Chapitre 2 - CyberSecurity PDF

Summary

This document covers the environment of cybersecurity, including different hacker profiles, cyberattacks, and virology. It defines a hacker and explores various types, such as white hat, black hat, script kiddies, phreakers, carders, and crackers. It also discusses the concept of cyberattacks and virology.

Full Transcript

Université Sultan Moulay Slimane (USMS)
École Nationale des Sciences Appliquées - Béni Mellal (ENSABM)
Transformation Digitale Industrielle (TDI)
Semestre 5

CYBERSÉCURITÉ
Réaliasé par Pr. Mohammed ENNAHBAOUI
[email protected]

Année universitaire 2024-2025
 Université Sultan Moulay Slimane (USMS)
École Nationale des Sciences Appliquées - Béni Mellal (ENSABM)
Transformation Digitale Industrielle (TDI)
Semestre 5
CYBERSÉCURITÉ

Chapitre II : Environnement de
Cybersécurité
Réaliasé par Pr. Mohammed ENNAHBAOUI
[email protected]

Année universitaire 2024-2025
 Plan

1. Différents profils des "hackers"

2. Cyberattaques ou Attaques informatiques

3. Virologie informatique

M.ENNAHBAOUI 3
 1. Différents profils des "hackers"

M.ENNAHBAOUI 4
 Définition d’un pirate
L’un des termes les plus connus dans le monde de la cybersécurité, le "hacking", ou
"piratage informatique ", qui désigne les activités intrusives liées à l’exploitation d’un
système informatique ou d’un réseau privé sans accès autorisé (i.e. réalisation d’une
Cyberattaque).
Un pirate ou hacker peut être n’importe qui, avec l’évolution et la vulgarisation actuelle
des connaissances.
Surtout, il existe beaucoup d’outils de piratage sont disponibles sur Internet.
Le terme pirate ou hacker est utilisé généralement pour décrire ou désigner un
attaquant. Cependant, pas tous les hackers ont de mauvaises intentions, car certaines
formes de piratage peuvent avoir des intentions éthiques et fondées sur la recherche.
Il existe plusieurs types de hackers ou de pirates.
M.ENNAHBAOUI 5
 Les différents types de pirates (1/3)
Les "White Hat hackers" : hackers au sens noble du terme, dont le but
est d'aider à l'amélioration des systèmes et technologies informatiques.
Les "Black Hat hackers" : plus couramment appelés pirates, c-à-d des
personnes s'introduisant dans les systèmes informatiques dans un but
nuisible :
★ Les "Script Kiddies" (traduisez gamins du script, parfois également
surnommés crashers, lamers ou encore packet monkeys) sont de jeunes
utilisateurs du réseau utilisant des programmes trouvés sur Internet,
généralement de façon maladroite, pour vandaliser des systèmes
informatiques afin de s'amuser.

M.ENNAHBAOUI 6
 Les différents types de pirates (2/3)
Les "Black Hat hackers" (suite) :
★ Les "phreakers" sont des pirates s'intéressant au réseau téléphonique commuté
(RTC) afin de téléphoner gratuitement grâce à des circuits électroniques
connectés à la ligne téléphonique dans le but d'en falsifier le fonctionnement.
★ Les "carders" s'attaquent principalement aux systèmes de cartes à puces (en
particulier les cartes bancaires) pour en comprendre le fonctionnement et en
exploiter les failles.
★ Les "crackers" sont des personnes dont le but est de créer des outils logiciels
permettant d'attaquer des systèmes informatiques ou de casser les protections
contre la copie des logiciels payants. Un "crack" est ainsi un programme créé
exécutable chargé de modifier (patcher) le logiciel original afin d'en supprimer
les protections.
M.ENNAHBAOUI 7
 Les différents types de pirates (3/3)
Les "Grey Hat hackers" : se trouvent entre les gentils et les méchants. Tout
simplement est un mélange des white hat hackers et des black hat hackers.
 Contrairement aux blackhat hachers, ils tentent d’enfreindre les normes et les
principes, mais sans avoir l’intention de nuire ou d’obtenir un gain financier.
⇒ Leurs actions sont généralement menées pour le bien commun.
 Par exemple, ils peuvent exploiter une vulnérabilité pour sensibiliser le public à
sa présence, mais contrairement aux whitehat hackers, ils le font publiquement.
⇒ Cela alerte les malfaiteurs de l’existence de la vulnérabilité.

Les "hacktivistes" (contraction de hackers et activistes que l'on peut traduire
en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est
principalement idéologique.

M.ENNAHBAOUI 8
 2. Cyberattaques ou Attaques informatiques

M.ENNAHBAOUI 9
Une attaque informatique ou une Cyberattaque

Les systèmes informatiques mettent en œuvre différentes
composantes, allant de l'électricité pour alimenter les machines au
logiciel exécuté via le système d'exploitation et utilisant le réseau.
Une "attaque informatique", "cyberattaque" ou tout
simplement "attaque" est l'exploitation d'une faille ou
vulnérabilité d'un système informatique (système d'exploitation,
logiciel ou bien même de l'utilisateur) à des fins généralement
préjudiciables.
Les attaques peuvent intervenir à chaque maillon de cette chaîne,
pour peu qu'il existe une vulnérabilité exploitable.
M.ENNAHBAOUI 10
 Classification des Cyberattaques (1/2)
Une attaque peut être classée par son comportement ou par la position de l’attaquant.

M.ENNAHBAOUI 11
 Classification des Cyberattaques (2/2)

Une attaque peut être active ou passive.
★ Attaque passive : un attaquant écoute et surveille un système (réseau) pour recueillir et
analyser des informations sur sa cible. Alors, l’attaquant menace la confidentialité des
données mais n'affecte pas les ressources du système.
★ Attaque active : un attaquant tente de modifier les ressources du système afin de perturber
ou causer des dommages aux ressources du système d’une organisation ou à affecter ses
opérations normales.
Une attaque peut être perpétrée de l’intérieur ou de l’extérieur de l’organisation.
★ Attaque interne : est initiée par une entité dans le périmètre de sécurité, c'est‐à‐dire une
entité autorisée à accéder aux ressources du système mais qui les utilise d'une manière non
approuvée par ceux qui ont accordé l'autorisation.
★ Attaque externe : est initiée depuis l'extérieur du périmètre, par un utilisateur non
autorisé ou illégitime du système.
M.ENNAHBAOUI 12
 Attaque et Intrusion (1/2)
Une attaque : Une intrusion :
n’importe quelle action qui compromet la faute opérationnelle, externe, intentionnellement nuisible,
sécurité des informations ; résultant de l’exploitation d’une vulnérabilité dans le
une faute d’interaction délibérée. système ;
faute interne résultant d’une attaque.

