Sécurité informatique

Attaque & protection des systèmes informatiques

cs2i 1ère année v.3.0 23 avril 2003 • Damien ALBERT

Ecole supérieure des services en informatique

13 bd du Maréchal Juin • 14000 Caen

tél. 02 31 53 30 30 / fax 02 31 53 30 30
e-mail : contact@orainbonasso.net

35 rue des Chantiers • 78000 Versailles

tél. 01 39 53 00 07 / fax 01 39 53 13 41
e-mail : contact78@orainbonasso.net
Attaque & protection des systèmes informatiques
Plan

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Introduction
Techniques d'attaques
Anatomie d'une attaque
Protection contre les attaques

Sécurité informatique
Annexes

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Introduction
L'évolution des risques

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Croissance de l'Internet

Croissance des attaques

Failles des technologies

Sécurité informatique
Failles des configurations

Failles des politiques de sécurité

Changement de profil des pirates

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Introduction
"Avantages" d'Internet

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Anonymat

Coût minime

Échange de fichiers de tout type

Sécurité informatique
Pas de frontière spatiale et temporelle

Plus de 350 millions d'internautes

Présence policière encore limitée

e2si Caen
Relativité des normes

© 2002-2003 ●
Attaque & protection des systèmes informatiques
Introduction
Usage problématique d'Internet

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Diffusion de contenus problématiques

Communication entre criminels

Cryptographie et stéganographie

Sécurité informatique
Spamming

Non respect des droits d'auteurs

Diffusion de pornographie légale

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Introduction
Usage criminel d'Internet

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Pédophilie

Propos haineux

Divulgation d'informations confidentielles

Sécurité informatique
Sites diffamatoires

Jeux illégaux

Escroquerie (CB)

e2si Caen
Etc.

© 2002-2003 ●
Attaque & protection des systèmes informatiques
Introduction
Phénomènes techniques

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Explosion de la technologie des transferts de données

Grande complexité des architectures de systèmes

Ouverture (pas toujours maîtrisée) des réseaux de

communication

Sécurité informatique
Débits des communication de plus en plus importants

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Introduction
Phénomènes organisationnels

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Besoin de plus en plus d'informations

Grande diversité dans la nature des informations:

données financières
données techniques

Sécurité informatique
données médicales
…

Ces données constituent les biens de l'entreprise et

peuvent être très convoitées.

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Introduction
Motivations des attaques

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Vol d’informations

Modifications d’informations

Vengeance/rancune

Sécurité informatique
Politique/religion

Défis intellectuels

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Introduction
La sécurité: une nécessité

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Utilisateurs
Utilisateurs
Informaticiens
Informaticiens

Logiciels
Logiciels
Législation
Législation

Sécurité informatique
Stratégie
Stratégie de
de sécurité
sécurité

Matériels
Matériels
Contrats
Contrats
Réseaux
Réseaux

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Introduction
Qui sont les pirates ?

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Peut être n'importe qui avec l'évolution et la vulgarisation
des connaissances.

Beaucoup d'outils sont disponibles sur Internet (toolkits).

Un "hacker" n'est pas nécessairement un "cracker":

Sécurité informatique
hacker: celui qui a la connaissance.
cracker: celui qui exploite la connaissance.

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Techniques d'attaques

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
ƒ Social Engineering

ƒ Dumpster diving

ƒ Shoulder surfing

Sécurité informatique
ƒ Scannings

ƒ Sniffing

ƒ etc.

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Cibles des pirates

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
ƒ Banques

ƒ Organismes de crédit

ƒ Serveurs militaires

Sécurité informatique
ƒ Universités

ƒ Fournisseurs d'Accès Internet

ƒ Tout le monde

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Dissimulation d'informations

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
L'information peut être dissimulée dans un but de
protection (mot de passe, …) ou dans des buts moins
légaux.

Différentes méthodes pour s'échanger de l'information de

manière sûre:

Sécurité informatique
cryptographie (symétrique,asymétrique); aspect abordé dans
des enseignements spécifiques.

Stéganographie (vu plus loin)

e2si Caen
Tout n'est pas autorisé par la loi.

© 2002-2003 ●
Attaque & protection des systèmes informatiques
Techniques d'attaques
Stéganographie

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Procédé ancien de dissimulation d'informations
sensibles parmi d'autres informations moins importantes

Fichiers graphiques ou sons assez adaptés comme

support

Sécurité informatique
Cas particulier du watermarking.

