Introduction à la sécurité informatique

(1)

INFORMATIQUE APPLIQUÉE: CSI 3203

INTRODUCTION À LA SÉCURITÉ

Rachel Akimana

(2)

Avant-propos

L’Université Virtuelle Africaine (UVA) est fière de participer à accès à l’éducation dans les pays africains en produisant du matériel d’apprentissage de qualité. Nous sommes également fiers de contribuer à la connaissance globale, pour nos ressources éducatives sont principalement accessibles de l’extérieur du continent africain.

Ce module a été développé dans le cadre d’un programme de diplôme et diplôme en

informatique appliquée, en collaboration avec 18 institutions partenaires dans 16 pays africains.

Un total de 156 modules ont été développés ou traduits pour assurer la disponibilité en anglais, français et portugais. Ces modules sont également disponibles en tant que ressources éducatives ouvertes (OER) à oer.avu.org.

Au nom de l’Université Virtuelle Africaine et notre patron, nos institutions partenaires, la Banque africaine de développement, je vous invite à utiliser ce module dans votre

établissement, pour leur propre éducation, partager aussi largement que possible et participer activement aux communautés AVU de pratique d’intérêt. Nous nous engageons à être à l’avant-garde du développement et de partage ouvert de ressources pédagogiques.

L’Université Virtuelle Africaine (UVA) est une organisation intergouvernementale

panafricaine mis en place par lettre recommandée avec un mandat d’augmenter l’accès à l’enseignement supérieur et de formation de qualité grâce à l’utilisation novatrice des technologies de communication de l’information. Une charte instituant la UVA Organisation intergouvernementale, signée à ce jour par dix-neuf (19) Les gouvernements africains - Kenya, Sénégal, Mauritanie, Mali, Côte d’Ivoire, Tanzanie, Mozambique, République démocratique du Congo, Bénin, Ghana, République de Guinée, le Burkina Faso, le Niger, le Soudan du Sud, le Soudan, la Gambie, la Guinée-Bissau, l’Ethiopie et le Cap-Vert.

Les institutions suivantes ont participé au programme informatique appliquée: (1) Université d’Abomey Calavi au Bénin; (2) University of Ougagadougou au Burkina Faso; (3) Université Lumière Bujumbura Burundi; (4) Université de Douala au Cameroun; (5) Université de

Nouakchott en Mauritanie; (6) Université Gaston Berger Sénégal; (7) Université des Sciences, Techniques et Technologies de Bamako au Mali (8) Institut de la gestion et de l’administration

publique du Ghana; (9) Université des sciences et de la technologie Kwame Nkrumah au Ghana; (10) Université Kenyatta au Kenya; (11) Université Egerton au Kenya; (12) Université d’Addis-Abeba en Ethiopie (13) Université du Rwanda; (14) University of Salaam en Tanzanie Dar; (15) Université Abdou Moumouni Niamey Niger; (16) Université Cheikh Anta Diop au Sénégal; (17) Université pédagogique au Mozambique; E (18) L’Université de la Gambie en Gambie.

Bakary Diallo le Recteur

Université Virtuelle Africaine

(3)

Crédits de Production

Auteur

Rachel Akimana

Pair Réviseur

Mohamed Vall

UVA – Coordination Académique

Dr. Marilena Cabral

Coordinateur global Sciences Informatiques Apliquées

Prof Tim Mwololo Waema

Coordinateur du module

Robert Oboko

Concepteurs pédagogiques

Elizabeth Mbasu Benta Ochola Diana Tuel

Equipe Média

Sidney McGregor Michal Abigael Koyier

Barry Savala Mercy Tabi Ojwang

Edwin Kiprono Josiah Mutsogu

Kelvin Muriithi Kefa Murimi

Victor Oluoch Otieno Gerisson Mulongo

(4)

Droits d’auteur

Ce document est publié dans les conditions de la Creative Commons Http://fr.wikipedia.org/wiki/Creative_Commons

Attribution http://creativecommons.org/licenses/by/2.5/

Le gabarit est copyright African Virtual University sous licence Creative Commons Attribution- ShareAlike 4.0 International License. CC-BY, SA

Supporté par

Projet Multinational II de l’UVA financé par la Banque africaine de développement.

(5)

Table des matières

Avant-propos 2

Crédits de Production 3

Droits d’auteur 4

Supporté par 4

Aperçu du cours 9

Bienvenue à l’ introduction to Computer Security 9

Les objectifs du cours 9

Pre requis 9

Les unités 9

Méthodes d’évaluation 10

Unite 1 . Introduction aux concepts fondamentaux de la sécurité informatique 11

Introduction 11

Mots clés : 11

Objectifs de l’unité 12

Activité d’apprentissage 12

Les principes de la sécurité informatique 13 Conclusion 14

Unité 2 Les attaques aux principes de la sécurité informatique et les mécanismes de prévention 15

Introduction 15

Les attaques selon leur aspect théorique 15

Les attaques passives 16

Les attaques actives 16

Virus 18

(6)

Cheval de Troie 18

Les spywares 18

La porte dérobée 18

Le rootkit 18

Ecoute sur le réseau 18

Intrusion 19

2. Les mécanismes de prévention 19 introduction 19 Le chiffrement et la signature au niveau application : cas de SSL 21 Le chiffrement et la signature au niveau réseau : cas de IPSec 22 Analyse des risques 23 Evaluer les performances d’un système 23 Le suivi-évaluation de l’application des règles et procédures 23 L’analyse des dommages 24 Evaluer une période de changement ou de migration 24 La Norme américaine TCSEC 24 Norme européenne ITSEC 25 Les 5 premières rubriques sont équivalentes à celles de l’Orange Book de TCSEC. 26 Les niveaux d’assurance sont de 2 types : 26 Les différentes approches 28

Conclusion Mots clés 15

Unité 3. Les logiciels malveillants et la sécurité logicielle 29

Introduction 29

1 Types de logiciels malveillants 29

Introduction 29

(7)

Types de logiciels malveillants 29

Les parties d’un virus informatique 29

Les quatre phases d’un virus informatique 30

Comment limiter les impacts d’une attaque d’un virus informatique 30

Les vers 30

La structure d’une attaque par un ver est la suivante: 31 Comment limiter les impacts d’une attaque par des vers 31

Les chevaux de Troie et spams 33

Comment limiter l’action des spams et des chevaux de Troie 33

Conclusion 33

2 Corruption du système et le vol d’information 33

La corruption d’un système informatique 33 Le vol d’information 33 Les logiciels éspions Conclusion Conclusion de l’unité

Unité 4. Les proprieties de la sécurité informatique et les infrastructures de sécurité 34

Introduction 34

Mots clés 34

Mécanismes d’authentification 34

Authentification par mot de passe 35

Attaques sur le mot de passe 35

Méthode de question-réponse 35

Authentification biométrique 36

L’authentification biométrique procède généralement par deux étapes 36 Les caractéristiques des données biométriques 36

Distance entre profils biométriques 37

Erreurs d’identification biométriques 37

(8)

Authentification à distance 37 Les infrastructures de sécurité 37

Cartes à puces 37

Cartes mémoire 38

Le contrôle d’accès 38

Les entités 38

Types de contrôle d’accès 40

Conclusion 41

Les infrastructures de contrôle d’accès et de détection d’intrusion 41

Introduction 41

1. Pare-feux ou Firewall 41

Introduction 41

Les principes de filtrage 41

Filtrage par paquet 41

Filtrage au niveau application 42

Zone démilitarisée 42

Activité d’apprentissage 42

Introduction 42

Principe de fonctionnement d’un IDS 44

Conclusion 44 Réferences Matériel

(9)

Aperçu du cours

Aperçu du cours

Bienvenue à l’ introduction to Computer Security

Le module sur l’introduction à la sécurité informatique offre les compétences à l’analyse et le diagnostic des problèmes de sécurité pouvant survenir dans un système d’information ou dans un réseau ainsi que la mise en œuvre des mécanismes de prévention. Les principes de fonctionnement des logiciels et du matériel de sécurité sont aussi abordés.