M.ENNAHBAOUI 13
 Failles de sécurité - Applicatives
Les failles applicatives : sont liées aux programmes et aux applications
utilisées comme :
★ Les installations par défaut : plusieurs services peuvent être installés par défaut
(serveur Web, messagerie, FTP…etc.).
★ Les mauvaises configurations : une application mal paramétrée, peut laisser
l'accès libre à certaines bases de données sensibles (fichiers de mots de passe,
d'utilisateurs).
★ Les bugs : une mauvaise programmation de scripts ou l'utilisation de fonctions
boguées.
★ Anciennes versions de logiciels : l’administrateur du système doit veiller à la
mise à jour des logiciels installés.
M.ENNAHBAOUI 14
 Failles de sécurité – Système
Les failles système : sont liée au système d’exploitation comme :
★ Ports ouverts : chaque application, service installé ouvre un certain nombre de
ports pour fonctionner.
★ Les backdoors (porte dérobée) : présentes dans les logiciels : ce sont des accès
cachés sur un système ou sur une application.
★ Insertion de Rootkits : "outils de dissimulation d'activité" permettent
d'automatiser la dissimulation en ayant comme objectif de modifier les
commandes d'administration du système, cacher les ports ouverts.
★ Les Mots de passe : l’utilisation de mots de passe à bas niveau de complexité
voire leur absence.

M.ENNAHBAOUI 15
 Exemples des cyberattaques classiques

Attaques visant la collecte d’information
(Balayage de port, OS fingerprinting) ;

Attaque DoS (Denial of Service) ;

Attaque MITM (Man In The Middle).
M.ENNAHBAOUI 16
 Attaques visant la collecte d’information

Attaques par balayage de ports :
★ Balayage TCP (SYN, ACK, FIN, Xmas, Null) ;
★ Balayage UDP.
Attaques permettant de prendre l’empreinte réseau du
système (OS Fingerprinting) :
★ Empreinte TCP ;
★ Empreinte ICMP.
Scan de vulnérabilité.
M.ENNAHBAOUI 17
 Attaques par balayage de ports (1/3)
L'objectif du balayage est de savoir si un logiciel est en écoute sur un numéro de port
donné. Si un logiciel écoute, on dit que le port est ouvert, sinon on dit qu'il est fermé.
Le balayage d'un port se passe en deux étapes :
1. l'envoi d'un paquet sur le port testé ;
2. l'analyse de la réponse.
NMAP : est un logiciel de balayage (ou de scan) de ports, très répondu, connu pour son
efficacité.
★ Nmap a une granularité bien plus fine. Il divise les ports selon six états :
➖ ouvert (open), ➖ filtré (filtered), ➖ ouvert|filtré (open|filtered),
➖ fermé (closed), ➖ non-filtré (unfiltered), ➖ et fermé|filtré (closed|filtered).

M.ENNAHBAOUI 18
 Les techniques de scan de Nmap

M.ENNAHBAOUI 19
Rappel sur le Fonctionnement d'une connexion
TCP et les différents paquets TCP (1/3)
Pour établir une connexion TCP, trois étapes sont nécessaires alors on parle d'un
processus "three-way handshake".
Ces trois étapes correspondent à trois paquets TCP : SYN, SYN-ACK et ACK.
Ces termes correspondent à des flags (des marqueurs) que l'on peut retrouver au
sein des paquets TCP.
L'initialisation d'une connexion TCP entre deux hôtes se schématise de cette façon :
1. Le paquet TCP SYN correspond à une demande d'initialisation de connexion envoyée
par un client à un serveur, tout en sachant que SYN signifie "Synchronized".
2. Ensuite, le serveur répond avec un paquet TCP SYN-ACK pour initier la connexion
dans l'autre sens (SYN) et indiquer au client qu'il a bien reçu la demande de connexion
(ACK pour Acknowledge).
3. Enfin, le client répond au serveur avec un paquet TCP ACK pour accuser réception de
la demande de connexion (Acknowledge). La connexion TCP est établie en mode full-
duplex, c'est-à-dire dans les deux sens.

M.ENNAHBAOUI 20
Rappel sur le Fonctionnement d'une connexion
TCP et les différents paquets TCP (2/3)

M.ENNAHBAOUI 21
Rappel sur le Fonctionnement d'une connexion
TCP et les différents paquets TCP (3/3)
Pour fermer une connexion TCP, il y a deux méthodes :
★ la méthode propre (ou normale) qui consiste à envoyer un paquet TCP FIN à
l'hôte distant pour lui demander de fermer la connexion aussi de son côté. En
attendant sa réponse, on reste à l'écoute, notamment le temps qu'il indique que
la connexion peut être fermée et les ressources libérées. Le serveur va envoyer
un paquet TCP ACK puis ensuite TCP FIN (lorsque la connexion sera prête à
être fermée côté serveur), et enfin le client répondra par TCP ACK : la
connexion sera fermée des deux côtés.
★ la méthode impropre : Lorsque la connexion TCP ne peut pas être terminée
proprement (par exemple : une coupure réseau entre les deux hôtes, un bug
pendant la session, etc.), il existe une autre solution qui consiste à forcer la
fermeture de la connexion TCP via un paquet TCP RST (pour Reset). On peut
dire que l'on essaie d'avertir l'hôte distant que l'on ne répondra plus à ses
requêtes pour cette connexion et qu'elle va être fermée.
M.ENNAHBAOUI 22
 Attaques par balayage TCP
Il existe de nombreuses variantes pour le paquet émis. Il y a le paquet valide
selon la norme TCP comme TCP SYN, et les paquets invalides. L'utilisation
des paquets invalides vise à tromper les systèmes de détection d'intrusion.
Voici certaines variantes :
★ ACK ; ★ Xmas (tous) ; ★ NULL (aucun) ;
★ Maimon (FIN/ACK) ; ★ FIN ; ★ Window (ACK).

Le serveur peut répondre de différentes manières :
★ ouverture de connexion acceptée : envoi d'un paquet TCP SYN/ACK ;
★ fermeture de la connexion : envoi d'un paquet TCP RST ;
★ absence de réponse.
M.ENNAHBAOUI 23
 Exemple d’Attaque par balayage SYN :
TCP SYN Scan

Si le port est fermé, il répond
par un RST.

Si le port est ouvert, il répond
par un SYN/ACK.

