Pr Hanane aznaoui--Sécurité réseaux--Chapitre 1-2-3-4-5.pdf

Full Transcript

Sécurité des réseaux
informatique

Ingénierie des Données (ID)
Semestre 3

Pr. AZNAOUI Hanane

2024-2025
 Introduction

Vous avez tous effectué des stages en entreprise, et vous avez sûrement constaté que :
La plupart des sociétés ont remplacé les documents papier par une gestion numérique.

▪ Quels types de données avez-vous manipulés ?

▪ Ces données étaient-elles sensibles ?

▪ En cas de perte :
▪ Cela créerait-il des problèmes pour l’entreprise ?

▪ Enfin :
▪ Ces types de données nécessitent-ils d’être protégés ?

2
 Introduction

▪ Les organisations comptent beaucoup sur l’utilisation des nouvelles technologies
▪ Améliorent l'efficacité et la productivité des organisations modernes.
▪ L'usage des équipements informatiques, tels que les ordinateurs et les supports de
stockage, est crucial.
▪ Les systèmes d'information, incluant les systèmes opérationnels et de gestion, sont
essentiels pour les organisations.
▪ L'accès à Internet est devenu indispensable pour la plupart des organisations.
▪ Les nouvelles technologies, notamment Internet, exposent les utilisateurs à de
multiples attaques de sécurité, qui évoluent et se diversifient en parallèle avec les
technologies.
Statistiques des plaintes reçues par IC3 Source:
Rapport Annuel 2023 de IC3

3
 Introduction
❑ Importance de la sécurité informatique

▪ Un système d’information contient généralement toutes les informations sensibles d’une entreprise, y compris
les informations relatives à son fonctionnement, sa clientèle, ses produits, etc.
▪ Certaines attaques de sécurité visant les systèmes d’information peuvent causer une suppression, altération,
falsification, ou diffusion des informations sensibles dont elles effectuent leurs traitements. Ce qui pourrait
induire plusieurs risques graves à l’entreprise tel que pertes financières, perte de la confiance de sa clientèle,
perte de son image de marque, etc.
▪ Par conséquent, la protection des systèmes d’information contre les attaques de sécurité est primordiale.
▪ La protection des systèmes d'information et leurs résistances aux attaques de sécurité permet à leur entreprise
de :
✓ Garantir la protection des informations sensibles ;
✓ Assurer la continuité de ses activités et par conséquent préserver la confiance de ses clients ;
✓ Se protéger contre les risques potentiels.

4
 Droit et sécurité informatique
Positionnement

Pourquoi un module de sécurité pour des étudiants en ingénierie de données ?

✓ Protection des données sensibles : manipulation des informations critiques, nécessite une protection contre
les cyberattaques et violations de confidentialité.
✓ Prévention des risques : La sécurité permet d'anticiper et de gérer les risques liés aux failles de sécurité,
aux pertes de données, ou à la corruption d'informations.
✓ Conformité aux réglementations : En maitrisant les normes de sécurité, vous pouvez assurer que les
systèmes que vous développer respectent les lois et réglementations
✓ Fiabilité des systèmes : Une bonne sécurité garantit que les systèmes de traitement et d’analyse de
données restent fiables et opérationnels face aux menaces externes.
✓ Compétence clé pour l’avenir : La sécurité des données est une compétence indispensable dans un
environnement numérique en constante évolution, ce qui vous rendra plus compétitifs sur le marché du travail.

‫ال يُعذر أحد بجهله للقانون‬
5
Droit et sécurité informatique

Elément de module Cours TD

Protection des données 14 8
Sécurité des réseaux et cryptographie 22 10
Sécurité des systèmes d’information 26 10

6
 CHAPITRE 1 CHAPITRE 4
GÉNÉRALITÉS SUR
INFORMATIQUE
LA SÉCURITÉ 01 04 LES DROITS NÉCESSAIRES POUR
SÉCURISER L’INFORMATION

CHAPITRE 2 CHAPITRE 5
LES ATTAQUES INFORMATIQUES 02 05 SÉCURISER L’ACCÈS PHYSIQUE

CHAPITRE 3 CHAPITRE 6
POLITIQUE DE SÉCURITÉ DU SI 03 06 SÉCURITÉ DES SYSTÈMES D’INFORMATION
CHAPITRE 1
Généralités

La sécurité informatique
CHAPITRE 1

1 Introduction à la Sécurité des Réseaux
Comprendre les principes de base de la sécurité des réseaux

2 Les concepts de base de la sécurité
Définition, Importance, principe, architecture

9
Introduction à la Sécurité des Réseaux
Définition et Importance de la Sécurité des Réseaux

▪ Sécurité informatique: est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires
et mis en place pour conserver, rétablir, et garantir la sécurité de l’information, des systèmes et ressources
informatiques contre les menaces.

▪ La sécurité des réseaux est cruciale dans l'environnement numérique actuel en raison de la multiplication des
cybermenaces et de la dépendance croissante des organisations aux infrastructures informatiques pour leurs
opérations quotidiennes.

10
 Les concepts de base de la sécurité
❑ Classification de la sécurité
▪ Différentes classes de sécurité peuvent être distinguées :

1 La sécurité de l’information 2 La sécurité physique 3 La sécurité informatique
Protège les informations à chaque Adresse la protection d'un système
Se réfère au contrôle de l'accès
étape du traitement contre les risques informatique par la prévention, la détection et
physique aux ressources matérielles
comme la falsification, la suppression la réduction des conséquences des actions
et/ou logicielles et à leurs protections non autorisées exécutées par les utilisateurs
ou la diffusion à des personnes non
contre les dommages physiques et le (autorisés et/ou non autorisés).
autorisées.
vol, grâce à l'utilisation des outils et/ou
techniques de défense.

4 La sécurité des communications 5 La sécurité opérationnelle
Consiste à protéger :
Il s'agit de protéger les opérations d'une organisation pour éviter
Les systèmes informatiques connectés à un réseau de
tout dommage aux informations sensibles échangées. La sécurité
communication (tel que le réseau internet).
opérationnelle met en place des mesures après une analyse des
Les informations circulant dans un réseau informatique
risques, en se plaçant du point de vue d'un pirate pour identifier
contre les dommages potentiels.
les failles.

11
 Les concepts de base de la sécurité
❑ Classification de la sécurité
▪ Différentes classes de sécurité peuvent être distinguées :

▪ Partant des définitions précédentes, il est possible de noter que les quatre classes de sécurité (sécurité physique, sécurité
informatique, sécurité des communications, et sécurité opérationnelle) sont indispensables pour assurer la sécurité de l’information.
▪ Par conséquent, ces quatre classes de sécurité peuvent être considérées comme sous-classes de la sécurité de l’information.

12
 Les concepts de base de la sécurité
▪ Terminologie et définitions

Actifs
▪ Un actif se réfère à tout ce qui a de la valeur pour une entité (une organisation ou une personne) et
qui nécessite donc d’être protégé par des mesures de sécurité.

