Principes de la sécurité informatique Omar Cheikhrouhou Abderrahmen Guermazi ISET SFAX ISET SFAX Omar Cheikhrouhou 1
Sécurité de quoi? des systèmes (machines) et des informations qu elles contiennent Sécurité des équipements réseau Sécurité des échanges des données sur le réseau 2
Définition La sécurité informatique : est l ensemble de ressources mises en œuvre pour protéger les systèmes contre des menaces et des risques dans un contexte défini. Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non. Les attaques : elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir plusieurs attaques pour une même vulnérabilités mais toutes les vulnérabilités ne sont pas exploitables. Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur la même vulnérabilité). Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une vulnérabilité. 3
Les services de sécurité Contrôle d accès: limiter l accès au systèmes Authentification : Utilisateur: s assurer de l identification de l utilisateur (exemple par mot de passe ou signature numérique etc ) Données :S assurer de l origine des données envoyées. (par exemple ceci se fait avec la vérification du code ajouté au message en utilisant une clé pré-partagée, etc ) Confidentialité : assurer que seuls les utilisateurs autorisés ont accès aux informations. => protection contre divulgation, utilisation non autorisée Intégrité : assurer qu une information n est pas modifiée => protection contre modification, altération, perte d information Non Répudiation : l émetteur ne peut nier avoir émis ou le récepteur avoir reçu un message donné ISET SFAX Omar Cheikhrouhou 4
Les services de sécurité(cont.) Disponibilité : assurer la disponibilité du système et de ses services => protection contre dégradation, refus de service Fraîcheur: S assurer que l information est fraîche. ISET SFAX Omar Cheikhrouhou 5
Moyens et outils de sécurité Contrôle d accès Par mot de passe Filtrage par adresse @MAC, @IP, nom du domaine ISET SFAX Omar Cheikhrouhou 6
Moyens et outils de sécurité(cont.) Authentification de l utilisateur: What we know Login/pwd, secret key, etc What we have Smart card, clés usb, certificats, etc What we are Paramètres biométriques (iris, doigt (empreinte digitale), voix, etc ) Une combinaison est possible ISET SFAX Omar Cheikhrouhou 7
Moyens et outils de sécurité(cont.) Confidentialité Chiffrement des données Algorithmes de chiffrement (AES, DES, RSA, ) Intégrité/authentification de données Ajout de MAC (Message authentication code) appelé encore MIC(Message Integrity code) ISET SFAX Omar Cheikhrouhou 8
Moyens et outils de sécurité(cont.) Disponibilité Serveur secondaire Vérification de l utilisateur Outils anti-programmes Fraîcheur Nonce, timestamp ISET SFAX Omar Cheikhrouhou 9
LES MENACES ISET SFAX Omar Cheikhrouhou 10
Les attaques sur les réseaux Écoute et Interception des messages sur le réseau vol des informations confidentielles (ex. prise de connaissance des mots de passe) usurpation d identité: consiste à se faire passer pour un utilisateur du système habilité. Déni de service (DoS): génération de messages sur le réseau de manière à rendre le réseau inutilisable (hors service) ISET SFAX Omar Cheikhrouhou 11
Les attaques sur les réseaux Répudiation : (cont.) l émetteur nie avoir émis ou le récepteur avoir reçu un message donné Modification de l information Injection de l information ISET SFAX Omar Cheikhrouhou 12
Moyens de lancer une attaque (1) Exploitation des failles dans un système d exploitation Accès au système qui s ouvre à cause d une faille dans le code de l O.S. Exemple Une ancienne version de Gnu-Emacs (éditeur de texte) donnait les privilèges de root à l utilisateur (sur Unix) - Les programmes utilisateurs pouvaient ainsi s exécuter avec les droits de root, - Possibilité d accéder à tous les fichiers du système! Le virus sasser exploite une faille dans le système d exploitation Microsoft Windows XP SP1 pour lancer le redémarrage automatique de la machine 13
Moyens de lancer une attaque (2) Bombardement réseau On envoie plus de requêtes à un site qui n est capable de gérer (exemple: un email volumineux envoyé en continu à un serveur de messagerie) - On gaspille toutes les ressources du site: l espace disque, etc. - Le site n est donc plus capable de servir des requêtes. Parade: Les firewalls est un moyen de limiter les dégâts d un bombardement. Exemple Tous les «grands» sites web ont été victimes de telle attaque exemple: CNN.com, ebay.com, amazon.com, N.B: Pour ces sites, un firewall n est pas très utile car ces sites sont conçus pour recevoir des requêtes de partout 14
Moyens de lancer une attaque (3) Les Sniffers c est un dispositif logiciel ou matériel, qui capte des informations qui transitent sur un réseau (Ethernet,TCP/IP,IPX ) Exemple: l interface réseau peut être placée dans un mode transparent permettant l écoute de tout le trafic,quelle que soit l adresse du destinataire. Les Menace du snifer: Capturer des mots de passe intercepter des informations confidentielles Ouvrir une faille dans le système de sécurité d un réseau voisin 15