M.ENNAHBAOUI 24
 Output de Wireshark avec TCP SYN Scan

M.ENNAHBAOUI 25
 Output de nmap avec TCP SYN Scan
(Mode ligne de commande dans un réseau réel)

M.ENNAHBAOUI 26
 Output de nmap avec TCP SYN Scan
(Mode graphique de commande dans un réseau réel)

M.ENNAHBAOUI 27
 Output de nmap avec TCP SYN Scan
(Mode ligne de commande dans un réseau virtuel)

M.ENNAHBAOUI 28
 Attaque par balayage SYN : TCP SYN Scan
(nmap –sS @IP)
Avantages du TCP SYN Scan :
★ Le balayage TCP SYN ne crée jamais de session TCP. De ce fait, il n’est pas
journalisé par les applications de l’ordinateur de destination.
★ Ce balayage est plus discret que le balayage TCP connect().
★ Puisqu’aucune session d’application n’a été ouverte, le balayage SYN scan n’a
aucun impact réel sur les performances de l’application.
Inconvénient du TCP SYN Scan :
★ Le balayage TCP SYN nécessite un accès privilégié au système (accès avec
compte administrateur). Sans un accès privilégié, nmap ne peut pas créer des
packets raw nécessaires pour accomplir des balayages se basant sur un processus
de connexion semi-ouverte (half-open connection process).
M.ENNAHBAOUI 29
 Exemple d’Attaque par balayage connect() :
TCP connect() Scan (nmap –sT @IP)
Si le port est fermé, il répond par
un RST.

Si le port est ouvert, le scan TCP
connect(), complète le TCP three-way
handshake, puis envoie un RST pour
fermer la connexion.

M.ENNAHBAOUI 30
 Attaque par balayage ACK : TCP ACK Scan

Ce type de scan est différent des autres car il ne peut pas déterminer si un port
est ouvert (ni même ouvert|filtré).
Il fournit uniquement si un port est "filtré" ou "non-filtrée" car elle ne se connecte
jamais à une application pour confirmer un état "ouvert".
Il est utilisé pour découvrir les règles des pare-feux, déterminant s'ils sont avec ou
sans états (statefull/stateless) et quels ports sont filtrés.
Le scan ACK n'active, en général, que le drapeau ACK des paquets.
★ Les systèmes non-filtrés réagissent en retournant un paquet RST. Nmap considère alors
le port comme non-filtré, signifiant qu'il est accessible avec un paquet ACK, mais sans
savoir s'il est réellement ouvert ou fermé.
★ Les ports qui ne répondent pas ou renvoient certains messages d'erreur ICMP (type 3,
code 1, 2, 3, 9, 10, ou 13), sont considérés comme filtrés.

M.ENNAHBAOUI 31
 Exemple d’Attaque par balayage ACK :
TCP ACK Scan (nmap –sA @IP)
Si le port est filtré, il n’y a pas de
réponse ou réception d’un message
ICMP destination unreachable

Si le port est unfiltred, il répond
par un RST.

M.ENNAHBAOUI 32
 Output de nmap avec TCP ACK Scan
(Mode ligne de commande dans un réseau réel)

M.ENNAHBAOUI 33
 Prise d’empreinte réseau d’un SE
(OS Fingerprinting)
Définition : L'OS Fingerprinting est l'art d'identifier le type et la version du
système d'exploitation de l‘hôte distant.
Il constitue une étape cruciale dans un test d'intrusion.
En identifiant le type du système d'exploitation de la machine distante, l'attaquant
peut alors prendre de bonnes décisions sur les outils et les exploits à utiliser.
On distingue deux catégories de techniques de l'OS Fingerprinting :
★ Techniques actives : consiste en l'envoi de paquets sur le réseau et l'attente de réponses.
Les paquets envoyés sont parfois malformées car les différentes implémentations des piles
TCP/IP répondent différemment face à de telles erreurs.
★ Techniques passives : ces méthodes se caractérisent par le fait qu‘elles se base sur
l’écoute du trafic réseau sans avoir à envoyer aucun paquet.

M.ENNAHBAOUI 34
Techniques de prise d’empreinte réseau d’un SE
(Techniques of OS Fingerprinting)

M.ENNAHBAOUI 35
 TCP/IP Stack Fingerprinting

TCP/IP Stack Fingerprinting est une technique permettant de
déterminer l'identité du système d'exploitation utilisé sur une
machine distante en analysant les paquets provenant de cet hôte.

Cette méthode se base sur le fait que les différents systèmes
n'implémentent pas de la même manière les protocoles réseaux
TCP et IP.

La plupart des systèmes d'exploitation répondent différemment si
des paquets anormaux ou bizarres leur sont envoyés.
M.ENNAHBAOUI 36
 Technique de nmap pour la prise d’empreintes
d’OS
Test Envoyer paquet à un port Avec les Flags
T1 TCP TCP-ouvert SYN, ECN-ECHO

T2 TCP TCP-ouvert no flags

T3 TCP TCP-ouvert URG, PSH, SYN, FIN

T4 TCP TCP-ouvert ACK

T5 TCP TCP-fermé SYN

T6 TCP TCP-fermé ACK

T7 TCP TCP-fermé URG, PSH, FIN
no flags
T8 TCP TCP-fermé

T9 TCP TCP-ouvert SYN
M.ENNAHBAOUI 37
 Exemple de prise d’empreinte OS par Nmap
Exemple d’empreinte associée par Nmap à l’OS au sein du fichier nmap-
os-db qui existe dans le dossier /usr/share/nmap :
★ Fingerprint Linux 2.6.32 (X86_64) :

M.ENNAHBAOUI 38
 Exemple de test de prise d’empreinte OS par
Nmap (OS ambiguë)

M.ENNAHBAOUI 39
 Exemple de test de prise d’empreinte OS par
Nmap (OS sûr)

M.ENNAHBAOUI 40
 Attaque DoS
Attaque DoS (Denial of Service) ou attaque par déni de service , aussi
appelé attaque par saturation est une cyberattaque visant à rendre
indisponible, pendant un temps indéterminé, les services ou les ressources
d'une organisation.
⇒ Empêcher les utilisateurs légitimes d'un service de l'utiliser.
Il existe diverses raisons pour une attaque DoS :
★ Raisons politiques ou économiques ;
★ Pour gagner accès à un système donné ;
★ Pour pouvoir réaliser d’autres types d’attaques (comme "Man in the middle"
dans le cas de DNS Spoofing par exemple) ;
★ Par vengeance ;
★ Etc.
M.ENNAHBAOUI 41
 Attaque DoS

M.ENNAHBAOUI 42
 Principe de l’attaque DoS

Le principe des attaques par déni de service consiste à envoyer des
paquets IP de taille ou de constitution inhabituelle ou bien en grand
nombre, afin de provoquer :

★ une saturation ou

★ un état instable des machines victimes

⇒ d’empêcher les machines victimes d'assurer les services réseau qu'elles
proposent.

