Sécurité et Services Réseaux Partie: Sécurité
Pr. Ghizlane ORHANOU
Master spécialisé : Informatique Appliquée Offshoring
Année universitaire 2018-2019
Chapitre 2:
Environnement de sécurité informatique
G. Orhanou Master IAO
Cybercrime is Rising While
Readiness Declines.*
* 2014 U.S. State of Cybercrime Survey co-sponsored by PwC, CSO magazine, the CERT® Division of the Software Engineering Institute at Carnegie Mellon University, and the United States Secret Service.
La cybercriminalité est en nette évolution alors que
les mesures de cyberdéfence restent loin derrière!!
Master IAO G. Orhanou
Plan
Différents profiles des « hackers »
Attaques informatiques
Virologie informatique
G. Orhanou Master IAO
Plan
Différents profiles des « hackers »
Attaques informatiques
Virologie informatique
G. Orhanou Master IAO
Qui sont les « pirates »?
Peut être n’importe qui, avec l’évolution et la vulgarisation des connaissances.
Beaucoup d’outils sont disponibles sur Internet.
Le terme hacker est utilisé généralement pour décrire ou désigner un attaquant. Cependant, pas tous les hackers ont de mauvaises
intentions.
Il existe plusieurs types de hackers ou de
« pirates ».
Master IAO G. Orhanou
Les différents types de « pirates »
Les « white hat hackers »: hackers au sens noble du terme, dont le but est d'aider à l'amélioration des systèmes et technologies informatiques.
Les « black hat hackers »: plus couramment appelés pirates, c-à-d des personnes s'introduisant dans les systèmes informatiques dans un but nuisible ;
Les « script kiddies » (traduisez gamins du script, parfois également surnommés crashers, lamers ou encore packet monkeys) sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de s'amuser.
Les « phreakers » sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de téléphoner gratuitement grâce à des circuits électroniques connectés à la ligne
téléphonique dans le but d'en falsifier le fonctionnement.
Master IAO G. Orhanou
Les différents types de « pirates »
Les « black hat hackers » (suite):
Les « carders » s'attaquent principalement aux systèmes de cartes à puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles.
Les « crackers » sont des personnes dont le but est de créer des outils logiciels permettant d'attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants. Un « crack » est ainsi un programme créé exécutable chargé de modifier (patcher) le logiciel original afin d'en supprimer les protections.
Les « hacktivistes » (contraction de hackers et activistes que l'on peut traduire en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique.
Master IAO G. Orhanou
Plan
Différents profiles des « hackers »
Attaques informatiques
Virologie informatique
G. Orhanou Master IAO
Attaques informatiques
Les systèmes informatiques mettent en œuvre différentes composantes, allant de l'électricité pour alimenter les machines au logiciel exécuté via le système d'exploitation et utilisant le réseau.
Une « attaque » est l'exploitation d'une faille ou vulnérabilité d'un système informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins généralement préjudiciables.
Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe une vulnérabilité exploitable.
G. Orhanou Master IAO
Attaque et intrusion
Une Attaque:
n’importe quelle action qui compromet la sécurité des informations.
une faute d’interaction délibérée.
Une Intrusion:
faute opérationnelle, externe, intentionnellement nuisible,
résultant de l’exploitation d’une vulnérabilité dans le système
faute interne résultant d’une attaque.
G. Orhanou Master IAO
Attaques informatiques
Motivations d’une attaque:
Vol d’informations
Cupidité
Modifications d’informations
Vengeance / rancune
Politique / religion
Défis intellectuels
Master IAO G. Orhanou
Attaques informatiques
Master IAO G. Orhanou
Failles de sécurité - Applicatives
Les failles applicatives: liées aux programmes et aux applications utilisées comme;
Les installations par défaut : plusieurs services peuvent être installés par défaut (serveur Web, messagerie, FTP…etc.).
Les mauvaises configurations : une application mal paramétrée, peut laisser l'accès libre à certaines bases de données sensibles (fichiers de mots de passe, d'utilisateurs).
Les bugs : une mauvaise programmation de scripts ou l'utilisation de fonctions boguées.