A la fin de ce module les étudiants devront maîtriser les concepts de la sécurité informatique et être à mesure de concevoir et d’implémenter une politique de sécurité pour une entreprise donnée

Les objectifs du cours

A la fin de ce cours l’étudiant devra maîtriser les notions :

• Les concepts de la sécurité informatique

• Les principes et services de la sécurité informatique

• Les risques, les menaces et les attaques à la sécurité informatique

• Les mécanismes de prévention

• les logiciels malveillants et les mesures de contre Le rôle et l’impact de la sécurité informatique dans la vie de tous les jours

Pre requis

• Introduction à l’informatique appliquée

• Réseaux informatiques

Les unités

• Unit 1: Les concepts généraux de la sécurité informatque

Cette unite donne une introduction aux concepts de base de la sécurité informatique, les modèles de sécurité et les principles de la sécurité informatique

• Unit 2: Les attaques à la sécurité informatique

Cette unite se focalise sur les different types d’attaques et leur mode d’action

• Unit 3: Les logiciels malveillants et les measures de contre-attaques

Cette unité se focalise sur les logiciels malveillants et sur les méthodes permettant de limiter leurs impacts

• Unit 4: Les infrastructures de sécurité

(10)

This unit introduces different authentication methods

Méthodes d’évaluation

Evaluation sommative pendant le cours pour votre si l’étudiant a compris la leçon du jour Evaluation continue sous forme de mini-test

Evaluation final à la fin de l’unité

1 Questions pendant le cours, devoirs et projets

30%

2 Mini-Test en evaluation continue

20%

3 Examen final 50%

(11)

Unite 1 . Introduction aux concepts fondamentaux de la sécurité informatique

Unite 1 . Introduction aux concepts fondamentaux de la sécurité

informatique

Introduction

Dans la gestion automatisée des systèmes d’information, la sécurité de l’information

n’apparaît pas d’office comme un besoin primordial au même titre que la fiabilité et l’efficacité.

Parfois même la sécurité va à l’encontre de ces objectifs premier de l’informatique. En effet, l’introduction d’un module de sécurité (pour le chiffrement par exemple) dans une application aura pour effet l’augmentation de la complexité de l’application d’une façon plus ou moins sensible par l’utilisateur. Il faut alors trouver un juste milieu entre des applications lourdement sécurisées et difficilement applicables et les applications légèrement sécurisées mais plutôt confortable vis à vis de l’utilisateur.

Quoi qu’il en soi à partir du moment où l’informatique s’invite dans la vie de tous les jours jusque même dans la gestion de nos données privées, il devient incontournable d’en assurer la sécurité quelqu’en soit le prix en termes de complexité. Les mécanismes de sécurité ont beaucoup évolué en passant du simple mot de passe pour s’identifier à l’utilisation des protocoles à apport nul de connaissances. Le fait est que la sécurité informatique a toujours évolué avec la technologie. Surtout avec l’arrivée de l’Internet et des grands réseaux, il a fallu que la sécurité informatique s’adapte pour toujours assurer la sécurité de l’information transitant sur les canaux non sécurisées et partagées par des entités ne partageant aucune convention.

Mots clés :

Modèle de sécurité principes de la sécurité confidentialité

intégrité

authentification disponibilité

non répudiation

(12)

Objectifs de l’unité

A la fin de cette unité, l’étudiant devrait maitriser les notions de modèle de sécurité, services de sécurité.

Activité d’apprentissage

1. Les modèles de sécurité

Une organisation voulant sécuriser son système pourra adopter différentes approches consistant à circonscrire son périmètre de sécurité :

• absence de sécurité : une entreprise qui adopte cette approche ne met rien en œuvre pour sécuriser son patrimoine informatique

• sécurité par obscurité : cela suppose qu’une entreprise a implémenté un certain nombre de mesures de sécurité mais qui doivent rester secrets. Il devient alors impossible de les évaluer pour en apprécier l’efficacité.

• sécurité par entité individualisée : avec cette approche, chaque ordinateur de l’entreprise sera sécurisé individuellement et cela sans tenir de compte du contexte général de l’entreprise. Cette approche peut être difficile à mettre en œuvre au sein de grandes entreprises avec un grand patrimoine informatique.

• la sécurité réseau : une entreprise qui adopte ce modèle s’attèlera à verrouiller et à contrôler les entrées au réseau de l’entreprise. Il est à noter que les deux dernières approches ne sont pas exclusives. Une sécurité réseau pourra être renforcée par une sécurité par postes surtout s’il y a des éléments auxquels on ne fait pas confiance à l’intérieur du réseau.

Activité d’apprentissage

2. Les politiques de sécurité

Une politique de sécurité se généralement traduit dans un document où l’on énonce

clairement les procédures de sécurité en vigueur dans une entreprise. Une bonne politique de sécurité doit tenir compte de :

• coût de son implémentation : il faudrait voir si l’entreprise a les moyens financiers pour la mettre en œuvre

• l’applicabilité de la politique : il faudrait voir si les procédures proposées tiennent compte de l’aspect culturel, légal et religieux propre aux gens concernés par cette politique de sécurité.

Pour une meilleure adoption, les clauses de la politique devraient être expliquées clairement aux personnes qui devront l’appliquer, en visant à expliquer les rôles et les responsabilités de tout en chacun. Et cela en essayant d’utiliser un langage compréhensible par chacun. Ce qui n’est pas toujours évident pour les informaticiens. Les mécanismes de suivi de cette politique devraient être aussi définis. Enfin,la politique doit être à mesure de gérer les exceptions et être adaptée périodiquement.

(13)

Unite 1 . Introduction aux concepts fondamentaux de la sécurité informatique

3. Activité d’apprentissage

Les principes de la sécurité informatique

Pour illustrer le cas, partons de l’exemple suivant relevant de la vie de tous les jours : une personne A voudrait envoyer un chèque bancaire de 100 USD à son ami B. Normalement A va mettre le cheque dans une enveloppe en s’assurant qu’elle est bien fermée, la donner au facteur qui se chargera de la faire parvenir à B. Concernant la sécurité du chèque, la sécurité du chèque, A pourrait exiger

certaines précautions :

• A pourrait exiger qu’aucune personne à part B ne puisse lire le contenu de la lettre. Si par mégarde quelqu’un cherche à lire le contenu, A fera en sorte que ce denier soit incompréhensible pour une personne autre que B. Dans ces conditions, le principe de la sécurité qui est exigé est la confidentialité

• A pourrait prendre des précautions pour éviter qu’une tierce personne ne puisse modifier le contenu de la lettre particulièrement le montant du chèque. Avec cette exigence, le principe de la sécurité qui devrait être assuré est l’integrité

• De son côté B après réception de la lettre voudrait s’assurer qu’elle vient

effectivement de son ami A non pas d’une autre personne qui se fait passer pour A. Il doit mettre en oeuvre des mécanismes permettant de s’en assurer. On dira qu’il procède à l’authentification de A.

