Chapitre 2 - CyberSecurity PDF
Document Details
Uploaded by UnequivocalAluminium3233
École Nationale des Sciences Appliquées de Béni Mellal
Pr. Mohammed ENNAHBAOUI
Tags
Summary
This document covers the environment of cybersecurity, including different hacker profiles, cyberattacks, and virology. It defines a hacker and explores various types, such as white hat, black hat, script kiddies, phreakers, carders, and crackers. It also discusses the concept of cyberattacks and virology.
Full Transcript
Université Sultan Moulay Slimane (USMS) École Nationale des Sciences Appliquées - Béni Mellal (ENSABM) Transformation Digitale Industrielle (TDI) Semestre 5 CYBERSÉCURITÉ Réaliasé par Pr. Mohammed ENNAHBAOUI [email protected]...
Université Sultan Moulay Slimane (USMS) École Nationale des Sciences Appliquées - Béni Mellal (ENSABM) Transformation Digitale Industrielle (TDI) Semestre 5 CYBERSÉCURITÉ Réaliasé par Pr. Mohammed ENNAHBAOUI [email protected] Année universitaire 2024-2025 Université Sultan Moulay Slimane (USMS) École Nationale des Sciences Appliquées - Béni Mellal (ENSABM) Transformation Digitale Industrielle (TDI) Semestre 5 CYBERSÉCURITÉ Chapitre II : Environnement de Cybersécurité Réaliasé par Pr. Mohammed ENNAHBAOUI [email protected] Année universitaire 2024-2025 Plan 1. Différents profils des "hackers" 2. Cyberattaques ou Attaques informatiques 3. Virologie informatique M.ENNAHBAOUI 3 1. Différents profils des "hackers" M.ENNAHBAOUI 4 Définition d’un pirate L’un des termes les plus connus dans le monde de la cybersécurité, le "hacking", ou "piratage informatique ", qui désigne les activités intrusives liées à l’exploitation d’un système informatique ou d’un réseau privé sans accès autorisé (i.e. réalisation d’une Cyberattaque). Un pirate ou hacker peut être n’importe qui, avec l’évolution et la vulgarisation actuelle des connaissances. Surtout, il existe beaucoup d’outils de piratage sont disponibles sur Internet. Le terme pirate ou hacker est utilisé généralement pour décrire ou désigner un attaquant. Cependant, pas tous les hackers ont de mauvaises intentions, car certaines formes de piratage peuvent avoir des intentions éthiques et fondées sur la recherche. Il existe plusieurs types de hackers ou de pirates. M.ENNAHBAOUI 5 Les différents types de pirates (1/3) Les "White Hat hackers" : hackers au sens noble du terme, dont le but est d'aider à l'amélioration des systèmes et technologies informatiques. Les "Black Hat hackers" : plus couramment appelés pirates, c-à-d des personnes s'introduisant dans les systèmes informatiques dans un but nuisible : ★ Les "Script Kiddies" (traduisez gamins du script, parfois également surnommés crashers, lamers ou encore packet monkeys) sont de jeunes utilisateurs du réseau utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de s'amuser. M.ENNAHBAOUI 6 Les différents types de pirates (2/3) Les "Black Hat hackers" (suite) : ★ Les "phreakers" sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de téléphoner gratuitement grâce à des circuits électroniques connectés à la ligne téléphonique dans le but d'en falsifier le fonctionnement. ★ Les "carders" s'attaquent principalement aux systèmes de cartes à puces (en particulier les cartes bancaires) pour en comprendre le fonctionnement et en exploiter les failles. ★ Les "crackers" sont des personnes dont le but est de créer des outils logiciels permettant d'attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants. Un "crack" est ainsi un programme créé exécutable chargé de modifier (patcher) le logiciel original afin d'en supprimer les protections. M.ENNAHBAOUI 7 Les différents types de pirates (3/3) Les "Grey Hat hackers" : se trouvent entre les gentils et les méchants. Tout simplement est un mélange des white hat hackers et des black hat hackers. Contrairement aux blackhat hachers, ils tentent d’enfreindre les normes et les principes, mais sans avoir l’intention de nuire ou d’obtenir un gain financier. ⇒ Leurs actions sont généralement menées pour le bien commun. Par exemple, ils peuvent exploiter une vulnérabilité pour sensibiliser le public à sa présence, mais contrairement aux whitehat hackers, ils le font publiquement. ⇒ Cela alerte les malfaiteurs de l’existence de la vulnérabilité. Les "hacktivistes" (contraction de hackers et activistes que l'on peut traduire en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique. M.ENNAHBAOUI 8 2. Cyberattaques ou Attaques informatiques M.ENNAHBAOUI 9 Une attaque informatique ou une Cyberattaque Les systèmes informatiques mettent en œuvre différentes composantes, allant de l'électricité pour alimenter les machines au logiciel exécuté via le système d'exploitation et utilisant le réseau. Une "attaque informatique", "cyberattaque" ou tout simplement "attaque" est l'exploitation d'une faille ou vulnérabilité d'un système informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins généralement préjudiciables. Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe une vulnérabilité exploitable. M.ENNAHBAOUI 10 Classification des Cyberattaques (1/2) Une attaque peut être classée par son comportement ou par la position de l’attaquant. M.ENNAHBAOUI 11 Classification des Cyberattaques (2/2) Une attaque peut être active ou passive. ★ Attaque passive : un attaquant écoute et surveille un système (réseau) pour recueillir et analyser des informations sur sa cible. Alors, l’attaquant menace la confidentialité des données mais n'affecte pas les ressources du système. ★ Attaque active : un attaquant tente de modifier les ressources du système afin de perturber ou causer des dommages aux ressources du système d’une organisation ou à affecter ses opérations normales. Une attaque peut être perpétrée de l’intérieur ou de l’extérieur de l’organisation. ★ Attaque interne : est initiée par une entité dans le périmètre de sécurité, c'est‐à‐dire une entité autorisée à accéder