Anciennes versions de logiciels : l’administrateur du système doit veiller à la mise à jour des logiciels installés.
G. Orhanou Master IAO
Les failles système :
Ports ouverts : chaque application, service installé ouvre un certain nombre de ports pour fonctionner.
Les backdoors (porte dérobée) présentes dans les logiciels : ce sont des accès cachés sur un système ou sur une application.
Les Rootkits : « outils de dissimulation d'activité » permettent d'automatiser la dissimulation en ayant comme objectif : modifier les commandes d'administration du système, cacher les ports ouverts.
Les Mots de passe : la mise en place de mots de passe à bas niveau de complexité voire leur absence.
Failles de sécurité – Système
G. Orhanou Master IAO
Différentes familles d’attaques
Attaques - réseau Attaques - système Attaques - applications
Collecte d’information
Ecoute sur le réseau (Sniffing & eavesdropping)
Usurpation d’identité (Spoofing)
L’attaque de l’homme au milieu (MiTM – Man in The Middle)
Vol de session (Session hijacking)
Empoisonnement ARP ou DNS (ARP ou DNS Poisoning)
Attaque de Déni de service (DoS, DdoS, DRDoS)
Attaque de pare-feu et d’IDS
Attaque de codes malveillants
Prise d’empreinte (Fingerprint)
Attaque sur les mots de passe
Attaque de Déni de service (DoS, DdoS, DRDoS)
Injection de commandes (OS command Injection)
Accès non autorisé
Élévation de privilèges
Portes dérobées (Backdoor)
Accès physique non autorisé
Mauvaise ou absence de validation des données d’entrée
Attaques visant l’authentification et l’autorisation
Mauvaise configuration des paramètres de sécurité
Divulgation d’information (Information disclosure)
Attaques de dépassement de tampon (Buffer overflow)
Attaques cryptographiques
Injection SQL
XSS (Cross-Site-Scripting)
G. Orhanou Master IAO
Exemples d’attaques informatiques classiques
Attaques visant la collecte d’information (Balayage de port, OS fingerprinting)
Attaque DoS
Attaque MITM
G. Orhanou Master IAO
Attaques visant la collecte d’information
Attaques par balayage de ports
Balayage TCP (SYN, ACK, FIN, Xmas, Null)
Balayage UDP
Attaques permettant de prendre l’empreinte réseau du système (OS Fingerprinting)
Empreinte TCP
Empreinte ICMP
G. Orhanou Master IAO
Attaques par balayage de ports
L'objectif du balayage est de savoir si un logiciel est en écoute sur un numéro de port donné. Si un logiciel écoute, on dit que le port est ouvert, sinon on dit qu'il est fermé.
Le balayage d'un port se passe en deux étapes :
l'envoi d'un paquet sur le port testé ;
l'analyse de la réponse.
NMAP: Logiciel de balayage (ou de scan) de ports, très répondu, connu pour son efficacité
Nmap a une granularité bien plus fine. Il divise les ports selon six états: ouvert (open), fermé (closed), filtré (filtered), non-filtré (unfiltered), ouvert|filtré (open|filtered), et fermé|filtré (closed|
filtered).
G. Orhanou
Master IAO Master IAO G. Orhanou
Attaques par balayage de ports
Les techniques de scan de Nmap
Master IAO G. Orhanou
Attaques par balayage TCP
Il existe de nombreuses variantes pour le paquet émis. Il y a le paquet valide selon la norme TCP comme TCP SYN, et les paquets invalides. L'utilisation des paquets invalides vise à tromper les systèmes de détection d'intrusion. Voici certaines variantes :
ACK ;
Maimon (FIN/ACK) ;
Xmas (tous) ;
Le serveur peut répondre de différentes manières :
ouverture de connexion acceptée : envoi d'un paquet TCP SYN/ACK ;
fermeture de la connexion : envoi d'un paquet TCP RST ;
absence de réponse.
FIN ;
NULL (aucun) ;
Window (ACK).