• Qu’est ce qui adviendrait si B après avoir encaissé le chèque, A réfute avoir émis un tel chèque auprès de sa banque. Cette dernière devra alors mettre en œuvre des mécanismes lui permettant d’empêcher B de répudier l’émission du chèque.

Et le principe de la sécurité qui sera assuré est la non répudiation.

Ces quatre exigences constituent les principes de base de la sécurité informatique auxquels on peut adjoindre deux autres principes non relatifs à des données en particulier mais à un système informatique dans son entièreté. Il s’agit du contrôle d’accès et de la disponibilité.

Revenons sur chaque principe en détail.

1. La confidentialité

Le principe de la confidentialité assure qu’uniquement le destinateur et le destinataire d’un message sont les seuls à pouvoir prendre connaissance du contenu du message. Elle sera compromise si une tierce personne parvient à lire et comprendre le contenu du message.

Supposons qu’un utilisateur travaillant sur un ordinateur A envoie un message à un ami travaillant sur un ordinateur B et que malheureusement un utilisateur travaillant sur l’ordinateur C parvient à capturer le message et à le lire, cassant ainsi le principe de la confidentialité. On dira dans ce cas qu’il y a eu une interception.

2. L’authentification

L’authentification aide à prouver l’identité de l’auteur d’une action électronique. Par exemple si un utilisateur envoie sur Internet un message ou un tout autre document à un utilisateur B, le processus d’authentification consistera à prouver à B que le message provient effectivement

(14)

de C non pas d’une autre personne se passant pour B et de s’assurer que le message est bel et bien celui qui a été envoyé par C. La fabrication est l’une des attaques connue contre l’authentification. Supposons qu’une personne C se passant pour A envoie à la banque de A une demande de transfer de fonds du compte de A vers celui de C. Si aucune vérification n’est mise en œuvre pour authentifier la demande, C pourra sans aucun problème encaisser illégalement l’argent de A.

3. L’intégrité

Lorsque le contenu d’un message est modifié après que son auteur l’ait envoyé mais avant d’arriver à son destinataire, on dit qu’il y a une attaque à l’intégrité du message. La modification est une des attaques reconnue à l’intégrité. Supposons pour cela qu’un

commerçant émet un chèque de 100 USD pour payer les marchandises qu’il a commandées et qu’il retrouve plus tard que la banque a plutôt crédité son compte d’une somme de 1000 USD.

Ceci constitue une attaque à l’intégrité dite modification qui pourrait être menée par une tierce personne qui a récupéré le chèque et qui l’a modifié à l’insu du commerçant.

4. La non répudiation

Il y a des situations où un utilisateur envoie un message et réfute plus tard avoir envoyé le message. Par exemple supposons qu’un utilisateur A envoie à sa banque une demande de transfer de fonds et que plus tard il réfute avoir émis la demande. Nous disons que l’utilisateur a répudié la demande de transfert. Normalement les mécanismes de non répudiation

permettent d’éviter que de tels cas se produisent. En les mettant en œuvre correctement ils devraient permettre de lier un auteur aux actions dont il est responsable.

5. Le contrôle d’accès

Le contrôle d’accès détermine qui a droit d’accès à une ressource et ce qu’il peut faire sur la ressource. Il spécifiera par exemple si un utilisateur peut avoir droit à lire les données dans une base de données sans pouvoir les modifier ni les mettre à jour. Par contre un autre utilisateur pourra lire modifier et mettre à jour la même base de données. Le contrôle d’accès se présente sous forme d’une matrice dont les lignes définissent les utilisateurs et les colonnes définissent les ressources. Dans une cellule de la matrice on trouvera les droits d’un utilisateur donné vis à vis d’une ressource donnée.

6. La disponibilité

La disponibilité comme principe de sécurité devrait assurer qu’une ressource donnée est accessible aux utilisateurs autorisés et aux moments convenus. Si par exemple un utilisateur A ne parvient pas à atteindre un serveur auquel il a droit d’accès, on dira qu’il a eu une attaque à la disponibilité qui est une interruption.

Conclusion

Cette unité aborde les principes de base de la sécurité informatique. Les différentes approches pouvant être adoptées pour implémenter une politique de sécurité ont été présentées. Suivant la nature des données traitées ou échangées et suivant leur sensibilité certains services de sécurité pourraient être plus privilégiés que d’autres.

(15)

Unité 2 Les attaques aux principes de la sécurité informatique et les mécanismes de prévention

Unité 2 Les attaques aux principes de la sécurité informatique et les mécanismes de prévention

Introduction

Dans le chapitre précédent nous avons défini les principes de la sécurité informatiques. Dans la présente unité, nous présentons les attaques à l’encontre de ces principes ainsi que leur mode d’action.

Objectifs de l’unité

A la fin de cette unité, l’étudiant devra être à mesurer d’identifier les attaques, définir leur mode d’action et de définir les méthodes de prévention.

Mots clés

attaques

mécanismes de prévention

Activité d’apprentissage

1. Les attaques

Les attaques sur des ordinateurs ou sur des réseaux informatiques en général peuvent être classées en deux catégories. On peut les classer en tenant compte de leur aspect théorique ou de leur aspect pratique.

Les attaques selon leur aspect théorique

Cette classification tiendra compte des principes de la sécurité qui sont compromis par ces attaques. Elles peuvent être soit une interception, une fabrication, modification ou encore une interruption.

A l’intérieur de cette classification, on peut y trouver des attaques qui sont plutôt passives et d’autres qui sont actives.

(16)

Les attaques passives

Les attaques passives sont de ces attaques par lesquelles l’attaquant espionne le réseau de communication sans rien entreprendre de plus si ce n’est que récolter l’information passant sur le canal en écoute. Ce genre d’attaques est difficile à détecter c’est pour cela que l’on met plus d’efforts à les prévenir plutôt qu’à les détecter. Dans cette catégorie on trouve les attaques du type divulgation de l’information ou de simple analyse du trafic. La divulgation de l’information : ici il s’agit particulièrement d’une information qualifiée de confidentielle par son expéditeur. Généralement ce dernier pourrait effectuer des transformations sur l’information pour la rendre incompréhensible aux personnes non autorisées. Si de tels messages

transformés passent sur un réseau public qui est sur écoute, l’attaquant passif pourrait essayer d’établir des similitudes entre les messages, faire des analyses statistiques sur les messages en vue d’obtenir le message échangé. Cette attaque est appelée analyse du trafic aboutissant à une divulgation de l’information.

Les attaques actives

Contrairement aux attaquants passifs, les attaquants actifs peuvent mener des actions visant à modifier les données voire même à introduire des données erronées sur le réseau de communication. Ce genre d’attaques est difficile à prévenir mais par contre il est facile de les détecter. On peut les classer en trois

catégories :

• l’usurpation d’identité qui se produit quand une entité non reconnue dans un système usurpe l’identité et les droits d’une autre entité qui est reconnue par le système.

• Les modifications pouvant prendre la forme d’une attaque par rejeux ou une simple altération des messages échangés

• Le déni de service empêchant les utilisateurs autorisés à accéder aux services auxquels ils ont droit.

2. Les attaques selon leur aspect pratique

Si l’on considère leur aspect pratique, les différentes attaques que l’on vient de voir dans la section précédente peuvent être classées en deux catégorie :

• Les attaques de niveau application par lesquelles un attaquant essaie d’empêcher l’accès à une application ou de modifier d’une façon ou d’une autre une

• Les attaques de niveau réseau par lesquelles, l’attaquant s’en prend au réseau en vue de le ralentir ou tout simplement de l’arrêter.