▪ Un actif peut être définit comme un bien, ayant la forme d’une donnée, appareil, ou composant, qui
pourrait être consulté, utilisé, divulgué, détruit et/ou volé de manière illicite et entraîner une perte.
Actifs

Matériels Logiciels Informationnels Commerciaux
Chapitre 1

13
 Les concepts de base de la sécurité
▪ Terminologie et définitions -- Actifs

▪ Différent types d’actifs peuvent être distingués :

✓ Actifs matériels : Ce sont les biens matériels qui exécutent des tâches spécifiques et/ou fournissent des produits. Les
actifs matériels incluent des serveurs physiques, des postes de travail, des supports amovibles, des équipements de
réseau, etc…
✓ Actifs logiciels : Ce sont les bien logicielles qui exécutent des tâches de traitement des informations pour les
transformer sous formes de données prêtes à être utilisées. Les actifs logiciels incluent les applications, les
systèmes d'exploitation, les logiciels de virtualisation, les systèmes de gestion de base de données, les systèmes
d'aide à la décision, etc…
✓ Actifs informationnels : Ce sont les biens qui sont liés directement aux informations ou à leurs stockages, tels que les
bases de données, les systèmes de fichiers, les informations de routage, etc…
Matériels

✓ Actifs commerciaux : Ce sont les autres biens d’une organisation qui ne rentrent pas dans les trois types d’actifs
Chapitre 1

précédents (c.à.d., matériels, logiciels, et informationnels). Les actifs commerciaux incluent le capital humain, la
réputation, l'image de l'organisation, etc…

14
 Les concepts de base de la sécurité
▪ Terminologie et définitions
Vulnérabilité, Menace et Attaque
Vulnérabilité : La faiblesse d’un actif (ou d’une ressource) l’expose à des menaces internes et externes pouvant entraîner des
défaillances ou des violations. Les faiblesses peuvent être inhérentes à la conception, à la configuration, ou à la mise en œuvre
d’un actif. Les mauvaises pratiques lors de l’utilisation d’un actif, tel que l’utilisation des mots de passes faibles pour accéder à
cet actif, peuvent être aussi des sources de faiblesses.
Les vulnérabilités

Menace : Un potentiel de violation de la sécurité Attaque : Une action ou un évènement non
qui pourrait exploiter une ou plusieurs autorisée délibérée sur un actif pour causer son
vulnérabilités d’un actif pour l’endommager. dysfonctionnement ou l’altération de l’information
qu’il stocke.
Chapitre 1

15
 Les concepts de base de la sécurité
▪ Terminologie et définitions

Acteur de menace, Victime, Risque et Contre-mesures

▪ Acteur de menace (Agent de menace) : Une entité qui exécute et réalise une action de menace. Un agent de
menace peut être :
✓ une personne ou groupe de personnes qui sont souvent des employés de l’entreprise ou des pirates ;
✓ un programme malveillant tel que les virus ; ou la nature lorsque la menace réalisée est une menace
naturelle comme les tempêtes ou les inondations.
▪ Victime : La cible d’une attaque de sécurité. Elle est généralement une entité (une personne, groupe de
personnes, organisations) qui possède un ou un ensemble d’actifs menacés par des attaques de sécurité.
▪ Risque : Une mesure qui évalue la combinaison du niveau de la gravité des conséquences de l’apparition
d’une attaque de sécurité et la probabilité d’occurrence associée (c.à.d., la probabilité qu'une menace
particulière exploite une vulnérabilité donnée).
Chapitre 1

▪ Mesures de sécurité (Contre-mesures) : Les techniques, méthodes, et/ou outils permettant la détection, la
prévention ou la récupération des attaques de sécurité.

16
 Les concepts de base de la sécurité
▪ Terminologie et relations

▪ Un acteur de menace exécute des menaces, qui sont généralement
concrétisées par un ensemble d’attaques de sécurité, en exploitant
des vulnérabilités.

▪ Les actifs qui souffrent de la présence des vulnérabilités sont
exposés à des risques potentiels.

▪ Pour protéger les actifs contre les menaces de sécurité et atténuer
les risques potentiels, il est possible de mettre en place un
ensemble de mesures de sécurité (contre-mesures).
Chapitre 1

▪ Une victime est la cible d’une attaque. Elle possède des actifs qui
Chapitre 1

pourraient être endommagés par des menaces de sécurité

17
 Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité

Pour assurer la sécurité de l’information, au moins les trois principaux objectives de la sécurité (souvent appelés triade
DIC), que sont la disponibilité, l’intégrité et la confidentialité, doivent être atteints.

→ La définition de ces objectives est fournie par la suite :

✓ Disponibilité : exige qu’une ressource soit disponible et/ou fonctionnelle lorsqu'
une entité autorisée la demande ;
✓ Intégrité : exige que les actifs n’ont pas été modifié, détruit, falsifié, ou perdu
d’une manière non autorisée ou accidentelle ;
Chapitre 1

✓ Confidentialité : exige que les données ne soient pas divulguées aux entités à
moins qu'elles n'aient été autorisées à accéder et à connaitre ces données.

La triade DIC pour la sécurité de l’information

Lorsqu’un objectif de sécurité est assuré, il est souvent appelé propriété de sécurité.
18
Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité

Disponibilité: La disponibilité désigne la capacité d'un système, d'un service ou de données à être accessibles à
tout moment par les utilisateurs autorisés.

▪ But : la disponibilité permet de garantir que les ressources réseau restent fonctionnelles et accessibles, même en cas de
pannes techniques, d'erreurs humaines ou d'attaques.
▪ Mécanismes courants pour assurer cette disponibilité :
✓Redondance : Prévoir des systèmes ou serveurs de secours pour pallier les pannes.
✓Répartition de charge (Load Balancing) : Répartir le trafic entre plusieurs serveurs pour éviter la surcharge.
✓Sauvegardes régulières : Stocker des copies des données critiques pour les restaurer en cas de perte.
✓Protection contre les attaques : Mettre en place des systèmes pour contrer les tentatives de surcharge des services.
✓Plans de reprise après sinistre : Élaborer des stratégies de restauration rapide des services après une interruption
majeure.

Ces techniques permettent de minimiser les interruptions de service et d'assurer un accès
continu aux ressources réseau.
19
Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité

Intégrité des données : Protège les données contre la modification non autorisée, assurant ainsi leur
exactitude et leur fiabilité.

▪ But : L'intégrité des données vise à assurer que les informations sont exactes, complètes et fiables, et qu'elles
n'ont pas été modifiées ou corrompues sans autorisation.
▪ Mécanismes courants :
✓Contrôles d'intégrité (hashing) : Utilisation de fonctions de hachage pour vérifier que les données n'ont pas
été modifiées entre leur émission et leur réception.
✓Signature numérique : Garantit l'authenticité et l'intégrité des messages en confirmant qu'ils proviennent
d'une source fiable.
✓Contrôle d'accès : Limiter qui peut modifier les données, pour éviter les modifications non autorisées.
✓Audit des modifications : Garder une trace des changements apportés aux données pour identifier toute
altération potentielle

En résumé, l'intégrité des données vise à garantir que l'information reste inchangée, fiable et fidèle à
son état original, renforçant ainsi la confiance dans les systèmes informatiques.
20
Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité

Confidentialité : Garantit que les données échangées restent privées et ne
sont accessibles qu'aux parties autorisées.

▪ But : Protéger la vie privée des individus, ainsi que les données sensibles (comme
les informations financières, médicales, personnelles ou commerciales), afin de
prévenir leur divulgation, leur vol ou leur utilisation malveillante.

▪ Mécanismes courants :
✓Chiffrement
✓Gestion des droits d'accès

→ La confidentialité assure que les données sensibles ne sont accessibles qu'aux
utilisateurs autorisés, protégeant ainsi la vie privée des individus et des
organisations. 21
Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité

Liste exhaustive des objectives de sécurité

Une liste exhaustive d'objectifs relatifs à la sécurité de l’information comprend, en plus des
objectives DIC, les éléments suivants :
✓ Authenticité

✓ Contrôle d'accès

✓ Non-répudiation

✓ Traçabilité

22
Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité

Liste exhaustive des objectives de sécurité

L’Authentification : Vérifie l’identité des entités communicantes
(utilisateurs, systèmes, etc.) avant de permettre l'accès aux ressources.