aux ressources du système mais qui les utilise d'une manière non approuvée par ceux qui ont accordé l'autorisation. ★ Attaque externe : est initiée depuis l'extérieur du périmètre, par un utilisateur non autorisé ou illégitime du système. M.ENNAHBAOUI 12 Attaque et Intrusion (1/2) Une attaque : Une intrusion : n’importe quelle action qui compromet la faute opérationnelle, externe, intentionnellement nuisible, sécurité des informations ; résultant de l’exploitation d’une vulnérabilité dans le une faute d’interaction délibérée. système ; faute interne résultant d’une attaque. M.ENNAHBAOUI 13 Failles de sécurité - Applicatives Les failles applicatives : sont liées aux programmes et aux applications utilisées comme : ★ Les installations par défaut : plusieurs services peuvent être installés par défaut (serveur Web, messagerie, FTP…etc.). ★ Les mauvaises configurations : une application mal paramétrée, peut laisser l'accès libre à certaines bases de données sensibles (fichiers de mots de passe, d'utilisateurs). ★ Les bugs : une mauvaise programmation de scripts ou l'utilisation de fonctions boguées. ★ Anciennes versions de logiciels : l’administrateur du système doit veiller à la mise à jour des logiciels installés. M.ENNAHBAOUI 14 Failles de sécurité – Système Les failles système : sont liée au système d’exploitation comme : ★ Ports ouverts : chaque application, service installé ouvre un certain nombre de ports pour fonctionner. ★ Les backdoors (porte dérobée) : présentes dans les logiciels : ce sont des accès cachés sur un système ou sur une application. ★ Insertion de Rootkits : "outils de dissimulation d'activité" permettent d'automatiser la dissimulation en ayant comme objectif de modifier les commandes d'administration du système, cacher les ports ouverts. ★ Les Mots de passe : l’utilisation de mots de passe à bas niveau de complexité voire leur absence. M.ENNAHBAOUI 15 Exemples des cyberattaques classiques Attaques visant la collecte d’information (Balayage de port, OS fingerprinting) ; Attaque DoS (Denial of Service) ; Attaque MITM (Man In The Middle). M.ENNAHBAOUI 16 Attaques visant la collecte d’information Attaques par balayage de ports : ★ Balayage TCP (SYN, ACK, FIN, Xmas, Null) ; ★ Balayage UDP. Attaques permettant de prendre l’empreinte réseau du système (OS Fingerprinting) : ★ Empreinte TCP ; ★ Empreinte ICMP. Scan de vulnérabilité. M.ENNAHBAOUI 17 Attaques par balayage de ports (1/3) L'objectif du balayage est de savoir si un logiciel est en écoute sur un numéro de port donné. Si un logiciel écoute, on dit que le port est ouvert, sinon on dit qu'il est fermé. Le balayage d'un port se passe en deux étapes : 1. l'envoi d'un paquet sur le port testé ; 2. l'analyse de la réponse. NMAP : est un logiciel de balayage (ou de scan) de ports, très répondu, connu pour son efficacité. ★ Nmap a une granularité bien plus fine. Il divise les ports selon six états : ➖ ouvert (open), ➖ filtré (filtered), ➖ ouvert|filtré (open|filtered), ➖ fermé (closed), ➖ non-filtré (unfiltered), ➖ et fermé|filtré (closed|filtered). M.ENNAHBAOUI 18 Les techniques de scan de Nmap M.ENNAHBAOUI 19 Rappel sur le Fonctionnement d'une connexion TCP et les différents paquets TCP (1/3) Pour établir une connexion TCP, trois étapes sont nécessaires alors on parle d'un processus "three-way handshake". Ces trois étapes correspondent à trois paquets TCP : SYN, SYN-ACK et ACK. Ces termes correspondent à des flags (des marqueurs) que l'on peut retrouver au sein des paquets TCP. L'initialisation d'une connexion TCP entre deux hôtes se schématise de cette façon : 1. Le paquet TCP SYN correspond à une demande d'initialisation de connexion envoyée par un client à un serveur, tout en sachant que SYN signifie "Synchronized". 2. Ensuite, le serveur répond avec un paquet TCP SYN-ACK pour initier la connexion dans l'autre sens (SYN) et indiquer au client qu'il a bien reçu la demande de connexion (ACK pour Acknowledge). 3. Enfin, le client répond au serveur avec un paquet TCP ACK pour accuser réception de la demande de connexion (Acknowledge). La connexion TCP est établie en mode full- duplex, c'est-à-dire dans les deux sens. M.ENNAHBAOUI 20 Rappel sur le Fonctionnement d'une connexion TCP et les différents paquets TCP (2/3) M.ENNAHBAOUI 21 Rappel sur le Fonctionnement d'une connexion TCP et les différents paquets TCP (3/3) Pour fermer une connexion TCP, il y a deux méthodes : ★ la méthode propre (ou normale) qui consiste à envoyer un paquet TCP FIN à l'hôte distant pour lui demander de fermer la connexion aussi de son côté. En attendant sa réponse, on reste à l'écoute, notamment le temps qu'il indique que la connexion peut être fermée et les ressources libérées. Le serveur va envoyer un paquet TCP ACK puis ensuite TCP FIN (lorsque la connexion sera prête à être fermée côté serveur), et enfin le client répondra par TCP ACK : la connexion sera fermée des deux côtés. ★ la méthode impropre : Lorsque la connexion TCP ne peut pas être terminée proprement (par exemple : une coupure réseau entre les deux hôtes, un bug pendant la session, etc.), il existe une autre solution qui consiste à forcer la fermeture de la connexion TCP via un paquet TCP RST (pour Reset). On peut dire que l'on essaie d'avertir l'hôte distant que l'on ne répondra plus à ses requêtes pour cette connexion et qu'elle va être fermée. M.ENNAHBAOUI 22 Attaques par balayage TCP Il existe de nombreuses variantes pour le paquet émis. Il y a le paquet valide selon la norme TCP comme TCP SYN, et les paquets invalides. L'utilisation des paquets invalides vise à tromper les systèmes de détection d'intrusion. Voici certaines variantes : ★ ACK ; ★ Xmas (tous) ; ★ NULL (aucun) ; ★ Maimon (FIN/ACK) ; ★ FIN ; ★ Window (ACK). Le serveur peut répondre de différentes manières : ★ ouverture de connexion acceptée : envoi d'un paquet TCP SYN/ACK ; ★ fermeture de la connexion : envoi d'un paquet