Introduction aux Attaques Web PDF
Document Details
Uploaded by CleanTruth9484
Université Djillali Liabès de Sidi Bel-Abbès
Tags
Summary
This document provides an introduction to web attacks, including different types of attackers and the mechanisms of protection. It explores various security concepts. The document covers topics such as reconnaissance, scanning, and gaining access to the target system.
Full Transcript
Introduction aux attaques Web 1. Introduction Le développement rapide qu’a connu les applications déployées dans les environnements Web durant les quinze dernières années, surtout avec l'avènement du Web 2.0 qui a autorisé grand nombre d'utilisateurs d'accéder aux données et aux ressources infor...
Introduction aux attaques Web 1. Introduction Le développement rapide qu’a connu les applications déployées dans les environnements Web durant les quinze dernières années, surtout avec l'avènement du Web 2.0 qui a autorisé grand nombre d'utilisateurs d'accéder aux données et aux ressources informatiques par les navigateurs Web. Cette ouverture a considérablement augmenté la surface d'attaque et la vulnérabilité des serveurs et des applications Web. De ce fait, les cyberattaques profitent énormément des failles de sécurité dans les applications Web et multiplient leurs ruses afin d’exploiter le plus grand nombre de victimes. Il est donc primordial de comprendre comment fonctionnent ces attaques afin d’établir les meilleures 2. Sécurité informatique La sécurité informatique est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaire et mis en place pour réduire la vulnérabilité d’un système contre les menaces accidentelles et intentionnelles (Natkin, 2002). Natkin, S. (2002). Les protocoles de sécurité d’Internet. Dunod. La sécurité consiste à assurer selon (Natkin, 2002) : - La confidentialité : assurer que l’information ne sera lue que par les personnes autorisées. - L’intégrité : assurer que les informations ne peuvent être modifier ou altérer que par les personnes autorisées. - La disponibilité : assurer que l’information est disponible pour les personnes autorisées. - L’authentification : vérifier l’identité d’un utilisateur pour lui associer des droits d’accès. - La non-répudiation : garantir qu’aucun des correspondants ne pourra nier la transaction (l’envoi ou la réception des données). 3. Attaques informatiques Une attaque est l’exploitation d’une faille d’un système informatique à des fins non connues par l’exploitant du système et est généralement préjudiciable. Les objectifs d’un attaquant sont diverses : Prendre le contrôle ou utiliser les ressources d’un équipement pour en faire un usage frauduleux pour atteindre les objectifs suivants : - Gain d’argent, - Espionnage, - Sabotage, - Revendication, - Chantage ou vandalisme. 4. Qu'est qu'un attaquant (hacker) ? Un attaquant en sécurité informatique est une personne qui détourne la protection d'un système informatique et essaie de gagner l'accès sur ce dernier afin de le pirater. Les actions de cette personne peuvent être malveillantes (exemple : voler des informations, supprimer des données, etc.) ou bienveillantes (exemple: contribuer à l'amélioration de la sécurité d'un système). 5. Les types d’attaquants (hackers) ? Hacker : un nom mais plusieurs types : Les hackers ont des motivations et des objectifs variés, ce qui entraîne des distinctions entre les types de pirates. Voici les principaux : 5.1 Script Kiddies Les script kiddies sont des hackers amateurs qui utilisent des outils et scripts créés par d’autres, sans nécessairement comprendre leur fonctionnement. Leur objectif est généralement de causer des perturbations, mais ils manquent de l’expertise des hackers professionnels. Avec le temps et l’apprentissage, certains script kiddies peuvent toutefois 5.2 White Hat Hackers (Hackers éthiques) Les white hat hackers (blancs) sont des professionnels qui utilisent leurs compétences à des fins légitimes. Travaillant souvent dans l’industrie de la cybersécurité, ils aident à détecter les failles de sécurité et à prévenir les cyberattaques. Leur mission est de renforcer la sécurité des systèmes informatiques, protégeant ainsi les organisations et les 5.3 Gray Hat Hackers Les Gray Hat hackers gris naviguent entre légalité et illégalité. S’ils accèdent parfois à des systèmes sans autorisation, leur intention n’est pas toujours malveillante. Ils cherchent souvent à exposer des failles pour inciter les propriétaires des systèmes à améliorer leur sécurité. Toutefois, leurs actions sont parfois en dehors des limites de la loi informatique. 