Moyens de lancer une attaque (3) Emplacement: A la proximité de une machine ou d un réseau recevant de nombreux mots de passe machine passerelle Chemin obligatoirement emprunté parades: Cryptage de communication Segmentation du réseau: adapter une topologie de réseau sécurisée(pont, routeur ) limiter le nombre de liens avec d autres segments 16
Moyens de lancer une attaque (4) Scanners et utilitaires réseau «Un bon scanner vaut un millier de mot de passe» un scanner est un outil appartenant à la famille des outils de diagnostic de réseau. Il permet de : analyser de ports et de services TCP/IP (Telnet,FTP...) enregistrer les réponses de la cible et recueille des informations utiles sur la hôte. Certains scanners détectent automatiquement les faiblesses de sécurité d un hôte distant ou local. 17
Moyens de lancer une attaque (4) Légale : employé par les administrateurs système pour vérifier la faiblesse de leur systèmes illégale : Utilisation par les agresseurs - Savoir et révéler les faille du système préparant ainsi une agression - Découvrir la négligence des administrateurs en matière de sécurité de leur réseau Scanners disponibles: - NSS(Network Security Scanner) - STROBE - SATAN(Security Administrator s Tool for Analysing Networks) 18
Moyens de lancer une attaque (5) Outils pour forcer les mots de passe(crackers de mots de passe(programme) ou perceur de mot de passe) Il Permet de rechercher des mots de passe pour déjouer la protection Principe Ne pas effectuer un déchiffrage du mot de passe crypté, Le mot de passe crypté ne peuvent pas être trouvés par une simple inversion du processus de chiffrement (unidirectionnelle) 1. Employer l algorithme ayant servi au chiffrement du mot de passe visé 2. Il compare le résultat du cryptage de mots de passe servant de base avec la version cryptée du mot de passe original. 19
Moyens de lancer une attaque (5) Caractéristiques Moteur agissant en force N utilise pas des algorithmes intelligents Repose sur la puissance du computer Espoir de trouver le mot ou la phrase exacte Valable pour les mots de passe non efficaces(vulnérables) - Mot de passe dictionnaire:(linux: Mot de passe dans /usr/share/dict/words) - Mot de passe uniforme(alphabétique, majuscule, minuscule, numérique, court...) Exemples :Crack, Qcrack, Pcrack, Hades, Killer, racker, Claymore,Star 20
Moyens de lancer une attaque (6) Piratage de compte Utilisation illicite d un accès au système par une personne «extérieure» utilisation d un compte différent du sien avec plus de privilèges par une personne «intérieure». Cause: Suite à une intrusion via Internet. Parfois dû à de graves erreurs de l administrateur(une absence d administration, une divulgation d informations qui permettent l obtention d un couple (login,password). 21
Moyens de lancer une attaque (7) Infection informatique : Apparu surtout avec la micro-informatique puis l Internet Plusieurs types d infection : Virus chevaux de Troie bombes logiques Vers Spyware 22
Moyens de lancer une attaque (7.1) Virus: Suite d instructions illicites introduites dans un programme par un saboteur qui ont deux fonctions : - action néfaste : rarement absente, les dégâts causés par la manifestation du virus(au moins par le temps pris par son exécution et la place disque occupée) - action de reproduction. Caractéristiques : il est exécuté uniquement lorsqu un utilisateur exécute à son insu le programme infecté par le virus. Deux intégrations possibles : - ajout de code : virus recopié dans l exécutable (au début généralement). Repérable par la variation de taille des programmes. - recouvrement : utilisation de zones libres ou destruction d une partie du programme. Repérage par l exécution anormale du programme. 23
Moyens de lancer une attaque (7.2) Chevaux de troie«torjan horses» un programme non autorisé, placé dans un programme sain, soit par ajout, soit par modification du code existant (fichiers binaires compilé). Ce code intrus exécute des fonctions indésirables(copie de fichiers, vol de mots de passe), de manière cachée, sous couvert de fonctions connues et nécessaires. leur découverte est retardé et accidentelle l évaluation des dégâts et difficile endommage la cible(formatage du disque, cryptage des fichiers ) 24
Moyens de lancer une attaque (7.2) Détection d un cheval de troie Nécessite une connaisse du système d exploitation Utiliser un contrôleur d intégrité de fichiers(difficile si les fichiers systèmes sont remplacer par des versions plus récentes (bib de fichiers DLL) Utiliser la technique de approchement des objets: Processus de comparaison des objets actuels (fichiers ou répertoires) Avec des versions antérieures(sur bande de sauvegarde). On peut se baser dans la comparaison sur: - La date de dernière modification (non fiable) - La taille du fichier(fiable) - La somme de contrôle:checksum Signature du fichier(plus fiable) 25