G. Orhanou Master IAO
Exemple d’Attaque par balayage SYN
TCP SYN Scan
Si le port est fermé, il répond par un RST
Si le port est ouvert, il répond par un SYN/ACK
Master IAO G. Orhanou Master IAO G. Orhanou
G. Orhanou Master IAO
Output de nmap
TCP SYN Scan
Avantage du TCP SYN Scan
Le balayage TCP SYN ne crée jamais de session TCP. De ce fait, il n’est pas journalisé par les applications de l’ordinateur de
destination.
Ce balayage est plus discret que le balayage TCP connect().
Puisqu’aucune session d’application n’a été ouverte, le balayage SYN scan n’a aucun impact réel sur les performances de
l’application.
Inconvénient du TCP SYN Scan
Le balayage TCP SYN nécessite un accès privilégié au système (accès avec compte administrateur). Sans un accès privilégié, nmap ne peut pas créer des packets raw nécessaires pour
accomplir des balayages se basant sur un processus de connexion semi-ouverte (half-open connection process).
Attaque par balayage SYN
TCP SYN Scan (nmap –sS @IP)
G. Orhanou Master IAO
Attaque par balayage TCP connect()
TCP connect() Scan (nmap –sT @IP)
Si le port est fermé, il répond par un RST
Si le port est ouvert, le scan TCP connect(), complète le TCP three-way handshake, puis envoie un RST pour fermer la connexion.
Attaque par balayage ACK
ACK Scan (-sA)
Ce type de scan est différent des autres car il ne peut pas déterminer si un port est ouvert(ni même ouvert|filtré).
Il est utilisé pour découvrir les règles des pare-feux,
déterminant s'ils sont avec ou sans états (statefull/stateless) et quels ports sont filtrés.
Le scan ACK n'active, en général, que le drapeau ACK des paquets.
Les systèmes non-filtrés réagissent en retournant un paquet RST.
Nmap considère alors le port comme non-filtré, signifiant qu'il est accessible avec un paquet ACK, mais sans savoir s'il est
réellement ouvert ou fermé.
Les ports qui ne répondent pas ou renvoient certains messages d'erreur ICMP (type 3, code 1, 2, 3, 9, 10, ou 13), sont considérés comme filtrés.
G. Orhanou Master IAO
Attaque par balayage ACK
Si le port est filtré,
il n’y a pas de réponse ou réception d’un message ICMP destination unreachable
Si le port est unfiltred, il répond par un RST
G. Orhanou Master IAO
Attaque par balayage ACK
G. Orhanou Master IAO
Prise d’empreinte d’un OS OS Fingerprinting
Définition: L'OS Fingerprinting est l'art d'identifier le type et la version du système d'exploitation de l‘hôte distant.
Il constitue une étape cruciale dans un test d'intrusion.
On distingue deux catégories de techniques de l'OS Fingerprinting :
Techniques actives : consiste en l'envoi de paquets sur le réseau et l'attente de réponses. Les paquets envoyés sont parfois malformées car les différentes implémentations des piles TCP/IP répondent différemment face à de telles erreurs.
Techniques passives : ces méthodes se caractérisent par le fait qu‘elles se base sur l’écoute du trafic réseau sans avoir à envoyer aucun paquet.
G. Orhanou Master IAO
Techniques d’OS Fingerprinting
G. Orhanou Master IAO
TCP/IP Stack Fingerprinting
TCP/IP Stack Fingerprinting est une technique permettant de déterminer l'identité du système d'exploitation utilisé sur une machine distante en analysant les paquets provenant de cet hôte.
Cette méthode se base sur le fait que les différents systèmes n'implémentent pas de la même manière les protocoles réseaux TCP et IP.
La plupart des systèmes d'exploitation répondent différemment si des paquets anormaux ou bizarres leur sont envoyés.
G. Orhanou Master IAO
Exemple de test de prise d’empreinte
G. Orhanou Master IAO
DoS ou « attaque par déni de service ou par saturation» (en anglais « Denial of Service ») est une attaque visant à rendre indisponible, pendant un temps indéterminé, les services ou les ressources d'une organisation.