Cependant il faut noter que la limite entre les deux types d’attaques n’est pas assez claire car l’on peut passer par le réseau pour atteindre une application se trouvant dans le réseau.

3. Quelques exemples d’attaques

• Le deni de service

(17)

Le déni de service, connu sous le titre anglophone de “Denial Of Service” ou encore DOS, est une attaque réalisée dans le but de rendre indisponible durant une certaine période les services ou ressources d’une organisation. Généralement, ce type d’attaque a lieu contre des machines, serveurs et accès d’une entreprise afin qu’ils deviennent inaccessibles pour leurs clients. Le but d’une telle attaque n’est pas d’altérer ou de supprimer des données, ni même de voler une quelconque information. Il s’agit ici de nuire à la réputation de sociétés présentes sur Internet en empêchant le bon fonctionnement de leurs activités.

La réalisation d’un déni de service n’est pas très compliquée, mais pas moins efficace. Il est possible d’attaquer tout type d’équipements réseau tel que les serveurs, routeurs et Switchs.

Nous pouvons diviser les impacts des attaques DOS en deux catégories :

• Les dénis de service par saturation qui consistent à submerger une machine de requêtes, afin qu’elle ne soit plus capable de répondre aux demandes réelles.

• Les dénis de service par exploitation des vulnérabilités qui consistent à exploiter une faille du système cible afin de le rendre inutilisable.

Le principe de ces attaques est d’envoyer des paquets ou des données de taille

ou de constitution inhabituelle, afin de provoquer une saturation ou un état Instable des équipements victimes et de les empêcher ainsi d’assurer les services réseau qu’elles sont sensées offrir. Dans certains cas extrêmes, ce type d’attaque peut conduire au crash de l’équipement cible. Le déni de service est donc un type d’attaque qui coûte très cher puisqu’il interrompt le cours normal des transactions d’une organisation. Sachant qu’à l’heure actuelle, les sommes et les enjeux d’une entreprise sont généralement énormes, cela peut poser de graves problèmes si une telle situation se produit

ne fût-ce que quelques heures. Les contre-mesures sont compliquées à mettre en place et doivent être spécifiques à un type d’attaque. Etant donné que les attaques par déni de service utilisent

les services et protocoles normaux d’Internet, s’en protéger reviendrait à couper les voies de communications normales, sachant qu’il s’agit de la raison d’être principale des machines concernées (Site web, Messagerie, Extranet,. . .). Il faut donc essayer se protéger au mieux de certains comportements anormaux, ce qui implique notamment la vérification de l’intégrité des paquets, la surveillance du trafic, établissement de profils types et de seuils. On est donc loin de la protection absolue, mais il est tout de même possible de se protéger

de façon intelligente et flexible.

4. Autres attaques

(18)

Virus

Un virus est un exécutable qui va exécuter des opérations plus ou moins destructrices sur votre machine. Les virus existent depuis que l’informatique est née et se propageaient initialement par disquettes de jeux ou logiciels divers sur Internet. Les virus peuvent contaminer une machine de plusieurs manières : Téléchargement de logiciel puis exécution de celui-ci sans précautions, Pièce jointe de courrier électronique (exécutable, script type vbs. . . ), exploitation d’un bug du logiciel de courrier .

Cheval de Troie

L’image retenue de la mythologie est parlante ; le pirate, après avoir accédé à votre système, il installe un logiciel qui va, à votre insu, lui transmettre par Internet ou via d’autres canaux, les informations de vos disques durs. Un tel logiciel, aussi appelé trojan, peut aussi être utilisé pour générer de nouvelles attaques sur d’autres serveurs en passant par le votre. Certains d’entre eux sont des “ key logger “ c’est à dire qu’ils enregistrent les frappes faites au clavier. La première mesure de protection face aux attaques est de sécuriser au maximum l’accès à votre machine et de mettre en service un antivirus régulièrement mis à jour. Un nettoyeur de troyens peut aussi s’avérer utile.

Les spywares

Les spywares sont des logiciels espions qui ne posent pas, à priori, de problème de sécurité mais plutôt celui du respect de la vie privée. Plusieurs logiciels connus se

permettent de renvoyer vers l’éditeur des informations concernant l’usage du logiciel mais aussi sur les habitudes ou la configuration de l’utilisateur, et ceci au mépris de la loi.

La porte dérobée

La porte dérobée (backdoor) permet d’ouvrir un accès réseau frauduleux sur un système informatique. Il est ainsi possible d’exploiter à distance la machine

Le rootkit

Il s’agit ensemble de logiciels permettant généralement d’obtenir les droits

d’administrateur sur une machine, d’installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d’effacer les traces laissées par l’opération dans les journaux système.

Ecoute sur le réseau

L’écoute sur le réseau (sniffer) : il existe des logiciels qui, à l’image des analyseurs de

réseau, permettent d’intercepter certaines informations qui transitent sur un réseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). La meilleure parade est l’utilisation de mot de passe non rejouable, de carte à puce ou de calculette à mot de passe.

(19)

Intrusion

L’ intrusion dans un système informatique a généralement pour but la réalisation d’une menace et est donc une attaque dont les conséquences peuvent être catastrophiques : vol, fraude, incident diplomatique, chantage etc.. Le principal moyen pour prévenir les intrusions est le coupe-feu (“firewall”). Il est efficace contre les fréquentes attaques de pirates amateurs, mais d’une efficacité toute relative contre des pirates expérimentés et bien informés. Une politique de gestion efficace des accès, des mots de passe et

l’étude des fichiers de loggs peut être complémentaire.

Le social engeneering

Par le social engeneering en utilisant les moyens usuels (téléphone, email. . . ) et en usurpant une identité, un pirate cherche à obtenir des renseignements confidentiels auprès du personnel de l’entreprise en vue d’une intrusion future. Seule une formation du personnel permet de se protéger de cette attaque.

Activité d’apprentissage

2. Les mécanismes de prévention introduction

Devant la variété et la multiplicité des attaques, la sécurité informatique doit prendre le devant en développant des mécanismes pour prévenir dans le meilleur des cas ces attaques. Etant donné qu’il y a des attaques que l’on ne sait pas prévenir, il doit y avoir des mécanismes permettant de les détecter enfin de limiter leur impact sur le système attaqué. Tout comme les attaques qui sont soit de niveau application ou de niveau réseau, les mécanismes de sécurités peuvent être implémentés à différents niveaux du modèle réseau. L’on verra que certains des parades de sécurité relèvent de la cryptographie bien qu’il y ait aussi des mécanismes de sécurité qui n’ont rien à voir avec la cryptographie.

