Sécurité des Réseaux

Chapitre 2:
Malwares et attaques
fréquentes

Classe : RSI3
ISET Nabeul
Sana HAOUAS
2021-2022
1
Plan
 Les malwares
 Anatomie d’une attaque
 Les attaques courantes

2
3
1. Les malwares
 Malware
◦ Mot-valise formé à partir des termes « malicious » et « software ».
◦ Conçu pour endommager, perturber ou effectuer une action illégitime sur des
données, des hôtes ou des réseaux.

4
 Virus
◦ Type de malware qui se fixe sur un programme ou un
fichier à partir duquel il peut se propager d'un
ordinateur à l'autre.
◦ Un peu comme les virus humains, les virus
informatiques peuvent être plus ou moins graves :
certains ont seulement des effets légèrement
dérangeants, tandis que d'autres peuvent
endommager votre matériel, vos logiciels ou vos
fichiers.
◦ Ne peut pas se répandre sans une intervention
humaine, comme l'exécution d'un programme infecté
◦ Peut rester en sommeil pendant une longue période,
puis s'activer à une date et à une heure spécifiques.

5
 Cheval de Troie
(“trojan” en anglais)

◦ Programme à apparence légitime.

◦ Fréquemment associé à des jeux en ligne.
◦ Ne se réplique pas automatiquement.
◦ Exploite les privilèges de l'utilisateur qui exécute le
malware.
◦ Peut causer des dommages immédiats, ouvrir un
accès distant au système via une porte dérobée
(backdoor) qui est vue comme une porte d'entrée
clandestine

6
Porte dérobée
 Lorsqu’un pirate informatique arrive à accéder à un serveur
par un cheval de Troie par exemple, il souhaiterait y
retourner sans avoir à tout recommencer. Pour cela, il laisse
des portes dérobées (backdoor) qui lui permettront de
reprendre facilement le contrôle du système informatique.

 Comment?
◦ Création d’un nouveau compte administrateur avec un mot de
passe choisi par le pirate
◦ Modification des règles du pare-feu pour qu’il accepte des
connexions externes

 L’administrateur peut perdre le contrôle total de son

système. Le pirate peut alors récupérer les données qu’il
souhaite, voler des mots de passe ou même détruire des
données.

7
Classification des chevaux de
Troie  Cheval de Troie à accès distant : permet
un accès distant non autorisé.
 Cheval de Troie émetteur de données :
transmet des données sensibles au hacker,
par exemple des mots de passe.
 Cheval de Troie destructeur : est capable
de corrompre ou de supprimer des fichiers.
 Cheval de Troie par proxy : utilise
l'ordinateur de la victime pour lancer des
attaques et pratiquer d'autres activités
illégales.
 Cheval de Troie FTP : permet le transfert
non autorisé de fichiers sur des terminaux.
 Cheval de Troie désactivateur de
logiciels de sécurité : empêche le bon
fonctionnement des antivirus et des pare-
feu.
 Cheval de Troie DoS : a la faculté de
ralentir ou de stopper l'activité d'un réseau.
8
  Ver (« Worm » en anglais)
o Similaire à un virus par sa conception. Considéré comme étant une sous-
classe de virus
o A l'inverse des virus, les vers sont capables de voyager sans intervention
humaine (profite des fonctions de transfert d'informations ou de fichiers
d’un système)
o Capacité à se reproduire lui-même dans votre système : au lieu d'expédier
un seul ver, un ordinateur infecté peut en expédier des centaines ou des
milliers de copies, générant un effet dévastateur.
o Par exemple, un ver peut envoyer une copie de lui-même à toutes les
personnes répertoriées dans votre carnet d'adresses électroniques.
Ensuite, le ver se reproduit et s'expédie lui-même à toutes les personnes
du carnet d'adresses de chaque destinataire.

Infection par le ver Code Red 19 heures plus tard

Infection initiale par le ver Code Red– 658 serveurs 300 000 serveurs

9
• Ransomware
o Malware qui bloque l'accès aux données ou au système d'un ordinateur
infecté. Les cybercriminels exigent alors une rançon contre le nettoyage
du système infecté.
o Utilise souvent un algorithme pour
chiffrer les systèmes de fichiers et les
données, qu'il est difficile à déchiffrer.

o Les e-mails et la publicité malveillante

sont souvent utilisés pour lancer des
attaques de ransomware.

o L'ingénierie sociale est également

utilisée : des hackers se font passer
pour des techniciens en sécurité et
appellent des utilisateurs chez eux
pour les persuader de se connecter à
un site web qui téléchargera le
ransomware sur l'ordinateur ciblé.

