I.

Chapitre 1 : Introduction à la sécurité informatique

1. Introduction
La sécurité réseau est une branche de l'informatique qui consiste à sécuriser tous les éléments
d’un réseau informatique pour empêcher : l'accès non autorisé, le vol de données, l'utilisation
abusive d’une connexion réseau, la modification des données, etc. Elle vise donc à impliquer
des méthodes et des mécanismes de défense proactifs pour protéger un réseau contre les
menaces externes et internes.

1.1. Les objectifs principaux de la sécurité informatique

Les trois objectifs principaux de la sécurité d’un réseau sont :

 La confidentialité : consiste à protéger les données, enregistrées ou en circulation,
d’un réseau informatique des personnes non autorisées.

 L’intégrité : vise à maintenir et à assurer la fiabilité (l’exactitude et la cohérence des

données. Les données reçues par un destinataire doivent être identique aux données
envoyées par l'expéditeur.

 La disponibilité : vise à s'assurer que les données ou les services du réseau sont,
continuellement, à la portée des utilisateurs.

1.2. Terminologies

a. Terminologie générale

 Une ressource: tout objet ayant une valeur pour une organisation et qui doit être
protégée.
 Une vulnérabilité: C’est une faiblesse d'un système qui pourrait être exploitée par une
menace.
 Une menace : Un danger potentiel pour une ressource ou pour la fonctionnalité du
réseau.
 Une attaque: C’est une action prise par un attaquant pour nuire à une ressource.
 Un risque: c’est la possibilité de la perte, l’altération, la destruction ou autres
conséquences négatives de la ressource d'une organisation. Le risque peut naître d'une
seule ou plusieurs menaces ou de l'exploitation d’une vulnérabilité.
Risque = Une Ressource + Menace + Vulnérabilité
 Une contre-mesure: Une protection qui atténue une menace potentielle ou un risque
 b. Catégories des Hackers

Les termes « hacker chapeau blanc », « hacker chapeau gris » et « hacker chapeau noir » sont
souvent utilisés pour décrire trois catégories de hackers.

Les chapeaux blancs : Il s’agit de pirates éthiques qui utilisent leurs compétences en matière
de programmation à des fins bénéfiques, éthiques et légales.

Les chapeaux blancs peuvent effectuer des tests de pénétration et des audits de sécurités pour
détecter les vulnérabilités d’un système informatique.

Les chapeaux gris : Ce sont des pirates qui pénètrent les réseaux et qui dévoilent leurs
vulnérabilités sans causer de dommage ou viser des gains financiers.

Les chapeaux noirs : Ce sont des criminels malhonnêtes qui enfreignent la sécurité des
ordinateurs et des réseaux pour leur gain personnel ou à des fins malveillantes.

c. Exemples des Hackers

On peut citer les exemples suivants pour illustrer plusieurs types de hackers :
 d. Les codes malveillants

Les points suivants mettent en évidence les types courants de code malveillant (Malware) qui
peuvent être utilisé par les pirates:

 Virus: c’est un programme qui s'attache à un logiciel pour exécuter une fonction
spécifique non souhaitée sur un ordinateur. La plupart des virus nécessitent une
activation par l'utilisateu. Cependant, ils peuvent être mis en état de vieil pendant une
période prolongée comme ils peuvent également être programmés pour éviter la
détection.
  Vers (Worms) : ce sont des programmes autonomes qui exploitent des vulnérabilités
connues dans le but de ralentir un réseau. Ils ne nécessitent pas l'activation de
l'utilisateur et ils se dupliquent et tente d'infecter d'autres hôtes dans le réseau.
 Chevaux de Troie (Spywares) : ce sont des logiciels espions qui sont généralement
utilisés dans le but d’influencer l’utilisateur pour acheter certaine produits ou services.
Les spywares, en générale, ne se propagent pas automatiquement, mais ils s’installent
sans autorisation. Ils sont programmé pour :
 recueillir des informations personnelles sur les utilisateurs ;
 surveiller l'activité de navigation sur le Web pour détecter les caprices de
l’utilisateur ;
 la redirection des requêtes HTTP vers des sites de publicité préétablies.
.
 Adware : se réfère à tout logiciel qui affiche des publicités, sans l’autorisation de
l'utilisateur parfois sous la forme de publicités pop-up.
 Scaryware se réfère à une classe de logiciels utilisés pour de convaincre les
utilisateurs que leurs systèmes sont infectés par des virus et leur proposer une solution
dans le but de vendre des logiciels.