TCP RST ; ★ absence de réponse. M.ENNAHBAOUI 23 Exemple d’Attaque par balayage SYN : TCP SYN Scan Si le port est fermé, il répond par un RST. Si le port est ouvert, il répond par un SYN/ACK. M.ENNAHBAOUI 24 Output de Wireshark avec TCP SYN Scan M.ENNAHBAOUI 25 Output de nmap avec TCP SYN Scan (Mode ligne de commande dans un réseau réel) M.ENNAHBAOUI 26 Output de nmap avec TCP SYN Scan (Mode graphique de commande dans un réseau réel) M.ENNAHBAOUI 27 Output de nmap avec TCP SYN Scan (Mode ligne de commande dans un réseau virtuel) M.ENNAHBAOUI 28 Attaque par balayage SYN : TCP SYN Scan (nmap –sS @IP) Avantages du TCP SYN Scan : ★ Le balayage TCP SYN ne crée jamais de session TCP. De ce fait, il n’est pas journalisé par les applications de l’ordinateur de destination. ★ Ce balayage est plus discret que le balayage TCP connect(). ★ Puisqu’aucune session d’application n’a été ouverte, le balayage SYN scan n’a aucun impact réel sur les performances de l’application. Inconvénient du TCP SYN Scan : ★ Le balayage TCP SYN nécessite un accès privilégié au système (accès avec compte administrateur). Sans un accès privilégié, nmap ne peut pas créer des packets raw nécessaires pour accomplir des balayages se basant sur un processus de connexion semi-ouverte (half-open connection process). M.ENNAHBAOUI 29 Exemple d’Attaque par balayage connect() : TCP connect() Scan (nmap –sT @IP) Si le port est fermé, il répond par un RST. Si le port est ouvert, le scan TCP connect(), complète le TCP three-way handshake, puis envoie un RST pour fermer la connexion. M.ENNAHBAOUI 30 Attaque par balayage ACK : TCP ACK Scan Ce type de scan est différent des autres car il ne peut pas déterminer si un port est ouvert (ni même ouvert|filtré). Il fournit uniquement si un port est "filtré" ou "non-filtrée" car elle ne se connecte jamais à une application pour confirmer un état "ouvert". Il est utilisé pour découvrir les règles des pare-feux, déterminant s'ils sont avec ou sans états (statefull/stateless) et quels ports sont filtrés. Le scan ACK n'active, en général, que le drapeau ACK des paquets. ★ Les systèmes non-filtrés réagissent en retournant un paquet RST. Nmap considère alors le port comme non-filtré, signifiant qu'il est accessible avec un paquet ACK, mais sans savoir s'il est réellement ouvert ou fermé. ★ Les ports qui ne répondent pas ou renvoient certains messages d'erreur ICMP (type 3, code 1, 2, 3, 9, 10, ou 13), sont considérés comme filtrés. M.ENNAHBAOUI 31 Exemple d’Attaque par balayage ACK : TCP ACK Scan (nmap –sA @IP) Si le port est filtré, il n’y a pas de réponse ou réception d’un message ICMP destination unreachable Si le port est unfiltred, il répond par un RST. M.ENNAHBAOUI 32 Output de nmap avec TCP ACK Scan (Mode ligne de commande dans un réseau réel) M.ENNAHBAOUI 33 Prise d’empreinte réseau d’un SE (OS Fingerprinting) Définition : L'OS Fingerprinting est l'art d'identifier le type et la version du système d'exploitation de l‘hôte distant. Il constitue une étape cruciale dans un test d'intrusion. En identifiant le type du système d'exploitation de la machine distante, l'attaquant peut alors prendre de bonnes décisions sur les outils et les exploits à utiliser. On distingue deux catégories de techniques de l'OS Fingerprinting : ★ Techniques actives : consiste en l'envoi de paquets sur le réseau et l'attente de réponses. Les paquets envoyés sont parfois malformées car les différentes implémentations des piles TCP/IP répondent différemment face à de telles erreurs. ★ Techniques passives : ces méthodes se caractérisent par le fait qu‘elles se base sur l’écoute du trafic réseau sans avoir à envoyer aucun paquet. M.ENNAHBAOUI 34 Techniques de prise d’empreinte réseau d’un SE (Techniques of OS Fingerprinting) M.ENNAHBAOUI 35 TCP/IP Stack Fingerprinting TCP/IP Stack Fingerprinting est une technique permettant de déterminer l'identité du système d'exploitation utilisé sur une machine distante en analysant les paquets provenant de cet hôte. Cette méthode se base sur le fait que les différents systèmes n'implémentent pas de la même manière les protocoles réseaux TCP et IP. La plupart des systèmes d'exploitation répondent différemment si des paquets anormaux ou bizarres leur sont envoyés. M.ENNAHBAOUI 36 Technique de nmap pour la prise d’empreintes d’OS Test Envoyer paquet à un port Avec les Flags T1 TCP TCP-ouvert SYN, ECN-ECHO T2 TCP TCP-ouvert no flags T3 TCP TCP-ouvert URG, PSH, SYN, FIN T4 TCP TCP-ouvert ACK T5 TCP TCP-fermé SYN T6 TCP TCP-fermé ACK T7 TCP TCP-fermé URG, PSH, FIN no flags T8 TCP TCP-fermé T9 TCP TCP-ouvert SYN M.ENNAHBAOUI 37 Exemple de prise d’empreinte OS par Nmap Exemple d’empreinte associée par Nmap à l’OS au sein du fichier nmap- os-db qui existe dans le dossier /usr/share/nmap : ★ Fingerprint Linux 2.6.32 (X86_64) : M.ENNAHBAOUI 38 Exemple de test de prise d’empreinte OS par Nmap (OS ambiguë) M.ENNAHBAOUI 39 Exemple de test de prise d’empreinte OS par Nmap (OS sûr) M.ENNAHBAOUI 40 Attaque DoS Attaque DoS (Denial of Service) ou attaque par déni de service , aussi appelé attaque par saturation est une cyberattaque visant à rendre indisponible, pendant un temps indéterminé, les services ou les ressources d'une organisation. ⇒ Empêcher les utilisateurs légitimes d'un service de l'utiliser. Il existe diverses raisons pour une attaque DoS : ★ Raisons politiques ou économiques ; ★ Pour gagner accès à un système donné ; ★ Pour pouvoir réaliser d’autres types d’attaques (comme "Man in the middle" dans le cas de DNS Spoofing par exemple) ; ★ Par vengeance ; ★ Etc. M.ENNAHBAOUI 41 Attaque DoS M.ENNAHBAOUI 42 Principe de l’attaque DoS Le principe des attaques par déni de service consiste à envoyer des paquets IP de taille ou de constitution inhabituelle ou bien en grand nombre, afin de provoquer : ★ une saturation ou ★ un état instable des machines victimes ⇒ d’empêcher les machines victimes d'assurer