10
L’ingénierie sociale désigne l'art de manipuler des personnes
afin de contourner des dispositifs de sécurité.

Elle est basée sur l'utilisation de la force de persuasion et

l'exploitation de la naïveté des utilisateurs en se faisant
passer pour une personne de la maison, un technicien,
un administrateur, etc.

 L’obtention des informations de la part des utilisateurs se fait

 Par téléphone,
 Par courrier électronique,
 Par courrier écrit,
 Par messagerie instantanée,
 etc.
11
 Les malwares modernes
◦ Spyware (Logiciel espion) : sans action destructive, utilisé
pour espionner les habitudes d’un utilisateur, de collecter des
informations sur lui, et les envoyer vers une autre entité, sans le
consentement de l'utilisateur.
◦ Adware (Logiciel publicitaire) : affiche généralement des
fenêtres publicitaires intempestives afin de générer des revenus
pour son développeur. Peut analyser les centres d'intérêt de
l'utilisateur en surveillant les sites web visités et envoyer des
fenêtres publicitaires intempestives ayant lien avec ces sites.
◦ Phishing (hameçonnage): tente d'inciter les utilisateurs à
divulguer des informations sensibles. Cela peut se traduire par
un e-mail de leur banque leur demandant de se connecter en
ligne par le biais d’un lien (page web factice).
◦ Rootkit : souvent d'un pack d'outils et d'applications qui
permettent aux pirates d'accéder aux informations de la
machine, mais aussi aux privilèges administrateur du système. Il
se cache dans les ordinateurs, et plus précisément dans les
couches inférieures du système d’exploitation (difficile à
détecter) 12
Comportement des malwares
courants
 Un ordinateur infecté manifeste un ou plusieurs des symptômes suivants :
◦ Apparition de fichiers, de programmes ou d'icônes du bureau anormaux
◦ Désactivation des programmes antivirus et pare-feu, ou reconfiguration
de leurs paramètres
◦ Gel de l'écran ou défaillances du système
◦ Envoi automatique d'e-mails à des personnes de votre liste de contacts
◦ Modification ou suppression de fichiers
◦ Utilisation accrue du processeur ou de la mémoire
◦ Problèmes de connexion aux réseaux
◦ Ordinateur ou navigateur web ralenti
◦ Exécution de processus ou de services inconnus
◦ Ports TCP ou UDP inconnus ouverts
◦ Connexion à des hôtes sur Internet sans action de l'utilisateur
◦ Comportement anormal de l'ordinateur

13
2. Anatomie d’une attaque
 Pour mieux contrer les attaques potentielles, il
faut comprendre l’approche basique utilisée par
les attaquants.
 La méthodologie d’attaque est généralement
basée sur les étapes suivantes :
◦ Surveillance & évaluation
◦ Exploitation
◦ Elévation de privilèges
◦ Maintien d’accès
◦ Déni de Service (DoS)
 Une étape complémentaire consiste à effacer les
traces d’attaque.

14
2. Anatomie d’une attaque
1. Surveillance & Evaluation
 1ère étape de l’attaque = surveiller la
cible potentielle pour identifier et évaluer
ses caractéristiques (services, protocoles,
vulnérabilités, points d’entrée, …).
 L’attaquant utilise les informations
recueillies dans cette phase pour planifier
son attaque.

15
2. Anatomie d’une attaque
Phase de Reconnaissance
Recherche d’informations sur la cible :
◦ Reconnaissance Passive : Collecte d’informations
à partir des sources publiques (site web, …)
◦ Reconnaissance Active : Collecte d’informations
à partir de l’ingénierie sociale, visite locale,
interviews, …
 Phase de scan
◦ Port scanning
◦ Network scanning
◦ Vulnerability scanning

16
2. Anatomie d’une attaque
2. Exploitation
 2ème étape de l’attaque = l’exploitation
A partir de la synthèse de toutes les informations
recueillies lors de la phase précédente, l’attaquant
pourra connaitre toutes les vulnérabilités de sa
cible.
 Ainsi, il pourra trouver le moyen le plus simple et
le plus efficace d’exploiter ces vulnérabilités et de
concrétiser l’attaque qu’il vise.

17
2. Anatomie d’une attaque
3. Elévation de privilèges
 Après qu’un attaquant ait réussi à
s’introduire dans une application ou un
réseau, il tentera immédiatement d’élever
ses privilèges.
 Il pourra chercher les privilèges des
comptes d’administration ou les plus hauts
privilèges possible pour le compte système
local.

