Sécurité des systèmes d'information

Questions and Answers

Parmi les objectifs suivants de la sécurité informatique, lequel assure que les documents ne sont pas altérés sans permission ?

• L'intégrité (correct)
• L'authenticité
• La disponibilité
• La confidentialité

Quel objectif de la sécurité informatique vise à garantir que l'accès à un service ou à des ressources est toujours possible pour les utilisateurs autorisés ?

• La disponibilité (correct)
• La confidentialité
• L'authenticité
• L'intégrité

Qu'est-ce qui décrit le mieux une attaque de type 'interruption' en termes d'objectifs de sécurité informatique ?

• Elle falsifie l'authenticité des communications
• Elle vise l'intégrité des informations
• Elle affecte la disponibilité des informations (correct)
• Elle cherche à compromettre la confidentialité des données

Dans le contexte de la sécurité des systèmes d'information, qu'est-ce que la 'non-répudiation' garantit ?

Que l'expéditeur d'un message ne pourra nier l'avoir envoyé (D)

Parmi les aspects suivants de la sécurité, lequel se concentre sur les données, les applications et les systèmes d'exploitation ?

La sécurité logique (C)

Laquelle des situations suivantes illustre le mieux une menace interne en matière de sécurité informatique ?

Un employé manipulant incorrectement des données sensibles, entraînant une perte d'informations. (D)

Qu'est-ce qu'un 'programme malveillant' ?

Un logiciel conçu pour nuire ou abuser des ressources d'un système. (A)

Quel est le but principal de la sensibilisation des utilisateurs dans le contexte de la sécurité informatique ?

Former les utilisateurs à identifier et à éviter les menaces de sécurité. (C)

Quelle est la première étape recommandée dans la gestion des risques de sécurité informatique ?

L'identification des vulnérabilités et des menaces. (A)

Dans le cadre de la classification des attaques, quelle est la principale caractéristique d'une attaque passive ?

Elle intercepte les informations sans modifier le système. (A)

Pourquoi les mécanismes de sécurité peuvent-ils être attaqués ?

Parce qu'ils peuvent contenir des vulnérabilités ou être mal configurés (D)

Quel est l'objectif principal d'un service de sécurité dans un système informatique ?

Améliorer la sécurité des traitements et des échanges de données (D)

Comment la cryptographie contribue-t-elle à la sécurité des informations ?

En rendant les données inintelligibles pour les personnes non autorisées (D)

Quel est le principal inconvénient de se fier uniquement à la sécurité physique pour protéger les systèmes d'information ?

Elle ne protège pas contre les menaces internes (D)

Parmi les éléments suivants, lequel n'est pas une composante d'un système d'information ?

Les menaces de sécurité (D)

Lequel des éléments suivants est le plus souvent ciblé lors d'une attaque par déni de service (DoS) ?

La disponibilité d'un service (C)

Quelle est la principale fonction d'un pare-feu dans la sécurité d'un réseau ?

Filtrer le trafic réseau en fonction de règles de sécurité. (B)

Qu'est-ce qu'un sniffer de réseau ?

Un logiciel pour surveiller et enregistrer le trafic réseau. (C)

Quelle est la caractéristique principale d'une attaque par 'IP spoofing' ?

Usurpation de l'adresse IP source pour masquer l'identité de l'attaquant. (A)

Dans le contexte des attaques de type DOS, qu'est-ce qu'un 'SYN flood' ?

Une attaque qui surcharge un serveur avec de faux paquets de demande de connexion. (C)

Quel est le but ultime d'une attaque de type 'ARP spoofing' ?

Rediriger le trafic réseau vers l'attaquant. (D)

Qu'est-ce que l'ingénierie sociale ?

Une technique pour manipuler les individus afin d'obtenir des informations confidentielles. (D)

Parmi les mesures de sécurité suivantes, laquelle vise à vérifier les droits d'accès d'un acteur aux données ?

Le contrôle d'accès (D)

Quelle est la principale vulnérabilité exploitée lors d'une attaque par 'buffer overflow' ?