Il existe diverses raisons pour une attaque DoS:
Raisons politiques ou économiques;
Pour gagner accès à un système donné;
Pour pouvoir réaliser d’autres types d’attaques (comme
«Man in the middle » dans le cas de DNS Spoofing par exemple);
Par vengeance;
Etc.
Attaque DoS
Master IAO G. Orhanou
Attaque DoS
G. Orhanou Master IAO
Principe du DoS
Le principe des attaques par déni de service consiste à envoyer des paquets IP de taille ou de constitution inhabituelle ou bien en grand nombre, afin de provoquer :
une saturation ou
un état instable des machines victimes
et de les empêcher ainsi d'assurer les services réseau qu'elles proposent.
Master IAO G. Orhanou
Attaques classiques en DoS et DDoS
Attaques sur la bande passante (objectif: Saturation)
UDP flooding
ICMP flooding
TCP flooding
Attaques sur les failles logicielles
(objectif: Exploitation des vulnérabilités)
TCP/RST
Paquets malformés
Master IAO G. Orhanou
Exemple: SYN Flooding Attack
Serveur
SYNC1 En écoute…
Pour chaque demande de connexion, il y a réservation de ressources.
SYNC2 SYNC3 SYNC4 SYNC5
…
…
…
…
…
Master IAO G. Orhanou
Principe du DDoS
Une attaque DDoS prend place lorsque plusieurs machines compromises, infectées par un code malicieux, et sont coordonnées et sous le contrôle d’un même attaquant dans le but de pénétrer dans le système de la victime, épuiser ses ressources et le forcer à arrêter le service fournis à ses clients.
Les attaques par déni de service distribué les plus connues sont Tribal Flood Network (notée TFN) et Trinoo.
Il existe deux types d’attaques DDoS :
Les attaques DDoS typiques
distributed reflector DoS (DRDoS) attacks.
Master IAO G. Orhanou
Principe de DDoS
Attacker
Masters
Slaves
Victim
Master IAO G. Orhanou
Attaques DRDoS (Distributed Reflector DoS)
Dans les attaques DRDOS, l'armée de l'attaquant se compose de zombies maîtres, de zombies esclaves, et des réflecteurs.
Les zombies maîtres ordonnent aux zombies esclaves d'envoyer un flux de paquets avec l'adresse IP usurpée de la victime comme adresse IP source à d'autres machines non infectées (connu sous les réflecteurs), incitant ces machines de se connecter avec la victime.
Par conséquent, dans des attaques DRDOS, l'attaque est montée par des machines non compromises, qui lancent de l'attaque sans être conscientes de l'action.
Master IAO G. Orhanou
Attaques DRDoS (Distributed Reflector DoS)
Attacker
Masters
Slaves
Victim
Reflectors
Master IAO G. Orhanou
Attaque Man In The Midle (l’homme au milieu ou MITM)
C’est un scénario d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties.
La plupart des attaques de type MITM consistent à écouter le réseau à l'aide sniffer.
Attaque MITM
Master IAO G. Orhanou
Attaque MITM
Master IAO G. Orhanou
Attaque MITM - Types
Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants, en utilisant, par exemple :
ARP Spoofing: c'est probablement le cas le plus
fréquent. Possible si l'un des interlocuteurs et l'attaquant se trouvent sur le même réseau local.
DNS Poisoning: L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu’ils s'en aperçoivent.
l'analyse de trafic: le but est de visualiser d'éventuelles transmissions non chiffrées .
Etc.
Master IAO G. Orhanou
MITM: écoute du réseau
Écoute du réseau: Capturer le contenu des paquets qui ne nous sont pas destinés.
Tcpdump - Wireshark
Master IAO G. Orhanou
MITM: ARP Spoofing
Rappel du fonctionnement du protocole ARP (Address Resolution Protocol)
ARP interroge en diffusion (broadcast) le réseau local et attend qu'un ordinateur réponde en fournissant
l'adresse physique requise
L'absence de réponse établit clairement que cette adresse logique ne correspond à aucune machine en fonctionnement sur le réseau local
La réponse ARP est envoyée dans un message unicast vers la source de la requête.
