Fondements de la sécurité PDF
Document Details
Uploaded by Deleted User
ISIM Gabès
Akram Belazi
Tags
Summary
Ce document présente les fondements de la sécurité informatique, se concentrant sur les concepts clés comme les services de sécurité, les logiciels malveillants et les attaques réseau. Il détaille les différents types d'attaques et les mécanismes de défense, ainsi que les objectifs de la sécurité des données (CIA).
Full Transcript
Fondements de la sécurité Chapitre 1 : Services, mécanismes et attaques de sécurité Formation : Licence en Technologies de l’information et des Télécommunications Akram Belazi ISIM Gabès A.U :...
Fondements de la sécurité Chapitre 1 : Services, mécanismes et attaques de sécurité Formation : Licence en Technologies de l’information et des Télécommunications Akram Belazi ISIM Gabès A.U : 2023-2024.................... Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer....................................... Akram Belazi | ISIM Gabès 2. Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer....................................... Akram Belazi | ISIM Gabès 3. Objectifs de la sécurité : CIA Autres : l’authenticité, la responsabilité........................................ Akram Belazi | ISIM Gabès 4. Attaques, services et mécanismes Attaque : Chaque action susceptible de mettre en péril la sécurité de l’information. Mécanisme de sécurité : Un mécanisme élaboré dans le but de repérer, prévenir ou réagir à une attaque de sécurité. Service de sécurité : Un service visant à renforcer la sécurité des systèmes de trai- tement des données et des transferts d’informations, en utilisant un ou plusieurs mécanismes de sécurité........................................ Akram Belazi | ISIM Gabès 5. Services de sécurité Confidentialité : Il s’agit de protéger les données sensibles contre l’accès non auto- risé. Les services de sécurité assurent que seules les personnes autorisées peuvent accéder à l’information. Intégrité : Ce service vise à garantir que les données ne sont pas altérées de manière non autorisée pendant leur stockage, leur traitement ou leur transmission. Il s’agit de prévenir la modification indésirable des données. Disponibilité : La disponibilité garantit que les systèmes et les données sont acces- sibles et utilisables lorsque cela est nécessaire. Les services de sécurité cherchent à minimiser les interruptions et à assurer une disponibilité continue. Authentification : Ce service vérifie l’identité des utilisateurs ou des systèmes, s’as- surant ainsi que seules les personnes ou les entités légitimes ont accès aux res- sources protégées. Non-Répudiation : La non-répudiation est un service de sécurité qui garantit qu’une personne ou une entité ne peut pas nier ultérieurement avoir effectué une action spécifique, comme avoir envoyé un message ou effectué une transaction. Contrôle d’accès : Le contrôle d’accès est un ensemble de mesures et de méca- nismes de sécurité visant à gérer et à réglementer l’accès aux systèmes informa- tiques, aux données ou aux ressources d’une organisation. Il détermine qui est autorisé à accéder à quoi, quand et dans quelles conditions........................................ Akram Belazi | ISIM Gabès 6. Modèle général de sécurité réseau....................................... Akram Belazi | ISIM Gabès 7. Méthodes de protection Chiffrement des données : Ce processus consiste à convertir les données en un format illisible sans une clé appropriée, ce qui les rend sécurisées contre l’accès non autorisé. Contrôle d’accès logiciel : Cela implique la restriction de l’accès aux bases de don- nées et la protection de chaque utilisateur contre les autres utilisateurs en utilisant des mécanismes d’autorisation et d’authentification. Contrôle d’accès matériel : Par exemple, l’utilisation de cartes à puce pour sécuriser l’accès aux ressources physiques ou numériques. Politiques de sécurité : Cela comprend des pratiques telles que le changement fré- quent de mots de passe pour maintenir la sécurité des comptes. Utilisation de pare-feux (Firewalls), de systèmes de détection d’intrusion (IDS), et d’antivirus : Ces outils aident à surveiller, filtrer et protéger les systèmes contre les menaces et les attaques. Utilisation de réseaux VLAN : Les réseaux VLAN permettent de segmenter un réseau en parties distinctes pour renforcer la sécurité en isolant les différents seg- ments. Utilisation de VPN (Réseau Privé Virtuel) pour l’accès distant : Les VPN four- nissent un tunnel sécurisé pour permettre aux utilisateurs d’accéder aux ressources de manière sécurisée depuis des emplacements distants........................................ Akram Belazi | ISIM Gabès 8. Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer....................................... Akram Belazi | ISIM Gabès 9. Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 10 Logiciels malveillants Un logiciel malveillant, également appelé ”malware”, est un type de logiciel conçu pour infiltrer, endommager, voler des données ou perturber le fonctionnement normal d’un ordinateur, d’un réseau ou d’un système informatique, sans le consentement de l’utili- sateur. Voici quelques types courants de logiciels malveillants : Virus informatique : Un virus est un programme qui s’attache à des fichiers ou à des programmes existants et se propage en infectant d’autres fichiers ou pro- grammes lors de leur exécution. Ver informatique : Un ver est un logiciel malveillant autonome qui se propage rapidement à travers un réseau, en exploitant des vulnérabilités, sans avoir besoin de fichiers hôtes. Cheval de Troie (Trojan) : Un cheval de Troie est un programme qui semble inof- fensif ou utile à première vue, mais qui exécute des actions malveillantes une fois installé. Il peut ouvrir une porte dérobée pour un attaquant ou voler des informa- tions sensibles. Ransomware : Le ransomware chiffre les fichiers de la victime et exige ensuite une rançon en échange de la clé de déchiffrement. Les ransomwares sont utilisés pour extorquer de l’argent aux victimes......................................... Akram Belazi | ISIM Gabès 11 Logiciels malveillants (suite) Logiciel espion (Spyware) : Le logiciel espion collecte discrètement des informa- tions sur l’utilisateur sans son consentement, telles que des données de navigation, des mots de passe ou des informations personnelles, puis les transmet à des tiers. Adware : Les logiciels publicitaires affichent des publicités non sollicitées sur l’or- dinateur de l’utilisateur. Bien que moins dangereux que d’autres types de logiciels malveillants, ils peuvent être très ennuyeux. Rootkit : Un rootkit est conçu pour cacher la présence d’autres logiciels malveillants ou activités malveillantes sur un système en subvertissant les mécanismes de sé- curité du système. Botnet : Un botnet est un réseau de dispositifs infectés (souvent des ordinateurs) qui sont contrôlés à distance par un attaquant pour effectuer des actions mal- veillantes coordonnées, telles que des attaques DDoS ou la distribution de spam. Keylogger : Les enregistreurs de frappe enregistrent toutes les frappes de clavier de l’utilisateur, y compris les mots de passe, et transmettent ces informations à des pirates. Scareware : Les scarewares affichent de fausses alertes de sécurité pour inciter les utilisateurs à acheter des logiciels inutiles ou à divulguer des informations per- sonnelles......................................... Akram Belazi | ISIM Gabès 12 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 13 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 14 Attaques de sécurité Interruption : Il s’agit d’une action visant à compromettre la disponibilité. Interception : Cela constitue une tentative d’atteinte à la confidentialité. Modification : Ceci représente une attaque contre l’intégrité des données. Fabrication : Il s’agit d’une manœuvre visant à altérer l’authenticité......................................... Akram Belazi | ISIM Gabès 15 Attaques passives et actives Les attaques passives : Une attaque passive cherche à acquérir ou à exploiter les informations du sys- tème sans altérer les ressources du système. Bien qu’elle soit relative- ment difficile à détecter, elle est plus aisée à prévenir. Les attaques actives : Une attaque active vise à altérer les ressources du système ou à perturber leur fonctionnement. Bien qu’elle soit relativement difficile à prévenir, elle est plus aisée à détecter......................................... Akram Belazi | ISIM Gabès 16 Attaques passives Lecture du message : ◦ Description : L’attaque consiste à intercepter et à lire un message sans le mo- difier, dans le but d’obtenir des informations sensibles. ◦ Détection : Difficile à détecter car elle n’altère pas le message. La détection repose souvent sur la surveillance du trafic réseau et le chiffrement. Analyse du trafic : ◦ Description : L’attaque consiste à observer les schémas de communication et les métadonnées du trafic réseau pour collecter des informations utiles. ◦ Détection : La détection implique la surveillance