18
2. Anatomie d’une attaque
4. Maintien d’accès
 Après qu’un attaquant ait réussi à s’introduire dans une
application ou un réseau, il voudra garantir un accès
futur plus aisé.
◦ Approches les plus communes : installation de
backdoor (porte dérobée) ou bien utiliser un
compte utilisateur existant avec une faible protection.
 L’attaquant pourra également effacer ses traces. Ceci
nécessite d’effacer les logs.
◦ Ainsi, les logs deviennent une cible privilégiée de
l’attaquant.
◦ Les fichiers log doivent être bien sécurisés. Ils doivent
également être régulièrement analysés pour nous
alerter d’une tentative d’attaque avant qu’elle n’ait
lieu.
19
2. Anatomie d’une attaque
5. Déni de Service (DoS)
 Un attaquant, ne pouvant pas s’introduire dans un
système ou application, essaie généralement de
causer un déni de Service pour empêcher les autres
utilisateurs d’y accéder.
 Pour d’autres cas, le DoS est l’objectif même de
l’attaque.
 Exemple : un attaquant lance une attaque TCP
SYN flooding juste pour empêcher les utilisateurs
légitimes d’établir des connexions réseau avec le
service cible (HTTP ou autre).

20
3. Les attaques courantes

 Les attaques de reconnaissance

 Les attaques d’accès
 Les attaques par modification
 Les attaques par usurpation
 Les attaques par interception
 Les attaques de saturation
 Les attaques par déni de service

21
Attaques de reconnaissance
 Conçues pour collecter des
informations, les attaques de
reconnaissance détectent et mappent
sans autorisation des systèmes, des
services ou des vulnérabilités.
 S'apparentent à l'activité préparatoire
d'un cambrioleur faisant du porte-à-
porte sous couvert de vente à
domicile.
 Ce type d'attaque s'appelle un
profilage d'hôte s'il concerne un
terminal.
 Les attaques de reconnaissance
précèdent les attaques d'accès
intrusives ou les attaques DoS et
recourent à des outils facilement
accessibles.
22
 Techniques utilisées par les hackers pour le « footprinting » :
 Requête d'informations sur une cible : le
hacker est à la recherche d'informations
préliminaires sur une cible.
Outils : recherche Google, informations
publiques issues des registres DNS à l'aide de
dig, nslookup et whois.
 Balayage ping des réseaux ciblés : le hacker
lance un balayage ping des réseaux ciblés
identifiés lors des précédentes requêtes DNS
pour identifier les adresses réseau ciblées.
Identifie les adresses IP actives et la création
d'une topologie logique. (ping, tracert)
 Analyse des ports des adresses IP actives :
le hacker lance alors une analyse des ports sur
les hôtes actifs identifiés lors du balayage ping
pour repérer les ports ou les services
disponibles. Des outils d'analyse de ports
comme Nmap, SuperScan, Angry IP Scanner et
NetScan Tools se connectent à l'hôte ciblé en
recherchant des ports ouverts sur les
ordinateurs visés 23
 Attaques d’accès
 Lancer une attaque d'accès sur un réseau ou un système permet d'atteindre
au moins 3 objectifs : La récupération de données, l'accès à des systèmes et
la modification des niveaux de privilèges d'accès

1. Attaque d’écoute (“Sniffing”)

 Il arrive souvent que certaines informations sensibles circulent en clair dans
le réseau.
 L’attaquant déploie un « sniffer » et intercepte les données sensibles (les
mots de passe par exemple).
 Comment intercepter?
◦ Attaque MITM (Man-In-The-Middle)
◦ L’attaquant force le switch d’un réseau commuté à agir comme un hub et
place sa carte réseau en mode promiscuous.
 Les données capturées peuvent servir ensuite pour d’autres types d’attaque.
 Exemples de sniffer: Wireshark (sniffer logiciel), Tcpdump (sniffer en ligne de
commande)
24
2. Attaques de mot de passe : tentent
de découvrir des mots de passe système
importants via
◦ des attaques par phishing,
◦ des attaques par dictionnaire,
◦ les attaques par force brute,
◦ des analyses de réseau (ou « sniffing »)
◦ ou des techniques d'ingénierie sociale.

25
 Attaques par modification
 Ce type d’attaque est dirigé contre
l’intégrité de l’information puisque
l’attaquant tente de modifier des
informations.
 Les moyens utilisés :
◦ les virus
◦ les vers
◦ les chevaux de Troie

26
Attaques par usurpation (spoofing)
 Un attaquant change son identité pour que
l'on pense qu'il s'agit de quelqu'un d'autre
(mail, userId, adresse IP,...)
 On dit qu’il usurpe l’identité de quelqu’un
d’autre.
 L'attaquant exploite une relation de
confiance entre l'utilisateur et les machines
du réseau pour obtenir l'accès aux machines.

