Principes de la sécurité informatique

(1)

ISET SFAX Omar Cheikhrouhou 1

Principes de la sécurité informatique

Omar Cheikhrouhou Abderrahmen Guermazi

ISET SFAX

(2)

2

Sécurité de quoi ?

 des systèmes (machines) et des informations qu’elles contiennent

 Sécurité des équipements réseau

 Sécurité des échanges des données sur le réseau

(3)

3

Définition

• La sécurité informatique : est l’ensemble de ressources mises en œuvre pour protéger les systèmes contre des menaces et des risques dans un contexte défini.

• Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.

• Les attaques : elles représentent les moyens d'exploiter une vulnérabilité.

Il peut y avoir plusieurs attaques pour une même vulnérabilités mais toutes les vulnérabilités ne sont pas exploitables.

• Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur la même vulnérabilité).

• Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une vulnérabilité.

(4)

Les services de sécurité

 Contrôle d’accès:

 limiter l’accès au systèmes

 Authentification :

 Utilisateur: s’assurer de l’identification de l’utilisateur (exemple par mot de passe ou signature numérique etc …)

 Données :S’assurer de l’origine des données envoyées. (par exemple ceci se fait avec la vérification du code ajouté au message en utilisant une clé pré-partagée, etc …)

 Confidentialité :

assurer que seuls les utilisateurs autorisés ont accès aux informations.

=> protection contre divulgation, utilisation non autorisée

 Intégrité :

assurer qu’une information n’est pas modifiée

=> protection contre modification, altération, perte d’information

 Non Répudiation :

l’émetteur ne peut nier avoir émis ou le récepteur avoir reçu un message donné

(5)

Les services de sécurité(cont.)

 Disponibilité :

assurer la disponibilité du système et de ses services

=> protection contre dégradation, refus de service

 Fraîcheur:

S’assurer que l’information est fraîche.

(6)

Moyens et outils de sécurité

• Contrôle d’accès

– Par mot de passe – Filtrage par adresse

• @MAC, @IP, nom du domaine

(7)

Moyens et outils de sécurité( cont. )

• Authentification de l’utilisateur:

– What we know

• Login/pwd, secret key, etc …

– What we have

• Smart card, clés usb, certificats, etc …

– What we are

• Paramètres biométriques (iris, doigt (empreinte digitale), voix, etc…)

– Une combinaison est possible

(8)

Moyens et outils de sécurité( cont. )

• Confidentialité

– Chiffrement des données

• Algorithmes de chiffrement (AES, DES, RSA, …)

• Intégrité/authentification de données

– Ajout de MAC (Message authentication code)

appelé encore MIC(Message Integrity code)

(9)

Moyens et outils de sécurité( cont. )

• Disponibilité

– Serveur secondaire

– Vérification de l’utilisateur – Outils anti-programmes

• Fraîcheur

– Nonce, timestamp

(10)

LES MENACES

(11)

Les attaques sur les réseaux

• Écoute et Interception des messages sur le réseau

– vol des informations confidentielles (ex. prise de connaissance des mots de passe)

• usurpation d’identité:

– consiste à se faire passer pour un utilisateur du système habilité.

• Déni de service (DoS):

– génération de messages sur le réseau de

manière à rendre le réseau inutilisable (hors

service)

(12)

Les attaques sur les réseaux (cont.)

• Répudiation :

– l’émetteur nie avoir émis ou le récepteur avoir reçu un message donné

• Modification de l’information

• Injection de l’information

(13)

13

Moyens de lancer une attaque (1)

Exploitation des failles dans un système d’exploitation Accès au système qui s’ouvre à cause d’une faille dans

le code de l’O.S.

Exemple

 Une ancienne version de Gnu-Emacs (éditeur de texte) donnait les privilèges de root à l’utilisateur (sur Unix)

- Les programmes utilisateurs pouvaient ainsi s’exécuter avec les droits de root,

- Possibilité d’accéder à tous les fichiers du système !

 Le virus sasser exploite une faille dans le système

d’exploitation Microsoft Windows XP SP1 pour lancer le redémarrage automatique de la machine

(14)

14

Bombardement réseau

 On envoie plus de requêtes à un site qui n’est capable de gérer (exemple: un email volumineux envoyé en continu à un serveur de messagerie)

- On gaspille toutes les ressources du site: l’espace disque, etc.

- Le site n’est donc plus capable de servir des requêtes.

 Parade: Les firewalls est un moyen de limiter les dégâts d’un bombardement.

 Exemple Tous les « grands » sites web ont été victimes de telle attaque exemple: CNN.com, eBay.com, amazon.com, …

N.B: Pour ces sites, un firewall n’est pas très utile car ces sites sont conçus pour recevoir des requêtes de partout

Moyens de lancer une attaque (2)

(15)

15

Moyens de lancer une attaque (3)

Les Sniffers

c’est un dispositif logiciel ou matériel, qui capte des informations qui transitent sur un réseau (Ethernet,TCP/IP,IPX…)

Exemple: l’interface réseau peut être placée dans un mode

transparent permettant l’écoute de tout le trafic,quelle que soit l’adresse du destinataire .