du trafic, l’utilisation d’outils de sécurité réseau, et l’examen des journaux de sécurité......................................... Akram Belazi | ISIM Gabès 17 Attaques actives Mascarade L’attaque de type mascarade implique qu’un attaquant se fasse passer pour quelqu’un d’autre, en utilisant des identifiants frauduleux, dans le but d’accéder à des ressources ou des informations auxquelles il n’a pas le droit d’accéder......................................... Akram Belazi | ISIM Gabès 18 Attaques actives Attaque par rejeu (Replay Attack) Une attaque par rejeu réutilise des données ou des actions précédemment enregistrées pour tromper un système de sécurité et obtenir un accès non autorisé......................................... Akram Belazi | ISIM Gabès 19 Attaques actives Modification L’attaque de type modification vise à altérer des données ou des informations dans un système ou une communication de manière non autorisée, compromettant ainsi l’in- tégrité des données......................................... Akram Belazi | ISIM Gabès 20 Attaques actives Déni de Service (DoS) Une attaque DoS vise à rendre un système ou un service indisponible en le submergeant de trafic malveillant ou en exploitant ses vulnérabilités......................................... Akram Belazi | ISIM Gabès 21 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 22 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 23 Déni de Service (DoS) Une tentative d’attaquants visant à entraver l’accès légitime des utilisateurs à un service. Modèle de la menace DoS : ◦ L’utilisation excessive de la connectivité et/ou de la bande passante réseau. ◦ L’utilisation excessive d’autres ressources, telles que les files d’attente et le CPU. ◦ La perturbation ou la modification de la configuration des données : des pa- quets malformés peuvent provoquer une confusion dans une application et la faire planter. ◦ La détérioration physique ou la modification des composants du réseau. Épuise la mémoire système en créant des copies dans un script de programme. Remplit la mémoire disque en générant un grand nombre d’emails, d’erreurs, et en plaçant des fichiers dans des zones mémoire partagées......................................... Akram Belazi | ISIM Gabès 24 DoS – Attaque smurf Envoyer une requête ping à une adresse de diffusion (ICMP echo Request). Réponses provenant de l’ensemble du réseau : ◦ Chaque dispositif sur le réseau ciblé émet une réponse de ping (ICMP Echo Reply) en direction de la victime. ◦ Le flux de réponses ping peut engendrer une surcharge pour la victime. Pour prévenir cela : bloquer les paquets externes dirigés vers les adresses de diffu- sion......................................... Akram Belazi | ISIM Gabès 25 Déni de Service Distribué (DDoS) Une attaque DDoS implique la coordination de nombreux dispositifs ou ordinateurs pour inonder une cible spécifique, telle qu’un serveur ou un site web, de trafic nuisible, dans le but de rendre ce service inaccessible pour les utilisateurs autorisés......................................... Akram Belazi | ISIM Gabès 26 Détection de l’origine d’une attaque DDoS La détection de l’origine d’une attaque DDoS peut être un processus complexe, mais voici quelques méthodes et techniques générales qui peuvent être utilisées pour y par- venir : Analyse des journaux : Examiner les journaux du serveur ou des dispositifs ré- seau pour détecter une augmentation inhabituelle du trafic provenant d’adresses IP spécifiques. Cela peut aider à identifier les adresses sources de l’attaque. Analyse du trafic : Utiliser des outils d’analyse du trafic réseau pour surveiller le flux de données entrantes et sortantes. Une anomalie ou une augmentation signi- ficative du trafic peut indiquer une attaque en cours. Systèmes de détection d’intrusion (IDS) et systèmes de prévention des intru- sions (IPS) : Ces systèmes peuvent être configurés pour surveiller le trafic réseau et détecter les activités suspectes. Ils peuvent aider à identifier les adresses IP source de l’attaque. Filtrage de trafic : Configurer des filtres de trafic sur les routeurs et les pare-feux pour bloquer ou limiter le trafic provenant d’adresses IP suspectes ou de certaines plages d’adresses......................................... Akram Belazi | ISIM Gabès 27 Détection de l’origine d’une attaque DDoS (suite) Analyse des paquets : Examinez les paquets de données entrants pour identifier des signatures ou des schémas spécifiques à l’attaque DDoS. Cela peut aider à cibler les sources de