27
Attaque IP Spoofing
 La plupart des réseaux et SE se basent sur l’@IP des
machines pour identifier la provenance de paquets.
 Attaque IP Spoofing = remplacer l’adresse IP de
l’expéditeur d’un paquet IP par l’adresse IP d’une
autre machine.
◦ un pirate peut alors envoyer des paquets anonymement.

Principe :
 Dès qu'un client possède une connexion établie sur
un serveur avec un mode d'authentification basée sur
l'adresse IP, le pirate va essayer de se faire passer
pour le client auprès du serveur.
 Pour cela, il va empêcher le client de dialoguer avec
le serveur et répondra à sa place.

28
 Après l’accès au réseau, l’attaquant peut modifier,
détourner le trafic ou effacer des données.
 L’attaquant peut également utiliser l’IP spoofing
pour lancer un autre type d’attaque (DoS par
exemple).

29
Attaque ARP Spoofing
 Tout datagramme IP est encapsulé dans
une trame Ethernet (avec @ source et @
destination)
 Le protocole ARP (Address Resolution
Protocol) implémente le mécanisme de
résolution d’une adresse IP en une
adresse MAC Ethernet

30
Attaque ARP Spoofing
 Si la machine source A ne connaît pas
l’adresse MAC de la machine destination
B, elle envoie une requête ARP en
broadcast, attend la réponse et la
mémorise.
 Le pirate répond en indiquant sa propre
adresse MAC, ainsi il intercepte les
paquets à destination de B.
 Le protocole ARP est sans état et les
réseaux ont tendance à mettre en cache
les réponses ARP.
31
32
 Attaque DHCP Spoofing
 DHCP Spoofing
(usurpation d'identité
DHCP) se produit
lorsqu'un attaquant
tente de répondre aux
demandes DHCP et
tente de se faire
passer (spoof) pour la
passerelle (Gateway)
ou le serveur DNS par
défaut, ce qui
déclenche une attaque
de l’homme du milieu
(Man In The Middle ou
MITM).

Il est donc possible qu'ils puissent intercepter le trafic des utilisateurs avant de le
rediriger vers la passerelle (Gateway) réelle ou effectuer des DoS (Denial of Service
Attack) en inondant le serveur DHCP réel de demandes visant à étouffer les
ressources en adresses IP.
33
Attaque DHCP Starvation

 DHCP Starvation (attaque par épuisement de

ressources) cible généralement les serveurs
DHCP du réseau, dans le but d'inonder le serveur
DHCP autorisé de messages de demandes DHCP
REQUEST en utilisant des adresses MAC source
spoofées. Le serveur DHCP répondra à toutes les
demandes, sans savoir qu'il s'agit d'une attaque, en
lui attribuant les adresses IP disponibles,
entraînant ainsi l'épuisement du stock DHCP. Les
vrais clients ne pourront plus obtenir d'adresse IP
: le trafic réseau sera paralysé.
 Attaques évitées grâce au DHCP Snooping
(surveillance DHCP)

34
 Attaques par interception
Attaque Man-In-The-Middle
 Comme son nom l’indique, une attaque
MITM a lieu lorsque l’attaquant s’interpose
entre vous et votre interlocuteur en
capturant ou modifiant votre communication
de façon transparente.

35
Attaque “vol de session TCP”
(TCP Session Hijacking)
 Technique consistant à intercepter une session TCP initiée entre deux
machine afin de la détourner (rediriger le flux TCP).
◦ Nécessite l’écoute du trafic (sniffing)
 Exemple :
1. Etablissement d'une connexion TCP (Three-Way Handshake) entre deux
machines (A a initialisé une connexion TCP vers B) :

2. Transfert de données via TCP (Échange de données

applicatives - flag PSH égal à 1) :

36
Un pirate avec une machine C veut voler une session (Telnet par exemple )
établie entre les machines A et B.
1) Dans un premier temps, la machine C sniffe le trafic Telnet (port TCP 23)
entre A et B.
2) Une fois que le pirate estime que A a eu le temps de s'authentifier auprès du
service Telnet de la machine B, il désynchronise la machine A par rapport à B.
Pour cela, il forge alors un paquet avec, comme adresse IP source, celle de la
machine A et avec le numéro d'acquittement TCP (ACK) attendu par B.
3) La machine B accepte donc ce paquet. En plus de désynchroniser la connexion
TCP, ce paquet permet au pirate d'injecter une commande via la session Telnet
préalablement établie par A.