Un défaut dans la gestion de la mémoire par un logiciel (C)

Pourquoi est-il important de mettre à jour régulièrement les logiciels et les systèmes d'exploitation ?

Pour corriger les vulnérabilités de sécurité. (B)

Quel est le rôle principal d'un antivirus ?

Détecter et supprimer les logiciels malveillants. (D)

Qu'est-ce qu'un réseau privé virtuel (VPN) ?

Une connexion sécurisée qui crée un tunnel chiffré à travers un réseau public. (D)

Qu'est-ce qu'une DMZ (zone démilitarisée) dans l'architecture réseau ?

Une zone tampon entre le réseau interne et Internet, hébergeant les serveurs accessibles publiquement. (A)

Pourquoi l'évaluation/audit est-elle une étape importante dans le processus de sécurité ?

Pour évaluer l'efficacité des mesures de sécurité existantes et identifier les points faibles. (B)

Lors d'une attaque par 'fabrication', quel objectif de sécurité est directement visé ?

L'authenticité des communications (A)

Quelle est la conséquence principale d'une mauvaise implémentation des piles UDP/IP et TCP/IP ?

Des vulnérabilités exploitables par des attaquants (A)

Quelle information peut être obtenue à partir d'un rapport d'un 'finger' serveur ?

Les noms d'utilisateurs connectés et leur temps d'inactivité (B)

Qu'est-ce qu'une 'vulnérabilité' dans le contexte de la sécurité informatique ?

Une faiblesse dans un système pouvant être exploitée. (C)

Quel type d'attaque consiste à envoyer une trame ICMP sur une adresse de diffusion ?

Smurf (C)

Qu'est-ce qu'une attaque de type Distributed Denial of Service (DDoS) ?

Une attaque coordonnée lancée depuis plusieurs machines pour saturer une cible. (B)

Lequel des éléments suivants n'est pas une parade contre une attaque de type SYN flood ?

Désactiver les cookies SYN (D)

Dans la formule Risque=Vulnérabilité + Menace, comment le risque est-il géré ?

En étudiant le compromis entre l'efficacité et le coût des contremesures. (D)

Qu'est-ce que les paramètres de sécurité d'une politique de sécurité ne peuvent pas inclure ?

Les vulnérabilités du système (B)

Dans le contexte d'un code erroné, quelle est la conséquence d'une fonction strcpy mal utilisée ?

Une segmentation fault due à un dépassement de mémoire (A)

Flashcards

Qu'est-ce qu'un système d'information ?

Organisation des activités consistant à acquérir, stocker, transformer, diffuser, exploiter et gérer des informations.

La sécurité des systèmes informatiques

Les systèmes informatiques sont centraux, devenant des cibles pour ceux qui convoitent l'information.

Authenticité

Assurer que l'identité des acteurs est vérifiée.

Non-Répudiation

Confirmer l'identité des auteurs et signataires pour empêcher la répudiation ultérieure.

Intégrité

Conserver les documents dans leur état original, à l'abri de la destruction et des modifications non autorisées.

Confidentialité

Rendre l'information inintelligible aux personnes non autorisées.

Disponibilité

Garantir l'accès à un service ou à des ressources pour les usagers autorisés.

Attaque Informatique

Action compromettant la sécurité des informations.

Mécanisme de Sécurité

Mécanisme conçu pour détecter, prévenir et lutter contre une attaque de sécurité.

Service de Sécurité

Service qui augmente la sécurité des traitements et des échanges de données.

Interruption

Altération de la disponibilité des informations.

Interception

Accès non autorisé aux informations.

Modification

Altération des informations.

Fabrication

Création de fausses informations.

Analyse de trafic

Essayer de découvrir la nature du traffic.

Vulnérabilité

Une faiblesse dans un système qui permet une menace.

Menace

Cause potentielle d'un incident résultant en un dommage.

IP Spoofing

Acte de copier l'adresse IP d'un autre ordinateur.

Déni de Service (DOS)

Empêcher l'utilisation d'une machine ou d'un service.

DOS local

Saturation de l'espace disque ou boucle infinie de fork().

DOS réseau

Méthode de réassemblage de fragments (teardrop, ping of death).