M.ENNAHBAOUI 43
 Attaque DDoS (1/2)
Lorsqu’une attaque DoS est réalisée à partir de plusieurs sources, on parle alors
d'attaque DDoS.
Attaque DDoS (Distributed Denial of Service) ou attaque par déni de service
distribué est une cyberattaque où l’attaquant utilise une multitude de systèmes pour
attaquer sa victime afin de rendre indisponible les services ou les ressources d'une
organisation pendant un temps indéterminé.
Une attaque DDoS se déroule de la manière suivante :
★ Construire un botnet ;
★ Lancer une attaque ;
★ DDoS en tant que service.
L’attaquant dans un DDoS est souvent appelé botmaster, et le serveur
central où l’attaquant contrôle tous les appareils et leur envoie des messages
est appelé Centre de Commande et de Contrôle ou "C&C".

M.ENNAHBAOUI 44
 Attaque DDoS (2/2)

M.ENNAHBAOUI 45
 Principe de l’attaque DDoS (2/2)
Une attaque DDoS prend place lorsque plusieurs machines
compromises (réseau botnet), infectées par un code malicieux, et sont
coordonnées et sous le contrôle d’un même attaquant dans le but de
pénétrer le système de la victime, épuiser ses ressources et le forcer à
arrêter le service fournis à ses clients.
Les attaques par déni de service distribué les plus connues sont Tribal
Flood Network (notée TFN) et Trinoo.
Il existe deux types d’attaques DDoS :
★ Les attaques DDoS typiques ;
★ Distributed Reflector DoS (DRDoS) attacks.
M.ENNAHBAOUI 46
 Principe de l’attaque DDoS (2/2)
Attacker

Masters

Slaves

Victim
M.ENNAHBAOUI 47
 Démarche de l’attaque DDoS
Une attaque DDoS se déroule de la manière suivante :
★ Construire un botnet : Pour lancer une attaque DDoS, les attaquants utilisent
des logiciels malveillants pour créer un réseau de bots,
★ Lancer une attaque : Une fois qu'un attaquant a construit un botnet, il envoie
des instructions à distance aux bots, leur demandant d'envoyer des requêtes et du
trafic à un serveur victime. Il en résulte un trafic démesuré qui entraîne un déni
de service, empêchant le trafic normal d'accéder à la cible.
★ DDoS en tant que service (DDoS as a Service) : Parfois, les botnets, avec leurs
réseaux de terminaux compromis, sont loués pour d'autres attaques potentielles
par le biais de services d'attaque à louer. Cela permet à des personnes mal
intentionnées mais sans formation ni expérience de lancer facilement des
attaques DDoS par leurs propres moyens.
M.ENNAHBAOUI 48
 Botnet ou Réseau de Bots (1/2)
Un Botnet ou un réseau de Bots aussi appelé un réseau de
zombies est un ensemble des terminaux connectés à Internet qui
sont infectés par des logiciels malveillants, que les attaquants
peuvent diriger pour envoyer un flot de trafic à d’autres cibles
(victimes).
Ce réseau peut inclure des points de terminaison tels que des
terminaux Internet des objets (IoT), des smartphones et des
ordinateurs personnels, ainsi que des routeurs et des serveurs
réseau.
Chaque terminal infecté devient capable de propager le malware
à d'autres terminaux pour amplifier la taille d'une attaque.
M.ENNAHBAOUI 49
 Réseau Botnet (2/2)

M.ENNAHBAOUI 50
 DoS VS DDoS (1/2)

La différence entre DDoS et DoS est le nombre de connexions utilisées dans l'attaque.
★ Une attaque DoS repose sur le fait que la victime est attaquée par un unique système.
★ Tandis qu’une attaque DDoS utilise de nombreuses sources.
Parce que DDoS provient de plusieurs sources à la fois, elle est donc généralement plus
rapide, plus difficile à bloquer qu’un DoS et retracer sa source s’avère difficile.
★ Conduire des tests DDoS dans le cadre d’un pentest n’a que peu d’intérêt, car il sera toujours
possible de faire tomber un service si l’on y consacre les moyens nécessaires.
★ En revanche, réaliser des tests DoS permet d’identifier des vulnérabilités au niveau des
configurations ou de l’applicatif. Et dans ces cas de figure, des correctifs peuvent être
implémentés.
M.ENNAHBAOUI 51
 DoS VS DDoS (2/2)

M.ENNAHBAOUI 52
Attaques DRDoS (Distributed Reflector DoS) (1/4)
Les attaques DRDOS sont appelées aussi les attaques DDoS par amplification.
Dans les attaques DRDOS, l'armée de l'attaquant se compose de zombies maîtres, de
zombies esclaves, et des réflecteurs.
Les zombies maîtres ordonnent aux zombies esclaves d'envoyer un flux de paquets avec
l'adresse IP usurpée de la victime comme adresse IP source à d'autres machines non infectées
(connu sous le nom de réflecteurs), incitant ces machines de se connecter avec la victime.
Par conséquent, dans des attaques DRDOS, l'attaque est montée par des machines non
compromises, qui lancent de l'attaque sans être conscientes de l'action (les réflecteurs).
Cependant, le trafic réseau contient une adresse IP source usurpée d’une victime, par exemple
un serveur web. L’usurpation d’adresse IP est effectuée pour deux raisons :
★ Premièrement, elle permet de dissimuler l’identité de l’attaquant ;
★ Deuxièmement, la réponse à une requête envoyée par un réflecteur à la victime est beaucoup plus
importante que la requête originale.

M.ENNAHBAOUI 53
Attaques DRDoS (Distributed Reflector DoS) (2/4)

Masters

Slaves

Reflectors

M.ENNAHBAOUI Victim 54
Attaques DRDoS (Distributed Reflector DoS) (3/4)
Les réflecteurs sont des serveurs sur internet qui font tourner un service
aux clients (DNS, NTP, SNMP, IoT, jeux, etc.).
Un exemple de réflecteur peut être un serveur DNS mal configuré (ou
laissé dans un état par défaut) ou un serveur DNS public configuré
intentionnellement pour fournir une récursion ouverte aux clients de
l’Internet
★ Si un serveur DNS mal configuré par exemple réponds avec une requête 50 fois
plus importantes vers l'adresse IP source. Alors, lorsqu’une machine zombie
esclave envoie une requête UDP de 60 octets avec en source l'adresse IP de la
victime alors ce dernier reçoit une requête UDP de 3000 octets en réponse.).
Dans tous les cas, un réflecteur n’a pas l’intention de faire partie de
l’attaque DDoS.
M.ENNAHBAOUI 55
Attaques DRDoS (Distributed Reflector DoS) (4/4)

Maîtres Esclaves Réflecteurs
M.ENNAHBAOUI 56
 Attaques RDoS (Reflector DoS)
On a aussi les attaques RDOS (Reflector DoS) ou les attaques DoS par
amplification qui représentent la version non distribuée de RDOS c’est-à-dire
l’attaque est réalisée à partir d’une seule source.