Moyens de lancer une attaque (7.3) Bombe logique Programme ou altération de programme capable de réaliser une action néfaste avec un déclenchement différé ou téléguidé attaque la plus répandue dans les entreprises (tchernobile) Exemples : - un programmeur, suite à un licenciement, insère dans un programme de paie une fonction de reformatage des disques durs dont l exécution sera déclenchée lorsque son nom disparaîtra du fichier du personnel - un administrateur système peut modifier des utilitaires (tels que login) de manière à garder la possibilité de se connecter sur le système suite à un départ. 26
Moyens de lancer une attaque (7.4) Les vers Programme illicite et autonome Caractéristiques : - ne requiert aucune intervention de l utilisateur pour s exécuter. - dès son déclenchement, cherche à se reproduire sur un autre système (via le réseau) et à se réexécuter tout seul. - possibilité d existence de vers se reproduisant en mémoire vive sans utiliser d espace disque. F F F Rares car complexes Difficilement détectables sur sites importants Exemple : ver de l Internet du 3 novembre 1988 a contaminé plus de 60000 ordinateurs Unix en moins de 24h. 27
Moyens de lancer une attaque (7.5) Espiologiciel (spyware ) c est un logiciel espion ( mouchard, «spyware») malveillant qui infecte un ordinateur dans le but de collecter et de transmettre à des tiers des informations de l'environnement sur lequel il est installé, sans que l'utilisateur n'en ait connaissance la réputation de ce type de logiciel est associé à celui d'internet, qui sert de moyen de transmission des données. Utilisation: Utilisé par des sociétés proposant de la publicité sur Internet. permettre l'envoi de publicité ciblée, il est nécessaire de bien connaître sa cible. 28
Moyens de lancer une attaque (7.5) Espiologiciel (spyware ) Fonctionnement: Un logiciel espion est composé de trois mécanismes distincts : Le mécanisme d'infection: mécanismes permettant l'installation du logiciel (mécanisme identiques à ceux des virus des vers ou des chevaux de troie. Exemple, le spyware Cydoor utilise le logiciel grand public Kazaa. Le mécanisme assurant la collecte d'information. Pour le même exemple, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa. Le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. 29 Le tiers peut être le concepteur du programme ou une entreprise.
Porte dérobée Dans un logiciel, une porte dérobée (de l'anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel. Programme malicieux visant à détourner les fonctionnalités d'un service ou d'un système en ouvrant sur la machine touchée des canaux d'accès masqués et utilisés par une personne malveillante ISET SFAX Omar Cheikhrouhou 30
Cheval de Troie Un cheval de Troie est un logiciel d apparence légitime conçu pour exécuter de façon cachée des actions à l insu de l'utilisateur. En général, un cheval de Troie tente d utiliser les droits appartenant à son environnement pour détourner, diffuser ou détruire des informations, ou encore pour ouvrir une porte dérobée qui permet à un attaquant de prendre, à distance, le contrôle de l'ordinateur. ISET SFAX Omar Cheikhrouhou 31
Phishing L'hameçonnage (ou phishing, et parfois filoutage), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance banque, administration, etc. afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale (sécurité de l'information). L'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques. ISET SFAX Omar Cheikhrouhou 32
Virus informatique Un virus informatique est un logiciel malveillant conçu pour se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés «hôtes». Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté.... fr.wikipedia.org/wiki/virus_informatique Programme malveillant dont l'exécution est déclenchée lorsque le vecteur auquel il a été attaché clandestinement est activé, qui se recopie au sein d'autres programmes ou sur des zones systèmes lui servant à leur tour de moyen de propagation, et qui produit les actions malveillantes pour... www.vol-identite.info.gouv.qc.ca/fr/glossaire.asp ISET SFAX Omar Cheikhrouhou 33
Ver informatique Un ver informatique est un logiciel malveillant qui se reproduit sur plusieurs ordinateurs en utilisant un réseau informatique comme Internet. fr.wikipedia.org/wiki/ver_informatique (Anglais : worm) Programme autonome et parasite, capable de se reproduire par lui-même, en perpétuel déplacement dans la mémoire d'ordinateur qu'il surcharge et mine progressivement, et consommant, jusqu'à la paralysie, les ressources du système informatique. www.protection-internet.be/vocabulaire.html ISET SFAX Omar Cheikhrouhou 34
LES DIFFÉRENTS TYPES D ATTAQUANTS ISET SFAX Omar Cheikhrouhou 35
hacker En sécurité informatique, un hacker est un spécialiste dans la maîtrise de la sécurité informatique et donc des moyens de déjouer cette sécurité. Certains d'entre eux utilisent ce savoir-faire dans un cadre légal et d'autres l'utilisent hors-la-loi. Ces derniers sont appelés «crackers». fr.wikipedia.org/wiki/hacker_(sécurité_informatique) ISET SFAX Omar Cheikhrouhou 36