Cours 3
Cours 3
Cours 3
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques
par minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées
automatiquement à partir de machines infectées (par des virus, chevaux de Troie, vers,
etc.), à l'insu de leur propriétaire. Plus rarement il s'agit de l'action de pirates
informatiques.
Afin de contrer ces attaques il est indispensable de connaître les principaux types
d'attaques afin de mettre en œuvre des dispositions préventives.
Types d'attaques
Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il
existe une vulnérabilité exploitable. Le schéma ci-dessous rappelle très sommairement
les différents niveaux pour lesquels un risque en matière de sécurité existe :
Il est ainsi possible de catégoriser les risques de la manière suivante :
Ainsi, aucun dispositif de protection ne peut protéger l'utilisateur contre les arnaques,
seuls bon sens, raison et un peu d'information sur les différentes pratiques peuvent lui
éviter de tomber dans le piège.
Trappes : il s'agit d'une porte dérobée (en anglais backdoor) dissimulée dans un
logiciel, permettant un accès ultérieur à son concepteur.
Pour autant, les erreurs de programmation contenues dans les programmes sont
habituellement corrigées assez rapidement par leur concepteur dès lors que la
vulnérabilité a été publiée. Il appartient alors aux administrateurs (ou utilisateurs
personnels avertis) de se tenir informé des mises à jour des programmes qu'ils utilisent
afin de limiter les risques d'attaques.
Effort de protection
Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer, c'est la
raison pour laquelle les pirates privilégient habituellement les attaques par rebond
(par opposition aux attaques directes), consistant à attaquer une machine par
l'intermédiaire d'une autre machine, afin de masquer les traces permettant de remonter
à lui (telle que son adresse IP) et dans le but d'utiliser les ressources de la machine
servant de rebond.
Cela montre l'intérêt de protéger son réseau ou son ordinateur personnel, il est possible
de se retrouver « complice » d'une attaque et en cas de plainte de la victime, la première
personne interrogée sera le propriétaire de la machine ayant servi de rebond.
Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de
plus en plus courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à
proximité peut l'utiliser pour lancer des attaques !
Méthodologie globale
Pour pouvoir mettre en œuvre un exploit (il s'agit du terme technique signifiant
exploiter une vulnérabilité), la première étape du hacker consiste à récupérer le
maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations
et applications fonctionnant sur celui-ci.
La plupart des attaques sont l'œuvre de script kiddies essayant bêtement des
exploits trouvés sur internet, sans aucune connaissance du système, ni des risques liés à
leur acte.
Une fois que le hacker a établi une cartographie du système, il est en mesure de
mettre en application des exploits relatifs aux versions des applications qu'il a
recensées. Un premier accès à une machine lui permettra d'étendre son action afin de
récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la
machine.
Lorsqu'un accès administrateur (le terme anglais root est généralement utilisé)
est obtenu, on parle alors de compromission de la machine (ou plus exactement en
anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été
modifiés. Le hacker possède alors le plus haut niveau de droit sur la machine.
S'il s'agit d'un pirate, la dernière étape consiste à effacer ses traces, afin d'éviter
tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à
pouvoir garder le plus longtemps possible le contrôle des machines compromises.
Le schéma suivant récapitule la méthodologie complète :
Adressage IP,
Noms de domaine,
Protocoles de réseau,
Services activés,
Architecture des serveurs,
etc.
Balayage du réseau
Lorsque la topologie du réseau est connue par le pirate, il peut le scanner (le
terme balayer est également utilisé), c'est-à-dire déterminer à l'aide d'un outil logiciel
(appelé scanner ou scanneur en français) quelles sont les adresses IP actives sur le
réseau, les ports ouverts correspondant à des services accessibles, et le système
d'exploitation utilisé par ces serveurs.
L'un des outils les plus connus pour scanner un réseau est Nmap, reconnu par de
nombreux administrateurs réseaux comme un outil indispensable à la sécurisation d'un
réseau. Cet outil agit en envoyant des paquets TCP et/ou UDP à un ensemble de
machines sur un réseau (déterminé par une adresse réseau et un masque), puis il
analyse les réponses. Selon l'allure des paquets TCP reçus, il lui est possible de
déterminer le système d'exploitation distant pour chaque machine scannée.
Il existe un autre type de scanneur, appelé mappeur passif (l'un des plus connus
est Siphon), permettant de connaître la topologie réseau du brin physique sur lequel le
mappeur analyse les paquets. Contrairement aux scanners précédents, cet outil n'envoie
pas de paquets sur le réseau et est donc totalement indétectable par les systèmes de
détection d'intrusion.