Réflecteurs
M.ENNAHBAOUI 57
 Attaques classiques en DoS et DDoS

Attaques sur la bande passante → objectif : Saturation
★ UDP flooding
★ ICMP flooding
★ TCP flooding
Attaques sur les failles logicielles → objectif : Exploitation des
vulnérabilités
★ TCP/RST
★ Paquets malformés

M.ENNAHBAOUI 58
Exemple de TCP flooding : SYN Flooding Attack
(1/4)
Rappel du fonctionnement d’une connexion TCP :
★ L'un des principaux moyens de se connecter aux applications Internet est le
protocole TCP.
★ Cette connexion nécessite un processus handshake (une poignée de main) à trois
voies :
➖ l'envoi d'un paquet SYN (synchronisation) de l'endroit où l'utilisateur se connecte au
serveur,
➖ le serveur envoie ensuite un paquet SYN-ACK (accusé de réception de
synchronisation),
➖ le client répond finalement par une communication ACK (accusé de réception)
finale pour terminer l'établissement de liaison TCP.
★ Après avoir terminé cette séquence d’envoi et de réception de paquets, la
connexion TCP est ouverte et capable d’envoyer et de recevoir des données.
M.ENNAHBAOUI 59
Exemple de TCP flooding : SYN Flooding Attack
(2/4)
Les attaques SYN flood sont de type DoS qui vise à saturer les ressources de
la cible en exploitant le protocole TCP et exactement le processus de
handshake d’une connexion TCP.
Lors d'une attaque SYN flood :
★ Un client malveillant envoie un grand nombre de paquets SYN au serveur (première
partie de l'établissement de liaison handshake habituel) mais sans lui répondre par
un ACK (troisième partie de l'établissement de liaison handshake habituel) lorsque
celui-ci (le serveur web par exemple) a envoyé un SYN-ACK et essaye de contacter
le client malveillant en retour pour compléter l'établissement de liaison handshake
entre eux.
★ Le serveur attend alors une réponse à ces connexions TCP semi-ouvertes et n’arrive
pas à compléter toutes ces demandes d’handshake initiées par l’attaquant,
⟹ ce qui implique que le serveur sera trop sollicité pour se connecter à d’autres
utilisateurs légitimes. Il sera donc ralenti voire deviendra inaccessible et ne plus
pouvoir accepter de nouvelles connexions.

M.ENNAHBAOUI 60
Exemple de TCP flooding : SYN Flooding Attack.
(3/4)
Serveur
En écoute…
SYNC1 Pour chaque demande de
connexion, il y a réservation
SYNC2 de ressources.
SYNC3 …
SYNC4 …

SYNC5 …
…

…

M.ENNAHBAOUI 61
Exemple de TCP flooding : SYN Flooding Attack
(4/4)

M.ENNAHBAOUI 62
 Exemples d’attaques DoS/DDoS (1/3)
En 25 août 2024 : le serveur Minemen Club, bien connu dans la communauté
Minecraft, a été la cible d’une attaque DDoS massive. Cette attaque a atteint un taux
énorme de 3,15 milliards de paquets par seconde, établissant ainsi un nouveau record
mondial. L’attaque, qui a duré un peu plus d’une heure, a principalement été
orchestrée depuis la Russie, le Vietnam et la Corée du Sud. Le serveur n'a
globalement eu de dégâts grâce à leur protection anti DDoS.
En octobre 2023 : Google affirme avoir atténué la plus grande attaque par déni de
service distribué (DDoS) jamais enregistrée par elle ; il s'agissait d'une attaque
HTTP/2 Rapid Reset dont le pic a atteint 398 millions de requêtes par seconde (r/s).
En Juin 2022 : Google a fait état d'un client Google Cloud qui avait été pris pour
cible par une attaque DDoS HTTPS culminant à 46 millions de requêtes par seconde.
L'attaque provenait de plus de 5 000 sources réparties dans plus de 130 pays.

M.ENNAHBAOUI 63
 Exemples d’attaques DoS/DDoS (2/3)
En novembre 2021 : Azure a subi une attaque DDoS qui atteint un débit de
3,47 térabits par seconde (Tb/s). Selon Microsoft, elle provenait d'environ
10 000 sources réparties dans au moins 10 pays. L'entreprise a précisé qu'elle
avait également atténué deux autres attaques cette même année, avec un débit
de plus de 2,5 Tb/s.
En février 2020 : AWS a déclaré avoir atténué une immense attaque DDoS.
Au plus fort de cette attaque, le trafic entrant a atteint 2,3 térabits par seconde
(Tb/s). AWS n'a pas révélé lequel de ses clients était la cible de l'attaque.
En avril 2019 : La société de sécurité Impreva a relevé le cas d’un de ses
clients affecté par une attaque DDoS : le débit a atteint 580 millions PPS
(packets per second).

M.ENNAHBAOUI 64
 Exemples d’attaques DoS/DDoS (3/3)
En 2018 : GitHub (grande entreprise de développement logiciel et de service) a connu une
large attaque DDoS contre son site : 1.35-terabit-per-second (Tbps) équivalent à 129.6
millions PPS.

Et pour l’histoire, en octobre 2002 : Une attaque DDoS la plus significative à l’époque. Elle
visaient les treize serveurs DNS racines : L'attaque a duré plus d'une heure et le débit a
franchi 900 Mégabits/seconde.
M.ENNAHBAOUI 65
 Attaque MITM
Attaque Man In The Midle (l’homme au milieu ou MITM) : C’est un scénario
d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs
et falsifie les échanges afin de se faire passer pour l'une des parties.
La plupart des attaques de type MITM consistent à écouter le réseau à l'aide sniffer.
Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants, en
utilisant, par exemple :
★ ARP Spoofing : c'est probablement le cas le plus fréquent. Possible si l'un des
interlocuteurs et l'attaquant se trouvent sur le même réseau local.
★ DNS Poisoning : L'attaquant altère le ou les serveur(s) DNS des parties de façon à
rediriger vers lui leurs communications sans qu’ils s'en aperçoivent.
★ L'analyse de trafic : le but est de visualiser d'éventuelles transmissions non chiffrées.
★ Etc.
M.ENNAHBAOUI 66
 Attaque MITM : Écoute du réseau
Écoute du réseau : Capturer le contenu des paquets qui ne nous sont pas destinés.
Il y a plusieurs outils d’écoute du réseau, les plus connus sont :
★ Tcpdump
★ Wireshark