5.4 Black Hat Hackers Les hackers noirs sont ceux qui enfreignent ou violent les lois en accédant illégalement à des systèmes informatiques pour des gains personnels. Ils exploitent les failles pour voler des informations, installer des logiciels malveillants ou manipuler des données sensibles. Leur objectif est souvent coûteux, et leurs actions nuisent à la sécurité et à la confidentialité des informations. 6. Les phases d'intrusion des attaquants Dans cette partie nous allons présenter les 5 phases par lesquelles un pirate informatique passe pour réussir son attaque : 1) La reconnaissance : c'est la phase la plus facile mais la plus longue (~quelques mois) où l'attaquant essaie de récupérer le maximum d'informations sur la cible avant de passer à l'attaque. La reconnaissance est une phase d'intrusion qui peut être active ou passive : - La reconnaissance active : l'attaquant cherche activement les informations, par exemple: il se met à côté d'un employé pour essayer d'intercepter ce qu'il tape au clavier. - La reconnaissance passive : l'attaquant utilise internet pour essayer de récupérer le maximum d'informations publiques sur une entreprise ou une personne donnée. Pour réussir cette phase l'attaquant peut avoir recours à plusieurs ressources : - En ligne : Il utilise internet pour récupérer des informations sur les domaines utilisés en sein d'une entreprise (en utilisant "whois" par exemple) ou des informations un peu plus techniques comme les adresses IP (en utilisant "shodan" par exemple). - Hors ligne : Dans ce cas l'attaquant utilise des méthodes plus directes, comme chercher dans les poubelles de l'entreprise des documents internes (dumpster), se mettre à côté d'un employé pour essayer d'observer ce qu'il tape au clavier (shoulder surfing), C’est quoi le Whois ? C’est un protocle et le nom de services de recherche, fourni par les registres internet permettant d'obtenir des informations sur une adresse IP ou un nom de domaine. C’est quoi le Shodan ? Shodan (Sentient Hyper-Optimised Data Access Network) est un moteur de recherche conçu pour cartographier et collecter des informations sur les appareils et systèmes connectés à Internet. 2) Le balayage réseau (le scanning réseau): Dans cette phase l'attaquant essaie de récupérer des détails plus précis sur le système: - Ce qui se trouve sur ce système, - Quels services sont utilisés par ce système, - et quels services répondent aux requêtes (exemple : chercher les ports ouverts, les vulnérabilités présentes, etc.). 2.1) Les différents types de scans Ping Sweep : permet d'identifier les machines qui répondent aux requêtes sur le réseau. - Scan de port: permet d'identifier les services qui écoutent sur des ports. - OS Fingerprinting: permet d'identifier le(s) système(s) d'exploitation utilisé(s) au sein de l'entreprise ciblée. - Network mapping : permet d'avoir plus d'information sur l'architecture réseau de l'entreprise ciblée. Attention: Cette phase est non autorisée. On n’a pas le droit de 3) Le gain d’accès (Gain Access) Lors de cette étape et afin d’atteindre leurs objectifs, les attaquants ont généralement besoin d’avoir un accès aux ressources des victimes ; le niveau d’accès requis dépend évidemment de l’attaque. Notons toutefois que certains types d’attaques, comme les attaques en déni de service, n’ont pas besoin d’accès sur la machine victime. 4) Augmentation de privilèges (Privilege Escalation) Après avoir acquis suffisamment de privilèges, l’attaquant essaie généralement d’explorer la machine ou 5 Généralités sur la sécurité informatique le réseau cible (par exemple, en fouillant les fichiers et les répertoires), pour rechercher un compte particulier (comme un compte invité ou un compte ftp anonyme), pour identifier les composants matériels, pour identifier les programmes installés, pour rechercher les hôtes de confiance (typiquement, ceux ayant des certificats installés sur la machine de la victime), etc.. 5) Actions principales (Principal Actions) : Cette étape peut prendre différentes formes ; par exemple, l’attaquant peut exécuter une attaque en déni de service, installer un code malveillant, compromettre l’intégrité des données ou exécuter un programme. 