SYN flood

Attaque par inondation de SYN avec adresse source usurpée.

arp Spoofing

Pollution des caches arp avec de fausses associations.

Smurf

Envoi d'une trame ICMP « echo request » sur une adresse de diffusion.

Logiciels malicieux

Une multitude de programmes malicieux pour compromettre des systèmes.

Distributed Denial Of Service

Type d'attaque très en vogue, nécessitant plusieurs machines corrompues.

Buffer overflow

Méthode qui consiste, pour un attaquant, à déborder la capacité d'un programme et à injecter du code.

Chiffrement

Un système dont l'algorithme est généralement basé sur des clefs avec des données transformées.

Signature numérique

Données d'intégrité vérifiées.

Pare-feu

Un élément du réseau informatique qui contrôle ses communications.

Détection d'intrusion

Activité anormale ou suspecte repérée sur le réseau.

Journalisation log

Acte de l'enregistrement des activités, ce qui permet de constater qu'une attaque a eu lieu.

Analyse des vulnérabilités ("sécurité audit")

Un examen pour déceler où sont les vulnérabilités du système.

Authentification

Authentifier un acteur en utilisant des éléments spécifiques de ce dernier.

Politique de sécurité

Ce n'est pas seulement les paramètres de sécurité.

Virtual Private Network

Se fait par le biais de l'authentification des agents et du chiffrement des communications.

Réseau virtuel

Basé sur le modèle ethernet qui est complété par un VID.

Study Notes

• Les notes de cours portent sur la sécurité informatique.

Généralités

• Un système d'information organise l'acquisition, le stockage, la transformation, la diffusion, l'exploitation et la gestion des informations.
• L'utilisation d'un système informatique est un moyen technique de faire fonctionner un système d'information.
• Les systèmes informatiques sont essentiels aux systèmes d'information et sont visés par ceux qui recherchent des informations.
• La protection de l'information implique d'assurer la sécurité des systèmes informatiques.
• La sécurité absolue n'existe pas
• La sécurité est une préoccupation de l'administrateur réseau.

Défis de la sécurité absolue

• Bugs dans les programmes et les systèmes d'exploitation.
• Faiblesses en cryptographie, comme les mots de passe.
• Abus de pouvoir par des individus.
• Vulnérabilité des mécanismes de sécurité aux attaques.

Objectifs de la sécurité informatique

• Authenticité : Garantir l'état des documents voulus par leurs auteurs et propriétaires ; l'identité des acteurs de la communication doit être vérifiée.
• Non-répudiation (NR) :Confirmer et enregistrer correctement l'identité des auteurs de documents ou des signataires d'engagements. Empêcher la répudiation ultérieure.
• Intégrité (I) : Conserver les documents dans leur état original, à l'abri de la destruction et des modifications non autorisées.
• Confidentialité (C) : Rendre l'information inintelligible aux personnes autres que les acteurs de la transaction et protéger les documents des regards indiscrets.
• Disponibilité (D) : Assurer l'accès aux services ou ressources aux utilisateurs autorisés dans de bonnes conditions.

Contexte et Aspects de la sécurité

• Les utilisateurs doivent être sensibilisés aux problèmes de sécurité.
• La sécurité logique comprend les données, les applications et les systèmes d'exploitation.
• La sécurité physique inclut les salles sécurisées, les lieux publics et les postes de travail du personnel.
• La sécurité des communications concerne les réseaux, les serveurs et les serveurs d'accès distant.

Attaques, services et mécanismes de sécurité

• Une attaque est toute action compromettant la sécurité des informations.
• Un mécanisme de sécurité détecte, prévient et lutte contre une attaque.
• Un service de sécurité améliore la sécurité des traitements et des échanges de données d'un système. Il utilise un ou plusieurs mécanismes de sécurité.

