2Politique de scurit

1.1. Dfinition

La politique de scurit est le document de rfrence dfinissant les objectifs poursuivis en matire de scurit et les moyens mis en uvre pour les assurer. La politique de scurit dfinit un certain nombre de rgles, de procdures et de bonnes pratiques permettant d'assurer un niveau de scurit conforme aux besoins de l'organisation.

3- Qu'est-ce qu'un hacker ?

Le terme hacker est souvent utilis pour dsigner un pirate informatique. Les victimes de piratage sur des rseaux informatiques aiment penser qu'ils ont t attaqus par des pirates chevronns ayant soigneusement tudi leur systme et ayant dvelopp des outils spcifiquement pour en exploiter les failles. Le terme hacker a eu plus d'une signification depuis son apparition la fin des annes 50. A l'origine ce nom dsignait d'une faon mliorative les programmeurs mrites, puis il servit au cours des annes 70 dcrire les rvolutionnaires de l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes entreprises informatiques. C'est au cours des annes 80 que ce mot a t utilis pour catgoriser les personnes impliques dans le piratage de jeux vidos, en dsamorant les protections de ces derniers, puis en en revendant des copies. Aujourd'hui ce mot est souvent utilis tort pour dsigner les personnes s'introduisant dans les systmes informatiques

mevace
Une menace dcrit un danger ou une vulnrabilit. Les menaces peuvent Survenir partir de sources diverses, par exemple des attaques ou une application mal configure.

les hackers Les black hat hackers , plus couramment appels

pirates, c'est--dire des personnes s'introduisant dans les systmes informatiques dans un but nuisible

Les phreakers

sont des pirates s'intressant au rseau tlphonique commut (RTC) afin de tlphoner gratuitement grce des circuits lectroniques (qualifies de box, comme la blue box, la violet box, ...) connects la ligne tlphonique dans le but d'en falsifier le fonctionnement. On appelle ainsi phreaking le piratage de ligne tlphonique

Les carders

s'attaquent principalement aux systmes de cartes puces (en particulier les cartes bancaires) pour en comprendre le

fonctionnement et en exploiter les failles. Le terme carding dsigne le piratage de cartes puce

1.1.1. Man in the middle

Enfin, lorsque le pirate est situ sur le mme brin rseau que les deux interlocuteurs, il lui est possible d'couter le rseau et de faire taire l'un des participants en faisant planter sa machine ou bien en saturant le rseau afin de prendre sa place.

1.2.

Attaque du ping de la mort

L' attaque du ping de la mort (en anglais ping of death ) est une des plus anciennes attaque rseau. Le principe du ping de la mort consiste tout simplement crer un datagramme IP dont la taille totale excde la taille maximum autorise (65536 octets). Un tel paquet envoy un systme possdant une pile TCP/IP vulnrable, provoquera un plantage. Plus aucun systme rcent n'est vulnrable ce type d'attaque.

L'usurpation d'adresse IP
L' usurpation d'adresse IP (galement appel mystification ou en anglais spoofing IP) est une technique consistant remplacer l'adresse IP de l'expditeur d'un paquet IP par l'adresse IP d'une autre machine. Cette technique permet ainsi un pirate d'envoyer des paquets anonymement. Il ne s'agit pas pour autant d'un changement d'adresse IP, mais d'une mascarade de l'adresse IP au niveau des paquets mis. Ainsi, certains tendent assimiler l'utilisation d'un proxy (permettant de masquer d'une certaine faon l'adresse IP) avec du spoofing IP. Toutefois, le proxy ne fait que relayer les paquets. Ainsi mme si l'adresse est apparemment masque, un pirate peut facilement tre retrouv grce au fichier journal (logs) du proxy. Tout ordinateur connect un rseau informatique est potentiellement vulnrable une attaque. Une attaque est l'exploitation d'une faille d'un systme informatique (systme d'exploitation, logiciel ou bien mme de l'utilisateur) des fins non connues par l'exploitant du systmes et gnralement prjudiciables. Sur internet des attaques ont lieu en permanence, raison de plusieurs attaques par minute sur chaque machine connecte. Ces attaques sont pour la plupart lances automatiquement partir de machines infectes (par des virus, chevaux de Troie, vers, etc.), l'insu de leur propritaire. Plus rarement il s'agit de l'action de pirates informatiques. Afin de contrer ces attaques il est indispensable de connatre les principaux types d'attaques afin de mettre en oeuvre des dispositions prventives. Les motivations des attaques peuvent tre de diffrentes sortes : obtenir un accs au systme ; voler des informations, tels que des secrets industriels ou des proprits intellectuelles ;

glner des informations personnelles sur un utilisateur ; rcuprer des donnes bancaires ; s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ; troubler le bon fonctionnement d'un service ; utiliser le systme de l'utilisateur comme rebond pour une attaque ; utiliser les ressources du systme de l'utilisateur, notamment lorsque le rseau sur lequel il est situ possde une bande passante leve