6) Couvrir les traces Dans cette phase, les attaquants les plus expérimentés utilisent généralement cette dernière étape pour détruire toute preuve de son exploitation de vulnérabilité ou de sa présence au sein de l'entreprise et effacer leurs traces et rendre ainsi la détection plus difficile. Il cherche principalement à supprimer les fichiers logs qui enregistrent toutes les actions sur un système donné. Remarque: Les attaquants éthiques s'arrêtent à la phase 3 vu que l'objectif d'un attaquant éthique est de se mettre à la place d'un pirate et de tester la sécurité de ses propres biens ou les biens de l'entreprise dans laquelle il travaille (exemple: un système, le réseau, une application, un mobile, etc.) afin de comprendre comment les attaques fonctionnent, quelles sont les menaces et enfin comment s'en protéger. Dans ce cas on parle de test d'intrusion (avec une autorisation). 7. Les types d’attaques Il existe plusieurs types d’attaques, ces attaques peuvent être regroupées en trois grandes classes et qui sont : 7.1 Les attaques directes C’est les plus simples attaques : - Le hacker attaque directement sa victime à partir de son ordinateur par des scripts d’attaques faiblement paramétrable. - Les programmes de hack qu'ils utilisent envoient directement les paquets à la victime. - Dans ce cas, il est possible en général de remonter à l'origine de l'attaque, identifiant par la même occasion l'identité de l'attaquant. 7.2 Les attaques indirectes par rebond Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer, c'est la raison pour laquelle les pirates privilégient habituellement les attaques par rebond, c’est-à-dire attaquer la machine cible par le biais d’une machine intermédiaire. 7.2 Les attaques indirectes par rebond (suite) Le but de cette méthode est de faire masquer les traces permettant de remonter à lui (telle que son adresse IP) et dans le but d'utiliser les ressources de la machine servant de rebond. Cela montre l'intérêt de protéger son réseau ou son ordinateur personnel, il est possible de se retrouver « complice » d'une attaque et en cas de plainte de la victime, la première personne interrogée sera le propriétaire de la machine ayant servi de rebond. Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus en plus courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à proximité peut l'utiliser pour lancer des attaques ! 7.3 Les attaques indirectes par réponse Ces attaques sont des variantes des attaques par rebond. Elles offrent les mêmes avantages, du point de vue de l’intrus. Mais au lieu qu’il envoie une attaque à la machine, il lui envoie une requête et la réponse à cette requête sera envoyée à la victime. 8. Mécanismes et outils de protection Les mécanismes et les outils de détection d’intrusion permettent d’assurer la sécurité des systèmes informatiques et les rendre plus efficaces, parmi ces mécanismes et outils nous citons : 8.1 Les antivirus Un antivirus est un programme capable de détecter la présence de virus sur un ordinateur et, dans la mesure du possible de désinfecter ce dernier. On parle ainsi d’éradication de virus pour désigner la procédure du nettoyage de l’ordinateur. Les antivirus s’appuient sur la signature virale propre à chaque virus pour le détecter. Il s'agit de la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée par l’antivirus. 8.2 Les systèmes de détection d’intrusion-IDS Un système de détection d’intrusions (IDS :Intusion Detection System) ou pare-feu est un système qui surveille le trafic réseau ou les journaux d’audit « logs » sur les machines hôtes pour déterminer s’il y a eu une violation d’une certaine politique de sécurité dune organisation. 8.2 Les systèmes de détection d’intrusion-IDS (suite) Un IDS peut détecter des intrusions qui ont circulées ou ont passées à travers un pare-feu, ou celles qui se passent à l’intérieur du réseau local « LAN » derrière le pare-feu. 9. Conclusion Dans ce cours, nous avons survolé les principales connaissances dans le domaine de la sécurité informatique, en précisant les différentes étapes d’une attaque ainsi que les différentes techniques utilisées par les attaquants et les outils et mécanismes de protection pouvant être employés contre ces attaques. Ces informations sont très nécessaires à connaître pour la génération de scénarios d’attaque. En effet, c’est ces informations qu’un intrus peut exploiter pour réaliser son attaque.