1. Chiffrement

Le chiffrement est une des méthodes cryptographiques permettant d’assurer la confidentialité des informations stockées ou échangées sur des canaux non sécurisée. Lorsqu’un message confidentiel est stocké sur un support non sécurisé ou s’il est envoyé sur un canal de

communication non sécurisé, il devrait être protégé. Soient M l’ensemble des messages claires, C l’ensemble des messages chiffrés, K l’ensemble des clés. Soient encore E l’algorithme de chiffrement et D l’algorithme de déchiffrement. Un schéma de chiffrement consiste en un quintuplet (M;C;K;E;D) tel que pour tout k et des éléments de K, il existe et tel que pour tout message claire ; on a

• si M = C, alors notre chiffrement est une permutation ;

• si k = k alors le chiffrement est symétrique ;

• si est différent de k mais l’un pouvant être déduit de l’autre;alors le chiff rement est dit asymétrique

(20)

2. La signature digitale

La signature digitale constitue un mécanisme de sécurité qui va souvent de paire avec le chiffrement mais qui assure plutôt leur authenticité. La signature est une inscription qu’une personne fait de son nom (sous forme particulière et constante) pour affirmer l’exactitude, la sincérité d’un écrit ou en assumer la responsabilité. En effet, apposer sa signature fait partie de la quotidienneté. Le geste semble relever de la banalité. Cependant, la signature demeure une représentation de soi qu’on offre au regard d’autrui et à l’ensemble de la société. Dans tous les cas, la signature engage la responsabilité du ou des signataires. Cette signature authentifie une œuvre artistique, littéraire, intellectuelle ou un contrat. Sans que nous nous en rendions compte, notre signature implique notre responsabilité dans l’établissement des actes les plus courants. La signature remplit deux fonctions juridiques principales :

• l’identification de l’auteur et la manifestation de son consentement. La signature digitale est le pendant électronique à la signature manuscrite, mais la signature digitale est liée au document signé,elle n’est pas comparée à une signature témoin mais elle est vérifiée algorithmiquement enfin elle est universellement vérifiable

• Une signature digitale apporte la non-répudiation à l’origine. En effet le signataire ne peut convaincre un tiers qu’il n’est pas le signataire, il ne peut pas répudier sa signature.

Une signature digitale est produite par un algorithme de génération de signatures digitales et est vérifiée par un algorithme de vérification de signatures digitales.

Il existe deux classes de schémas de signatures :

• avec appendice où le message original doit être fournit à l’algorithme de vérification

• avec recouvrement où le message original est récupéré à partir de la signature.

Soient M un ensemble fini de messages, MS un ensemble fini de messages signables, S un ensemble fini de messages signés et K un ensemble fini de paires de clés (publique et secrète). Pour toute paire de clé publique et secrète ( , ), il existe un algorithme de signature avec recouvrement qui applique une fonction de

R : M → M

_s et un algorithme de vérification correspondant : tels que la signature d’un message x est

si alors la signature est accepté sinon la signature est rejetée.

• Signatures avec appendices : chaque signataire a une clé privée pour signer et une clé publique correspondante pour vérifier les signatures produites. Soient M un ensemble fini de messages, S un ensemble fini de signatures et K un ensemble fini de paires de clés (publique et secrète). Pour toute paire de clés publique et secrète il existe un algorithme de signature avec appendice et un algorithme de vérification correspondant tels que la signature d’un message x est :

(21)

La signature et le chiffrement sont souvent intégrés dans un kit de protection software (implementation d’un protocole se sécurité) ou hardware (VPN). Ces méthodes peuvent aussi être implémentés à différents niveaux du modèle réseau. En guise d’exemple nous allons voir le protocole SSL qui est implémenté au niveau application et le protocole IPsec qui peut être installé à l’entrée d’un réseau créant ainsi un tunnel de communication entre deux ou plusieurs sites.

Le chiffrement et la signature au niveau application : cas de SSL

Placer la sécurité au niveau de la couche Transport (ou à un niveau intermédiaire entre le transport et les applications4) pour des communications sur Internet, telle était l’idée de Netscape en 1995, quand il a proposé un paquetage de sécurité SSL (Secure Socket Layer) dans son célèbre navigateur. SSL construit une connexion sécurisée entre deux sockets (d’où son nom) avec négociation de paramètres de sécurité (suite cryptographiques)et

authentification mutuelle des deux extrémités. SSL est utilisé, par exemple, pour les paiements électroniques en ligne. Une session chiffrée permet l’envoi du numéro de carte bancaire. Le chiffrement utilise l’algorithme RSA pour l’authentification et un algorithme symétrique (DES, IDEA, 3DES. . . ) pour garantir la confidentialité de la transmission. On y ajoute une fonction de hachage comme MD5 pour assurer l’intégrité de la transmission. SSL a connu un énorme succès. La plupart des navigateurs Web ont par la suite intégré SSLv2 (version 2) puis SSLv3 (version 3) et aujourd’hui TLSv1 (Transport Layer Security, version 1). En effet, l’IETF (Internet Engineering Task Force) a standardisé la version 3.1 et l’a rebaptisée TLS dans la RFC 2246.

Quand une transaction est sécurisée, les navigateurs affichent généralement un cadenas fermé dans un coin de l’écran. Dans la pile de protocole TCP/IP, SSL se situe entre les couches Applications et la couche Transport TCP. SSL fonctionne de manière indépendante par rapport aux applications qui l’utilisent. Son utilisation la plus courante est avec HTTP, le protocole de transport des données des pages Web. L’utilisateur choisit dans

son navigateur d’employer la navigation classique (HTTP) ou la navigation sécurisée (HTTPS), ce qui se lit dans l’URL affichée. HTTPS signifie en fait http avec mécanismes de sécurité SSL. Les échanges définis par le protocole SSL se déroulent en deux phases successives, l’authentification du serveur puis celle du client. Recevant une requête d’un client, le serveur envoie son certificat au client et la liste des algorithmes qu’il peut utiliser. Le client vérifie la validité du certificat à l’aide de la clé publique de l’autorité de certification contenue dans le navigateur. Si le certificat est valide, le client génère une première clé

qu’il envoie au serveur chiffrée avec la clé publique du serveur. Cette clé servira à calculer une clé de session pour les données échangées par la suite entre le client et le serveur. Le serveur peut demander au client de s’authentifier (cette authentification du client est facultative). Le client répond en envoyant son certificat et des informations sur la session et le contenu des échanges précédents qu’il signe avec sa clé privée. Le serveur pourra vérifier qu’il s’agit bien du client prétendu en utilisant la clé publique de ce dernier.

(22)

Le chiffrement et la signature au niveau réseau : cas de IPSec

On a conçu IPSec (Internet Protocol Security) pour sécuriser le protocole IPv6. La lenteur de déploiement de ce dernier a imposé une adaptation d’IPSec à l’actuel protocole IPv4. Plusieurs RFC successives décrivent les différents éléments d’IPSec : RFC 2401, 2402, 2406, 2408. . . On établit un tunnel entre deux sites, et IPSec gère l’ensemble des paramètres de sécurité associés à la communication. Deux machines passerelles, situées à chaque extrémité du tunnel, négocient les conditions de l’échange des informations : quels algorithmes de chiffrement, quelles méthodes de signature numérique ainsi que les clés utilisées pour ces mécanismes.

La protection est apportée à tous les traffics et elle est transparente aux di_érentes applications. IPSec prévoit la définition de la politique de sécurité avec le choix des algorithmes utilisés et leur portée. On peut mettre en oeuvre l’authenti_cation soit en supposant que les deux extrémités se partagent déjà un secret pour la génération de clés de sessions, soit en utilisant des certificats et des signatures RSA. Les machines passerelles traitent ensuite les données avec la politique de sécurité associée. A titre d’exemple, il est possible d’authentifier les adresses IP utilisées ainsi que les données grâce à une signature numérique puis chiffrer l’ensemble du paquet IP en l’encapsulant dans un nouveau paquet. Cela a pour effet de rendre le paquet inexploitable par un utilisateur non autorisé. En effet, IPSec propose ensuite deux mécanismes au choix pour les données de l’échange : ESP (Encapsulating Security Payload) et AH (Authentication Header).

ESP fournit l’intégrité et la confidentialité, AH ne fournit que l’intégrité. Les adresses IP des datagrammes qui circulent dans le tunnel sont celles des machines passerelles d’extrémité du tunnel. Un datagramme IPSec encapsule celui des utilisateurs d’un site à l’autre. Il est ainsi impossible de connaître les adresses IP internes en espionnant le trafic sur Internet. L’intérêt de la solution des tunnels IPSec réside dans le fait que les utilisateurs ne voient rien, aucun logiciel n’est nécessaire sur leurs machines.