▪ But : Confirmer l'identité de l'utilisateur.
▪ Mécanismes courants :
✓Mot de passe : L'utilisateur fournit un mot de passe associé à son identifiant.

→Exemple : Un utilisateur doit entrer son nom d'utilisateur et son mot de passe
pour prouver son identité avant de se connecter à un système.
23
Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité
Liste exhaustive des objectives de sécurité
Contrôle d'accès : exige que l'accès à un actif ou une ressource soit contrôlée pour
assurer que l’accès n’est possible que pour les entités autorisées ;
▪ But : protéger les actifs ou les ressources en s'assurant que seules les entités autorisées (utilisateurs,
processus, ou systèmes) peuvent y accéder.
▪ Mécanismes courants :
✓ Identification : L'utilisateur ou l'entité doit s'identifier, souvent via un nom d'utilisateur ou un
identifiant unique.
✓ Authentification : Vérification de l'identité déclarée, généralement à l'aide d'un mot de passe, d'un
jeton, d'une empreinte biométrique, ou d'autres méthodes.
✓ Autorisation : Après l'authentification, l'entité se voit attribuer des droits spécifiques en fonction des
autorisations accordées (lecture, écriture, modification, etc.).
✓ Audit et suivi : Enregistrement des actions effectuées par les entités pour détecter d'éventuelles
violations de sécurité.

→Exemple:
Un employé dans une entreprise accède à des fichiers sur un serveur de l'entreprise. L'identification se fait par
son compte utilisateur, l'authentification par un mot de passe ou une authentification multi-facteurs (MFA), et
les autorisations sont définies en fonction de son rôle (ex. : accès en lecture seule ou avec droit d'écriture). 24
Introduction à la Sécurité des Réseaux
Objectifs et propriétés de la sécurité
Liste exhaustive des objectives de sécurité
Non répudiation : consiste en l'assurance qu'une action sur la donnée réalisée au
nom d'un utilisateur (après authentification) ne saurait être répudiée par ce dernier.
▪ But : Garantit que les parties impliquées ne peuvent pas contester leur implication dans une transaction
ou une opération.
▪ Mécanismes courants :
✓Signatures numériques : Utilisent la cryptographie pour garantir que l'action ou le message
provient bien du signataire et qu'il est impossible de renier cette action après coup.
✓Logs sécurisés : Enregistrent de manière détaillée et protégée toutes les actions effectuées,
fournissant des preuves solides en cas de contestation.
✓Certificats électroniques : Valident l'identité des parties impliquées, associant ainsi chaque
action à une personne spécifique.
✓Audit et traçabilité : Permettent de suivre et vérifier les opérations effectuées, garantissant que
chaque action est correctement attribuée à l'utilisateur responsable.

En résumé, Lorsqu'un employé signe numériquement un contrat, cette signature est
enregistrée dans un log sécurisé. Cela permet de prouver que l'employé a bien signé le
document et que le contenu est resté intact, empêchant ainsi toute tentative de nier la 25
signature ou la transaction.
Les concepts de base de la sécurité
Objectifs et propriétés de la sécurité
Liste exhaustive des objectives de sécurité
Traçabilité : exige de suivre les actions exécutées par une entité durant son accès à un actif et
de journaliser des informations décrivant les actions exécutées

▪ But : permet de rendre compte des actions, de détecter les comportements anormaux et
d'attribuer les responsabilités.
▪ Mécanismes courants :
✓ Journalisation : Enregistrement des actions, y compris la durée d'accès, la nature des
actions (lecture, écriture, modification), et les données utilisées.
✓ Attribution unique : Chaque action doit pouvoir être reliée de manière certaine à une
seule entité (utilisateur ou processus).
✓ Contrôle d’intégrité des logs : Les journaux doivent être protégés contre toute
modification pour garantir leur fiabilité.
✓ Analyse des logs : Les données enregistrées peuvent être analysées périodiquement pour
identifier les comportements suspects ou les anomalies.

→ Exemple : Utilisateur John.Doe s'est connecté le 22/09/2024 à 09:35 depuis l'IP
192.168.1.25 avec authentification 26
Les concepts de base de la sécurité
L'utilité des principales propriétés de la sécurité
Scénario contextuel :
▪ Une entreprise de santé, "MediCare Analytics", utilise un système de gestion de données
pour collecter et analyser les informations médicales de ses patients.
▪ Ces données incluent des diagnostics médicaux, des prescriptions, et des informations
personnelles sensibles.
▪ Les analystes de données de l'entreprise utilisent ces informations pour élaborer des
rapports prédictifs et fournir des recommandations médicales aux hôpitaux.

Collecte (données des patients) Rapports
prédictifs
Chapitre 1

Analyser les
MediCare informations
Analytics médicales
Système de gestion
27
Les concepts de base de la sécurité
L'utilité des principales propriétés de la sécurité

o MediCare Analytics doit appliquer les principes de sécurité
o Protéger les données sensibles des patients
→ Sécurité est essentielle non seulement d'un point de vue technique, mais aussi pour
élaborer des bonnes résultats, maintenir la confiance des partenaires et garantir la
continuité des services dans le secteur de la santé.
Chapitre 1

28
Les concepts de base de la sécurité
❑Exercice 1: Quiz sur les notions de base de la sécurité informatique
Question 1 : Quelle est la propriété de sécurité qui garantie qu'un actif est accessible uniquement aux entités autorisées ?
❑La confidentialité
❑L’intégrité
❑La disponibilité
❑L’authenticité
Question 2 : Quelle est la propriété de sécurité qui consiste à assurer qu’un actif devra répondre aux demandes des
entités autorisées ?
❑La confidentialité
❑L’intégrité
❑La disponibilité
❑L’authenticité
Question 3 : Un agent de menace peut être :
❑Un employé
❑Un logiciel malveillant
❑Un pirate
Chapitre 1

❑Toutes les réponses sont correctes
Question 4 : Toutes les informations sensibles d’une organisation (tel que chiffre d’affaires, clientèle, produits, etc.)
peuvent être considérées comme actif ?
❑Vrai
❑Faux 29
Les concepts de base de la sécurité
❑Quiz sur les notions de base de la sécurité informatique Correction
Question 1 : Quelle est la propriété de sécurité qui garantie qu'un actif est accessible uniquement aux entités autorisées ?
🞖 La confidentialité
❑L’intégrité
❑La disponibilité
❑L’authenticité
Question 2 : Quelle est la propriété de sécurité qui consiste à assurer qu’un actif devra répondre aux demandes des entités
autorisées ?
❑La confidentialité
❑L’intégrité
🞖 La disponibilité
❑L’authenticité
Question 3 : Un agent de menace peut être :
❑Un employé
❑Un logiciel malveillant
❑Un pirate
Chapitre 1

🞖 Toutes les réponses sont correctes
Question 4 : Toutes les informations sensibles d’une organisation (tel que chiffre d’affaires, clientèle, produits, etc.)
peuvent être considéré comme actif ?
🞖 Vrai 30
Les concepts de base de la sécurité
❑Exercice 2: Proposition

❑Énoncé

Dans une entreprise, les documents financiers sont protégés par des mots de
passe. Seuls les membres du département financier sont censés y avoir accès.
L’administrateur du réseau souhaite renforcer la confidentialité des données.
Quels mécanismes de sécurité pouvez-vous suggérer pour protéger ces
documents de manière plus robuste que le simple mot de passe ?
Chapitre 1

31
Les concepts de base de la sécurité
❑Exercice 2: proposition

❑Correction
Dans une entreprise, les documents financiers sont protégés par des mots de passe.
Seuls les membres du département financier sont censés y avoir accès. L’administrateur
du réseau souhaite renforcer la confidentialité des données. Quels mécanismes de
sécurité pouvez-vous suggérer pour protéger ces documents de manière plus robuste que
le simple mot de passe ?