G. Orhanou Master IAO
MITM: ARP Spoofing
Cette attaque est de type man in the middle. elle consiste à exploiter une faiblesse du protocole ARP.
L'objectif de l'attaque consiste à :
1.s'interposer entre deux machines du réseau
2.et de transmettre à chacune un paquet ARP falsifié précisant que l'adresse MAC de l'autre machine a changé, l'adresse MAC fournie étant celle de l'attaquant.
Ainsi, les deux machines cibles vont mettre à jour leur table dynamique appelée Cache ARP. À chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront envoyés à l'attaquant, qui les transmettra de manière transparente à la machine destinatrice.
Master IAO G. Orhanou
L’attaquant
MITM: ARP Spoofing
Master IAO G. Orhanou
Table de l’ARP sur PC Linux 1
Table de l’ARP sur PC Linux 2
MITM: ARP Spoofing
Master IAO G. Orhanou
MITM: ARP Spoofing
déroulement de l’attaque
Master IAO G. Orhanou
Plan
Différents profiles des « hackers »
Attaques informatiques
Virologie informatique
G. Orhanou Master IAO
Buts d’une infection virale
Destruction ou Corruption de fichiers.
Destruction matérielle : (ex. exécuter une boucle sans fin mettant en œuvre certaines instructions de certains coprocesseurs et ayant la particularité de les faire chauffer jusqu'à destruction du composant).
Instabilité du système : (ex. engendrer un comportement conduisant au blocage total, mais sans être destructeurs).
Dégradation des ressources du système : Quelques virus exécutent des boucles sans fin destinées à occuper une part de la puissance de calcul de l'ordinateur, où se répliquent sur le disque dur ou en
mémoire, conduisant à une saturation et au plantage, ou au ralentissement du chargement des fichiers et des programmes.
Compromission des paramètres de sécurité : Recherche de failles, création de failles etc. (ex. un cheval de Troie qui sert à installer un Keylogger ou un Backdoor etc. ...)
Percement des paramètres de sécurité : Le malware s'attaque aux antivirus et aux pare-feux pour les inhiber, les désactiver etc. ...
G. Orhanou Master IAO
Buts d’une infection virale
Divulgation des paramètres de sécurité : Divulgation des mots de passe, des paramètres de sécurité etc. ... par exemple par analyse des versions de correctifs installés etc. (le malware a un comportement de spyware).
Social engineering : convaincre de révéler par vous même vos codes et mots de passe, volontairement et même spontanément
Relais d'attaque : Ces malwares ne font rien sur votre machine, mais ils ont un mécanisme de réplication et une charge active. Ils sont
uniquement préoccupés par leur réplication la plus grande possible. Puis, à une date et heure donnée, à partir de toutes les machines infectées, une attaque est lancée contre une cible, par exemple afin de la saturer.
Actions ennuyeuses : (ex. Affichage répétitif d'un message ou d'une image, impossibilité de cliquer sur une icône car elle disparaît à chaque fois que le pointeur de la souris s'approche, affichage des caractères à l'envers, écriture du français de droite à gauche etc. )
G. Orhanou Master IAO
Principaux aspects
des codes ou logiciels malveillants
Définition:
Les codes ou logiciels malveillants (malware) se définissent comme tout programme conçu dans le but d’infiltrer le système informatique d’un utilisateur dans l’intention spécifique d’effectuer un acte malveillant.
Cette expression « malware » est utilisée pour désigner les virus, les vers et les chevaux de Troie mais aussi les
logiciels espions, les bombes logiques et d’autres formes de logiciels indésirables.
G. Orhanou Master IAO
Principaux aspects
des codes ou logiciels malveillants
Définition:
Les codes ou logiciels malveillants (malware) se définissent comme tout programme conçu dans le but d’infiltrer le système informatique d’un utilisateur dans l’intention spécifique d’effectuer un acte malveillant.
Cette expression « malware » est utilisée pour désigner les virus, les vers et les chevaux de Troie mais aussi les
logiciels espions, les bombes logiques et d’autres formes de logiciels indésirables.