Cependant pour des utilisateurs mobiles, il faut envisager une autre configuration puisque leur trafic ne passe pas par la machine passerelle. Un mode IPSec dit transport répond à cette situation. à la différence du mode tunnel, il nécessite d’installer un logiciel spécifique sur chaque poste client pour gérer les paramètres de sécurité, faire le chiffrement et calculer les signatures.

Ces mesures de protection issues de la cryptographie sont parfois combinées avec d’autres mécanismes non cryptographiques. Dans la section qui va suivre nous allons focaliser notre attention sur l’audit de sécurité

3. L’audit de sécurité

L’audit d’une façon générale est une activité permettant d’évaluer comment un système (financier, d’assurance . . . ) se comporte ou fonctionne vis à vis des standards établis dans le domaine. Une audit est effectué par des autorités reconnues et qui ont une certaine notoriété.

(23)

Une opération d’audit dans une entreprise procède généralement par inteviews d’un groupe d’employés et ou avec des tests sur les ressources et cela en respectant des règles bien reconnues et normalisées. En général une opération d’audit est fait pour

• faire une analyse des risques

• mesurer la capacité d’un système à gérer les exceptions

• Faire un suivi de l’application des règles et procédures établies au sein de l’entreprise

• évaluer les performances d’un système

• Analyser des dommages causés par une attaque, une défaillance ou tout simplement un désastre.

Analyse des risques

Les systèmes d’information de même que les réseaux sont souvent sujets à des attaques malveillantes, des erreurs de configuration, des désastres environnementaux ou des erreurs des utilisateurs. Certains systèmes peuvent être plus vulnérables que les autres étant donné leurs configurations, leur nature ou tout simplement leur rôle dans le système. Quoiqu’il en soit il importe de connaître à quoi votre système d’information ou votre réseau est vulnérable et cela passe par une analyse de sécurité. Elle doit déterminer les risques de survenue d’une telle attaque et faire une classification de ces attaques des plus fréquents et plus rares. Elle doit aussi examiner la vulnérabilité de chaque composant hard ou soft du système en tenant compte de sa nature, de sa configuration ainsi que de son rôle dans le système. Une analyse de sécurité doit aussi évaluer les mesures prises pour protéger les éléments du système informatique. A la fin elle doit proposer un plan de gestion des risques.

Evaluer les performances d’un système

Cette activité qui fait partie d’une audit permet de mesurer la capacité des ressources d’une entreprise et d’évaluer la capacité réellement utilisée. Elle peut alors proposer des mécanismes pouvant optimiser cette capacité en vue d’atteindre les objectifs que l’entreprise s’est fixé.

Le suivi-évaluation de l’application des règles et procédures

Dans toute entreprise, il devrait y avoir un manuel de procédures définissant le mode de fonctionnement de l’entreprise. C’est généralement le service informatique au sein d’une entreprise qui élabore un manuel de procédure en ce qui concerne le domaine informatique.

Et dans ce manuel l’aspect sécurité n’est pas laissé de côté. Lors d’un audit de sécurité, l’auditeur va vérifier si dans son fonctionnement le service informatique suit les procédures telles établies dans le manuel de procédures

(24)

L’analyse des dommages

Cette activité est généralement entreprises après la survenue d’une attaque ou d’un désastre ayant occasionné des pertes au sein d’une entreprise. Elle va évaluer les dégâts et les impacts.

Elle peut aussi proposer un plan de redressement.

Evaluer une période de changement ou de migration

Lorsqu’une entreprise est entrain de migrer d’un système à un autre, elle peut commanditer une opération d’audit qui va évaluer l’état de fonctionnement des nouveaux composants, voir s’ils répondent au cahier des charges définit au moment de la commande. Elle peut alors proposer des améliorations ou tout simplement proposer son remplacement total. Une opération d’audit peut être envisagé au lancement d’un système. Elle est peut être aussi effectué suivant un calendrier donné. En cas d’attaques ou d’une défaillance d’un système on peut aussi effectuer une audit d’urgence. Pour évaluer la sécurité d’un système lors d’un audit de sécurité, l’on besoin des outils reconnues et normalisés. Dans la section suivant on va voir deux de ces outils.

La Norme américaine TCSEC

La norme américaine TCSEC (Trusted Computer Security Evaluation Criteria) a été initiée par le DOD (Department Of Defense) des Etats-Unis. Ce dernier a défini des règles de sécurité regroupant un certain nombre de caractéristiques regroupées dans l’Orange Book en décembre 1985, puis dans le Red Book en juillet 1987. Ces caractéristiques permettent de déterminer le degré de protection d’un système d’exploitation, avec au total 7 niveaux croissant de sécurité Les critères majeurs sont :

• la confidentialité des données

• la disponibilité du système

Classés par ordre croissant, les niveaux suivant sont définis :

• Niveau D : “minimal protection” pour les systèmes qui n’ont pas pu satisfaire aux exigences de classe de niveau supérieur.

• Niveau C1/C2 :”discretionary protection” où les protections sont laissées à la discrétion des utilisateurs. C2 est le niveau maximum pour les organismes commerciaux.

Contrôle d’accès discrétionnaire : définition et contrôle de l’accès entre les utilisateurs et les objets jusqu’à la granularité d’un seul utilisateur ou groupe d’utilisateur.

• Imputabilité : identification et authentification de l’utilisateur par mot de passe et protection des données d’authentification.

• Assurance d’architecture : mécanismes apportant la preuve que les fonctionnalités de sécurité sont effectivement et correctement mises en œuvre et que l’intégrité de la base de confiance est garantie.

(25)

• Intégrité du système : des éléments doivent être fournis pour permettre de valider périodiquement la base de confiance.

• Tests et sécurité : les mécanismes de sécurité du système doivent être testés et doivent fonctionner de manière conforme à ce qui est indiqué dans la documentation. Des tests doivent être effectués pour montrer qu’il existe des moyens pour contourner la base de confiance.

• Documentations : guide de sécurité utilisateur, guide de sécurité administrateur, documents de tests, spécifications.

• Réutilisation des objets (pour C2) : la base de confiance garantit que les objets mémoire sont nettoyés avant leur utilisation. Cela signifie lors de l’allocation dynamique de mémoire, on ne peut pas retrouver les données du processus qui vient de libérer cette mémoire.

• Audit (pour C2): le système doit permettre le traçage des actions effectuées par tous les sujets sur tous les objets. Sa précision doit permettre le traçage de tous les objets accédés par un utilisateur et notamment tracer toutes les opérations d’ouverture, de lecture, d’écriture et d’effacement des fichiers.

• Niveau B1/B2/B3 : “mandatory protection” et Niveau A : “verified protection”.

Ces niveaux couvrent essentiellement les besoins militaires, ou d’autres domaines sensibles comme le transport aérien. L’accès aux informations (objets) est reglementé par les

habilitations des sujets selon les 2 axes suivants :

• Un sujet est autorisé à lire un objet si son niveau d’habilitation est supérieur ou égal à la classification de l’objet.

• Un sujet est autorisé à écrire un objet si son niveau d’habilitation est inférieur ou égal à la classification de l’objet.

Des produits peuvent être classés dans une de ces catégories. Cependant, il est important de ne pas confondre : le classement d’un produit (qui ne tient pas compte de son contexte d’utilisation) et la certification (qui tient compte du contexte d’utilisation). Notons Windows NT est classé niveau C2.