les services réseau qu'elles proposent. M.ENNAHBAOUI 43 Attaque DDoS (1/2) Lorsqu’une attaque DoS est réalisée à partir de plusieurs sources, on parle alors d'attaque DDoS. Attaque DDoS (Distributed Denial of Service) ou attaque par déni de service distribué est une cyberattaque où l’attaquant utilise une multitude de systèmes pour attaquer sa victime afin de rendre indisponible les services ou les ressources d'une organisation pendant un temps indéterminé. Une attaque DDoS se déroule de la manière suivante : ★ Construire un botnet ; ★ Lancer une attaque ; ★ DDoS en tant que service. L’attaquant dans un DDoS est souvent appelé botmaster, et le serveur central où l’attaquant contrôle tous les appareils et leur envoie des messages est appelé Centre de Commande et de Contrôle ou "C&C". M.ENNAHBAOUI 44 Attaque DDoS (2/2) M.ENNAHBAOUI 45 Principe de l’attaque DDoS (2/2) Une attaque DDoS prend place lorsque plusieurs machines compromises (réseau botnet), infectées par un code malicieux, et sont coordonnées et sous le contrôle d’un même attaquant dans le but de pénétrer le système de la victime, épuiser ses ressources et le forcer à arrêter le service fournis à ses clients. Les attaques par déni de service distribué les plus connues sont Tribal Flood Network (notée TFN) et Trinoo. Il existe deux types d’attaques DDoS : ★ Les attaques DDoS typiques ; ★ Distributed Reflector DoS (DRDoS) attacks. M.ENNAHBAOUI 46 Principe de l’attaque DDoS (2/2) Attacker Masters Slaves Victim M.ENNAHBAOUI 47 Démarche de l’attaque DDoS Une attaque DDoS se déroule de la manière suivante : ★ Construire un botnet : Pour lancer une attaque DDoS, les attaquants utilisent des logiciels malveillants pour créer un réseau de bots, ★ Lancer une attaque : Une fois qu'un attaquant a construit un botnet, il envoie des instructions à distance aux bots, leur demandant d'envoyer des requêtes et du trafic à un serveur victime. Il en résulte un trafic démesuré qui entraîne un déni de service, empêchant le trafic normal d'accéder à la cible. ★ DDoS en tant que service (DDoS as a Service) : Parfois, les botnets, avec leurs réseaux de terminaux compromis, sont loués pour d'autres attaques potentielles par le biais de services d'attaque à louer. Cela permet à des personnes mal intentionnées mais sans formation ni expérience de lancer facilement des attaques DDoS par leurs propres moyens. M.ENNAHBAOUI 48 Botnet ou Réseau de Bots (1/2) Un Botnet ou un réseau de Bots aussi appelé un réseau de zombies est un ensemble des terminaux connectés à Internet qui sont infectés par des logiciels malveillants, que les attaquants peuvent diriger pour envoyer un flot de trafic à d’autres cibles (victimes). Ce réseau peut inclure des points de terminaison tels que des terminaux Internet des objets (IoT), des smartphones et des ordinateurs personnels, ainsi que des routeurs et des serveurs réseau. Chaque terminal infecté devient capable de propager le malware à d'autres terminaux pour amplifier la taille d'une attaque. M.ENNAHBAOUI 49 Réseau Botnet (2/2) M.ENNAHBAOUI 50 DoS VS DDoS (1/2) La différence entre DDoS et DoS est le nombre de connexions utilisées dans l'attaque. ★ Une attaque DoS repose sur le fait que la victime est attaquée par un unique système. ★ Tandis qu’une attaque DDoS utilise de nombreuses sources. Parce que DDoS provient de plusieurs sources à la fois, elle est donc généralement plus rapide, plus difficile à bloquer qu’un DoS et retracer sa source s’avère difficile. ★ Conduire des tests DDoS dans le cadre d’un pentest n’a que peu d’intérêt, car il sera toujours possible de faire tomber un service si l’on y consacre les moyens nécessaires. ★ En revanche, réaliser des tests DoS permet d’identifier des vulnérabilités au niveau des configurations ou de l’applicatif. Et dans ces cas de figure, des correctifs peuvent être implémentés. M.ENNAHBAOUI 51 DoS VS DDoS (2/2) M.ENNAHBAOUI 52 Attaques DRDoS (Distributed Reflector DoS) (1/4) Les attaques DRDOS sont appelées aussi les attaques DDoS par amplification. Dans les attaques DRDOS, l'armée de l'attaquant se compose de zombies maîtres, de zombies esclaves, et des réflecteurs. Les zombies maîtres ordonnent aux zombies esclaves d'envoyer un flux de paquets avec l'adresse IP usurpée de la victime comme adresse IP source à d'autres machines non infectées (connu sous le nom de réflecteurs), incitant ces machines de se connecter avec la victime. Par conséquent, dans des attaques DRDOS, l'attaque est montée par des machines non compromises, qui lancent de l'attaque sans être conscientes de l'action (les réflecteurs). Cependant, le trafic réseau contient une adresse IP source usurpée d’une victime, par exemple un serveur web. L’usurpation d’adresse IP est effectuée pour deux raisons : ★ Premièrement, elle permet de dissimuler l’identité de l’attaquant ; ★ Deuxièmement, la réponse à une requête envoyée par un réflecteur à la victime est beaucoup plus importante que la requête originale. M.ENNAHBAOUI 53 Attaques DRDoS (Distributed Reflector DoS) (2/4) Masters Slaves Reflectors M.ENNAHBAOUI Victim 54 Attaques DRDoS (Distributed Reflector DoS) (3/4) Les réflecteurs sont des serveurs sur internet qui font tourner un service aux clients (DNS, NTP, SNMP, IoT, jeux, etc.). Un exemple de réflecteur peut être un serveur DNS mal configuré (ou laissé dans un état par défaut) ou un serveur DNS public configuré intentionnellement pour fournir une récursion ouverte aux clients de l’Internet ★ Si un serveur DNS mal configuré par exemple réponds avec une requête 50 fois plus importantes vers l'adresse IP source. Alors, lorsqu’une machine zombie esclave envoie une requête UDP de 60 octets avec en source l'adresse IP de la victime alors ce dernier reçoit une requête UDP de 3000 octets en réponse.). Dans tous les cas, un réflecteur n’a pas l’intention de faire partie de l’attaque DDoS. M.ENNAHBAOUI 55 Attaques DRDoS (Distributed Reflector DoS) (4/4) Maîtres Esclaves Réflecteurs M.ENNAHBAOUI 56 Attaques RDoS (Reflector DoS) On a aussi les attaques RDOS (Reflector DoS) ou les attaques DoS par amplification qui représentent la version non distribuée de RDOS c’est-à-dire l’attaque est réalisée à partir d’une seule source. Réflecteurs M.ENNAHBAOUI 57 Attaques classiques en DoS et DDoS Attaques sur la bande passante → objectif : Saturation ★ UDP flooding ★ ICMP flooding ★ TCP flooding Attaques sur les failles logicielles → objectif : Exploitation des vulnérabilités ★ TCP/RST ★ Paquets malformés M.ENNAHBAOUI 58 Exemple de TCP flooding : SYN Flooding Attack (1/4) Rappel du fonctionnement d’une connexion TCP : ★ L'un des principaux moyens de se connecter aux applications Internet est le protocole TCP. ★ Cette connexion nécessite un processus handshake (une poignée de main) à trois voies : ➖ l'envoi d'un paquet SYN (synchronisation) de l'endroit où l'utilisateur se connecte au serveur, ➖ le serveur envoie ensuite un paquet SYN-ACK (accusé de réception de synchronisation), ➖ le client répond finalement par une communication ACK (accusé de réception) finale pour terminer l'établissement de liaison TCP. ★ Après avoir terminé cette séquence d’envoi et de réception de paquets, la connexion TCP est ouverte et capable d’envoyer et de recevoir des données. M.ENNAHBAOUI 59 Exemple de TCP flooding : SYN Flooding Attack (2/4) Les attaques SYN flood sont de type DoS qui vise à saturer les ressources de la cible en exploitant le protocole TCP et exactement le processus de handshake d’une connexion TCP. Lors d'une attaque SYN flood : ★ Un client malveillant envoie un grand nombre de paquets SYN au serveur (première partie de l'établissement de liaison handshake habituel) mais sans lui répondre par un ACK (troisième partie de l'établissement de liaison handshake habituel) lorsque celui-ci (le serveur web par exemple) a envoyé un SYN-ACK et essaye de contacter le client malveillant en retour pour compléter l'établissement de liaison handshake entre eux. ★ Le serveur attend alors une réponse à ces connexions TCP semi-ouvertes et n’arrive pas à compléter toutes ces demandes d’handshake initiées par l’attaquant, ⟹ ce qui implique que le serveur sera trop sollicité pour se connecter à d’autres utilisateurs légitimes. Il sera donc ralenti voire deviendra inaccessible et ne plus pouvoir accepter de nouvelles connexions. M.ENNAHBAOUI 60 Exemple de TCP flooding : SYN Flooding Attack. (3/4) Serveur En écoute… SYNC1 Pour chaque demande de connexion, il y a réservation SYNC2 de ressources. SYNC3 … SYNC4 … SYNC5 … … … M.ENNAHBAOUI 61 Exemple de TCP flooding : SYN Flooding Attack (4/4) M.ENNAHBAOUI 62 Exemples d’attaques DoS/DDoS (1/3) En 25 août 2024 : le serveur Minemen Club, bien connu dans la communauté Minecraft, a été la cible d’une attaque DDoS massive. Cette attaque a atteint un taux énorme de 3,15 milliards de paquets par seconde, établissant ainsi un nouveau record mondial. L’attaque, qui a duré un peu plus d’une heure, a principalement été orchestrée depuis la Russie, le Vietnam et la Corée du Sud. Le serveur n'a globalement eu de dégâts grâce à leur protection anti DDoS. En octobre 2023 : Google affirme avoir atténué la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée par elle ; il s'agissait d'une attaque HTTP/2 Rapid Reset dont le pic a atteint 398 millions de requêtes par seconde (r/s). En Juin 2022 : Google a fait état d'un client Google Cloud qui avait été pris pour cible par une attaque DDoS HTTPS culminant à 46 millions de requêtes par seconde. L'attaque provenait de plus de 5 000 sources réparties dans plus de 130 pays. M.ENNAHBAOUI 63 Exemples d’attaques DoS/DDoS (2/3) En novembre 2021 : Azure a subi une attaque DDoS qui atteint un débit de 3,47 térabits par seconde (Tb/s). Selon Microsoft, elle provenait d'environ 10 000 sources réparties dans au moins 10 pays. L'entreprise a précisé qu'elle avait également atténué deux autres attaques cette même année, avec un débit de plus de 2,5 Tb/s. En février 2020 : AWS a déclaré avoir atténué une immense attaque DDoS. Au plus fort de cette attaque, le trafic entrant a atteint 2,3 térabits par seconde (Tb/s). AWS n'a pas révélé lequel de ses clients était la cible de l'attaque. En avril 2019 : La société de sécurité Impreva a relevé le cas d’un de ses clients affecté par une attaque DDoS : le débit a atteint 580 millions PPS (packets per second). M.ENNAHBAOUI 64 Exemples d’attaques DoS/DDoS (3/3) En 2018 : GitHub (grande entreprise de développement logiciel et de service) a connu une large attaque DDoS contre son site : 1.35-terabit-per-second (Tbps) équivalent à 129.6 millions PPS. Et pour l’histoire, en octobre 2002 : Une attaque DDoS la plus significative à l’époque. Elle visaient les treize serveurs DNS racines : L'attaque a duré plus d'une heure et le débit a franchi 900 Mégabits/seconde. M.ENNAHBAOUI 65 Attaque MITM Attaque Man In The Midle (l’homme au milieu ou MITM) : C’est un scénario d'attaque dans lequel un pirate écoute une communication entre deux interlocuteurs et falsifie les échanges afin de se faire passer pour l'une des parties. La plupart des attaques de type MITM consistent à écouter le réseau à l'aide sniffer. Le but de l'attaquant est de se faire passer pour l'un (voire les 2) correspondants, en utilisant, par exemple : ★ ARP Spoofing : c'est probablement le cas le plus fréquent. Possible si l'un des interlocuteurs et l'attaquant se trouvent sur le même réseau local. ★ DNS Poisoning : L'attaquant altère le ou les serveur(s) DNS des parties de façon à rediriger vers lui leurs communications sans qu’ils s'en aperçoivent. ★ L'analyse de trafic : le but est de visualiser d'éventuelles transmissions non chiffrées. ★ Etc. M.ENNAHBAOUI 66 Attaque MITM : Écoute du réseau Écoute du réseau : Capturer le contenu des paquets qui ne nous sont pas destinés. Il y a plusieurs