Les Menace du snifer:

 Capturer des mots de passe

 intercepter des informations confidentielles

 Ouvrir une faille dans le système de sécurité d’un réseau voisin

(16)

16

Moyens de lancer une attaque (3)

Emplacement:

 A la proximité de une machine ou d’un réseau recevant de

 nombreux mots de passe

 machine passerelle

 Chemin obligatoirement emprunté parades:

 Cryptage de communication

 Segmentation du réseau: adapter une topologie de réseau sécurisée(pont, routeur…)

 limiter le nombre de liens avec d’autres segments

(17)

17

Moyens de lancer une attaque (4)

Scanners et utilitaires réseau « Un bon scanner vaut un millier de mot de passe »

un scanner est un outil appartenant à la famille des outils de diagnostic de réseau.

Il permet de :

 analyser de ports et de services TCP/IP (Telnet,FTP...)

 enregistrer les réponses de la cible et recueille des informations utiles sur la hôte.

Certains scanners détectent automatiquement les faiblesses de sécurité d’un hôte distant ou local.

(18)

18

Moyens de lancer une attaque (4)

Légale : employé par les administrateurs système pour vérifier la faiblesse de leur systèmes

illégale : Utilisation par les agresseurs

- Savoir et révéler les faille du système préparant ainsi une agression

- Découvrir la négligence des administrateurs en matière de sécurité de leur réseau

Scanners disponibles:

- NSS(Network Security Scanner)

- STROBE

- SATAN(Security Administrator’s Tool for Analysing Networks)

(19)

19

Moyens de lancer une attaque (5)

Outils pour forcer les mots de passe(crackers de mots de passe(programme) ou perceur de mot de passe)

Il Permet de rechercher des mots de passe pour déjouer la protection

Principe

Ne pas effectuer un déchiffrage du mot de passe crypté, Le mot de passe crypté ne peuvent pas être trouvés par une simple

inversion du processus de chiffrement (unidirectionnelle)

1. Employer l’algorithme ayant servi au chiffrement du mot de passe visé

2. Il compare le résultat du cryptage de mots de passe servant de base avec la version cryptée du mot de passe original.

(20)

20

Moyens de lancer une attaque (5)

Caractéristiques

 Moteur agissant en force

 N’utilise pas des algorithmes intelligents

 Repose sur la puissance du computer

 Espoir de trouver le mot ou la phrase exacte

 Valable pour les mots de passe non efficaces(vulnérables)

- Mot de passe  dictionnaire:(Linux: Mot de passe dans /usr/share/dict/words)

- Mot de passe uniforme(alphabétique, majuscule , minuscule, numérique, court...)

Exemples :Crack, Qcrack, Pcrack, Hades, Killer, racker, Claymore,Star…

(21)

21

Piratage de compte

 Utilisation illicite d’un accès au système par une personne

« extérieure »

 utilisation d’un compte différent du sien avec plus de privilèges par une personne « intérieure ».

Cause:

 Suite à une intrusion via Internet.

 Parfois dû à de graves erreurs de l’administrateur(une absence d’administration, une divulgation d’informations qui

permettent l’obtention d’un couple (login,password).

Moyens de lancer une attaque (6)

(22)

22

Infection informatique :

Apparu surtout avec la micro-informatique puis l’Internet Plusieurs types d’infection :

 Virus

 chevaux de Troie

 bombes logiques

 Vers

 Spyware

 …

Moyens de lancer une attaque (7)

(23)

23

Virus: Suite d’instructions illicites introduites dans un programme par un saboteur qui ont deux fonctions :

- action néfaste : rarement absente, les dégâts causés par la

manifestation du virus(au moins par le temps pris par son exécution et la place disque occupée)

- action de reproduction.

Caractéristiques : il est exécuté uniquement lorsqu’un utilisateur exécute à son insu le programme infecté par le virus.

Deux intégrations possibles :

- ajout de code : virus recopié dans l’exécutable (au début

généralement). Repérable par la variation de taille des programmes.

- recouvrement : utilisation de zones libres ou destruction d’une partie du programme. Repérage par l’exécution anormale du programme.

Moyens de lancer une attaque (7.1)

(24)

24

Chevaux de troie« Torjan horses »

un programme non autorisé, placé dans un programme sain, soit par ajout, soit par modification du code existant (fichiers binaires compilé).

Ce code intrus exécute des fonctions indésirables(copie de fichiers, vol de mots de passe), de manière cachée, sous couvert de

fonctions connues et nécessaires.

leur découverte est retardé et accidentelle l’évaluation des dégâts et difficile endommage la cible(formatage du disque , cryptage des fichiers…)

Moyens de lancer une attaque (7.2)

(25)

25

Détection d’un cheval de troie

 Nécessite une connaisse du système d’exploitation

 Utiliser un contrôleur d’intégrité de fichiers(difficile si les fichiers systèmes sont remplacer par des versions plus récentes (bib de

fichiers DLL)

 Utiliser la technique de approchement des objets:

 Processus de comparaison des objets

 actuels (fichiers ou répertoires)

 Avec des versions antérieures(sur bande de sauvegarde).