Norme européenne ITSEC

L’ITSEC (Information Technology Security Evaluation Criteria) dé_nit l’ensemble machine/

logiciel comme cible d’évaluation. Les fonctionnalités de sécurité sont désignées sous le terme de cible de sécurité. Elles regroupent 8 rubriques :

• Identification et authentification

• Contrôle d’accès

• Imputabilité

• Audit

(26)

• Réutilisation des objets

• Fidélité

• Continuité de service

• Echange de données

Les 5 premières rubriques sont équivalentes à celles de l’Orange Book de TCSEC.

Les 3 autres ont été rajoutées pour palier des insuffisances :

• La fidélité regroupe les fonctions de détection et de prévention de perte et d’altération des données.

• La continuité de service réunit les fonctions destinées à garantir la mise à disposition des ressources en temps utile.

• L’échange des données définit les fonctions de sécurisation des canaux de communication (chiffrement des données d’authentification ou de la totalité des données).

Les niveaux d’assurance sont de 2 types :

• Assurance de conformité ou d’exactitude (correctness) indiquant si la fonctionnalité de la cible de sécurité est à la fois correctement spécifiée et réalisée.

• Assurance d’efficacité (effictivness) indiquant la confiance qu’on peut

effectivement accorder au système lorsqu’il est en fonctionnement par rapport

au niveau d’assurance de conformité auquel prétend la cible d’évaluation.

Cette double approche conduit à :

• 5 classes pour les systèmes généraux (F-C1, F-C2, F-B1, F-B2, F-B3)

• 5 classes pour les systèmes spéciaux (intégrité forte, disponibilité forte, ...)

• 8 catégories de correction de E0 à E7

Il est important de rappeler qu’un système peut être est classé à un niveau de sécurité. Mais c’est seulement l’administrateur du système qui pourra certifier le niveau de sécurité utilisé.

4. Le monitoring des événements dans un système

Le Monitoring est un outil encore peu connu mais indispensable lors de la mise en œuvre d’une politique de sécurité. Il permet non seulement d’apporter des réponses aux problématiques de disponibilité mais aussi lorsque sa technique est suffisamment évoluée, d’aider à garantir l’intégrité des informations. En outre, son faible coût, sa facilité d’utilisation et le niveau d’information retournée en font un bon outil en sécurité informatique.

(27)

Le monitoring informatique peut-être découpé en trois grandes familles fournissant des niveaux

d’information différents :

• Le monitoring système : Positionné au cœur du système, il va fournir des informations sur l’utilisation CPU, Mémoire . . .

• Le monitoring réseau : Ce type de surveillance va permettre de diagnostiquer la disponibilité d’un équipement physique connecté à un réseau. Les technologies employées pour ce type de surveillance sont assez simples et le niveau des informations retournées est assez limité.

• Le monitoring applicatif : grâce à cette surveillance, on va disposer non seulement d’une visibilité sur l’équipement physique mais également sur les applications qui y sont exécutées et les informations qu’elles retournent.

Dans les deux derniers cas, il est évident que les tests devront être effectués par des équipements qui ne sont pas sur la machine et, le fait de les réaliser depuis d’autres sites prend tout son sens si le serveur est destiné à des utilisateurs externes (par exemple serveur Web connecté à Internet). Le monitoring fournira dans ce contexte, une vision utilisateur depuis les endroits d’où il est effectué

Les différentes approches

Dans cette sous section nous allons définir les approches qui se distinguent les unes des autres par le type d’informations pouvant être fournies par le monitoring.

• La Fiabilité : Il s’agit de loin de l’utilisation la plus courante du monitoring informatique. Le but ici est de surveiller en permanence la disponibilité de l’équipement afin de détecter la moindre anomalie et si nécessaire de remonter une alerte.

• La Performance : Le monitoring de performance a pour but de retourner des informations sur le temps de réponse d’un équipement comme par exemple le temps de résolution DNS, le temps de connexion, le temps de récupération du premier octet et dans le cas d’une page Web le temps de récupération de la page et de l’ensemble des éléments de celle-ci (image,.css, scripts. . . ). Grâce à cette analyse, vous allez pouvoir diagnostiquer

• une montée en charge di_cile ou même un surdimensionnement de votre bande passante.

• Le Contenu : Dans ce cas, les informations retournées par les éléments surveillés sont analysés, pour par exemple, détecter la suppression d’un fichier sur un serveur ftp, la modification d’une page Web ou la disparition d’un mot clef.

(28)

Toutes ces approches sont complémentaires et peuvent bien entendu se retrouver regroupée dans une seule analyse. L’analyse fiabilité étant implicitement présente dans le cas d’une analyse Performance et Contenu. Pour pouvoir être efficace, la surveillance doit donc impérativement être effectuée depuis différents points de contrôle sur une architecture distribuée, avec des techniques permettant d’analyser et gérer en permanence les flux. Que ce soit avec une approche Fiabilité ou Performance, le monitoring est ce qui ce fait de mieux en matière d’analyse de disponibilité. En effet, il va pouvoir surveiller en permanence et depuis autant d’endroits que vous le souhaitez la disponibilité de vos équipements, en les questionnant comme le ferait n’importe quel utilisateur. Vous obtenez ainsi la vision utilisateur depuis n’importe quel endroit de la planète. C’est comme ci vous disposiez de personnes réparties au quatre coins du globe qui 24H/24 et 7J sur 7 qui vont surveiller vos équipements et vont vous prévenir à la moindre anomalie véri_ée. Et si le système d’alerte est suffisamment évolué, vous pourrez être prévenu non seulement par mail ou SMS, mais aussi par fax ou synthèse vocale. Bien entendu, avec un peu de recul vous avez accès à l’ensemble de l’historique et disposez d’une vision précise

sur la fiabilité de vos investissements informatiques. Aucun système n’étant inviolable. Le but du monitoring est donc d’évaluer les risques, et de se protéger en conséquence avec des équipements tels que les Firewalls et autres outils de détection d’intrusion.

Conclusion

Dans cette unité nous avons vu et décrit les attaques à la sécurité informatique. Une attention particulière sur leur mode d’action.

(29)

Unité 3. Les logiciels malveillants et la sécurité logicielle

Unité 3. Les logiciels malveillants et la sécurité logicielle

Introduction

Dans cette unité, nous focalisons notre attention sur les logiciels malveillants et les mesures de contre-attaque

Objectifs de l’unité

A la fin de cette unité, l’étudiant devra maitriser les notions sur les logiciels malveillants ainsi que leur modes d’actions

Les mots clés: Les logiciels malveillants, virus, ver

Activité d’apprentissage

1. Types de logiciels malveillants Introduction

Dans cette activité, nous discutons sur les types de logiciels malveillants. Un logiciel malveillant est introduit dans un système dans le but de causer des dommages soit en corrompant le système en se répliquant ou en rendant inaccessible les services du réseau ou encore en divulguant des informations sensibles.

Types de logiciels malveillants

Virus

Un virus est un morceau de code qui s’attache à un autre programme et l’amène à exécuter des actions malveillantes sur la machine de l’utilisateur. Les utilisateurs sont souvent victimes des actions des virus. Les virus se cachent dans les téléchargements que l’utilisateur effectue.

Certains virus peuvent se lancer automatiquement sans l’intervention de l’utilisateur. L’exemple d’un virus est celui qui s’attache à command.com et supprime certains fichiers et en infecte d’autres.

(30)

Les parties d’un virus informatique

Un virus informatique a trois parties.