2. Les axes de la sécurité informatique

La sécurité informatique s’intéresse à trois axes :

2.1. La sécurité physique

La sécurité physique concerne tous les aspects liés à l'environnement dans lequel les
ressources sont installées. Elle peut inclure :
 La sécurité physique des salles de serveurs, des périphériques réseau, … ;
 La prévention des accidents et des incendies ;
 Les systèmes de l’alimentation ininterrompue ;
 La surveillance vidéo, etc.

2.2. La sécurité logique

La sécurité logique fait référence à la mise en œuvre d'un système de contrôle d'accès, par
logiciel, pour sécuriser les ressources. Elle peut inclure :
 L’application d’une stratégie de sécurité fiable pour les mots de passe ;
 L’instauration d’un modèle d’accès s'appuyant sur l'authentification, l'autorisation et
la traçabilité ;
 La configuration correcte des pare-feu de réseau ;
 L’installation des IPS (systèmes de prévention d'intrusion),
 L’utilisation des VPN (réseau privé virtuel), etc.

2.3. La sécurité administrative

La sécurité administrative permet d’assurer le contrôle interne d’une organisation à l’aide

d’un manuel des procédures. Elle peut inclure :
 Prévenir les erreurs et les fraudes ;
 Définir les responsabilités respectives des différents intervenants ou opérateurs ;
 Protéger l’intégrité des biens et des ressources de l’entreprise ;
  Assurer l’enregistrement de toutes les opérations concernant la manipulation du
matériel ;
 Gérer rationnellement les biens de l’entreprise ;
 Assurer une gestion efficace et efficiente des activités ;

3. Les principaux risques liés à la sécurité du réseau

3.1. Les différents types d'attaques réseau

a. Les attaques de reconnaissance

Une attaque de reconnaissance ou « attaque passive » a pour objectif de regrouper des

informations sur le réseau cible pour déceler toutes les vulnérabilités. Cette attaque utilise, en
général, les méthodes de base suivantes :
 Un balayage de «ping » : l'attaquant envoie des paquets « ping » à une plage
d'adresses IP pour identifier les ordinateurs présents dans un réseau.
 Le balayage de port: l'attaquant procède à une analyse de port (TCP et UDP) permet
de découvrir les services s'exécutant sur un ordinateur cible.
 Un capture de paquets (Sniffing) : le capture de paquets permet de capturer les
données (généralement des trames Ethernet) qui circulent sur le réseau en vue
d’identifier des adresse MAC, des adresses IP ou des numéros de ports utilisé dans le
réseau cible. Cette attaque peut viser loin pour essayer de de découvrir des noms
d’utilisateur ou des mots de passe. Les logiciels de capture de paquets les plus
couramment utilisé sont wireshark et tcpdump.

b. Les attaques de mot de passe

L'objectif de ces attaques est de découvrir les noms d'utilisateurs et les mots de passe pour
accéder à diverses ressources. On distingue deux méthodes souvent utilisées dans ce type
d’attaque :
 L’attaque par une liste de mot : cette méthode se base sur une liste de mots ou de
phrases souvent utilisés comme mots de passes.
 L’attaque par force brute : cette méthode essaie toutes les combinaisons possibles
de lettres, de chiffres ou de symboles pour détecter le mot de passe d’un utilisateur.
 c. Les attaques d’accès

Ces attaques ont pour objectif d’essayer de pirater des informations sensibles sur éléments
réseaux. Les méthodes suivantes sont courantes pour effectuer une attaque d'accès

 Le Phishing : le phishing est une tentative de pirater des informations sensibles