outils d’écoute du réseau, les plus connus sont : ★ Tcpdump ★ Wireshark M.ENNAHBAOUI 67 Attaque MITM M.ENNAHBAOUI 68 Attaque MITM : ARP Spoofing Rappel du fonctionnement du protocole ARP (Address Resolution Protocol = protocole de résolution d'adresse) : ★ ARP interroge en diffusion (broadcast) le réseau local en demandant l’adresse physique MAC correspond à une adresse logique IP (du destinataire) et attend qu'un ordinateur répond en fournissant l'adresse physique requise. ★ L'absence de réponse établit clairement que cette adresse logique ne correspond à aucune machine en fonctionnement sur le réseau local. ★ La réponse ARP est envoyée dans un message unicast vers la source de la requête. M.ENNAHBAOUI 69 Attaque MITM : ARP Spoofing (1/3) Cette cyberattaque est de type man in the middle. Elle consiste à exploiter une faiblesse du protocole ARP. L'objectif de l'attaque consiste à : 1. s'interposer entre deux machines du réseau ; 2. et de transmettre à chacune un paquet ARP falsifié précisant que l'adresse MAC de l'autre machine a changé, l'adresse MAC fournie étant celle de l'attaquant. Ainsi, les deux machines cibles vont mettre à jour leur table dynamique appelée Cache ARP. À chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront envoyés à l'attaquant, qui les transmettra de manière transparente à la machine destinatrice. M.ENNAHBAOUI 70 Attaque MITM : ARP Spoofing (2/3) M.ENNAHBAOUI 71 Attaque MITM : ARP Spoofing (3/3) Table de l’ARP sur PC Linux 1 Table de l’ARP sur PC Linux 2 M.ENNAHBAOUI 72 Attaque MITM : ARP Spoofing (Déroulement de l’attaque) M.ENNAHBAOUI 73 3. Virologie informatique M.ENNAHBAOUI 74 Buts d’une infection virale (1/2) Destruction ou Corruption de fichiers. ★ Destruction matérielle : (ex. exécuter une boucle sans fin mettant en œuvre certaines instructions de certains coprocesseurs et ayant la particularité de les faire chauffer jusqu'à destruction du composant). ★ Instabilité du système : (ex. engendrer un comportement conduisant au blocage total, mais sans être destructeurs). ★ Dégradation des ressources du système : Quelques virus exécutent des boucles sans fin destinées à occuper une part de la puissance de calcul de l'ordinateur, où se répliquent sur le disque dur ou en mémoire, conduisant à une saturation et au plantage, ou au ralentissement du chargement des fichiers et des programmes. ★ Compromission des paramètres de sécurité : Recherche de failles, création de failles etc. (ex. un cheval de Troie qui sert à installer un Keylogger ou un Backdoor etc....) ★ Percement des paramètres de sécurité : Le malware s'attaque aux antivirus et aux pare-feux pour les inhiber, les désactiver etc.... M.ENNAHBAOUI 75 Buts d’une infection virale (2/2) Destruction ou Corruption de fichiers. ★ Divulgation des paramètres de sécurité : Divulgation des mots de passe, des paramètres de sécurité etc.... par exemple par analyse des versions de correctifs installés etc. (le malware a un comportement de spyware). ★ Social engineering : convaincre de révéler par vous même vos codes et mots de passe, volontairement et même spontanément ★ Relais d'attaque : Ces malwares ne font rien sur votre machine, mais ils ont un mécanisme de réplication et une charge active. Ils sont uniquement préoccupés par leur réplication la plus grande possible. Puis, à une date et heure donnée, à partir de toutes les machines infectées, une attaque est lancée contre une cible, par exemple afin de la saturer. ★ Actions ennuyeuses : (ex. Affichage répétitif d'un message ou d'une image, impossibilité de cliquer sur une icône car elle disparaît à chaque fois que le pointeur de la souris s'approche, affichage des caractères à l'envers, écriture du français de droite à gauche etc. ) M.ENNAHBAOUI 76 Principaux aspects des codes ou logiciels malveillants Définition : ★ Les codes ou logiciels malveillants (sont appelés aussi malware) se définissent comme tout programme conçu dans le but d’infiltrer le système informatique d’un utilisateur dans l’intention spécifique d’effectuer un acte malveillant. ★ Cette expression "malware" est utilisée pour désigner les virus, les vers et les chevaux de Troie mais aussi les logiciels espions, les bombes logiques et d’autres formes de logiciels indésirables. M.ENNAHBAOUI 77 Qu'est-ce qui différencie un Virus, un Vers, un Parasite ? Virus, vers et parasites ont, tous, une charge active (Payload). Ce qui les différencie est : ★ leurs capacités à se répliquer dans un même ordinateur (infester la machine) ★ et à sauter d'un ordinateur à un autre (se propager). Les virus : ★ Les virus se répliquent et infectent complètement un ordinateur (ils se collent à un fichier exécutable). ★ Ils ne se propagent pas d'eux-mêmes (ils ont besoin d’un moyen). Les vers (Worm) : ★ Les vers se répliquent dans un ordinateur et l'infectent complètement. ★ Ils ont un mode de propagation autonome. Les parasites non viraux : ★ Un parasite non viral ne s'implante qu'à un seul exemplaire dans une machine (il ne se réplique pas). ★ Il est propagé par les utilisateurs ou par un cheval de Troie. M.ENNAHBAOUI 78 Structure d’un code malveillant - virus et ver (1/5) C'est l'action que le virus applique au corps infecté M.ENNAHBAOUI 79 Charge Virale (payload) Les payloads, charges utiles ou charge active ou encore charge virale, sont les éléments de cyberattaques qui provoquent des dégâts. Les payloads malveillants peuvent rester en sommeil sur un ordinateur ou un réseau pendant plusieurs secondes, voire plusieurs mois, avant d'être déclenchés. Les charges (payload) qui accompagnent les virus et les vers peuvent être classées dans les groupes suivants : ★ Portes dérobées : Elles permettent aux pirates d'accéder aux ordinateurs et aux données qu'ils contiennent. ★ Manipulation de données : Cela va des messages, des annonces et des bruits du matériel jusqu'à la suppression de fichiers et de lecteurs. ★ Chiffrement : l'accès aux données de l’utilisateur peut être bloqué par le biais du chiffrement (ransonware). ★ Espionnage des données : Les objectifs de ces attaques sont les mots de passe, les numéros des cartes de crédit, les noms d'utilisateur et autres données personnelles et secrets industriels. ★ Les attaques DDOS (déni de service distribué). M.ENNAHBAOUI 80 Structure d’un code malveillant - virus et ver (2/5) Dans le cas d’ une "bombe logique", attendre un événement temporel ou une action pour se déclencher. C'est l'action que le virus applique au corps infecté M.ENNAHBAOUI 81 Structure d’un code malveillant - virus et ver (3/5) Dans le cas d’ une "bombe logique", attendre un événement temporel ou une action pour se déclencher. C'est l'action que le virus applique au corps infecté (ou de camouflage) : Le virus va tenter de se camoufler en se rendant invisible ou en tuant ses ennemis (les antivirus), ou en changeant à chaque réplication de manière à rendre la détection par signature impossible etc. M.ENNAHBAOUI 82 Techniques de camouflage Les malwares (principalement récents) s'efforcent de ne pas être détectés par les utilisateurs et les logiciels antivirus. Pour cela, ils disposent souvent de toute une série de mécanismes : ★ Repérage : Ils repèrent les débogueurs ou s’en protègent en insérant dans leur code des lignes superflues dépourvues de sens. ★ Falsification : Pour cacher les traces d'infection, ils falsifient les messages d'état ou les entrées des journaux. Cette procédure est notamment appliquée par les Rootkits. ★ Chiffrement : Pour ne pas être découverts, les virus sont souvent chiffrés et/ou chiffrent leur code nuisible. ★ Packers : Les runtime packers permettent de déstructurer les fichiers exécutables de telle manière qu'ils deviennent indétectables par les dernières signatures antivirus. M.ENNAHBAOUI 83 Structure d’un code malveillant - virus et ver (4/5) Partie du virus qui choisit ses cibles (les Dans le cas d’ une "bombe logique", attendre un programmes en.exe ou les fichiers événement temporel ou une action pour se déclencher. système ou les macros etc....) et s'implante au niveau de ses cibles par C'est l'action que le virus les méthodes de réplications choisies. applique au corps infecté (ou de camouflage) : Le virus va tenter de se camoufler en se rendant invisible ou en tuant ses ennemis (les antivirus), ou en changeant à chaque réplication de manière à rendre la détection par signature impossible etc. M.ENNAHBAOUI 84 Typologie des réplications Il existe plusieurs types de réplications (Réplication à l'intérieur) : ★ Par secteur de boot infecté ★ Par injection et par cavité : ➖ le virus s’injecte dans un fichier exécutable et à chaque fois que le programme infesté est ouvert, le virus est exécuté puis "rend la main" à l'exécution normale du programme hôte qu'il infeste. ★ Par Recouvrement ➖ les virus à réplication par recouvrement sont destructeurs car les exécutables sont ainsi "recouverts" par un nouvel exécutable, le virus. ★ Par Compagnon M.ENNAHBAOUI 85 Structure d’un code malveillant - virus et ver (5/5) Partie du virus qui choisit ses cibles (les Dans le cas d’ une "bombe logique", attendre un programmes en.exe ou les fichiers événement temporel ou une action pour se déclencher. système ou les macros etc....) et s'implante au niveau de ses cibles par les C'est l'action que le virus méthodes de réplications choisies. applique au corps infecté Dans le cas des vers, il s'agit généralement d'un outil de pillage du (ou de camouflage) : Le virus va tenter de se carnet d'adresses et envoie (serveur camoufler SMTP) à toutes ces adresses sous forme en se rendant invisible d'un e-mail piégé. ou en tuant ses ennemis (les antivirus), Ce composant comporte plusieurs outils : ou en changeant à chaque réplication de manière à de collecte d'informations, rendre la détection par signature impossible etc. d'attaque (scan de ports, scan d'adresses IPs...) et de propagation M.ENNAHBAOUI 86 Typologie des propagations Il existe plusieurs méthodes de propagation des infections vers l'extérieur : ★ Par Hôte infecté ★ Par e-Mail et spam viral ★ Par Auto-propagation : vers ➖ Par Messagerie Instantanée et par Canaux IRC (Internet Relay Chat) ➖ Par Réseaux de P2P ➖ Par Réseaux locaux ➖ Par Internet M.ENNAHBAOUI 87 Propagation par e-mail et spam viral Propagation par spam viral avec son propre outil : les vers ★ comportent leur propre serveur de messagerie (serveur SMTP - (Simple Mail Transfer Protocol)) pour s'envoyer ★ s'attaquent à toutes les adresses trouvées sur la machine infectée (ex. le carnet d'adresses). Les méthodes sont les mêmes que celles du spam : On parle de spam viral. Propagation par spam viral assisté : les virus appuyés par un BotNet ★ Collusion entre spammeurs, éditeurs de virus et propriétaires de BotNets. Le résultat et l'architecture de la propagation sont les mêmes que le 1er type sauf que le malware n’utilise pas son propre serveur SMTP pour se propager par e-mail mais plutôt la technique de pénétration du propriétaire du BotNet (un RAT (Remote Administration Tool) installé). La propagation est plus rapide (fulgurante). M.ENNAHBAOUI 88 Virus Un virus est un programme qui cherche à se propager via d’autres programmes en les modifiant ou en s’accrochant à ceux-ci. Chaque programme infecté contribue à la propagation, l’infection est souvent rapide. Pour s’introduire dans les ordinateurs, un virus utilise les supports de données amovibles (comme les clés USB), les réseaux (poste à poste inclus), les messages électroniques ou Internet. M.ENNAHBAOUI 89 Typologie des virus (1/2) Virus du secteur d'amorçage ou virus de secteur de boot. Virus de fichiers. Virus multipartites : ★ Ce groupe de virus combine les techniques d’infection du secteur d'amorçage (ou des tables de partitions) à celles utilisées sur les fichiers exécutables. Virus compagnons. Macrovirus : ★ Les macrovirus