Enfin, certains outils permettent de capturer les connexions X (un serveur X est
un serveur gérant l'affichage des machines de type UNIX). Ce système a pour
caractéristique de pouvoir utiliser l'affichage des stations présentes sur le réseau, afin
d'étudier ce qui est affiché sur les écrans et éventuellement d'intercepter les touches
saisies par les utilisateurs des machines vulnérables.
Lecture de bannières
Les numéros de port ouverts sur les machines peuvent lui donner des
informations sur le type de service ouvert et donc l'inviter à interroger le service afin
d'obtenir des informations supplémentaires sur la version du serveur dans les
informations dites de « bannière ».
Ingénierie sociale
De la même façon une faille de sécurité peut être créée dans le système distant en
envoyant un cheval de Troie à certains utilisateurs du réseau. Il suffit qu'un des
utilisateurs exécute la pièce jointe pour qu'un accès au réseau interne soit donné à
l'agresseur extérieur.
C'est la raison pour laquelle la politique de sécurité doit être globale et intégrer
les facteurs humains (par exemple la sensibilisation des utilisateurs aux problèmes de
sécurité) car le niveau de sécurité d'un système est caractérisé par le niveau de son
maillon le plus faible.
Nessus
SAINT
SecurityFocus / Vulnerabilities
L'intrusion
Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes
valides sur les machines qu'il a recensées. Pour ce faire, plusieurs méthodes sont
utilisées par les pirates :
L'ingénierie sociale, c'est-à-dire en contactant directement certains utilisateurs
du réseau (par mail ou par téléphone) afin de leur soutirer des informations
concernant leur identifiant de connexion et leur mot de passe. Ceci est
généralement fait en se faisant passer pour l'administrateur réseau.
La consultation de l'annuaire ou bien des services de messagerie ou de partage de
fichiers, permettant de trouver des noms d'utilisateurs valides
L'exploitation des vulnérabilités des commandes R* de Berkeley.
Les attaques par force brute (brute force cracking), consistant à essayer de façon
automatique différents mots de passe sur une liste de compte (par exemple
l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe password,
ou passwd, etc).
Extension de privilèges
Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité
d'examiner le réseau à la recherche d'informations supplémentaires.
Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est-à-dire un
logiciel capable d'écouter (le terme reniffler, ou en anglais sniffing, est également
employé) le trafic réseau en provenance ou à destination des machines situées sur le
même brin.
Les serveurs NIS présents sur un réseau sont également des cibles de choix pour
les pirates car ils regorgent d'informations sur le réseau et ses utilisateurs.
Compromission
Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste
à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant
les fichiers de logs des machines dans lesquelles il s'est introduit, c'est-à-dire en
supprimant les lignes d'activité concernant ses actions.
Par ailleurs, il existe des logiciels, appelés « kits racine » (en anglais « rootkits »)
permettant de remplacer les outils d'administration du système par des versions
modifiées afin de masquer la présence du pirate sur le système.
Conclusion
Il revient à tout responsable de réseau connecté à internet d'en assurer sa
sécurité, et par conséquent d'en tester les failles.
Or, si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique,
l'accès au compte de l'utilisateur peut constituer une porte ouverte vers le système tout
entier.
En effet, dès qu'un pirate obtient un accès à un compte d'une machine, il lui est
possible d'élargir son champ d'action en obtenant la liste des utilisateurs autorisés à se
connecter à la machine.
Les mots de passe des utilisateurs représentent donc la première défense contre
les attaques envers un système, c'est la raison pour laquelle il est nécessaire de définir
une politique en matière de mots de passe afin d'imposer aux utilisateurs le choix d'un
mot de passe suffisamment sécurisé.
Méthodes d'attaque
On appelle ainsi « attaque par force brute » (en anglais « brute force cracking »,
parfois également attaque exhaustive) le cassage d'un mot de passe en testant tous les
mots de passe possibles. Il existe un grand nombre d'outils, pour chaque système
d'exploitation, permettant de réaliser ce genre d'opération.
Ces outils servent aux administrateurs système à éprouver la solidité des mots de
passe de leurs utilisateurs mais leur usage est détourné par les pirates informatiques
pour s'introduire dans les systèmes informatiques.
Les outils d'attaque par force brute peuvent demander des heures, voire des
jours, de calcul même avec des machines équipées de processeurs puissants. Ainsi, une
alternative consiste à effectuer une « attaque par dictionnaire ».
En effet, la plupart du temps les utilisateurs choisissent des mots de passe ayant
une signification réelle. Avec ce type d'attaques, un tel mot de passe peut être craqué en
quelques minutes.