1. Mode de propagation : un virus se caractérise par son mode de propagation lui permettant ainsi de se multiplier et de passer d’un système à un autre.

2. Evénement déclencheur : Les virus sont souvent lies à certains

événements dans le système qui ont pour effet de les démarrer. Cela peut être un cycle d’horloge, certains états du système ou des applications (soit au démarrage de l’application ou à son arrêt etc.. ) .

3. Mode d’action: ici on fait référence à la méthode d’attaque du virus.

Les quatre phases d’un virus informatique

Dans sa période de vie un virus passe les étapes suivantes :

• La phase d’hibernation : au cours de cette phase le virus est inactif en attendant l’événement déclencheur. Tous les virus ne passent pas nécessairement par cette phase.

• La phase de propagation: au cours de cette période le virus commence à se disséminer dans le système. Il peut se répliquer identique à lui- même ou pas.

• L’activation: Le virus est activé étant arrivé l’événement déclencheur

• La phase d’action: c’est durant cette période que les actions néfastes du virus commencent à se manifester et deviennent plus ou moins sensible par l’utilisateur.

Comment limiter les impacts d’une attaque d’un virus informatique

L’utilisation des antivirus régulièrement mise à jour constitue est des moyens pour limiter les impacts des virus informatiques. En effet l’antivirus dispose d’une base de données contenant les signatures des virus reconnues. Dès lors qu’un programme agit d’une manière semblable à la signature d’un certain virus, il sera tout de suite détecté et mis hors d’état de nuire. La mise à jour de cette base de données permet d’y inclure les signatures de virus récemment trouvés.

(31)

Les vers

Un ver est un morceau de programme avec une capacité de se répliquer identique à lui même et de passer d’une machine à une autre ou d’un réseau à un autre. S’il s’agit d’un programme gourmand en temps processeur, s’il se duplique en 1000 copies dans une machine, cela va ralentir d’une façon remarquable la machine. Il en est de même des autres ressources dont le

La structure d’une attaque par un ver est la suivante:

1. Exploitation d’une faille dans le système cible pour entrer et s’installer dans le système.

2. Le ver attaque le système cible en se répliquant et en se propageant vers de nouvelles cibles

3. Payload Après avoir infecté la cible, celle ci devient souvent inaccessible par les utilisateurs autorisés ce qui donne la possibilité à l’attaquant de prendre contrôle de la cible souvent avec des droits élevés.

Si on fait une analyse comparative d’un virus et d’un ver en ce qui concerne leur mode d’action, on peut se rendre compte qu’un ver est un programme autonome exploitant les vulnérabilités d’un système et ceci sans aucune intervention humaine. Par contre un virus nécessite toujours la présence d’un vecteur auquel il s’attache pour se propager et aussi pour attaquer. Ce vecteur pouvant être un e-mail, un exécutable ou un document texte.

(32)

Comment limiter les impacts d’une attaque par des vers

Une coordination des activités de tout le staff d’un service informatique est nécessaire pour mettre un ver hors d’état de nuire. En présence d’un ver les actions suivantes doivent être entreprises et dans cet ordre :

• Etape 1. confinement

• Etape 2. Inoculation

• Étape 3. La mise en quarantaine

• Etape 4 . Le traitement

Ces étapes sont illustrées sur le schema ci-dessous:

Les chevaux de Troie et spams

La dernière catégorie de logiciels malveillants que nous allons voir est celle qui base son approche par l’ingénierie sociale par laquelle les utilisateurs révèlent des informations confidentielles ou autorisent l’installation de logiciels malveillant.

Un cheval de Troie est une application faite pour ressembler à une autre application inoffensible en général mais qui en réalité fait autre chose. Par exemple un cheval de Troie pourrait prendre la forme d’un programme de jeu mais qui en même temps va récupérer les adresses de contacts du joueur et leur envoyer une copie du jeu.

E-mail Spams: normalement les spams ne sont pas nécessairement offensives. Il s’agit

généralement des messages de publicité, de vente sans aucune importance. Mais des fois les attaquants peuvent déguiser leurs virus ou vers dans les spams.

(33)

Comment limiter l’action des spams et des chevaux de Troie

Les logiciels anti virus peuvent être utilisés pour détecter les chevaux de Troie et ainsi limiter leur action offensive. Dans le même ordre d’idées on parle aussi d’anti spams qui permettent de détecter et de filtrer les spams. Le filtrage se fait sur base des adresses sources, des mots clés, des formats etc…Généralement les spams sont envoyés dans des dossiers à part ou tout simplement détruits du serveur de réception.

Conclusion

Dans cette activité nous sommes revenus sur certains logiciels malveillants et nous avons aussi traité des méthodes pouvant être utilisées pour en limiter les impacts

2. Corruption du système et le vol d’information La corruption d’un système informatique

Une fois qu’un système est infecté par des virus ou des vers, il devient partiellement ou totalement sous le contrôle du virus ou ver échappant ainsi au contrôle de son propriétaire. Le système devient ainsi corrompu vis-à-vis de son utilisateur habituel.

Le vol d’information

Certains logiciels malveillants ne vont pas causer aucun dommage sur le système cible. Ils vont tout simplement récolter les informations confidentielles et les rapporter à l’attaquant. Souvent les mots de passe et les logins sont les cibles de ces attaques. Théoriquement on peut dire ces attaques constituent des atteintes à la confidentialité de l’information. Pour contourner ces attaques il est recommandé de chiffrer ces informations confidentielles. Mais un attaquant peut installer un keylogger ayant pour rôle de lui rapporter toutes les informations sur les touches du clavier utilisées.

Les logiciels éspions

Les logiciels espions à la difference des keyloggers qui focalisent leur attention sur les mots de passe et les logins, les logiciels espions vont rapporter à l’attaquant sur toutes les activités qui se passent sur la machine cible. On peut limiter l’entrée des logiciels espions par l’utilisation d’un pare-feu. Certains logiciels antivirus ont aussi des modules anti logiciels espions.

Conclusion

Dans cette section nous avons traité des logiciels malveillants comme les keyloggers, logiciels espions

Conclusion de l’unité

Cette unite a couvert les notions de logiciels malveillants , la corruption du système et le vol d’information.

(34)

Unité 4. Les proprieties de la sécurité informatique et les infrastructures de sécurité

Introduction

Cette unite donne une introduction aux mechanisms d’authentification , d’autorisation. Les notions sur les infrastructures de sécurité sont aussi abordées.

Objectifs de l’unité

A la fin de cette unité, l’étudiant devra maîtriser les notions sur

• Les différents mécanismes d’authentification

• Le contrôle d’accès

• Les infrastructures de sécurité telles que le fire-wall et les IDS

Mots clés

Authentification, Contrôle d’accès, le fire-wall, IDS

Activité d’apprentissage

1. Authentification

Dans cette activité les différentes methods d’authentification de et d’autorisation l’utlisateur seront abordés.

L’authentification est souvent utilisée à tort d’une manière interchangeable avec

l’identification. Mais il s’agit de deux services différents de la sécurité informatique. En effet lorsqu’un utilisateur s’identifie il presente des identifiants aux système et celui procède à l’authentification de ces derniers. Le système vérifie si l’utilisateur est bel et bien celui qu’il prétend être. Donc l’on peut dire que l’identification précède l’authentification.

Mécanismes d’authentification

On peut authentifier une entité sur base:

• De ce qu’elle sait : mot de passé, code PIN

• De ce qu’il possède : clés cryptographiques, carte à puce

• De ce que l’on est : empreinte digitale

• De ce que l’on fait : manière d’écrire, manière de parler etc…