

réseau est analysé pour trouver des correspondances avec ces signatures.
 Méthodes de détection des IPS
La majorité des systèmes de prévention des intrusions utilisent l’une des trois méthodes de détection suivantes :

• Détection basée sur les signatures : surveille les paquets dans le réseau et compare avec les modèles d’attaque

pré-configurés et prédéterminés connus sous le nom de signatures.

• Détection statistique basée sur les anomalies :surveillera le trafic réseau et le comparera à une base de

référence établie.

• Détection d’analyse de protocole dynamique : Cette méthode identifie les déviations des états du protocole en
comparant les événements observés avec des profils prédéterminés de définitions
 Signature IPS
• Une signature est un ensemble de règles qu'un IDS et un IPS utilisent pour détecter une activité d'intrusion typique.
Elles identifient de manière unique des virus, des vers, des anomalies de protocole et du trafic malveillant (par
exemple, une attaque DoS).

• Un flux de paquets malveillant a un type d'activité et une signature spécifiques.

• Les capteurs IPS doivent être réglés pour rechercher des signatures correspondantes ou des modèles de trafic
anormaux.

Les signatures ont également trois attributs distinctifs :

• Type - Atomique ou Composite

• Déclencheur - Également appelé alarme

• Action - Ce que l'IPS va faire

 Types de signatures
Il existe deux types de signatures :

• Signature atomique : Il s'agit du type de signature le plus simple car un seul paquet, une seule activité ou un seul
événement identifie une attaque.

L'IPS n'a pas besoin de maintenir des informations d'état et l'analyse du trafic peut généralement être effectuée très
rapidement et efficacement.

• Signature composite : Également appelée signature avec état, car l'IPS a besoin de plusieurs éléments de données
pour correspondre à une signature d'attaque.

L'IPS doit également maintenir des informations d'état, ce qui est appelé l'horizon d'événement. La longueur d'un
horizon d'événement varie d'une signature à l'autre.
 Alarmes de signature IPS
• L'alarme de signature d'un capteur IPS est tout ce qui peut signaler de manière fiable une intrusion ou une violation
de la politique de sécurité.

• Il existe quatre catégories de déclencheurs de signature IPS:

➢Pattern-Based Detection:
▪ Mécanisme de déclenchement le plus simple car il recherche un modèle atomique ou composite spécifique et
prédéfini.
▪ Un capteur IPS compare le trafic réseau à une base de données d'attaques connues, et déclenche une alarme ou
empêche la communication si une correspondance est trouvée.

➢Anomaly-Based Detection:
• Elle définit d'abord un profil de ce qui est considéré comme une activité normale du réseau ou de l'hôte.
• Ce profil normal est généralement défini en surveillant le trafic et en établissant une ligne de base.
• Une fois défini, toute activité dépassant un seuil spécifié dans le profil normal génère un déclenchement de
signature et une action.
 Alarmes de signature IPS
➢Policy-Based Detection:
▪ Bien que similaire à la détection basée sur des modèles, un administrateur définit manuellement les
comportements suspects sur la base d'une analyse historique.

▪ L'utilisation de comportements permet à une seule signature de couvrir une classe entière d'activités sans avoir
à spécifier chaque situation individuelle.

➢Honey Pot-Based Detection

▪ La détection basée sur le pot de miel utilise un serveur comme un leurre pour attirer les attaques.

▪ L'objectif d'un serveur leurre est d'attirer les attaques loin des dispositifs de production.

▪ Elle donne aux administrateurs le temps d'analyser les attaques entrantes et les modèles de trafic
malveillant pour affiner les signatures de leurs capteurs.
 Actions de la signature IPS
• Lorsqu'une signature détecte l'activité pour laquelle elle est configurée, la signature déclenche une ou plusieurs
actions. Selon le capteur IPS, diverses actions peuvent être activées.
• Le tableau énumère certaines actions qu'un capteur IPS peut fournir.
 Évaluation des alertes
• Les mécanismes de déclenchement peuvent générer des alarmes qui sont des faux positifs ou des faux négatifs.
Ces alarmes doivent être prises en compte lors de la mise en œuvre d'un capteur IPS.

• Les vrais positifs et les vrais négatifs sont souhaitables et indiquent que l'IPS fonctionne correctement.

• Les faux positifs et les faux négatifs sont indésirables et doivent être examinés.

• True positive : Ceci est utilisé lorsque l'IPS génère une alarme parce qu'il a détecté un trafic d'attaque connu.

L'alerte a été vérifiée comme étant un incident de sécurité réel et indique également que la règle IPS a fonctionné

correctement.

• True négatif : Ceci est utilisé lorsque le système fonctionne comme prévu. Aucune alerte n'est émise car le trafic

qui passe par le système est exempt de menaces.

 Évaluation des alertes
• Faux positif - (Indésirable) : Ceci est utilisé lorsqu'un IPS génère une alarme après avoir traité un trafic
utilisateur normal qui n'aurait pas dû déclencher une alarme.