Quels sont les types de Malwares que vous connaissez ?
G. Orhanou Master IAO
Qu'est-ce qui différencie
un Virus, un Vers, un Parasite ?
Virus, vers et parasites ont, tous, une charge active (Payload).
Ce qui les différencie est:
leurs capacités à se répliquer dans un même ordinateur (infester la machine)
et à sauter d'un ordinateur à un autre (se propager).
Les virus:
Les virus se répliquent et infectent complètement un ordinateur (ils se collent à un fichier exécutable).
Ils ne se propagent pas d'eux-mêmes
Les vers:
Les vers se répliquent dans un ordinateur et l'infectent complètement
Ont un mode de propagation autonome.
G. Orhanou Master IAO
Typologie des réplications
Il existe plusieurs types de réplications (Réplication à l'intérieur):
Par secteur de boot infecté
Par injection et par cavité:
le virus s’injecte dans un fichier exécutable et à chaque fois que le programme infesté est ouvert, le virus est exécuté puis
"rend la main" à l'exécution normale du programme hôte qu'il infeste.
Par Recouvrement
les virus à réplication par recouvrement sont destructeurs car les exécutables sont ainsi "recouverts" par un nouvel exécutable, le virus.
Par Compagnon
G. Orhanou Master IAO
Typologie des propagations
Il existe plusieurs méthodes de propagation des infections vers l'extérieur:
Par Hôte infecté
Par e-Mail et spam viral
Par Auto-propagation : vers
Par Messagerie Instantanée et par Canaux IRC (Internet Relay Chat)
Par Réseaux de P2P
Par Réseaux locaux
Par Internet
G. Orhanou Master IAO
Propagation par e-mail et spam viral
Propagation par spam viral avec son propre outil : les vers
comportent leur propre serveur de messagerie (serveur SMTP - (Simple Mail Transfer Protocol)) pour s'envoyer
s'attaquent à toutes les adresses trouvées sur la machine infectée (ex. le carnet d'adresses). Les méthodes sont les mêmes que celles du spam: On parle de spam viral.
Propagation par spam viral assisté : les virus appuyés par un BotNet
Collusion entre spammeurs, éditeurs de virus et propriétaires de BotNets. Le résultat et l'architecture de la propagation sont les mêmes que le 1er type sauf que le malware n’utilise pas son propre serveur SMTP pour se propager par e-mail mais plutôt la technique de pénétration du propriétaire du BotNet (un RAT (Remote Administration Tool) installé). La propagation est plus rapide (fulgurante).
G. Orhanou Master IAO
Un virus
Un virus est un programme qui cherche à se
propager via d’autres programmes en les modifiant ou en s’accrochant à ceux-ci.
Chaque programme infecté contribue à la
propagation, l’infection est souvent rapide. Pour s’introduire dans les ordinateurs, un virus utilise les supports de données amovibles (comme les clés USB), les réseaux (poste à poste inclus), les messages électroniques ou Internet.
G. Orhanou
Typologie des virus
Virus du secteur d'amorçage ou virus de secteur de boot
Virus de fichiers
Virus multipartites:
Ce groupe de virus combine les techniques d’infection du secteur d'amorçage (ou des tables de partitions) à celles utilisées sur les fichiers exécutables.
Virus compagnons
Macrovirus:
Les macrovirus s'accrochent aux fichiers. Ils ne sont pas
exécutables et pour être exécutés, ils ont besoin d'un interprète du langage macro, comme ceux intégrés à Word, Excel, Access et PowerPoint.
Ils peuvent également se cacher, contaminer le secteur d'amorçage et créer des virus compagnons.
G. Orhanou Master IAO
Typologie des virus
Virus furtifs et Rootkits:
Les virus furtifs et les rootkits sont dotés de mécanismes de protection spéciaux leur permettant d'échapper à leur détection par les programmes antivirus. Le but de ce type de virus est de rester indétectable afin de pouvoir utiliser les ressources de l’ordinateur infecté à l’insu de son utilisateur.
Virus polymorphes:
Les virus polymorphes contiennent des mécanismes leur permettant de modifier leur aspect après chaque infection.