M.ENNAHBAOUI 67
 Attaque MITM

M.ENNAHBAOUI 68
 Attaque MITM : ARP Spoofing

Rappel du fonctionnement du protocole ARP (Address
Resolution Protocol = protocole de résolution d'adresse) :
★ ARP interroge en diffusion (broadcast) le réseau local en demandant
l’adresse physique MAC correspond à une adresse logique IP (du
destinataire) et attend qu'un ordinateur répond en fournissant
l'adresse physique requise.
★ L'absence de réponse établit clairement que cette adresse logique ne
correspond à aucune machine en fonctionnement sur le réseau local.
★ La réponse ARP est envoyée dans un message unicast vers la source
de la requête.
M.ENNAHBAOUI 69
 Attaque MITM : ARP Spoofing (1/3)
Cette cyberattaque est de type man in the middle. Elle consiste à
exploiter une faiblesse du protocole ARP.
L'objectif de l'attaque consiste à :
1. s'interposer entre deux machines du réseau ;
2. et de transmettre à chacune un paquet ARP falsifié précisant que l'adresse MAC
de l'autre machine a changé, l'adresse MAC fournie étant celle de l'attaquant.
Ainsi, les deux machines cibles vont mettre à jour leur table dynamique
appelée Cache ARP. À chaque fois qu'une des deux machines
souhaitera communiquer avec la machine distante, les paquets seront
envoyés à l'attaquant, qui les transmettra de manière transparente à la
machine destinatrice.
M.ENNAHBAOUI 70
 Attaque MITM : ARP Spoofing (2/3)

M.ENNAHBAOUI 71
 Attaque MITM : ARP Spoofing (3/3)

Table de l’ARP sur PC Linux 1

Table de l’ARP sur PC Linux 2

M.ENNAHBAOUI 72
 Attaque MITM : ARP Spoofing
(Déroulement de l’attaque)

M.ENNAHBAOUI 73
 3. Virologie informatique

M.ENNAHBAOUI 74
 Buts d’une infection virale (1/2)
Destruction ou Corruption de fichiers.
★ Destruction matérielle : (ex. exécuter une boucle sans fin mettant en œuvre
certaines instructions de certains coprocesseurs et ayant la particularité de les
faire chauffer jusqu'à destruction du composant).
★ Instabilité du système : (ex. engendrer un comportement conduisant au
blocage total, mais sans être destructeurs).
★ Dégradation des ressources du système : Quelques virus exécutent des boucles
sans fin destinées à occuper une part de la puissance de calcul de l'ordinateur, où
se répliquent sur le disque dur ou en mémoire, conduisant à une saturation et au
plantage, ou au ralentissement du chargement des fichiers et des programmes.
★ Compromission des paramètres de sécurité : Recherche de failles, création de
failles etc. (ex. un cheval de Troie qui sert à installer un Keylogger ou un
Backdoor etc....)
★ Percement des paramètres de sécurité : Le malware s'attaque aux antivirus et
aux pare-feux pour les inhiber, les désactiver etc....
M.ENNAHBAOUI 75
 Buts d’une infection virale (2/2)
Destruction ou Corruption de fichiers.
★ Divulgation des paramètres de sécurité : Divulgation des mots de passe, des
paramètres de sécurité etc.... par exemple par analyse des versions de correctifs
installés etc. (le malware a un comportement de spyware).
★ Social engineering : convaincre de révéler par vous même vos codes et mots de
passe, volontairement et même spontanément
★ Relais d'attaque : Ces malwares ne font rien sur votre machine, mais ils ont un
mécanisme de réplication et une charge active. Ils sont uniquement préoccupés
par leur réplication la plus grande possible. Puis, à une date et heure donnée, à
partir de toutes les machines infectées, une attaque est lancée contre une cible,
par exemple afin de la saturer.
★ Actions ennuyeuses : (ex. Affichage répétitif d'un message ou d'une image,
impossibilité de cliquer sur une icône car elle disparaît à chaque fois que le
pointeur de la souris s'approche, affichage des caractères à l'envers, écriture du
français de droite à gauche etc. )
M.ENNAHBAOUI 76
 Principaux aspects des codes ou logiciels
malveillants
Définition :
★ Les codes ou logiciels malveillants (sont appelés aussi
malware) se définissent comme tout programme conçu dans le
but d’infiltrer le système informatique d’un utilisateur dans
l’intention spécifique d’effectuer un acte malveillant.
★ Cette expression "malware" est utilisée pour désigner les
virus, les vers et les chevaux de Troie mais aussi les logiciels
espions, les bombes logiques et d’autres formes de logiciels
indésirables.

M.ENNAHBAOUI 77
Qu'est-ce qui différencie un Virus, un Vers, un
Parasite ?
Virus, vers et parasites ont, tous, une charge active (Payload).
Ce qui les différencie est :
★ leurs capacités à se répliquer dans un même ordinateur (infester la machine)
★ et à sauter d'un ordinateur à un autre (se propager).
Les virus :
★ Les virus se répliquent et infectent complètement un ordinateur (ils se collent à un fichier exécutable).
★ Ils ne se propagent pas d'eux-mêmes (ils ont besoin d’un moyen).
Les vers (Worm) :
★ Les vers se répliquent dans un ordinateur et l'infectent complètement.
★ Ils ont un mode de propagation autonome.
Les parasites non viraux :
★ Un parasite non viral ne s'implante qu'à un seul exemplaire dans une machine (il ne se réplique pas).
★ Il est propagé par les utilisateurs ou par un cheval de Troie.

M.ENNAHBAOUI 78
Structure d’un code malveillant - virus et ver (1/5)

C'est l'action que le virus
applique au corps infecté

M.ENNAHBAOUI 79
 Charge Virale (payload)
Les payloads, charges utiles ou charge active ou encore charge virale, sont les éléments
de cyberattaques qui provoquent des dégâts. Les payloads malveillants peuvent rester en
sommeil sur un ordinateur ou un réseau pendant plusieurs secondes, voire plusieurs mois,
avant d'être déclenchés.
Les charges (payload) qui accompagnent les virus et les vers peuvent être classées dans les
groupes suivants :
★ Portes dérobées : Elles permettent aux pirates d'accéder aux ordinateurs et aux données qu'ils
contiennent.
★ Manipulation de données : Cela va des messages, des annonces et des bruits du matériel jusqu'à
la suppression de fichiers et de lecteurs.
★ Chiffrement : l'accès aux données de l’utilisateur peut être bloqué par le biais du chiffrement
(ransonware).
★ Espionnage des données : Les objectifs de ces attaques sont les mots de passe, les numéros des
cartes de crédit, les noms d'utilisateur et autres données personnelles et secrets industriels.
★ Les attaques DDOS (déni de service distribué).
M.ENNAHBAOUI 80
Structure d’un code malveillant - virus et ver (2/5)

Dans le cas d’ une "bombe logique", attendre un
événement temporel ou une action pour se déclencher.