Les faux positifs sont coûteux car ils doivent faire l'objet d'une enquête.

• Faux négatif - (dangereux) : Ce terme est utilisé lorsqu'un IPS ne parvient pas à générer une alarme et
que les attaques connues ne sont pas détectées. Cela signifie que les exploits ne sont pas détectés par
les systèmes de sécurité en place. L'objectif est de faire en sorte que ces types d'alarme génèrent de

véritables alarmes positives.

 Avantages et inconvénients de l'IPS
Les avantages d'un IPS sont les suivants :

• Un capteur IPS peut être configuré pour supprimer les paquets déclencheurs, les paquets associés à une
connexion, ou les paquets provenant d'une adresse IP source.

• Les capteurs IPS étant en ligne, ils peuvent utiliser la normalisation des flux.

La normalisation du flux est une technique utilisée pour reconstruire le flux de données lorsque l'attaque se produit sur
plusieurs segments de données.

Inconvénients d'un IPS incluent :

• Comme il est déployé en ligne, les erreurs, les défaillances et le fait de submerger le capteur IPS avec un trafic trop
important peuvent avoir un effet négatif sur les performances du réseau.

• Un capteur IPS peut affecter les performances du réseau en introduisant de la latence et de la gigue.

• Un capteur IPS doit être correctement dimensionné et mis en œuvre afin que les applications sensibles au temps,
telles que la VoIP, ne soient pas affectées.
 Caractéristiques communs d’un IDS/IPS
Les technologies IDS et IPS sont toutes deux déployées sous forme de capteurs. Un capteur IDS ou IPS peut prendre
la forme de plusieurs dispositifs différents :

• Un routeur configuré avec le logiciel IPS

• Un dispositif spécialement conçu pour fournir des services IDS ou IPS dédiés.

• Un module matériel installé dans une appliance de sécurité adaptative (ASA), un commutateur ou un routeur.

Les technologies IDS et IPS utilisent des signatures pour détecter des modèles dans le trafic réseau.

Une signature est un ensemble de règles qu'un IDS ou un IPS utilise pour détecter une activité malveillante.

Les signatures peuvent être utilisées pour détecter des violations graves de la sécurité, des attaques courantes du
réseau et pour recueillir des informations.

Les technologies IDS et IPS peuvent détecter des modèles de signatures atomiques (paquet unique) ou des modèles
de signatures composites (paquets multiples).
 Types d’IPS
Il existe deux principaux types d'IPS : les IPS basés sur l'hôte et les IPS basés sur le réseau.
• IPS basé sur l'hôte (HIPS) est un logiciel installé sur un hôte pour surveiller et analyser les activités suspectes.
Un avantage significatif de HIPS est qu'il peut surveiller et protéger le système d'exploitation et les processus
critiques du système qui sont spécifiques à cet hôte.

• HIPS peut surveiller les activités anormales et empêcher l'hôte d'exécuter des commandes qui ne correspondent
pas au comportement habituel. Il est capable de reporter des alertes ou d’y réagir lui-même

• Le trafic réseau peut également être surveillé pour empêcher l'hôte de participer à une attaque par déni de
service (DoS) ou de faire partie d'une session FTP illicite.

• L'inconvénient du HIPS est qu'il ne fonctionne qu'au niveau local. Il n'a pas une vue complète du réseau, ni des
événements coordonnés qui peuvent se produire sur le réseau.

• Pour être efficace dans un réseau, HIPS doit être installé sur chaque hôte et être compatible avec tous les
systèmes d'exploitation.
 Avantages et inconvénient d’un HIPS
• Offre une protection spécifique à un système d'exploitation hôte

• Fournit une protection au niveau du système d'exploitation et de l'application

• Protège l'hôte après le décryptage du message.

Inconvénients :

• Dépend du système d'exploitation

• Doit être installé sur tous les hôtes

 Types d’IPS
• Les NIPS (network IPS) sont des IPS permettant de surveiller l’ensemble du réseau à la recherche de trafic suspect
en analysant l’activité du protocole. L'IPS basé sur le réseau donne aux responsables de la sécurité un aperçu en
temps réel de la sécurité de leurs réseaux, quelle que soit leur croissance.

• Les capteurs NIPS peuvent être mis en œuvre sur une Appliance ,un dispositif de pare-feu , un routeur ou en tant
qu'IPS virtuel de nouvelle génération (NGIPSv) pour VMware.

Le matériel de tous les capteurs NIPS comprend trois composants :

- NIC :Un NIPS doit être capable de se connecter à n'importe quel réseau, tel qu'Ethernet, Fast Ethernet et Gigabit
Ethernet.

- Processeur : La prévention des intrusions nécessite la puissance du processeur pour effectuer l'analyse de détection
des intrusions et la correspondance des modèles.