37
 Attaques par saturation
 L’attaquant envoie plusieurs milliers de
messages vers une cible (soit une machine
ou un réseau) en vue de le submerger, le
paralyser pendant un certain temps.
 Ainsi, il peut bloquer l’accès au service de
sa victime à ses utilisateurs légitimes.

38
Attaque Buffer-overflow
 Un buffer overflow est une attaque très
efficace et assez compliquée à réaliser. Elle
vise à exploiter une faille, une faiblesse
dans une application (navigateur, logiciel
de mail, etc...) pour exécuter un code
arbitraire qui compromettra la cible.
◦ Non Disponibilité du service.
 Suite à ce débordement, plusieurs cas se
présentent : la machine se bloque,
redémarre ou ce qui est plus grave, écrit
sur le code en mémoire.
39
Attaque TCP SYN Flooding
 Le TCP-SYN flooding est une variante du flooding qui
s’appuie sur une faille du protocole TCP (phase TCP Three
Way Handshake).
 Les trois étapes pour une connexion normale sont l'envoi
d'un SYN, la réception d'un SYN-ACK et l'envoi d'un ACK.
 Le principe est de laisser sur la machine cible un nombre
important de connexions TCP en attentes.
◦ Pour cela, le pirate envoie un très grand nombre de demandes
de connexion (flag SYN à 1), en utilisant des adresses IP source
aléatoires pour éviter son identification,
◦ la machine cible renvoie les SYN-ACK en réponse au SYN reçus.
◦ Le pirate ne répondra jamais avec un ACK, et donc pour chaque
SYN reçu la cible aura une connexion TCP en attente.
 Etant donné que ces connexions semi-ouvertes
consomment des ressources mémoires au bout d'un certain
temps la machine est saturée et ne peut plus accepter de
connexion.
 Ce type de déni de service n'affecte que la machine cible.
40
 figure

Attaque TCP SYN Flooding

41
Smurfing (attaque par réflexion)

 Cette attaque utilise le protocole ICMP.

 Quand un ping (message ICMP ECHO) est envoyé à
une adresse de broadcast (par exemple
10.255.255.255), celui-ci est démultiplié et envoyé à
chacune des machines du réseau. Le principe de
l'attaque est de spoofer les paquets ICMP ECHO
REQUEST envoyés en mettant comme adresse IP
source celle de la cible.
 Le pirate envoie un flux continu de ping vers l'adresse
de broadcast d'un réseau et toutes les machines
répondent alors par message ICMP ECHO REPLY en
direction de la cible. Le flux est alors multiplié par le
nombre d'hôte composant le réseau.

42
 La cible est inondée
et finit par se
déconnecter du
réseau.
 L'énorme quantité
de trafic généré par
cette attaque
entraîne une
congestion du
réseau.

Smurfing
43
 Attaques par déni de service
 Un attaquant
surcharge le système
de façon à le rendre
inutilisable ou trop
lent pour ses
utilisateurs légitimes.
 Les attaques DDoS
(Distributed DoS) se
basent sur la
coordination de
plusieurs attaques
DOS simultanées
impliquant plusieurs
personnes et/ou
machines.

44
Termes DDoS :
 Zombies : groupe d'hôtes compromis (également appelés
agents). Ces hôtes exécutent des instances de code
malveillant appelées robots (ou bots).
 Bots : malwares conçus pour infecter un hôte et
communiquer avec un système gestionnaire. Les bots
peuvent également enregistrer les saisies, récupérer des
mots de passe, capturer et analyser les paquets, etc.
 Botnet : groupe de zombies infectés par un malware à
propagation autonome (les bots) et contrôlés par des
gestionnaires.
 Gestionnaires : serveur maître de type commande et
contrôle (« C&C » ou « C2 ») contrôlant les groupes de
zombies. L'auteur d'un réseau de zombies (botnet) peut
contrôler à distance les zombies.
 Botmaster : hacker qui a le contrôle du botnet et des
gestionnaires.

45
Attaques directes vs Attaques par
rebond
 Attaques par rebond
Généralement les pirates préfèrent les attaques
par rebond aux attaques directes.
Cette attaque consiste à attaquer une machine par
l'intermédiaire d'une autre machine.
 Avantages :
◦ Masquer l'identité (l'adresse IP) du pirate.
◦ Utiliser les ressources de l'ordinateur intermédiaire
car il est plus puissant (CPU, bande passante...) pour
attaquer.
 Il est possible de se retrouver « complice » d'une
attaque sans s’en rendre compte (si sa machine a
servi de rebond).
46