C'est l'action que le
virus applique au corps
infecté

M.ENNAHBAOUI 81
Structure d’un code malveillant - virus et ver (3/5)

Dans le cas d’ une "bombe logique", attendre un
événement temporel ou une action pour se déclencher.

C'est l'action que le virus
applique au corps infecté

(ou de camouflage) : Le virus va tenter de se
camoufler
en se rendant invisible
ou en tuant ses ennemis (les antivirus),
ou en changeant à chaque réplication de manière à
rendre la détection par signature impossible etc.

M.ENNAHBAOUI 82
 Techniques de camouflage
Les malwares (principalement récents) s'efforcent de ne pas être détectés
par les utilisateurs et les logiciels antivirus. Pour cela, ils disposent souvent
de toute une série de mécanismes :
★ Repérage : Ils repèrent les débogueurs ou s’en protègent en insérant dans
leur code des lignes superflues dépourvues de sens.
★ Falsification : Pour cacher les traces d'infection, ils falsifient les messages
d'état ou les entrées des journaux. Cette procédure est notamment
appliquée par les Rootkits.
★ Chiffrement : Pour ne pas être découverts, les virus sont souvent chiffrés
et/ou chiffrent leur code nuisible.
★ Packers : Les runtime packers permettent de déstructurer les fichiers
exécutables de telle manière qu'ils deviennent indétectables par les
dernières signatures antivirus.
M.ENNAHBAOUI 83
Structure d’un code malveillant - virus et ver (4/5)

Partie du virus qui choisit ses cibles (les Dans le cas d’ une "bombe logique", attendre un
programmes en.exe ou les fichiers événement temporel ou une action pour se déclencher.
système ou les macros etc....) et
s'implante au niveau de ses cibles par
C'est l'action que le virus
les méthodes de réplications choisies.
applique au corps infecté

(ou de camouflage) : Le virus va tenter de se
camoufler
en se rendant invisible
ou en tuant ses ennemis (les antivirus),
ou en changeant à chaque réplication de manière à
rendre la détection par signature impossible etc.

M.ENNAHBAOUI 84
 Typologie des réplications
Il existe plusieurs types de réplications (Réplication à l'intérieur) :
★ Par secteur de boot infecté
★ Par injection et par cavité :
➖ le virus s’injecte dans un fichier exécutable et à chaque fois que le
programme infesté est ouvert, le virus est exécuté puis "rend la main" à
l'exécution normale du programme hôte qu'il infeste.
★ Par Recouvrement
➖ les virus à réplication par recouvrement sont destructeurs car les
exécutables sont ainsi "recouverts" par un nouvel exécutable, le virus.
★ Par Compagnon
M.ENNAHBAOUI 85
Structure d’un code malveillant - virus et ver (5/5)

Partie du virus qui choisit ses cibles (les Dans le cas d’ une "bombe logique", attendre un
programmes en.exe ou les fichiers événement temporel ou une action pour se déclencher.
système ou les macros etc....) et
s'implante au niveau de ses cibles par les
C'est l'action que le virus
méthodes de réplications choisies.
applique au corps infecté
Dans le cas des vers, il s'agit
généralement d'un outil de pillage du (ou de camouflage) : Le virus va tenter de se
carnet d'adresses et envoie (serveur camoufler
SMTP) à toutes ces adresses sous forme en se rendant invisible
d'un e-mail piégé. ou en tuant ses ennemis (les antivirus),
Ce composant comporte plusieurs outils : ou en changeant à chaque réplication de manière à
de collecte d'informations, rendre la détection par signature impossible etc.
d'attaque (scan de ports, scan
d'adresses IPs...) et
de propagation
M.ENNAHBAOUI 86
 Typologie des propagations
Il existe plusieurs méthodes de propagation des infections vers
l'extérieur :
★ Par Hôte infecté
★ Par e-Mail et spam viral
★ Par Auto-propagation : vers
➖ Par Messagerie Instantanée et par Canaux IRC (Internet Relay Chat)
➖ Par Réseaux de P2P
➖ Par Réseaux locaux
➖ Par Internet
M.ENNAHBAOUI 87
 Propagation par e-mail et spam viral
Propagation par spam viral avec son propre outil : les vers
★ comportent leur propre serveur de messagerie (serveur SMTP - (Simple
Mail Transfer Protocol)) pour s'envoyer
★ s'attaquent à toutes les adresses trouvées sur la machine infectée (ex. le
carnet d'adresses). Les méthodes sont les mêmes que celles du spam : On
parle de spam viral.
Propagation par spam viral assisté : les virus appuyés par un BotNet
★ Collusion entre spammeurs, éditeurs de virus et propriétaires de BotNets. Le
résultat et l'architecture de la propagation sont les mêmes que le 1er type sauf
que le malware n’utilise pas son propre serveur SMTP pour se propager par
e-mail mais plutôt la technique de pénétration du propriétaire du BotNet (un
RAT (Remote Administration Tool) installé). La propagation est plus rapide
(fulgurante).
M.ENNAHBAOUI 88
 Virus
Un virus est un programme qui cherche à se propager via
d’autres programmes en les modifiant ou en s’accrochant
à ceux-ci.
Chaque programme infecté contribue à la propagation,
l’infection est souvent rapide.
Pour s’introduire dans les ordinateurs, un virus utilise les
supports de données amovibles (comme les clés USB), les
réseaux (poste à poste inclus), les messages électroniques
ou Internet.
M.ENNAHBAOUI 89
 Typologie des virus (1/2)
Virus du secteur d'amorçage ou virus de secteur de boot.
Virus de fichiers.
Virus multipartites :
★ Ce groupe de virus combine les techniques d’infection du secteur d'amorçage
(ou des tables de partitions) à celles utilisées sur les fichiers exécutables.
Virus compagnons.
Macrovirus :
★ Les macrovirus s'accrochent aux fichiers. Ils ne sont pas exécutables et pour
être exécutés, ils ont besoin d'un interprète du langage macro, comme ceux
intégrés à Word, Excel, Access et PowerPoint.
★ Ils peuvent également se cacher, contaminer le secteur d'amorçage et créer des
virus compagnons.
M.ENNAHBAOUI 90
 Typologie des virus (2/2)
Virus furtifs et Rootkits :
★ Les virus furtifs et les rootkits sont dotés de mécanismes de protection spéciaux
leur permettant d'échapper à leur détection par les programmes antivirus. Le
but de ce type de virus est de rester indétectable afin de pouvoir utiliser les
ressources de l’ordinateur infecté à l’insu de son utilisateur.
Virus polymorphes :
★ Les virus polymorphes contiennent des mécanismes leur permettant de
modifier leur aspect après chaque infection. Une partie du virus est ainsi
chiffrée. La routine de chiffrement intégrée au virus génère à chaque copie une
nouvelle clé, voire parfois de nouvelles routines.
Virus métamorphes :
★ Ces virus ne se basent pas sur le chiffrement de la partie malveillante du code
mais plutôt sur la mutation du code tout entier afin de ne pas être détectés par
les antivirus.
M.ENNAHBAOUI 91
 Vers (Worm)
Contrairement aux virus, les vers ne s'attachent pas aux fichiers exécutables.
Ils se transmettent d'un ordinateur à l'autre par des connexions réseau ou entre
ordinateurs.
Il existe différents types de ver :
★ Ver de réseau : les vers exploitent des failles pour se propager.
➖ Ex. Lovsan/Blaser et CodeRed
➖ Sasser profite d'une erreur de dépassement de mémoire tampon dans le Local
Security Authority Subsystem Service (LSASS) pour contaminer les ordinateurs
connectés à Internet.
★ Ver de messagerie.
➖ Ex. Beagle et Sober
★ Ver peer to peer.
★ Ver de messagerie instantanée.
M.ENNAHBAOUI 92
 Cheval de Troie (Trojan Horses) (1/2)