Réponse attendue :

✓ Utilisation de chiffrement : Les fichiers doivent être chiffrés de manière à ce que seules les
personnes possédant la clé de déchiffrement puissent les lire.
✓ Contrôle d'accès basé sur les rôles
Chapitre 1

✓ Audit et journalisation des accès

32
Les concepts de base de la sécurité
Les Principes de Sécurité

L’Authentification vérifier l’identité des personnes qui veulent manipuler l’information
La Confidentialité, qui garantit que seules les personnes autorisées peuvent accéder aux données
La Disponibilité, qui veille à ce que les services et les données soient accessibles quand nécessaire.

L'Intégrité, qui assure que les informations ne sont pas altérées pendant leur transmission
La Non répudiation est L’absence de possibilité de contestation d’une action une fois celle-ci est effectuée

Ces principes doivent être intégrés à chaque niveau de l'architecture des réseaux
33
Les concepts de base de la sécurité
Architecture des Réseaux – Modèle OSI

Application Service applicatifs au plus proche des utilisateurs

traduction des données, de leur formatage et du chiffrement, en assurant
Présentation l'interopérabilité entre différents systèmes
Gère les connexions (ou sessions) entre les applications, en contrôlant
Session l'ouverture, la gestion et la fermeture des sessions de communication
Garantit le transfert fiable des données d'un bout à l'autre, en s'assurant
Transport que les paquets arrivent complets et sans erreurs.
Responsable de l'adressage et de l'acheminement des paquets de
Réseau données à travers différents réseaux jusqu'à leur destination finale
Gère la transmission fiable des données entre deux nœuds directement
Liaison de données connectés, en détectant et corrigeant les erreurs de transmission
Assure la transmission des bits sous forme de signaux électriques ou
Physique optiques entre les dispositifs sur un support physique (câbles, ondes, etc.)

34
Les concepts de base de la sécurité
Architecture des Réseaux –Modèle OSI

Application Application
DATA
Présentation Présentation

Désencapsulassions
HTTP
Encapsulation

Session DATA Session
header
TCP HTTP
Transport DATA Transport
header header
TCP HTTP
Réseau IP header
DATA Réseau
header
MAC TCP HTTP
Liaison de données Header IP header
DATA Liaison de données
header

Physique 01000011101100011010111 Physique

35
Les concepts de base de la sécurité
Les principales caractéristiques de l'architecture de sécurité OSI
❑ Norme internationale : aide à organiser les services et mécanismes de sécurité de manière cohérente et
structurée.
❑ Séparation en couches : où chaque couche nécessite des mesures de sécurité spécifiques. Cela permet une
approche modulaire.
❑ Services de sécurité : L’architecture propose une classification des services de sécurité, comme
l’authentification, le contrôle d’accès, la confidentialité, l’intégrité des données et la gestion des clés. Ces
services peuvent être appliqués à différentes couches pour protéger l'intégrité et la confidentialité des
données.
❑ Mécanismes de sécurité : Des mécanismes tels que le chiffrement, la signature numérique, l'authentification
ou les pare-feu sont intégrés pour fournir les services de sécurité nécessaires à chaque couche.
❑ Utilisation par les entreprises : Les fournisseurs de solutions de sécurité et de communications se basent
souvent sur ce modèle pour développer des produits et des services qui répondent aux besoins de sécurité des
organisations.

✓ OSI est un cadre conceptuel qui organise la sécurité des systèmes informatiques en couches
✓ permettant aux professionnels de structurer et de gérer efficacement les défis de sécurité.
36
Les concepts de base de la sécurité
Protocoles de Communication :
▪ Les protocoles de communication définissent des règles et des conventions permettant
l'échange de données entre les appareils. Ils sont souvent associés à des couches spécifiques du
modèle OSI.

✓ HTTP (HyperText Transfer Protocol) – Utilisé pour le transfert de pages web (couche Application).
✓ TCP (Transmission Control Protocol) – Garantit la livraison fiable des paquets de données (couche Transport).
✓ UDP (User Datagram Protocol) – Fournit un transfert de données rapide mais non fiable (couche Transport).
✓ IP (Internet Protocol) – Assure l'adressage et le routage des paquets à travers le réseau (couche Réseau).
✓ Ethernet – Utilisé pour la transmission de données sur un réseau local (LAN) via câbles (couche Liaison de
données).

Ces concepts forment les bases des communications réseau modernes, facilitant la
transmission efficace et sécurisée des données à travers différents systèmes et
infrastructures.
37
Les concepts de base de la sécurité
❑Exercice 3 : Modèle OSI, Types de données et Protocoles

Énoncé :
1.Associez chaque couche du modèle OSI à son type de données.
2.Citez pour chaque couche un ou plusieurs protocoles courants.
3.Expliquez le rôle de chaque couche dans la communication réseau.
Chapitre 1

38
Les concepts de base de la sécurité
❑Exercice 3 : Modèle OSI, Types de données et Protocoles

❑ Correction :

→ Explication :
✓ Couche 1 : Physique → Bits : À ce niveau, les données sont transmises sous forme de signaux (électriques, optiques, radio) sous
forme de bits.
✓ Couche 2 : Liaison de données → Trames : Ici, les bits sont regroupés en trames et le contrôle des erreurs de transmission est géré.
✓ Couche 3 : Réseau → Paquets : Cette couche segmente les données en paquets et se charge du routage pour acheminer les
Chapitre 1

données entre différents réseaux.
✓ Couche 4 : Transport → Segments/Datagrammes : Elle divise les données en segments (avec TCP) ou en datagrammes (avec UDP)
et assure la livraison fiable ou non fiable des données.
✓ Couches 5 à 7 : Session, Présentation, Application → Données : Ces couches manipulent les données au niveau des sessions, de
leur formatage (encodage, chiffrement) et de la communication entre applications.

39
CHAPITRE 2

LES ATTAQUES INFORMATIQUES

▪ Après avoir exploré les concepts de base de la sécurité, il est essentiel de comprendre comment ces principes
sont mis à l'épreuve dans des environnements réels.
▪ Le passage aux attaques permettra de mieux saisir les vulnérabilités exploitables dans les systèmes et de voir
comment les mécanismes de sécurité sont contournés, mettant en lumière l'importance de mesures de
protection efficaces.
CHAPITRE 2

IDENTIFIER LES ATTAQUES DE SÉCURITÉ VISANT UN SI

1 Classifier les attaques de sécurité et les hackers.

3 Les attaques internes et externes des vulnérabilités

4
1
 LES ATTAQUES INFORMATIQUES
❑Classifier les attaques de sécurité et les hackers
Une attaque informatique est une action malveillante menée par un individu ou un groupe
dans le but de compromettre la confidentialité, l'intégrité ou la disponibilité des systèmes
informatiques, des réseaux, ou des données. Ces attaques visent souvent à :

✓Accéder illégalement à des données (ex : vol d'informations sensibles),
✓Perturber le fonctionnement d'un système (ex : déni de service ou DDoS),
✓Modifier ou détruire des informations (ex : altération de données),
Chapitre 2

✓Prendre le contrôle d'un système (ex : prise de contrôle à distance ou ransomwares).