1.3. La qualit vulnrabilits

d'une

solution

d'audits

de

La qualit d'une solution d'audits de vulnrabilits rside dans plusieurs facteurs: La taille et la frquence de mise jour de la base de connaissances. La prcision de la dtection des vulnrabilits notamment face aux problmatique des faux positifs ou faux ngatifs. La capacit de la solution extraire des rapports dtaills et exploitables pour des techniciens ou une direction informatique. La capacit de la solution s'adapter l'entreprise notamment face aux problmatiques de centralisation de la gestion de la solution et aux problmatiques d'entreprises multi-sites.

Utilit d'un scanner les role

Les scanners de scurit sont des outils trs utiles pour les administrateurs systme et rseau afin de surveiller la scurit du parc informatique dont ils ont la charge. A contrario, cet outil est parfois utilis par des pirates informatiques afin de dterminer les brches d'un systme.

1.3.1. Fonctionnement d'un scanner

Un scanner de vulnrabilit est capable de dterminer les ports ouverts sur un systme en envoyant des requtes successives sur les diffrents ports et analyse les rponses afin de dterminer lesquels sont actifs. En analysant trs finement la structure des paquets TCP/IP reus, les scanners de scurit volus sont parfois capables de dterminer le systme d'exploitation de la machine distante ainsi que les versions des applications associes aux ports et, le cas chant, de conseiller les mises jour ncessaires, on parle ainsi de caractrisation de version. On distingue habituellement deux mthodes : L'acquisition active d'informations consistant envoyer un grand nombre de paquets possdant des en-ttes caractristiques et la plupart du temps non conformes aux recommandations et analyser les rponses afin de dterminer la version de l'application utilise. En effet, chaque application implmente les protocoles d'une faon lgrement diffrente, ce qui permet de les distinguer.

L'acquisition passive d'informations (parfois balayage passif ou scan non intrusif) est beaucoup moins intrusive et risque donc moins d'tre dtect par un systme de dtection d'intrusions. Son principe de fonctionnement est proche, si ce n'est qu'il consiste analyser les champs des datagrammes IP circulant sur un rseau, l'aide d'un sniffer. La caractrisation de version passive analyse l'volution des valeurs des champs sur des sries de fragments, ce qui implique un temps d'analyse beaucoup plus long. Ce type d'analyse est ainsi trs difficile voire impossible dtecter.

1.3.2. Quelques outils de vulnrabilit

Nessus Nmap ("Network Mapper") - Utilitaire libre d'audits de scurit et d'exploration des rseaux The Art of Port Scanning par Fyodor

Approche proactive
Plutt que d'attendre que les problmes se prsentent avant d'y rpondre, le principe de cette approche est de minimiser la possibilit qu'ils se produisent ds le dpart. Pour protger les ressources importantes de votre entreprise, vous devez mettre en place des contrles visant rduire les risques d'exploitation des vulnrabilits par des programmes ou des personnes malveillants ou par un usage accidentel

1.3.3. Cryptanalyse du chiffrement par substitution

Dans le cas de l'utilisation d'un code par substitution, la cryptanalyse ou dchiffrement se fait par l'utilisation de donnes statistiques : En anglais, les caractres les plus frquemment utiliss sont : e, t, o, a, n, i Les combinaisons de deux lettres (digrammes) les plus frquentes sont : th, in, er, re, et an. Les combinaisons de trois lettres (trigrammes) : the, ing, and et ion.

1.3.4. Attaque rseau par rflexion (Smurf)

La technique dite attaque par rflexion (en anglais smurf ) est base sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un rseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l'envoyer toutes les machines prsentes sur le mme rseau.

2.

-ce qu'un pare-feu?.

Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment internet). Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivante : une interface pour le rseau protger (rseau interne) ; une interface pour le rseau externe. exercice4 La figure reprsente un serveur proxy avec des serveurs Web internes. En rgle gnrale, les htes client d'un rseau local scuris demandent une page Web un serveur qui excute des services proxy. Le serveur proxy accde alors Internet pour rcuprer la page Web. La page Web est copie sur le serveur proxy. Ce processus est appel caching. Enfin, le serveur proxy transmet la page Web au client

mehrer

MEHARI a t initialement conu et est en constant dveloppement pour aider les RSSI1 dans leur tche de management de la scurit de linformation et des systmes dinformation. Cette prsentation gnrale leur est ainsi principalement destine, mais elle sadresse galement aux auditeurs ou aux Risk Managers qui partagent, dans une large mesure, les mmes proccupations