Une partie du virus est ainsi chiffrée. La routine de chiffrement intégrée au virus génère à chaque copie une nouvelle clé, voire parfois de nouvelles routines.
Pour détecter et éliminer les virus chiffrés et polymorphes, les signatures de virus classiques ne sont souvent pas suffisantes. Le plus souvent, il faut écrire des programmes spécifiques.
G. Orhanou Master IAO
Vers (worm)
Contrairement aux virus, les vers ne s'attachent pas aux fichiers exécutables. Ils se transmettent d'un ordinateur à l'autre par des connexions réseau ou entre ordinateurs.
Il existe différents types de ver :
Ver de réseau: les vers exploitent des failles pour se propager.
Ex. Lovsan/Blaser et CodeRed
Sasser profite d'une erreur de dépassement de mémoire tampon dans le Local Security Authority Subsystem Service (LSASS) pour contaminer les ordinateurs connectés à Internet.
Ver de messagerie
Ex. Beagle et Sober
Ver peer to peer
Ver de messagerie instantanée
G. Orhanou Master IAO
Cheval de Troie (trojan horses)
Un cheval de troie est un programme nuisible qui se cache dans une application apparemment saine afin de pénétrer dans l’ordinateur. Une fois dans le système, le Cheval de Troie ou trojan, en ouvre les portes et télécharge d’autres programmes nuisibles sur l’ordinateur contaminé.
Il contient des segments cachés qui lui permettent de s’introduire dans les ordinateurs offrant au pirate un accès presque total au système.
Un trojan ne dispose pas de routine de propagation autonome. Il se diffuse donc par téléchargement (de crack ou serialkey par exemple), sous la forme d'économiseurs d'écran ou de jeux ou par courrier électronique. Une exécution du programme apparemment sain suffit pour contaminer le système.
G. Orhanou Master IAO
La classification du trojan dépend de sa fonction nuisible:
Backdoors ouvrent une porte dérobée au niveau de l'ordinateur infecté. L'ordinateur est alors commandé à distance par le pirate.
Adwares, ou logiciels publicitaires, enregistrent les activités et les processus d'un ordinateur (habitudes de navigation, par exemple).
Lorsque l'occasion s'y prête, des messages publicitaires sont alors affichés à l’utilisateur.
Spywares ou logiciels espions, permettent de voler des données utilisateur : mots de passe, documents, clés d'enregistrement de logiciels, adresses électroniques, etc.
Outils de téléchargement et injecteurs (Downloader et
Dropper): ont pour mission de charger ou de copier un fichier sur l'ordinateur infecté. Pour ce faire, ils essaient souvent modifier ou de compromettre les paramètres de sécurité du système.
Cheval de Troie (trojan horses)
G. Orhanou Master IAO
Botnet (bot=robot, net=reseau) :
ensemble de logiciels-robots qui fonctionnent de manière autonome et automatique, installés sur de nombreuses machines zombies, détournés à l´insu de leurs propriétaires, exécutant un programme malveillant
ayant un centre de contrôle et de commande commun.
Leurs buts est de paralyser le trafic ou servir de moteur à la diffusion de spam.
Ils sont aussi utilisés pour le vol de données bancaires ou de comptes clients, ou d’autres attaques réalisées à grande échelle.
G. Orhanou Master IAO
Les Botnets
1.L'utilisateur reçoit un mail l'invitant à ouvrir la pièce jointe présentée comme une facture impayée ;