Exemples de logiciels:
Steganos Security Suite http://www.steganography.com

e2si Caen
outguess http://www.outguess.org
MP3Stego http://munitions.vipul.net/software/steganography

© 2002-2003 ●
Attaque & protection des systèmes informatiques
Techniques d'attaques
Menaces liées aux réseaux

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Menaces actives
Panne, mauvaise utilisation, pertes d'informations
Contamination (virus, vers)
Chevaux de troie (backdoors)
Dénis de services
Intrusions
Bombes logiques

Sécurité informatique
…

Menaces passives
Écoute des lignes
Analyse de trafic
…

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Virus

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Portion de code inoffensive ou destructrice capable de se
reproduire et de se propager.

Différents types de virus:

Virus boot
Virus dissimulé dans les exécutables

Sécurité informatique
Macro virus

Différentes contaminations possibles:

Échange de disquettes
Pièces jointes au courrier électronique
Exécutables récupérés sur Internet
Etc.

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Vers

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Proches des virus mais capables de se propager sur
d'autres ordinateurs à travers le réseau.

Un moyen courant de propagation: le carnet d'adresses

d'outlook (ex: "I Love you").

Sécurité informatique
L'an dernier: Code Red, SirCam, Nidam

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Chevaux de Troie

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Très répandu

Quelques exemples pour Windows

Back Orifice
Permet de la "remote administration"

Sécurité informatique
Sockets23 (Socket de Troie)
Signale la présence des ordinateurs infectés sur des serveurs de
discussion en direct de type irc

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Sécurité des réseaux

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Exploitation des failles dans les implémentations des
piles TPC/IP

Exploitation des services réseaux ouverts sur une

machine

Sécurité informatique
e2si Caen © 2002-2003 ●
Attaque & protection des systèmes informatiques
Techniques d'attaques
Rappel d'une connexion TCP

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Connexion en 3 temps (Three Way Handshake)

Sécurité informatique
e2si Caen © 2002-2003 ●
Attaque & protection des systèmes informatiques
Techniques d'attaques
Sniffer

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Outil de base indispensable.

Permet de visualiser les trames sur un segment de réseau.

Nécessite des droits administrateurs.

Sécurité informatique
Attention au problème juridique.

Utilise des sockets en mode "promiscuous".

socket (AF_INET,SOCK_RAW,IPPROTO_RAW)

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
Sniffer

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Beaucoup de logiciels sniffers existants
Liste sur http://packetstormsecurity.org/sniffers
Le sniffer de base pour unix: tcpdump
Disponible sur http://www.tcpdump.org
Grammaire très évoluée
Affiche les entêtes de paquets répondant au critère spécifié

Sécurité informatique
D’autres sniffers permettent de recueillir des informations
sensibles (Exemple: sniffit)

e2si Caen © 2002-2003 ●

Attaque & protection des systèmes informatiques
Techniques d'attaques
tcpdump: Exemple d'utilisation

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
tcpdump host e450 and port 25

11:41:46.783567 e450.ensicaen.ismra.fr.63842 > sdn.ismra.fr.smtp: S 3390960877:3

390960877(0) win 8760 <mss 1460> (DF)
11:41:46.784714 sdn.ismra.fr.smtp > e450.ensicaen.ismra.fr.63842: S 662708920:66
2708920(0) ack 3390960878 win 33580 <mss 1460> (DF)
11:41:46.784976 e450.ensicaen.ismra.fr.63842 > sdn.ismra.fr.smtp: . ack 1 win 87 60 (DF)
11:41:47.002410 sdn.ismra.fr.smtp > e450.ensicaen.ismra.fr.63842: P 273:320(47) ack 80
win 33580 (DF)

Sécurité informatique
e2si Caen © 2002-2003 ●
Attaque & protection des systèmes informatiques
Techniques d'attaques
Sniffer pour Windows™

– D.A.
● Tous droits réservés ● Reproduction interdite sans l’accord écrit préalable de l’e2si
Spynet (shareware)
Disponible sur http://packetstormsecurity.org/sniffers/spynet
Comprend CaptureNet (sniffer) et PeepNet (reconstitue les
sessions à partir des données capturées)

Sécurité informatique
e2si Caen © 2002-2003 ●