Attaque hybride
Il existe enfin des moyens permettant au pirate d'obtenir les mots de passe des
utilisateurs :
Les key loggers (littéralement « enregistreurs de touches »), sont des logiciels
qui, lorsqu'ils sont installés sur le poste de l'utilisateur, permettent d'enregistrer
les frappes de claviers saisies par l'utilisateur.
Il est aisément compréhensible que plus un mot de passe est long, plus il est
difficile à casser. D'autre part, un mot de passe constitué uniquement de chiffres sera
beaucoup plus simple à casser qu'un mot de passe contenant des lettres :
Votre identifiant ;
Votre nom ;
Votre prénom ou celui d'un proche (conjoint, enfant, etc.) ;
Un mot du dictionnaire ;
Un mot à l'envers (les outils de cassage de mots de passe prennent en compte
cette possibilité) ;
Un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance (par
exemple « password1999 »).
L'accès au compte d'un seul employé d'une entreprise peut compromettre la sécurité
globale de toute l'organisation. Ainsi, toute entreprise souhaitant garantir un niveau de
sécurité optimal se doit de mettre en place une réelle politique de sécurité de matière de
mots de passe.
Il s'agit notamment d'imposer aux employés le choix d'un mot de passe conforme à
certaines exigences, par exemple :
Une longueur de mot de passe minimale ;
La présence de caractères particuliers ;
Un changement de casse (minuscule et majuscule).
Par ailleurs, il est possible de renforcer cette politique de sécurité en imposant une
durée d'expiration des mots de passe, afin d'obliger les utilisateurs à modifier
régulièrement leur mot de passe. Cela complique ainsi la tâche des pirates essayant de
casser des mots de passe sur la durée. Par ailleurs il s'agit d'un excellent moyen de
limiter la durée de vie des mots de passe ayant été cassés.
Il n'est pas sain d'avoir un seul mot de passe, au même titre qu'il ne serait pas
sain d'avoir comme code de carte bancaire le même code que pour son téléphone
portable et que le digicode en bas de l'immeuble.
Il est donc conseillé de posséder plusieurs mots de passe par catégorie d'usage,
en fonction de la confidentialité du secret qu'il protège. Le code d'une carte bancaire
devra ainsi être utilisé uniquement pour cet usage. Par contre, le code PIN d'un
téléphone portable peut correspondre à celui du cadenas d'une valise.
Diminution des coûts grâce aux partages des données et des périphériques ;
Standardisation des applications ;
Accès aux données en temps utile ;
Communication et organisation plus efficace.
Similitudes entre types de réseaux
Les différents types de réseaux ont généralement les points suivants en commun :
Ces deux types de réseau ont des capacités différentes. Le type de réseau à installer
dépend des critères suivants :
Taille de l’entreprise ;
Niveau de sécurité nécessaire ;
Type d’activité ;
Niveau de compétence d’administration disponible ;
Volume du trafic sur le réseau ;
Besoins des utilisateurs du réseau ;
Budget alloué au fonctionnement du réseau (pas seulement l’achat mais aussi
l’entretien et la maintenance).
Un réseau informatique est constitué d'ordinateurs reliés entre eux grâce à des
lignes de communication (câbles réseaux, etc.) et des éléments matériels (cartes réseau,
ainsi que d'autres équipements permettant d'assurer la bonne circulation des données).
L'arrangement physique, c'est-à-dire la configuration spatiale du réseau est appelé
topologie physique. On distingue généralement les topologies suivantes :
Topologie en bus ;
Topologie en étoile ;
Topologie en anneau ;
Topologie en arbre ;
Topologie maillée.
Topologie en bus
Une topologie en bus est l'organisation la plus simple d'un réseau. En effet, dans
une topologie en bus tous les ordinateurs sont reliés à une même ligne de transmission
par l'intermédiaire de câble, généralement coaxial. Le mot « bus » désigne la ligne
physique qui relie les machines du réseau.
Topologie en étoile
Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système
matériel central appelé concentrateur (en anglais hub, littéralement moyen de roue). Il
s'agit d'une boîte comprenant un certain nombre de jonctions auxquelles il est possible
de raccorder les câbles réseau en provenance des ordinateurs. Celui-ci a pour rôle
d'assurer la communication entre les différentes jonctions.
Contrairement aux réseaux construits sur une topologie en bus, les réseaux
suivant une topologie en étoile sont beaucoup moins vulnérables car une des connexions
peut être débranchée sans paralyser le reste du réseau. Le point névralgique de ce
réseau est le concentrateur, car sans lui plus aucune communication entre les
ordinateurs du réseau n'est possible.