l’attaque. Services de sécurité gérés (MSSP) : Faire appel à des fournisseurs de services de sécurité gérés qui peuvent surveiller le trafic réseau en temps réel et identifier les sources d’attaques DDoS. Coopération avec les fournisseurs de services Internet (FSI) : En cas d’attaque DDoS majeure, il est souvent nécessaire de travailler en étroite collaboration avec les FSI pour identifier et atténuer l’origine de l’attaque. Analyse forensique : Après une attaque DDoS, mener une enquête forensique pour analyser les données de l’attaque et déterminer les adresses IP source réelles. Cela peut être complexe, car les attaquants utilisent souvent des techniques de masquage......................................... Akram Belazi | ISIM Gabès 28 DDoS direct Le DDoS direct est une forme d’attaque DDoS dans laquelle un attaquant utilise un réseau de dispositifs infectés pour inonder directement une cible avec du trafic mal- veillant, provoquant une interruption de service......................................... Akram Belazi | ISIM Gabès 29 DDoS par réflecteur Le DDoS par réflecteur est une attaque où un attaquant utilise des serveurs mal configu- rés comme intermédiaires pour amplifier et rediriger le trafic vers la cible, submergeant ainsi son réseau et le rendant inaccessible......................................... Akram Belazi | ISIM Gabès 30 DoS – SYN flood Le SYN flood est une attaque informatique visant à atteindre un déni de service. Elle s’applique dans le cadre du protocole TCP et consiste à envoyer une succession de requêtes SYN vers la cible. TCP SYN flooding est l’origine de 90% des attaques DoS. Il exploite une faille lors de l’établissement de la connexion TCP. Le serveur initie des connexions semi-ouvertes. Ces demandes de connexion se multiplient jusqu’à remplir la file d’attente, blo- quant les requêtes supplémentaires......................................... Akram Belazi | ISIM Gabès 31 SYN flood : Etablissement d’une connexion TCP........................................ Akram Belazi | ISIM Gabès 32 SYN flood : Etablissement d’une connexion TCP (suite) L’émetteur (client) et le récepteur (serveur) établissent une connexion préalablement à l’échange de données. Le client envoie un segment TCP SYN au serveur, précisant un numéro de sé- quence initial (#seq), sans inclure de données. Le serveur reçoit le SYN, répond par un SYNACK, alloue des tampons et indique la séquence initiale (#seq) du serveur. Le client reçoit le SYNACK du serveur et répond avec un ACK qui peut également inclure des données......................................... Akram Belazi | ISIM Gabès 33 SYN flood : Connexion TCP........................................ Akram Belazi | ISIM Gabès 34 SYN flooding........................................ Akram Belazi | ISIM Gabès 35 SYN flooding : analyse L’attaquant a transmis plusieurs segments TCP/SYN. Cela signifie que l’assaillant a en- voyé plusieurs demandes de connexion TCP avec le drapeau SYN activé, ce qui est sou- vent un indicateur d’une tentative d’établir de multiples connexions simultanées avec un serveur ou un système cible......................................... Akram Belazi | ISIM Gabès 36 SYN flooding : synthèse L’attaquant déploie une stratégie d’attaque en envoyant de multiples demandes de connexion, en utilisant des adresses source falsifiées (une technique appelée ”spoofing d’adresse”). La victime, lors de la réception de chaque demande, alloue des ressources pour les traiter. Cependant, lorsque ces ressources sont épuisées en raison de l’accumulation des demandes malveillantes, les requêtes légitimes des clients se voient refuser l’accès. Cette forme d’attaque correspond à la catégorie classique de Déni de Service (DoS), où l’initiateur TCP peut envoyer des demandes de connexion sans coût significa- tif, tandis que le récepteur doit réserver des ressources pour chaque demande, ce qui rend le système vulnérable à la surcharge......................................... Akram Belazi | ISIM Gabès 37 Détection des attaques de Déni de Service (DoS) L’examen du comportement des paires SYN-FIN ou SYNACK-FIN est une mé- thode courante de détection des anomalies. Cependant, il est essentiel de noter que la règle SYN-FIN peut être contournée par les réinitialisations (RST). Les réinitialisations peuvent être passives, se produisant lorsque le serveur reçoit un paquet sur un port fermé, ou actives, lorsque le client initie la rupture d’une connexion TCP. Par conséquent, les paires SYN-RST actives sont également considérées comme normales dans certaines situations......................................... Akram Belazi | ISIM Gabès 38 Détection des attaques de Déni de Service (DoS) : paires SYN-FIN En règle générale, chaque connexion SYN est accompagnée d’une connexion FIN. Il est difficile de déterminer si les réinitialisations (RST) sont actives ou passives, mais en général, environ 75% des RST sont des réinitialisations actives. 