Un cheval de troie est un programme nuisible qui se cache dans une
application apparemment saine afin de pénétrer dans l’ordinateur. Une
fois dans le système, le Cheval de Troie ou trojan, en ouvre les portes et
télécharge d’autres programmes nuisibles sur l’ordinateur contaminé.
Il contient des segments cachés qui lui permettent de s’introduire dans
les ordinateurs offrant au pirate un accès presque total au système.
Un trojan ne dispose pas de routine de propagation autonome. Il se
diffuse donc par téléchargement (de crack ou serial key par exemple),
sous la forme d'économiseurs d'écran ou de jeux ou par courrier
électronique. Une exécution du programme apparemment sain suffit
pour contaminer le système.
M.ENNAHBAOUI 93
 Cheval de Troie (Trojan Horses) (2/2)

La classification du trojan dépend de sa fonction nuisible :
★ Backdoors ouvrent une porte dérobée au niveau de l'ordinateur infecté.
L'ordinateur est alors commandé à distance par le pirate.
★ Adwares, ou logiciels publicitaires, enregistrent les activités et les processus
d'un ordinateur (habitudes de navigation, par exemple). Lorsque l'occasion s'y
prête, des messages publicitaires sont alors affichés à l’utilisateur.
★ Spywares ou logiciels espions, permettent de voler des données utilisateur :
mots de passe, documents, clés d'enregistrement de logiciels, adresses
électroniques, etc.
★ Outils de téléchargement et injecteurs (Downloader et Dropper) : ont pour
mission de charger ou de copier un fichier sur l'ordinateur infecté. Pour se faire,
ils essaient souvent modifier ou de compromettre les paramètres de sécurité du
système.

M.ENNAHBAOUI 94
 Les Botnets

Botnet (bot=robot, net=réseau) :
★ ensemble de logiciels-robots qui fonctionnent de manière autonome et
automatique, installés sur de nombreuses machines zombies, détournés à
l´insu de leurs propriétaires, exécutant un programme malveillant.
★ ayant un centre de contrôle et de commande commun.
Leur but est de paralyser le trafic ou servir de moteur à la diffusion de
spam.
Ils sont aussi utilisés pour le vol de données bancaires ou de comptes
clients, ou d’autres attaques réalisées à grande échelle.

M.ENNAHBAOUI 95
 Mesures de protection contre
les codes malveillants (1/2)
Pare-feu (ou Firewall) : mettre en place des règles d’accès.
★ Système de gestion et de contrôle de trafic de données, ce dispositif filtre
en permanence toutes les connexions entrantes et sortantes d’un
ordinateur ou d’un réseau, son principe de configuration repose sur le
filtrage de trafic entrant et sortant.
L’anti-spam : est un système permettant à l’utilisateur final, le
destinataire, de se prémunir au maximum contre la réception de ces
mails non désirés
★ Un anti-spam s’appuie sur différentes banques de données, notamment
des listes noires constituées d’adresses internet ou de pays connus pour
être à l’origine de nombreux spams. Il peut aussi arrêter le courrier
indésirable selon son origine, son titre ou bien par son contenu.

M.ENNAHBAOUI 96
 Mesures de protection contre
les codes malveillants (2/2)
Antivirus : Logiciel capable de détecter, arrêter et
éventuellement détruire les virus contenus sur une machine
infestée
★ Il a pour charge de surveiller la présence de virus et
éventuellement de nettoyer, supprimer ou mettre en
quarantaine le ou les fichiers infectés, il surveille tous les
espaces dans lesquels un virus peut se loger, c’est à dire la
mémoire et les unités de stockage.
★ Les antivirus utilisent plusieurs méthodes de détection de
codes malveillants.
M.ENNAHBAOUI 97
 Typologie des produits antivirus
La plupart des antivirus ne mettent pas en œuvre une seule méthode de
détection, mais combinent plusieurs en même temps. Ce sont la qualité
des méthodes et le dosage de l’une par rapport à l’autre qui font la
différence.
Les méthodes de détection :
★ La recherche par signature : C’est la technique du "scanner" basée sur
la recherche d’une chaîne de caractères.
★ Le contrôle d’intégrité des fichiers.
★ La recherche heuristique : Elle cherche à détecter la présence d'un virus en
analysant le code d'un programme inconnu.
★ L’analyse comportementale : Elle repose sur l’analyse dynamique des
opérations de lecture et d’écriture en mémoire ou sur support physique.

M.ENNAHBAOUI 98
 L’éradication
Pour obtenir l’éradication, l’antivirus doit lancer un processus
automatisé inverse. Le succès s’obtiendra après :
1. Étude du code viral ;
2. Comparaison des fichiers sains et infectés ;
3. Localisation des données déplacées et sauvegardées ;
4. Marquage des fichiers nouvellement créés ;
5. Recherche des modifications annexes induites sur le système (ex.
modification de la base de registres).
Le travail d’éradication se complique lorsque des fichiers sains ont
été modifiés pour accueillir le code viral!!.
M.ENNAHBAOUI 99