En revanche, un réseau à topologie en étoile est plus onéreux qu'un réseau à topologie
en bus car un matériel supplémentaire est nécessaire (le hub).
Topologie en anneau
Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés
sur une boucle et communiquent chacun à leur tour.
>
En réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés en
boucle, mais sont reliés à un répartiteur (appelé MAU, Multistation Access Unit) qui va
gérer la communication entre les ordinateurs qui lui sont reliés en impartissant à chacun
d'entre-eux un temps de parole.
Les deux principales topologies logiques utilisant cette topologie physique sont Token
ring (anneau à jeton) et FDDI.
On distingue différents types de réseaux (privés) selon leur taille (en termes de
nombre de machines), leur vitesse de transfert des données ainsi que leur étendue. Les
réseaux privés sont des réseaux appartenant à une même organisation. On fait
généralement trois catégories de réseaux :
Il existe deux autres types de réseaux : les TAN (Tiny Area Network) identiques aux
LAN mais moins étendus (2 à 3 machines) et les CAN (Campus Area Network) identiques
au MAN (avec une bande passante maximale entre tous les LAN du réseau).
Les LAN
LAN signifie Local Area Network (en français Réseau Local). Il s'agit d'un
ensemble d'ordinateurs appartenant à une même organisation et reliés entre eux dans
une petite aire géographique par un réseau, souvent à l'aide d'une même technologie (la
plus répandue étant Ethernet).
Un réseau local est donc un réseau sous sa forme la plus simple. La vitesse de
transfert de données? d'un réseau local peut s'échelonner entre 10 Mbps (pour un
réseau Ethernet par exemple) et 1 Gbps (en FDDI ou Gigabit Ethernet par exemple). La
taille d'un réseau local peut atteindre jusqu'à 100 voire 1000 utilisateurs.
dans un environnement d'"égal à égal" (en anglais peer to peer), dans lequel il n'y
a pas d'ordinateur central et chaque ordinateur à un rôle similaire ;
dans un environnement "client/serveur", dans lequel un ordinateur central
fournit des services réseau aux utilisateurs.
Les MAN
Les WAN
Les débits disponibles sur un WAN résultent d'un arbitrage avec le coût des liaisons (qui
augmente avec la distance) et peuvent être faibles.
Les WAN fonctionnent grâce à des routeurs qui permettent de "choisir" le trajet le plus
approprié pour atteindre un nœud du réseau.
Elle doit faire partir des priorités de l’entreprise car les utilisateurs
travaillent dans leur poste de travail.
Intégrité du SE
o Seul l’utilisateur légitime doit pouvoir accéder au système.
La confidentialité
o Un SE est constitué d’un ou plusieurs comptes utilisateurs. Chaque compte
possède des droits par rapport à chaque ressource du réseau.
La disponibilité du SE
C’est le SE qui fait fonctionner un ordinateur. Son instabilité rend également
instable l’accès aux données ou à d’autres ressources locales ou partagées.
3. La notion de checklist
Une checklist représente l’ensemble des mesures de sécurité à appliquer afin de
garantir une bonne sécurité des données et du système. N’importe quelle entreprise doit
avoir une checklist. Elle permet d’élaborer et même de garantir une bonne politique de
sécurité.
On fait allusion ici aux données, aux applications, aux fichiers catalogues et
fichiers ordinaires qui doivent être protégés contre les personnes illégitimes.
La sécurité des systèmes Windows repose sur les points suivants :
Les droits des utilisateurs par rapport aux ressources locales ou partagées ;
L’utilisation du pare feu du système ;
La base de registre ;
L’utilisation de la stratégie locale de sécurité.
Une défaillance est imputable à une erreur, c'est-à-dire un dysfonctionnement local. Toutes les
erreurs ne conduisent pas nécessairement à une défaillance du service.
Le terme « fiabilité », parfois également utilisé, désigne la probabilité qu'un système soit en
fonctionnement normal sur une période donnée. On parle ainsi de « continuité de service ».
L'ensemble de ces risques peuvent avoir différentes causes telles que les suivantes :
Malveillance intentionnelle.
Idéalement, dans le cas d'une panne matérielles, les éléments matériels fautifs
devront pouvoir être « extractibles à chaud » (en anglais « hot swappable »), c'est-à-
dire pouvoir être extraits puis remplacés, sans interruption de service.
La sauvegarde
La mise en place d'une architecture redondante ne permet que de s'assurer de la
disponibilité des données d'un système mais ne permet pas de protéger les données
contre les erreurs de manipulation des utilisateurs ou contre des catastrophes naturelles
telles qu'un incendie, une inondation ou encore un tremblement de terre.