Types d'attaques

• Interruption : Vise à rendre les informations non disponibles
• Interception : Vise à compromettre la confidentialité des informations
• Modification : Vise à compromettre l'intégrité des informations
• Fabrication : Vise à compromettre l'authenticité des informations

Classification des attaques

• Attaques actives et passives avec un aperçu du type d'attaques dans ces catégories
• Les attaques passives incluent l'analyse du trafic et la divulgation du contenu des messages.
• Les attaques actives incluent l'usurpation d'identité, le déni de service, la modification de contenu et la relecture.

Vulnérabilités

• Définition : Une vulnérabilité est une faiblesse dans un système informatique qui permet à un attaquant de constituer une menace.
• Microsoft Windows : Exemples de causes de vulnérabilité :IIS, MS-SQL Server ou Internet Explorer.
• Unix: Le service "finger" permet à quiconque à l'extérieur du réseau de voir quels utilisateurs sont connectés et d'où ils accèdent à l'ordinateur.
• Un rapport "finger" à distance peut révéler des noms de connexion et temps d'inactivité, pouvant être utilisés pour compromettre le système.

Menaces

• Une menace est une cause potentielle d'incident pouvant endommager un système ou une organisation.
• Utilisateurs du système : Ils sont souvent négligents et causent la majorité des problèmes de sécurité.
• Individus malveillants : Ces acteurs peuvent accéder illégitimement à des données ou programmes.
• Logiciels malveillants : Ils peuvent nuire aux ressources du système, ouvrant l'accès aux intrusions, la modification des données et la collecte d'informations personnelles.
• Sinistres : Ils peuvent entraîner une perte de matériel ou de données (vol, incendie, dégâts d'eau).

Gestion des risques

• Risque = Vulnérabilité + Menace
• Évaluez l'équilibre entre l'efficacité et le coût des contre-mesures.
• Comparer le coût prévisionnel d'un incident au coût des contre-mesures.

Vulnérabilité des réseaux

• Elle peut être causée par une mauvaise implémentation des piles UDP/IP et TCP/IP.
• Elle peut être causée par une faille des protocoles.

TCP, Transport Control Protocol - Rappel de connexion

• Établissement d'une connexion TCP: 3 temps (Three Way Handshake)

Sniffer

• C'est un outil indispensable pour visualiser les trames sur un segment de réseau.
• Il nécessite des droits administrateur et soulève des questions juridiques.
• Il utilise des sockets en mode "promiscuous" tel que socket (AF_INET,SOCK_RAW,IPPROTO_RAW).
• De nombreux logiciels sniffers sont disponibles, avec tcpdump comme sniffer de base pour Unix.
• Il affiche les en-têtes de paquets répondant à des critères spécifiques.

IP Spoofing

• Technique d'attaque qui copie l'adresse IP d'un autre ordinateur.
• Elle permet de masquer les traces ou d'accéder à des systèmes dont l'authentification repose sur l'adresse IP.

Déni de service ou DOS (Denial of Service)

• Attaque visant à empêcher l'utilisation d'une machine ou d'un service.
• Type d'attaque à des fins de frustration, rancune ou nécessité, relativement simple à réaliser et pouvant causer des pertes importantes pour une entreprise.
• Il est souvent plus facile de paralyser un réseau que d'y accéder.

Types de DOS

• DOS local : Épuisement des ressources.
• DOS réseau : Consommation de la bande passante.

Stratégies d'atténuation du SYN Flood

• Augmentation de la taille de la file d'attente.
• Réduction de la durée du délai d'établissement d'une connexion.
• Mise en place de protections par des OS modernes (SYN Cookie, SYN cache, etc.).

Spoofing ARP

• Pollution du cache ARP avec des fausses associations entre l'adresse MAC et l'adresse IP.
• Peut conduire à des attaques de type "homme du milieu", des attaques DOS ou transgresser un pare-feu à travers l'usurpation d'adresse.
• Exemples d'outils d'arp spoofing : arp-sk (unix) winarp-sk (windows) et WinArpSpoof.
• Les parades contre le spoofing ARP incluent l'utilisation d'associations statiques et la surveillance des changements d'association (arpwatch et WinARP Watch).