2. L’ouverture du document déclenche l'exécution d'une macro VBA contenue dans le document Word ;
3. La macro VBA télécharge un fichier sur pastebin contenant du code VBS et déclenche l'exécution de ce code ;
4. Le code VBS télécharge un exécutable .net depuis le serveur 212.76.130.99, puis lance cet exécutable ;
5. L'exécutable contient du code C# ainsi qu'une ressource anormalement volumineuse.
Le code C# recombine le contenu d'un certain nombre de tableaux de données pour reconstituer un second assembly .net, puis charge et exécute cet assembly ; 6. Le code du second assembly alloue une zone mémoire, y recopie un tableau de
données d'environ 3Ko, puis exécute ces données, lesquelles correspondent à du code machine x86 ;
7. Le dropper lancé, largement obfusqué (aucune chaîne de caractère en clair, aucun appel d'API en clair) vérifie la présence de la charge stockée dans une des ressources de l'exécutable téléchargé en (4), puis déchiffre et décompresse son contenu avant de l'exécuter ;
8. La charge ("botnet 120") n'a plusqu'à assurer sa pérennité sur le système et à mener ses activités malicieuses ;
9.Le botnet 120 contactera ensuite son serveur de commande et contrôle, puis téléchargera la DLL Dridex de charge finale !
G. Orhanou Master IAO
Exemple : dropper du malware Dridex
Source : http://christophe.rieunier.name/securite/Dridex/20150608_dropper/Dridex_dropper_analysis_fr.php
Mesures de protection
contre les codes malveillants
Pare-feu (ou Firewall): mettre en place des règles d’accès.
Système de gestion et de contrôle de trafic de données, ce dispositif filtre en permanence toutes les connexions entrantes et sortantes d’un ordinateur ou d’un réseau, son principe de
configuration repose sur le filtrage de trafic entrant et sortant.
L’anti-spam est un système permettant à l’utilisateur final, le destinataire, de se prémunir au maximum contre la réception de ces mails non désirés
Un anti-spam s’appuie sur différentes banques de données, notamment des listes noires constituées d’adresses internet ou de pays connus pour être à l’origine de nombreux spams. Il peut aussi arrêter le courrier indésirable selon son origine, son titre ou bien par son contenu.
G. Orhanou Master IAO
Antivirus: Logiciel capable de détecter, arrêter et éventuellement détruire les virus contenus sur une machine infestée.
Il a pour charge de surveiller la présence de virus et éventuellement de nettoyer, supprimer ou mettre en quarantaine le ou les fichiers infectés, il surveille tous les espaces dans lesquels un virus peut se loger, c’est à dire la mémoire et les unités de stockage.
Les antivirus utilisent plusieurs méthodes de détection de codes malveillants.
G. Orhanou Master IAO
Mesures de protection
contre les codes malveillants
Typologie des produits antivirus
La plupart des antivirus ne mettent pas en œuvre une seule méthode de détection, mais combinent plusieurs en même temps.
Ce sont la qualité des méthodes et le dosage de l’une par rapport à l’autre qui font la différence.
Les méthodes de détection:
La recherche par signature: C’est la technique du « scanner » basée sur la recherche d’une chaine de caractères.
Le contrôle d’intégrité des fichiers
La recherche heuristique: Elle cherche à détecter la présence d'un virus en analysant le code d'un programme inconnu.
L’analyse comportementale: Elle repose sur l’analyse dynamique des opérations de lecture et d’écriture en mémoire ou sur support physique.
L’éradication
G. Orhanou Master IAO
L’éradication
Pour obtenir l’éradication, l’antivirus doit lancer un processus automatisé inverse. Le succès s’obtiendra après:
1.Étude du code viral
2.Comparaison des fichiers sains et infectés
3.Localisation des données déplacées et sauvegardées
4.Marquage des fichiers nouvellement créés
5.Recherche des modifications annexes induites sur le système (ex.
modification de la base de registres)
Le travail d’éradication se complique lorsque des fichiers sains ont été modifiés pour accueillir le code viral!!.
G. Orhanou Master IAO
Références
Linux Magazine HS n°32: « Virus – Unix, GNU/Linux & Mac OS », sep/oct 2007
Le magazine MISC n°47, Dossier «La lute antivirale, une cause perdue? », jan/fév 2010.
Linux magazine HS n°32, « Virus – Unix, GNU/Linux & Mac OS X »
Dossier technique « Virus informatiques », CLUSIF, 2005
http://cwe.mitre.org/top25/archive/2011/2011_cwe_sans_top 25.pdf
http://cwe.mitre.org
http://www.sans.org
http://www.viruslist.com/fr
Master IAO G. Orhanou