Idéalement, dans le cas d'une panne matérielles, les éléments matériels fautifs
devront pouvoir être « extractibles à chaud » (en anglais « hot swappable »), c'est-à-
dire pouvoir être extraits puis remplacés, sans interruption de service.
La sauvegarde
Néanmoins, la mise en place d'une architecture redondante ne permet que de
s'assurer de la disponibilité des données d'un système mais ne permet pas de protéger
les données contre les erreurs de manipulation des utilisateurs ou contre des
catastrophes naturelles telles qu'un incendie, une inondation ou encore un tremblement
de terre.
Types de sauvegarde
Le mécanisme de sauvegarde mis en œuvre doit impérativement être pensé de
manière à assurer la pérennité et la récupération de l'ensemble des données critiques de
l'organisation, quel que soit le sinistre subi, sans perturber le fonctionnement du
système d'information.
Sauvegarde totale ;
Sauvegarde différentielle ;
Sauvegarde incrémentale ;
Sauvegarde à delta ;
Journalisation.
Sauvegarde complète
Sauvegarde incrémentale
Sauvegarde à delta
Equilibrage de charge
L'équilibrage de charge (parfois appelé répartition de charge ou en anglais load
balancing) consiste à distribuer une tâche à un pool de machines ou de périphériques
afin :
Notion de cluster
Un « cluster » (en français « grappe ») est une architecture composée de
plusieurs ordinateurs formant des nœuds, où chacun des nœuds est capable de
fonctionner indépendamment des autres.
Avantages et inconvénients
Les performances du SAN sont directement liées à celle du type de réseau utilisé.
Dans le cas d'un réseau Fibre Channel, la bande passante est d'environ 100 Mo/s (1000
Mbit/s) et peut être étendue en multipliant les liens d'accès.
La capacité d'un SAN peut être étendue de manière quasi-illimitée et atteindre des
centaines, voire des milliers de téraoctets.
Grâce au SAN, il est possible de partager des données entre plusieurs ordinateurs
du réseau sans sacrifier les performances, dans la mesure où le trafic SAN est
complètement séparé du trafic utilisateurs. Ce sont les serveurs applicatifs qui jouent le
rôle d'interface entre le réseau de données (généralement Fibre Channel) et le réseau
des utilisateurs (généralement Ethernet).
En contrepartie, le coût d'acquisition d'un SAN est beaucoup plus onéreux qu'un
dispositif NAS dans la mesure où il s'agit d'une architecture complète, utilisant des
technologies encore chères.
Description du système d'exploitation
Pour qu'un ordinateur soit capable de faire fonctionner un programme
informatique (appelé parfois application ou logiciel), la machine doit être en mesure
d'effectuer un certain nombre d'opérations préparatoires afin d'assurer les échanges
entre le processeur, la mémoire, et les ressources physiques (périphériques).
Le système est dit à temps partagé lorsqu'un quota de temps est alloué à chaque processus
par l'ordonnanceur. C'est notamment le cas des systèmes multi-utilisateurs qui permettent à
plusieurs utilisateurs d'utiliser simultanément sur une même machine des applications
différentes ou bien similaires : le système est alors dit « système transactionnel ». Pour ce
faire, le système alloue à chaque utilisateur une tranche de temps.
Systèmes multi-processeurs
Le multiprocessing est une technique consistant à faire fonctionner plusieurs
processeurs en parallèle afin d'obtenir une puissance de calcul plus importante que celle
obtenue avec un processeur haut de gamme ou bien afin d'augmenter la disponibilité du
système (en cas de panne d'un processeur).
Systèmes embarqués
Les systèmes embarqués sont des systèmes d'exploitation prévus pour
fonctionner sur des machines de petite taille, telles que des PDA (personal digital
assistants ou en français assistants numériques personnels) ou des appareils
électroniques autonomes (sondes spatiales, robot, ordinateur de bord de véhicule, etc.),
possédant une autonomie réduite.
Ainsi, une caractéristique essentielle des systèmes embarqués est leur gestion
avancée de l'énergie et leur capacité à fonctionner avec des ressources limitées.
Les principaux systèmes embarqués «grand public» pour assistants numériques
personnels sont :
PalmOS
Windows CE / Windows Mobile / Window Smartphone
Un système temps réel doit ainsi fonctionner de manière fiable selon des
contraintes temporelles spécifiques, c'est-à-dire qu'il doit être capable de délivrer un
traitement correct des informations reçues à des intervalles de temps bien définis
(réguliers ou non).
OS-9 ;
RTLinux (RealTime Linux) ;
QNX ;
VxWorks.