(généralement des informations financières comme les détails de carte de crédit
userid/Password etc), en envoyant des e-mails non sollicités avec des URL truqué.
 Le Pharming est une autre attaque de réseau visant à rediriger le trafic d'un site Web
vers un autre site Web.
 L’attaque de «Man-in-the-middle »: un attaquant se place entre deux éléments
réseaux pour essayer de tirer profit des données échangées. Cette attaque se base, entre
autre sur, les méthodes suivantes :
 L’usurpation d’identité (Spoofing): C’est une pratique dans laquelle la
communication est envoyée à partir d'une source inconnue déguisé en source fiable
du récepteur. Elle permet de tromper un firewall, un service TCP, un serveur
d’authentification, etc. L’usurpation d’identité : peut avoir lieu à différents niveaux
: Une Adresse MAC, Une adresse IP, Un port TCP/UDP, Un nom de domaine
DNS
 Le détournement de session (hijacking): l'attaquant pirate une session entre un
hôte et un serveur pour obtenir un accès, non autorisé, à ces services.
 d. Les attaques de réseau contre la disponibilité

Les attaques DoS, ou attaques par déni de service, consistent à rendre indisponible un service
de diverses manières. Ces attaques se distinguent principalement en deux catégories :

 les dénis de service par saturation, qui consistent à submerger une machine de
fausses requêtes afin qu’elle soit incapable de répondre aux requêtes réelles ;
 et les dénis de service par exploitation de vulnérabilités, qui consistent à exploiter
une faille du système distant afin de le rendre indisponible.
Les attaques DDoS (Distributed déni de service attaques) est un type d'attaque « Dos »,
provenant de nombreux ordinateurs connectés, contrôlés par les hackers, qui attaquent de
différentes régions géographiques.
Le principe de ces attaques se base, entre autre sur, les méthodes suivantes :

 L’attaque SYN flood : un l'attaquant envoie de nombreux paquets TCP-SYN pour

lancer une connexion «TCP », sans envoyer un message « ACK ».
 L’attaque ICMP flood un l'attaquant envoie de nombreux faux paquets ICMP vers
l'ordinateur cible..

e. Les attaques rapprochée

Une attaque rapprochée est un type d'attaque où l'attaquant est physiquement proche du
système cible. L’attaquant exploite l’avantages d'être physiquement proche des appareils
cibles pour, par exemple, réinitialiser un routeur, démarrer un serveur avec un CD, etc.

f. Les attaques de relation d'approbation

Un attaquant lors du son contrôle d’une machine réseau, exploite la relation d'approbation
entre cette machine et les différents périphériques d'un réseau pour avoir plus de contrôle.

3.2. Les mesures de la sécurité réseau

Pour apporter une meilleure sécurité à un réseau d'entreprise, Il est recommandé de

 La séparation des ressources : Les ressources réseau d'entreprise et les différentes

données de sensibilité doivent être localisées dans différentes zones de sécurité.
 L'accès aux réseaux d'entreprise et aux bases de données doit être assuré par des
mécanismes hautement contrôlés.
 La protection en profondeur: Les dispositifs de sécurité de réseau devront être
employés dans les différents endroits du réseau d'entreprise.
 La règle du «moindre privilège »: Seul le niveau minimal d'accès requis pour
effectuer une tâche doit être assigné à chaque utilisateur.
 La protection adéquate: les mécanismes de protection doivent être installés de façon
fiable et efficace dans tout le niveau du réseau.
 La restriction de la consultation des informations: seules les informations
nécessaires à l'achèvement d'une tâche doivent être fournies à un employé.
 La séparation des tâches et la rotation des emplois: la séparation des tâches et la
rotation des emplois contribuent à une meilleure mise en œuvre des politiques de
sécurité des entreprises et à la réduction des vulnérabilités.

3.3. Les mesures d’audit de vulnérabilités

L’audit d’un réseau informatique doit comporter les cinq catégories suivantes:
 Les mesures préventive : incluent l’instauration des précautions afin d’empêcher
l’exploitation d’une vulnérabilité, et ce par l'utilisation d'un pare-feu, de verrous
physiques et d'une stratégie administratifs de sécurité
 Les mesures détective : incluent la récupération de toutes les informations sur une
intrusion dans le réseau ou dans un système et ce à l'aide des journaux système, les
systèmes de prévention des intrusions (IPS) et les caméras surveillance.
 Les mesures correctives: incluent la détermination de la cause d'une violation de la
sécurité, puis l’atténuation de ces effets et ce par la mise à jour des virus ou des IPS
 Les mesures de récupération: permettent la récupération d’un système après un
incident.
 Les mesures de dissuasion: permettent le découragement des personne qui tentent de
violer la sécurité du réseau.