42
 LES ATTAQUES INFORMATIQUES
❑Classifier les attaques de sécurité et les hackers
→Les Attaques internes
Les attaques internes sont les attaques exécutées par des entités internes à l’organisation ou
ayant un lien avec elle, comme les employés ou les partenaires. Ces individus peuvent exploiter
leur accès pour nuire intentionnellement ou par négligence à la sécurité du système.

→Exemples d'attaques internes :

▪ Espionnage : Un employé vole des données confidentielles pour les revendre à
la concurrence.

▪ Sabotage : Un ex-employé mécontent altère ou détruit des fichiers ou des
systèmes avant de quitter l'entreprise.
Chapitre 2

▪ Abus de privilèges : Un administrateur système utilise ses droits d'accès pour
obtenir des informations sensibles ou accéder à des parties du système sans
autorisation.
43
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers

→Les Attaques internes
Les attaques internes peuvent être classifiées selon le type d’employés qui sont à l’origine des attaques
internes.
✓ Employé inconscient : A un accès à des données sensibles mais ne
comprend pas leur valeur ni l'importance de la sécurité, ce qui conduit à
de mauvaises pratiques.

✓ Employé négligent : Mal formé sur la sécurité, il contourne les mesures
pour des raisons pratiques (comme le partage de mots de passe), ce qui
le rend vulnérable aux attaques d'ingénierie sociale.

✓ Employé malveillant : Vole, détruit ou publie intentionnellement des
données de l'entreprise, souvent pour se venger avant de quitter son
poste.
Chapitre 2

✓ Employé professionnel : Possède une expertise en sécurité, mais utilise
ses compétences pour exploiter les failles de l'entreprise et vendre des
informations sensibles à des concurrents.
44
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers

→Les Attaques externes

▪ Les attaques externes sont des attaques exécutées par des entités n’ayant aucun contact
avec l’organisation victime
▪ Il existe une large variété d’attaques de sécurité externes. En fait, le nombre ainsi que la
nature de ce type d’attaques évoluent chaque année.

Attaques externes

Attaques sur le réseau local Attaques sur Internet

45
45
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers

→Les Attaques externes
Attaques externes sur le réseau local
✓ Le modèle OSI est structuré en couches indépendantes, chaque couche
pouvant fonctionner séparément.
✓ Si une couche est compromise, les autres peuvent continuer à fonctionner
sans détecter immédiatement l'intrusion.
✓ La sécurité des protocoles à chaque couche du réseau est cruciale pour
éviter des failles potentielles.
✓ La couche liaison de données (niveau 2) est particulièrement vulnérable en
termes de sécurité.

o Il est essentiel de renforcer la sécurité à ce niveau pour éviter des
Chapitre 2

attaques.
o Le protocole ARP (Address Resolution Protocol), qui associe une
adresse IP à une adresse MAC, est une cible fréquente d'attaques
46
dans cette couche. 46
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Différence entre IP et MAC
▪ Une adresse IP est une adresse logique utilisée
pour identifier un appareil au sein d'un réseau ou
sur Internet.

▪ Une adresse MAC est une adresse physique
unique attribuée à la carte réseau de chaque
appareil et utilisée pour l'identification au sein d'un
Chapitre 2

réseau local (LAN).

47
47
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Différence entre IP et MAC

▪ Transmission des données : Lorsque vous voulez envoyer des données d'un
appareil A à un appareil B dans le même réseau local, le protocole IP utilise
l'adresse IP de l'appareil B. Mais pour que les données atteignent B, il faut une
adresse MAC, car les commutateurs réseau (switches) travaillent au niveau des
adresses MAC pour transmettre les données.

▪ Résolution d'adresse : Comme A connaît l'adresse IP de B mais pas son
adresse MAC, ARP est utilisé pour trouver l'adresse MAC correspondant à une
adresse IP donnée. ARP permet ainsi d'assurer la communication entre les
Chapitre 2

appareils dans un réseau local en associant les adresses IP aux adresses MAC.

48
48
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Le protocole ARP (Address Resolution Protocol) est un protocole utilisé dans les réseaux
informatiques, en particulier dans les réseaux IPv4, pour associer une adresse IP (logique) à une
adresse MAC (physique) au sein d'un réseau local (LAN). ARP joue un rôle essentiel dans la
communication réseau en permettant à un hôte d'obtenir l'adresse MAC correspondant à une
adresse IP donnée, afin d'envoyer des paquets au bon destinataire au niveau de la couche
liaison de données (modèle OSI, couche 2).

▪ Fonctionnement du protocole ARP :
✓ ARP request demande ARP)
✓ ARP Reply (Réponse ARP)
Chapitre 2

✓ Mise en cache

49
49
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers

→Les Attaques externes
Attaques externes sur le réseau local
Fonctionnement du Protocole ARP :
1.Une requête ARP est diffusée lorsqu'une machine "A" veut identifier l'adresse MAC
d'une adresse IP donnée (figure ci-dessous) ;

Requête ARP Requête ARP
PC_B
IP: 10.10.10.10
MAC:C

PC_B
Requête ARP IP: 10.10.10.2
‘difffusion’ MAC: B

Qui est 10.10.10.2? PC_B
IP: 10.10.10.4
MAC: A
Chapitre 2

50
50
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers

→Les Attaques externes

Attaques externes sur le réseau local
Fonctionnement du Protocole ARP :
1.Uniquement l'hôte "B" ayant cette adresse IP répond avec un message de réponse ARP
unicast intégrant son adresse MAC (figure ci-dessous à droite) ;
2.L'hôte "A" prend l'adresse MAC de B et l'écrit dans son cache ARP
PC_B
IP: 10.10.10.2
Réponse ARP MAC: B
‘Unicast’
PC_B
IP: 10.10.10.10
MAC:C

Cache ARP Réponse ARP
@IP @MAC
Chapitre 2

10.10.10.2 B PC_B
IP: 10.10.10.4
MAC: A

51
51
 LES ATTAQUES INFORMATIQUES
❑Classifier les attaques de sécurité et les hackers
→Les Attaques externes Faiblesses du protocole ARP et attaques

▪ Le protocole ARP présente plusieurs faiblesses qui le rend vulnérable à certaines attaques
de sécurité, parmi ces faiblesses, nous citons :

✓ARP est un protocole sans état qui n'implémente pas le concept d’établissement de
session. En effet, la cache ARP est mis à jour chaque fois qu'une réponse ARP est reçue,
même si la machine hôte n’a pas envoyé une requête ARP.

✓ARP n’implémente aucun mécanisme d'authentification et par conséquent les intrus
Chapitre 2

peuvent usurper les informations IP et MAC dans les paquets ARP pour mener
certaines attaques.

52
 LES ATTAQUES INFORMATIQUES
❑Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Faiblesses du protocole ARP et attaques
▪ À cause des faiblesses citées précédemment, une attaque de sécurité peut cibler le
protocole ARP qui est l’attaque d'usurpation (ARP spoofing attack).
Chapitre 2

→Une attaque de type ARP Spoofing peut survenir au niveau de la couche 2, où un attaquant envoie de
fausses correspondances d'adresses IP et MAC, permettant d'intercepter ou rediriger le trafic réseau, tandis
que les autres couches du modèle OSI continuent de fonctionner sans détecter immédiatement l'intrusion.