4500 4000 3500 Nombre de paquets 3000 2500 SYN FIN 2000 RSTactive 1500 1000 500 0 10 20 30 40 50 Temps(s)........................................ Akram Belazi | ISIM Gabès 39 Prévention des attaques de Déni de Service (DoS) Les attaques de Déni de Service (DoS) surviennent en raison d’une répartition asymétrique des ressources. Lorsque le récepteur alloue des ressources à chaque connexion, un attaquant peut initier de nombreuses connexions à partir d’adresses falsifiées et altérées. L’utilisation de cookies garantit que le récepteur n’alloue des ressources que lorsque l’initiateur a échangé au moins deux messages. L’état du récepteur est enregistré dans un cookie, qui est ensuite envoyé à l’initia- teur pour une meilleure gestion des ressources......................................... Akram Belazi | ISIM Gabès 40 Attaques actives Prévention des attaques de Déni de Service (DoS) : SYN cookies........................................ Akram Belazi | ISIM Gabès 41 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 42 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 43 ARP spoofing ARP spoofing consiste à falsifier des informations ARP (Address Resolution Pro- tocol). L’attaquant envoie de fausses réponses ARP pour associer de manière incorrecte l’adresse MAC d’une victime à l’adresse IP de l’attaquant. Cela permet à l’attaquant de recevoir le trafic destiné à la victime et de potentiel- lement l’intercepter ou le manipuler. Cette attaque peut être utilisée pour des activités malveillantes, telles que l’écoute de données sensibles ou la perturbation du trafic réseau. Fonctionnement : ◦ Le client envoie une demande ”who has 10.1.2.3 ?” pour connaître l’adresse matérielle associée à l’adresse IP 10.1.2.3. ◦ N’importe quel dispositif répond en indiquant que ”10.1.2.3 is at 09 :0A :0B :0C :0D :0E c’est-à-dire que cette adresse IP correspond à cette adresse matérielle......................................... Akram Belazi | ISIM Gabès 44 ARP flooding ARP flooding est une attaque qui implique l’envoi massif de requêtes ARP sur un réseau. L’attaquant envoie une multitude de demandes ARP avec de fausses informations, inondant ainsi la table ARP des dispositifs sur le réseau. L’objectif est de saturer la table ARP des victimes, provoquant ainsi la confusion et l’indisponibilité du réseau pour les utilisateurs légitimes. Cette attaque peut être utilisée pour une variété d’objectifs malveillants, tels que le déni de service ou la manipulation du trafic réseau......................................... Akram Belazi | ISIM Gabès 45 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 46 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 47 DHCP starvation L’attaque DHCP starvation est une attaque de déni de service sur un réseau. L’attaquant envoie de multiples demandes DHCP pour épuiser le pool d’adresses IP disponibles sur le serveur DHCP. Cela empêche les utilisateurs légitimes d’obtenir des adresses IP valides lorsqu’ils se connectent au réseau. L’objectif est de saturer le serveur DHCP, rendant ainsi difficile, voire impossible, l’attribution d’adresses IP aux nouveaux dispositifs se connectant au réseau......................................... Akram Belazi | ISIM Gabès 48 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 49 Plan 1 Services et Mécanismes de sécurité 2 Logiciels malveillants 3 Attaques de sécurité Attaques actives et passives Attaques DoS ARP spoofing et flooding DHCP starvation Sniffer........................................ Akram Belazi | ISIM Gabès 50 Sniffer : analyse d’une trame Ethernet (1)........................................ Akram Belazi | ISIM Gabès 51 Sniffer : analyse d’une trame Ethernet (2) Analyser la trame ethernet suivante :........................................ Akram Belazi | ISIM Gabès 52 Sniffer : analyse d’une trame Ethernet (3)........................................ Akram Belazi | ISIM Gabès 53 Sniffer : analyse d’une trame Ethernet (4)........................................ Akram Belazi | ISIM Gabès 54 Sniffer : analyse d’une trame Ethernet (5)........................................ Akram Belazi | ISIM Gabès 55