Attaque Smurf

• Envoi d'une trame ICMP "echo request" à une adresse de diffusion.
• Méthode utilisée pour identifier les machines actives dans une plage d'adresses IP.
• Les contre-mesures comprennent l'interdiction de réponses aux trames ICMP sur les adresses de diffusion, au niveau du routeur et au niveau de la machine.

Distributed Denial of Service ou DDOS

• Type d'attaque très répandu visant à paralyser une machine et/ou à saturer la bande passante de la victime.
• Il nécessite l'utilisation de plusieurs machines compromises.
• Une attaque populaire a eu lieu le 14 février 2000 sur des sites renommés et le coupable, «Mafiaboy», a causé des pertes de 1,2 milliard de dollars en 24 heures.

Vulnérabilités applicatives

• De nombreuses applications sont vulnérables en raison d'une mauvaise programmation ou intentionnellement (portes dérobées).
• Toutes les applications ont besoin de sécurité, y compris les services réseau (daemons), les applications téléchargées, les applications web, et les programmes avec des privilèges setuid/setgid.
• Les vulnérabilités peuvent être dues à des portes dérobées (backdoors), des erreurs de programmation, des dépassements de mémoire tampon, des chaînes de format ou des entrées utilisateur mal validées.

###Buffer Overflow

• Vulnérabilité très répandue qui consiste à écrire des données en dehors de la zone mémoire allouée.
• Si le tampon est une variable C locale, cela pourrait permettre à un attaquant de forcer la fonction à exécuter du code malveillant ("stack smashing attack").
• De nombreuses applications écrites en langage C sont vulnérables, en raison des choix qui ont été faits en matière de simplicité et d'efficacité.

Mécanismes de défense

• Chiffrement : Utiliser des algorithmes basés sur des clés pour transformer les données. Sa sécurité dépend entre autre du niveau de sécurité des clés.
• Signature numérique : Ajouter des données pour vérifier l'intégrité ou l'origine des données.
• Ajout de trafic : Compléter les données pour assurer la confidentialité au niveau du volume du trafic.
• Notarisation: Utiliser un tiers de confiance pour garantir certains services de sécurité.
• Contrôle d'accès : Vérifie les droits d'accès d'un acteur aux données, mais n'empêche pas l'exploitation d'une vulnérabilité.
• Logiciel qui protège l'ordinateur contre les programmes malveillants (ou fichiers potentiellement exécutables).
• Il ne protège pas contre un intrus qui utilise un logiciel légitime, ou contre un utilisateur légitime qui accède à une ressource lorsqu'il n'est pas autorisé à le faire.
• Pare-feu : C'est un élément (logiciel ou matériel) du réseau informatique contrôlant les communications qui le traversent. Son rôle est de faire respecter la politique de sécurité du réseau, en déterminant quelles communications sont autorisées ou interdites.
• Détection d'intrusion : Identifie les activités anormales ou suspectes sur le réseau surveillé et permet la journalisation et l'analyse des activités de chaque acteur. Elle permet d'identifier les points de vulnérabilité du système.
• Contrôle de routage: Sécurise les chemins (liens et équipements d'interconnexion).
• Authentification : Elle authentifie des acteur en utilisant un élément: ce qu'il sait, ce qu'il a et ce qu'il est.
• Protection physique : Peut fournir une protection totale, de manière excessive toutefois.
• Politiques de sécurités : elle détermine la longueur des clefs, les choix des algorithmes ou le rythme de changement des mots de passes. Une fois définies, la mise en oeuvre et la bonne gestion sont critiques
• Sécuriser l'accès aux communications et imposer l'horodatage sécurisé des instants significatifs, la certification des droits accordés et une distribution sécurisée des clés.

Autres éléments essentiels

• Respect du facteur humain, incluant l'ingénierie sociale, par le respect des règles et leurs compréhensions.
• Architecture de sécurité: pare-feu, DMZ (zone démilitarisée), l'IDS, les logs, le VPN.
• Virtual Private Network (VPN): seuls les agents autorisés peuvent y avoir accès et les réseaux virtuels dépend du nombre des types d'agents.
• Il possède plusieurs implémentations : Au niveau 2 les Ethernet sont complétées par un VID et niveau il est accompagné d'une phase d'authentification.