53
 LES ATTAQUES INFORMATIQUES
❑Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Attaques d'usurpation (ARP spoofing attack)
L'attaque par usurpation ARP (ARP spoofing) est une technique utilisée par des attaquants pour
intercepter ou manipuler les communications au sein d'un réseau local (LAN).
Principe de l'ARP spoofing :
▪ Le rôle de l'ARP : Le protocole ARP permet aux ordinateurs de savoir quelle adresse MAC
(physique) correspond à une adresse IP (logique). C'est essentiel pour envoyer des données à la
bonne machine sur un réseau local.
▪ Ce que fait l'attaquant : Lors d'une attaque ARP spoofing, l'attaquant envoie de fausses réponses
ARP à deux appareils du réseau (par exemple, un ordinateur et un routeur). Il se fait passer pour un
Chapitre 2

autre appareil en associant son adresse MAC à l'adresse IP d'une autre machine.
▪ Conséquence : Les appareils victimes pensent que l'adresse IP d'un autre ordinateur ou routeur
appartient à l'attaquant. Cela permet à l'attaquant d'intercepter, modifier ou bloquer les
communications entre ces appareils, créant ainsi une attaque Man-in-the-Middle (l'attaquant se
positionne entre les deux).

54
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques d'usurpation (ARP spoofing attack)

Les étapes de l’exécution de l’attaque ARP spoofing sont les suivantes :

PC_C PC_B
IP: 10.10.10.3 IP: 10.10.10.2
MAC:C MAC: B

Pirate
IP: 10.10.10.4
MAC: H
Chapitre 2

55
55
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques d'usurpation (ARP spoofing attack)
Les étapes de l’exécution de l’attaque ARP spoofing sont les suivantes :
1. Le pirate envoie une réponse ARP contrefaite avec l’adresse IP de l’hôte C et son adresse MAC à l’hôte B ;
2. Il envoie également une réponse ARP falsifiée avec l’adresse IP de l’hôte B et son adresse MAC à l’hôte C ;
3. Par conséquent, l'hôte de l'attaquant est insérée entre le chemin de communication des hôtes "B" et "C ".

1. Réponse
2. Réponse ARP falsifié
ARP falsifié
PC_C PC_B
IP: 10.10.10.3 IP: 10.10.10.2
MAC:C MAC: B

Réponse ARP
fasifié

Pirate
Chapitre 2

IP: 10.10.10.4
MAC: H

56
56
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques d'usurpation (ARP spoofing attack)
Les étapes de l’exécution de l’attaque ARP spoofing sont les suivantes :
➔La machine B a enregistré dans son cache ARP le mappage entre l’adresse IP de la machine C et l’adresse
MAC de l’attaquant ;
➔La machine C a enregistré dans son cache ARP le mappage entre l’adresse IP de la machine B et l’adresse
MAC de l’attaquant.

1. Réponse
2. Réponse ARP falsifié
ARP falsifié
PC_C PC_B
IP: 10.10.10.3 IP: 10.10.10.2
MAC:C MAC: B

Cache ARP Réponse ARP Cache ARP
fasifié
@IP @MAC @IP @MAC
Chapitre 2

10.10.10.2 H Pirate 10.10.10.3 H
IP: 10.10.10.4
MAC: H

57
57
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques d'usurpation (ARP spoofing attack)

Après la réalisation de l’attaque ARP spoofing, l’attaquant relaie les messages de communication
entre les deux hôtes victimes "B" et "C ", sans que ces derniers soient conscient de sa présence. En
fait, comme illustré dans la figure ci-dessous à droite, tout message envoyé passe par le pirate puis il
atteint sa destination finale.

Message envoyé à C
4
1
PC_C PC_B
IP: 10.10.10.3 IP: 10.10.10.2
MAC:C MAC: B

Cache ARP Cache ARP
3 2
@IP @MAC @IP @MAC
10.10.10.2 H Pirate 10.10.10.3 H
Chapitre 2

IP: 10.10.10.4
MAC: H

58
58
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Se protéger contre les Attaques d'usurpation (ARP spoofing attack)

Pour se protéger contre les attaques d'usurpation ARP (ARP spoofing), il existe plusieurs
mesures de sécurité que vous pouvez mettre en place à différents niveaux du réseau. Voici
quelques-unes des meilleures pratiques :

✓ Configurez manuellement des entrées ARP statiques pour les
appareils critiques, comme les serveurs, routeurs, et points d'accès,
en associant directement les adresses IP aux adresses MAC. Cela
empêche la mise à jour automatique des tables ARP par des requêtes
ARP potentiellement malveillantes.
Chapitre 2

✓ Activer la détection et la protection contre les attaques ARP

59
59
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Attaque par inondation d'adresses MAC (MAC Flooding Attack)

▪ L'attaque par inondation d'adresses MAC est une technique qui tire parti des vulnérabilités des
switches pour rediriger et capturer le trafic réseau, offrant ainsi à l'attaquant un accès à des
données sensibles.
▪ L'attaque par inondation d'adresses MAC (ou MAC Flooding Attack) est une technique utilisée
pour perturber le fonctionnement d'un commutateur réseau (switch). Cette attaque vise à
exploiter la façon dont un switch gère sa table d'adresses MAC, une table qui associe chaque
adresse MAC à un port spécifique du commutateur pour permettre l'acheminement des
données de manière efficace et sécurisée.
Chapitre 2

60
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

Principe de fonctionnement d’une Attaque par inondation d'adresses MAC (MAC Flooding Attack)
▪ Un switch utilise une table de commutation appelée table CAM (Content Addressable Memory)
pour associer les adresses MAC des périphériques connectés à chaque port. Cela permet au switch
de diriger les paquets uniquement vers le port où se trouve la destination, au lieu d'envoyer les
données à tous les ports comme un hub. Cette table CAM a une capacité limitée en termes
d’adresses qu’elle peut stocker.
▪ Comme illustré, le commutateur transfère les trames entre le PC_C et le PC_B, grâce à sa table CAM
qui contient les mappages port/adresse MAC. Dans une telle situation, un pirate qui est connecté à
ce même commutateur ne peut pas recevoir une copie du trafic échangé.
Chapitre 2

61
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes
Principe de fonctionnement d’une Attaque par inondation d'adresses MAC (MAC Flooding Attack)

✓Envoi massif de fausses adresses MAC : L'attaquant inonde le switch avec de nombreuses
trames contenant des adresses MAC sources falsifiées, saturant la table CAM du switch.
✓Saturation de la table CAM : Lorsque la table CAM est pleine, le switch ne peut plus gérer
correctement les adresses MAC et diffuse alors tout le trafic sur tous les ports comme un hub.
✓Redirection du trafic : L'attaquant, connecté à un des ports, peut alors recevoir des trames qui
ne lui sont pas destinées et potentiellement intercepter des données sensibles.
Chapitre 2

62
62
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes
Se protéger contre Attaque par inondation d'adresses MAC (MAC Flooding Attack)

▪ La plupart des commutateurs modernes prennent en charge la fonctionnalité Port Security, qui
permet de limiter le nombre d'adresses MAC autorisées à être associées à un port spécifique.
▪ Configurer une limite sur le nombre d'adresses MAC qui peuvent être apprises dynamiquement
sur chaque port.
▪ Utiliser des adresses MAC statiques pour les appareils connus et autorisés.
Chapitre 2

63
63
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaque du vol de port (Port Stealing)