On peut se baser dans la comparaison sur:

- La date de dernière modification (non fiable)

- La taille du fichier(fiable)

- La somme de contrôle:checksum Signature du fichier(plus fiable)

Moyens de lancer une attaque (7.2)

(26)

26

Bombe logique

Programme ou altération de programme capable de réaliser une action néfaste avec un déclenchement différé ou téléguidé

attaque la plus répandue dans les entreprises (tchernobile)

Exemples :

- un programmeur, suite à un licenciement, insère dans un programme de paie une fonction de reformatage des disques durs dont l’exécution sera déclenchée lorsque son nom disparaîtra du fichier du personnel - un administrateur système peut modifier des utilitaires (tels que

login) de manière à garder la possibilité de se connecter sur le système suite à un départ.

Moyens de lancer une attaque (7.3)

(27)

27

Les vers

Programme illicite et autonome Caractéristiques :

- ne requiert aucune intervention de l’utilisateur pour s’exécuter.

- dès son déclenchement, cherche à se reproduire sur un autre système (via le réseau) et à se réexécuter tout seul.

- possibilité d’existence de vers se reproduisant en mémoire vive sans utiliser d’espace disque.

F Rares car complexes

F Difficilement détectables sur sites importants

F Exemple : ver de l’Internet du 3 novembre 1988 a

contaminé plus de 60000 ordinateurs Unix en moins de 24h.

Moyens de lancer une attaque (7.4)

(28)

28

Espiologiciel (spyware )

 c’est un logiciel espion ( mouchard, « spyware ») malveillant qui infecte un ordinateur dans le but de collecter et de

transmettre à des tiers des informations de l'environnement sur lequel il est installé, sans que l'utilisateur n'en ait connaissance

 la réputation de ce type de logiciel est associé à celui d'Internet, qui sert de moyen de transmission des données.

Utilisation:

Utilisé par des sociétés proposant de la publicité sur Internet.

 permettre l'envoi de publicité ciblée,

 il est nécessaire de bien connaître sa cible.

Moyens de lancer une attaque (7.5)

(29)

29

Espiologiciel (spyware ) Fonctionnement:

Un logiciel espion est composé de trois mécanismes distincts :

• Le mécanisme d'infection: mécanismes permettant l'installation du logiciel (mécanisme identiques à ceux des virus des vers ou des chevaux de troie.

Exemple, le spyware Cydoor utilise le logiciel grand public Kazaa.

• Le mécanisme assurant la collecte d'information.

Pour le même exemple, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa.

• Le mécanisme assurant la transmission à un tiers.

Ce mécanisme est généralement assuré via le réseau Internet.

Le tiers peut être le concepteur du programme ou une entreprise.

Moyens de lancer une attaque (7.5)

(30)

Porte dérobée

• Dans un logiciel, une porte dérobée (de l'anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel.

• Programme malicieux visant à détourner les

fonctionnalités d'un service ou d'un système en ouvrant sur la machine touchée des canaux

d'accès masqués et utilisés par une personne malveillante

•

(31)

Cheval de Troie

• Un cheval de Troie est un logiciel d’apparence légitime conçu pour exécuter de façon cachée des actions à l’insu de l'utilisateur. En général, un cheval de Troie tente d’utiliser les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée qui permet à un attaquant de prendre, à distance, le contrôle de l'ordinateur.

(32)

Phishing

• L'hameçonnage (ou phishing, et parfois filoutage), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.

C'est une forme d'attaque informatique reposant sur l'ingénierie sociale (sécurité de l'information).

L'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.

(33)

Virus informatique

• Un virus informatique est un logiciel malveillant conçu pour se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés « hôtes ». Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté. ...

fr.wikipedia.org/wiki/Virus_informatique

• Programme malveillant dont l'exécution est déclenchée lorsque le vecteur auquel il a été attaché clandestinement est activé, qui se recopie au sein d'autres programmes ou sur des zones systèmes lui servant à leur tour de moyen de propagation, et qui produit les actions malveillantes pour ...

www.vol-identite.info.gouv.qc.ca/fr/glossaire.asp

(34)

Ver informatique

• Un ver informatique est un logiciel malveillant qui se reproduit sur plusieurs ordinateurs en utilisant un réseau informatique comme Internet.

fr.wikipedia.org/wiki/Ver_informatique

• (Anglais : worm) Programme autonome et parasite, capable de se reproduire par lui-même, en perpétuel déplacement dans la mémoire d'ordinateur qu'il surcharge et mine progressivement, et consommant, jusqu'à la paralysie, les ressources du système informatique.

www.protection-internet.be/vocabulaire.html

(35)

LES DIFFÉRENTS TYPES D’ATTAQUANTS

(36)

hacker

• En sécurité informatique, un hacker est un spécialiste dans la maîtrise de la sécurité informatique et donc des moyens de déjouer cette sécurité. Certains d'entre eux utilisent ce savoir-faire dans un cadre légal et d'autres l'utilisent hors-la-loi. Ces derniers sont appelés « crackers ».

fr.wikipedia.org/wiki/Hacker_(sécurité_informatique)