- Mémoire: L'analyse de la détection des intrusions est gourmande en mémoire. La mémoire affecte directement la
capacité d'un IPS basé sur le réseau à détecter efficacement et précisément une attaque .
 Exemple de déploiement d'un capteur
• Les capteurs détectent les activités malveillantes et non autorisées en temps réel et peuvent prendre des mesures
si nécessaire. Comme le montre la figure, les capteurs sont déployés à des points désignés du réseau. Les
responsables de la sécurité peuvent ainsi surveiller l'activité du réseau pendant qu'elle se produit, quel que soit
l'emplacement de la cible de l'attaque.
 Modes de déploiement: Promiscuous Mode
Les paquets ne passent pas par le capteur en mode promiscuous. Le capteur analyse une copie du trafic surveillé,
et non le paquet réellement transféré. L'avantage de fonctionner en mode promiscuous est que le capteur n'affecte
pas le flux de paquets avec le trafic transféré.

• L'inconvénient du fonctionnement en mode promiscuous est que le capteur ne peut pas empêcher le trafic
malveillant d'atteindre sa cible pour certains types d'attaques, comme les attaques atomiques (attaques par paquet
unique)

Les actions de réponse mises en œuvre par les dispositifs

de détection promiscuous sont des réponses post-événement

et nécessitent souvent l'aide d'autres dispositifs de mise en

réseau pour répondre à une attaque

 Modes de déploiement: Inline Mode
• le fonctionnement en mode en ligne place l'IPS directement dans le flux de trafic et ralentit les taux de
transfert de paquets en ajoutant de la latence

• Le mode inline permet au capteur de stopper les attaques en abandonnant le trafic malveillant avant qu'il n'atteigne
la cible visée, offrant ainsi un service de protection.

• Le dispositif en ligne traite non seulement les informations des couches 3 et 4, mais il analyse également le
contenu et la charge utile des paquets pour détecter les attaques intégrées plus sophistiquées (couches 3 à 7).

• Un capteur IDS peut également être déployé en ligne. L'IDS serait configuré de manière à n'envoyer que des alertes
et à ne laisser passer aucun paquet.
 Autres Types d’IPS
Une déclinaison en WIPS (wireless intrusion prevention system) est parfois utilisée pour évoquer la protection des
réseaux sans-fil .Il surveille un réseau sans fil pour détecter tout trafic suspect en analysant les protocoles de réseau
sans fil.

• Gateway intrusion detection : si un système NIPS est placé en tant que routeur, il bloque le trafic ; sinon il envoie
des messages à d’autres routeurs pour modifier leur liste d’accès.

• Analyse du comportement du réseau NBA (Network Behavior Analysis) : examine le trafic réseau pour identifier
les menaces qui génèrent des flux de trafic inhabituels, telles que les attaques par déni de service distribué (DDoS),
certaines formes de logiciels malveillants et les violations de règles.

• KIPS (kernel intrusion prevention system) qui permettent de détecter toutes tentatives d'intrusion au niveau du
noyau, mais ils sont moins utilisés.
 Honeypots(pots de miel)
Un honeypot est une ressource de sécurité dont le principal est

▪ Mettre en place de faux serveurs avec peu de protection

▪ Tout le traffic vers le honeypot est autorisé.

▪ Tout traffic initié par le honeypot est suspect (souvent dû au fait que le système a été compromis).

Le but est de récolter les traces et les techniques de l’ attaquants.

Deux types de honeypot :

▪ Production. Il s’agît des logiciels classiques. Leur but est d’augmenté la sécurité de l’infrastructure.

▪ Recherche. Il s’agît de mécanisme permettant de récupérer de l’information sur les pirates et les attaques
qu’ils utilisent.

C’ est un système ou serveur volontairement vulnérable destiné à leurrer et à piéger les pirates.
 Honeypots(pots de miel)
• Avantages :

- Les informations récupérées à partir de honeypots ont de la valeur (personne d’autre qu’un pirate
n’est censé se connecter dessus).

- Pas de problèmes de saturation de la ressource vu que la traffic dirigé vers le honeypot est très ciblé.

- Permettent de mettre en évidence de l’activité suspecte etc ...

• Inconvénients :

- Vision étroite (on ne voit que ce qui est destiné au honeypot).

- Les honeypots laissent souvent une empreinte qui fait qu’on peut les reconnaître.

- En laissant une machine sans défense, le honeypot pause un problème en cas de compromission.
 Considérations sur le déploiement
• Un IPS et un IDS peuvent être déployés à la fois. L'utilisation de l'une de ces technologies n'empêche pas
l'utilisation de l'autre. En fait, les technologies IDS et IPS peuvent se compléter.

• Par exemple, un IDS peut être mis en œuvre pour valider le fonctionnement de l'IPS car l'IDS peut être configuré
pour une inspection approfondie des paquets hors ligne.

• Cela permet à l'IPS de se concentrer sur des modèles de trafic moins nombreux mais plus critiques en ligne.

• Le choix de l'implémentation à utiliser dépend des objectifs de sécurité de l'organisation, tels qu'ils sont définis
dans sa politique de sécurité du réseau.
155

THANKS!