L'attaque du vol de port (Port Stealing) est une méthode utilisée par un attaquant pour accéder à des
communications réseau normalement privées entre deux appareils connectés à un commutateur (switch).
L'attaquant utilise cette technique pour rediriger ou intercepter des données qui ne lui sont pas destinées.
Chapitre 2

64
64
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaque du vol de port (Port Stealing)

▪ Étapes de l’exécution de l'attaque du vol de port :
1. Le pirate inonde le commutateur avec des paquets ARP falsifiés qui incluent comme :
o Adresse MAC source celle de l'hôte victime ;
o Adresse MAC de destination celle du pirate;
2. Comme illustré dans la figure ci-dessous, le commutateur mappe l’adresse MAC de l'hôte victime B sur le
port du pirate (le port 2 dans notre exemple).
→Lorsqu’un hôte C envoie un paquet à l'hôte victime B, le commutateur le transfère sur le port du pirate (qui
est le port 2).
Chapitre 2

65
65
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
Attaque du vol de port (Port Stealing)
→Les Attaques externes
3. Lors de la réception d’un message qui est destiné à la machine victime B, le pirate l’enregistre dans une mémoire tampon et envoie
une requête ARP pour demander l'adresse IP de l’hôte victime.
4. Comme illustré dans la figure ci-dessous, lorsque l’hôte victime B répond à la requête ARP reçu, le commutateur mappe l’adresse
MAC de la victime à son port réel (le port 3 dans notre exemple).
5. Comme illustré dans la figure ci-dessous à droite, le pirate transmet le message envoyé qui a été mis en mémoire tampon à l'hôte
victime B.

66
Chapitre 2

66
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaque du vol de port (Port Stealing)

Contre-mesures :

▪ VLANs : Segmenter le réseau en VLANs pour limiter l'impact des attaques au sein d'une
petite portion du réseau.
▪ Surveillance du réseau : Utiliser des systèmes de détection d'intrusion (IDS) pour identifier
des comportements suspects, comme des changements fréquents dans la table CAM.
Chapitre 2

67
67
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol)

▪ Les adresses IP peuvent être configurées statiquement ou dynamiquement.
▪ En statique, vous devez configurer vous-même l'adresse IP sur votre ordinateur, votre routeur
ou votre commutateur.
▪ En dynamique, cela signifie que nous utilisons le protocole DHCP. Il s’agit d’un serveur qui
affecte, à partir d’un Pool, des adresses IP sur des périphériques réseau.
Chapitre 2

68
68
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol)
Chapitre 2

69
69
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol)

Les serveurs DHCP jouent un rôle vital dans la plupart des réseaux d'aujourd'hui.
La plupart des périphériques réseau utilisent le DHCP pour obtenir :
▪ Une adresse IP
▪ Un masque de sous-réseau
▪ Une passerelle par défaut
Chapitre 2

▪ Et les adresses IP du serveur DNS.

70
70
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol)

▪ Le protocole DHCP est vulnérable à deux attaques de sécurité qui sont : DHCP Starvation (attaque par
épuisement de ressources) et DHCP spoofing (attaque d’usurpation).
▪ Principe de l’attaque DHCP Starvation : Pour réaliser cette attaque, le pirate épuise les adresses IP
disponibles dans le serveur DHCP, en lui envoyant un grand nombre de requêtes avec des adresse MAC
falsifiés. Cela induit la production d’un déni de service. En effet, le serveur DHCP ne peut plus attribuer des
adresses IP aux hôtes légitimes.

Exécution de l’attaque DHCP Starvation
Chapitre 2

Dans une attaque DHCP Starvation, un attaquant inonde le serveur DHCP de requêtes de type
DHCPDISCOVER, en usurpant des adresses MAC à chaque demande. Le serveur DHCP alloue alors une
adresse IP pour chaque requête, jusqu'à ce qu'il épuise son pool d'adresses disponibles.
71
71
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol)
Principe de l’attaque DHCP Spoofing
▪ Le pirate déploie un serveur DHCP malveillant pour répondre aux
requêtes DHCP des clients.
▪ Il envoie une réponse DHCP falsifiée avant que le serveur DHCP
légitime ne réponde.
▪ La fausse réponse inclut l'adresse IP du pirate comme passerelle par
défaut du client.
▪ Pour que sa réponse arrive en premier, le pirate peut :
▪ Se positionner plus près physiquement du client que le serveur DHCP
légitime.
▪ Exécuter une attaque de déni de service (DoS) sur le serveur DHCP Exécution de l’attaque DHCP Spoofing

légitime pour l'empêcher de répondre.
Chapitre 2

▪ Le client accepte la première réponse reçue (celle du pirate), faisant
passer tout le trafic par le pirate, qui devient un "man-in-the-middle".
▪ Le pirate peut alors intercepter ou bloquer les paquets. 72
72
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes
Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol)
Contre-mesures contre le DHCP Spoofing :

1.DHCP Snooping (Filtrage DHCP) :
1.Activer la fonctionnalité DHCP Snooping sur les commutateurs réseau.
2.Le DHCP Snooping permet de distinguer les ports de confiance (où un serveur DHCP légitime
est autorisé) et les ports non fiables (où les clients ou les attaquants pourraient tenter
d’envoyer des réponses DHCP).
3.Cela empêche les réponses DHCP venant de ports non autorisés, bloquant ainsi les serveurs
DHCP malveillants.
2.Port Security :
1.Limiter le nombre d'adresses MAC autorisées sur chaque port. Cela empêche un attaquant
de simuler plusieurs adresses MAC ou de connecter un appareil malveillant pour servir de
Chapitre 2

serveur DHCP.

73
73
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

✓ Le DNS Spoofing
Le DNS Spoofing : est une attaque où un attaquant injecte des
informations falsifiées dans le cache DNS d'un serveur ou d'un client,
dans le but de rediriger le trafic vers un site Web malveillant ou de
compromettre les communications réseau.

Le DNS Spoofing : Pousse un serveur de DNS à accepter l’intrus.

74
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Une attaque par déni de service (Denial of Service ou DoS) est une
attaque informatique ayant pour but de rendre indisponible un
service, d’empêcher les utilisateurs légitimes d’un service de
✓ Déni de service l’utiliser.
Il peut s’agir de :
▪ L’inondation d’un réseau afin d’empêcher son fonctionnement ;
▪ La perturbation des connexions entre deux machines, empêchant l’accès à un
service particulier ;
▪ L’obstruction d’accès à un service à une personne en particulier.

L’attaque par déni de service
peut ainsi bloquer un serveur de
fichiers, rendre impossible
l’accès à un serveur web ou
empêcher la distribution de
courriel dans une entreprise.
75
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes Les DDoS

▪ Une attaque DDoS vise à rendre une ressource
indisponible en la saturant de trafic provenant de
plusieurs sources.

▪ L'attaquant utilise un botnet, un réseau de machines
compromises, contrôlées à distance.

▪ Il envoie des commandes aux machines via des
serveurs relais, et celles-ci bombardent la cible de
requêtes, submergeant ses ressources.
Chapitre 2

DDoS attaque
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques externes

SYN flood attaque
Principe d’une connexion TCP : Avant de commencer
l’échange de données, l’émetteur (client) et le récepteur
(Serveur) sont tenus d’établir une "connexion". Comme
illustrées dans la figure, les étapes de l’établissement d’une
connexion sont comme suit :
1.Le client envoie un segment TCP SYN au serveur ;
2.Le serveur reçoit SYN et répond par sagement SYN-
ACK ;
Chapitre 2

3.Le client reçoit SYNACK du serveur et répond par ACK
Principe d’une connexion TCP
qui peut contenir des données.
Le principe de l'attaque SYN Flood repose sur une exploitation du processus d'établissement de connexion
TCP, appelé la handshake TCP en trois étapes (SYN, SYN/ACK, ACK). 77
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
SYN flood attaque
→Les Attaques externes

▪ Initiation : L'attaquant envoie un grand nombre de
requêtes SYN au serveur victime en se faisant passer
pour un client légitime.
▪ Adresses IP falsifiées : Les requêtes SYN utilisent de
fausses adresses IP, donnant l'impression que les
demandes viennent de plusieurs clients.
▪ Réponse du serveur : Le serveur répond à chaque
requête avec un SYN/ACK, mais envoie ces réponses à
des adresses incorrectes.
▪ Absence de réponse : Comme les adresses sont
fausses, le serveur n'obtient jamais l'ACK final et attend
indéfiniment.
Chapitre 2

▪ Épuisement des ressources : Les ressources du serveur
sont mobilisées pour ces connexions incomplètes, ce qui
finit par le submerger et le rend incapable de répondre aux
nouvelles requêtes. 78
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques internet

Le web BUG: Un mail publicitaire est
envoyé en HTML avec une micro-image ▪ Il est inséré dans une page web ou un e-mail.
invisible dans une page web ou un e-
mail, servant à déclencher l'exécution ▪ Lorsqu'un utilisateur visite la page ou ouvre l'e-mail,
d'un script depuis un site extérieur le web bug envoie des informations (adresse IP,
type de navigateur, etc.) à un serveur de suivi.
▪ Principe de Fonctionnement
1. Insertion discrète ▪ Les données collectées sont ensuite analysées
2. Collecte de données pour étudier les habitudes des utilisateurs, souvent
3. Analyse des données à des fins marketing ou publicitaires.

Ces informations sont ensuite utilisées pour comprendre les préférences des
clients et améliorer les services ou les publicités.
79
 LES ATTAQUES INFORMATIQUES
❑ Classifier les attaques de sécurité et les hackers
→Les Attaques internet

Virus: Un programme caché dans un autre qui peut s’exécuter et se reproduire en
infectant d’autres programmes ou d’autres ordinateurs

Principe de fonctionnement :
1.Infection initiale : Le virus s'attache à un fichier ou à un programme légitime. Lorsqu'un
utilisateur exécute ce fichier ou programme, le virus s'active.
2.Propagation : Une fois activé, le virus se réplique en infectant d'autres fichiers ou programmes
sur le même système ou sur d'autres systèmes lorsqu'ils sont partagés via des réseaux, des
périphériques externes (comme des clés USB), ou des téléchargements.
3.Exécution des charges malveillantes : En parallèle de sa réplication, le virus peut exécuter
diverses charges nuisibles, comme :
1.Corrompre ou effacer des fichiers.
2.Voler des informations.
Chapitre 2

3.Perturber le fonctionnement du système.
4.Déclenchement : Certains virus sont programmés pour s'activer à un moment précis ou sous
certaines conditions (par exemple, une date spécifique ou une action utilisateur).
80
 QCM : Compréhension des Attaques

▪ Qu'est-ce que l'usurpation ARP ?
a) Une méthode pour chiffrer des données
b) Une technique permettant de rediriger le trafic vers un attaquant
c) Un moyen d'augmenter la bande passante
▪ Que provoque une inondation MAC ?
a) Une surcharge des adresses IP sur un réseau
b) L'épuisement des ressources de la table MAC d'un commutateur
c) L'amélioration de la sécurité réseau
▪ Dans une attaque par vol de port, qu'essaie de faire l'attaquant ?
a) Copier des fichiers d'un serveur
b) Se connecter à un port réseau utilisé par un autre utilisateur
c) Chiffrer les données échangées
▪ Quel est l'objectif d'une attaque DHCP starvation ?
a) Empêcher un serveur DHCP de fournir des adresses IP
b) Augmenter la vitesse de distribution des adresses IP
c) Chiffrer les communications réseau
Chapitre 2

▪ Qu'est-ce que le DHCP spoofing ?
a) Une technique pour sécuriser les communications DHCP
b) Une usurpation de serveur DHCP pour attribuer de fausses adresses IP
c) Un moyen d'augmenter la bande passante sur un réseau
81
 QCM : Compréhension des Attaques

▪ Qu'est-ce qu'une attaque DoS ?
a) Une méthode pour sécuriser un serveur
b) Une attaque visant à rendre un service indisponible
c) Un moyen d'augmenter la capacité d'un serveur
▪ Que fait une attaque Syn Flood ?
a) Elle envoie un grand nombre de requêtes SYN pour saturer un serveur
b) Elle crypte les données échangées entre deux ordinateurs
c) Elle améliore la vitesse de connexion à un réseau
▪ Quel est le rôle d'un web bug ?
a) Chiffrer des données
b) Collecter des informations sur les utilisateurs sans qu'ils le sachent
c) Améliorer la performance d'un site web
▪ Quel type de programme est un virus ?
a) Un logiciel conçu pour aider les utilisateurs
b) Un code malveillant capable de se reproduire et d'infecter d'autres fichiers
Chapitre 2

c) Un outil de sécurité pour protéger les données

82
 Exercices : Compréhension des Attaques

Exercice 1 : Scénario
Un administrateur réseau remarque que son serveur DHCP ne parvient pas à attribuer
d'adresses IP. Après une enquête, il découvre que de nombreuses requêtes DHCP sont
envoyées rapidement et que les adresses disponibles s'épuisent rapidement.
Question : Quelle attaque est en cours ?
Chapitre 2

83
 Exercices : Compréhension des Attaques

Solution- EX1 : Scénario
Un administrateur réseau remarque que son serveur DHCP ne parvient pas à attribuer
d'adresses IP. Après une enquête, il découvre que de nombreuses requêtes DHCP sont
envoyées rapidement et que les adresses disponibles s'épuisent rapidement.
Question : Quelle attaque est en cours ?

→ une attaque DHCP starvation
Chapitre 2

84
 Exercices : Compréhension des Attaques

Exercice 2 : Scénario
Un utilisateur se rend compte qu'en visitant un site web, il est redirigé vers une page
d'erreur ou un site différent qui semble identique, mais qui lui demande de saisir des
informations personnelles. De plus, l'utilisateur a remarqué des comportements étranges
dans les résultats de recherche sur son navigateur.
Question : Quelle attaque est en cours ?
Chapitre 2

85
 Exercices : Compréhension des Attaques

Exercice 2 : Scénario
Un utilisateur se rend compte qu'en visitant un site web, il est redirigé vers une page
d'erreur ou un site différent qui semble identique, mais qui lui demande de saisir des
informations personnelles. De plus, l'utilisateur a remarqué des comportements étranges
dans les résultats de recherche sur son navigateur.
Question : Quelle attaque est en cours ?
→ Attaque de DNS spoofing
Chapitre 2

86
 Exercices : Compréhension des Attaques

Exercice 3 : Scénario
Une entreprise reçoit plusieurs plaintes de ses employés concernant des connexions lentes
et des difficultés d'accès aux serveurs internes. Après une investigation, l'équipe IT découvre
que des connexions réseau sont bloquées et que des messages d'erreur apparaissent. En
analysant le trafic, ils remarquent qu'un grand nombre de requêtes de connexion provenant
d'adresses IP douteuses saturent le réseau. Les employés ne peuvent pas accéder aux outi