s'accrochent aux fichiers. Ils ne sont pas exécutables et pour être exécutés, ils ont besoin d'un interprète du langage macro, comme ceux intégrés à Word, Excel, Access et PowerPoint. ★ Ils peuvent également se cacher, contaminer le secteur d'amorçage et créer des virus compagnons. M.ENNAHBAOUI 90 Typologie des virus (2/2) Virus furtifs et Rootkits : ★ Les virus furtifs et les rootkits sont dotés de mécanismes de protection spéciaux leur permettant d'échapper à leur détection par les programmes antivirus. Le but de ce type de virus est de rester indétectable afin de pouvoir utiliser les ressources de l’ordinateur infecté à l’insu de son utilisateur. Virus polymorphes : ★ Les virus polymorphes contiennent des mécanismes leur permettant de modifier leur aspect après chaque infection. Une partie du virus est ainsi chiffrée. La routine de chiffrement intégrée au virus génère à chaque copie une nouvelle clé, voire parfois de nouvelles routines. Virus métamorphes : ★ Ces virus ne se basent pas sur le chiffrement de la partie malveillante du code mais plutôt sur la mutation du code tout entier afin de ne pas être détectés par les antivirus. M.ENNAHBAOUI 91 Vers (Worm) Contrairement aux virus, les vers ne s'attachent pas aux fichiers exécutables. Ils se transmettent d'un ordinateur à l'autre par des connexions réseau ou entre ordinateurs. Il existe différents types de ver : ★ Ver de réseau : les vers exploitent des failles pour se propager. ➖ Ex. Lovsan/Blaser et CodeRed ➖ Sasser profite d'une erreur de dépassement de mémoire tampon dans le Local Security Authority Subsystem Service (LSASS) pour contaminer les ordinateurs connectés à Internet. ★ Ver de messagerie. ➖ Ex. Beagle et Sober ★ Ver peer to peer. ★ Ver de messagerie instantanée. M.ENNAHBAOUI 92 Cheval de Troie (Trojan Horses) (1/2) Un cheval de troie est un programme nuisible qui se cache dans une application apparemment saine afin de pénétrer dans l’ordinateur. Une fois dans le système, le Cheval de Troie ou trojan, en ouvre les portes et télécharge d’autres programmes nuisibles sur l’ordinateur contaminé. Il contient des segments cachés qui lui permettent de s’introduire dans les ordinateurs offrant au pirate un accès presque total au système. Un trojan ne dispose pas de routine de propagation autonome. Il se diffuse donc par téléchargement (de crack ou serial key par exemple), sous la forme d'économiseurs d'écran ou de jeux ou par courrier électronique. Une exécution du programme apparemment sain suffit pour contaminer le système. M.ENNAHBAOUI 93 Cheval de Troie (Trojan Horses) (2/2) La classification du trojan dépend de sa fonction nuisible : ★ Backdoors ouvrent une porte dérobée au niveau de l'ordinateur infecté. L'ordinateur est alors commandé à distance par le pirate. ★ Adwares, ou logiciels publicitaires, enregistrent les activités et les processus d'un ordinateur (habitudes de navigation, par exemple). Lorsque l'occasion s'y prête, des messages publicitaires sont alors affichés à l’utilisateur. ★ Spywares ou logiciels espions, permettent de voler des données utilisateur : mots de passe, documents, clés d'enregistrement de logiciels, adresses électroniques, etc. ★ Outils de téléchargement et injecteurs (Downloader et Dropper) : ont pour mission de charger ou de copier un fichier sur l'ordinateur infecté. Pour se faire, ils essaient souvent modifier ou de compromettre les paramètres de sécurité du système. M.ENNAHBAOUI 94 Les Botnets Botnet (bot=robot, net=réseau) : ★ ensemble de logiciels-robots qui fonctionnent de manière autonome et automatique, installés sur de nombreuses machines zombies, détournés à l´insu de leurs propriétaires, exécutant un programme malveillant. ★ ayant un centre de contrôle et de commande commun. Leur but est de paralyser le trafic ou servir de moteur à la diffusion de spam. Ils sont aussi utilisés pour le vol de données bancaires ou de comptes clients, ou d’autres attaques réalisées à grande échelle. M.ENNAHBAOUI 95 Mesures de protection contre les codes malveillants (1/2) Pare-feu (ou Firewall) : mettre en place des règles d’accès. ★ Système de gestion et de contrôle de trafic de données, ce dispositif filtre en permanence toutes les connexions entrantes et sortantes d’un ordinateur ou d’un réseau, son principe de configuration repose sur le filtrage de trafic entrant et sortant. L’anti-spam : est un système permettant à l’utilisateur final, le destinataire, de se prémunir au maximum contre la réception de ces mails non désirés ★ Un anti-spam s’appuie sur différentes banques de données, notamment des listes noires constituées d’adresses internet ou de pays connus pour être à l’origine de nombreux spams. Il peut aussi arrêter le courrier indésirable selon son origine, son titre ou bien par son contenu. M.ENNAHBAOUI 96 Mesures de protection contre les codes malveillants (2/2) Antivirus : Logiciel capable de détecter, arrêter et éventuellement détruire les virus contenus sur une machine infestée ★ Il a pour charge de surveiller la présence de virus et éventuellement de nettoyer, supprimer ou mettre en quarantaine le ou les fichiers infectés, il surveille tous les espaces dans lesquels un virus peut se loger, c’est à dire la mémoire et les unités de stockage. ★ Les antivirus utilisent plusieurs méthodes de détection de codes malveillants. M.ENNAHBAOUI 97 Typologie des produits antivirus La plupart des antivirus ne mettent pas en œuvre une seule méthode de détection, mais combinent plusieurs en même temps. Ce sont la qualité des méthodes et le dosage de l’une par rapport à l’autre qui font la différence. Les méthodes de détection : ★ La recherche par signature : C’est la technique du "scanner" basée sur la recherche d’une chaîne de caractères. ★ Le contrôle d’intégrité des fichiers. ★ La recherche heuristique : Elle cherche à détecter la présence d'un virus en analysant le code d'un programme inconnu. ★ L’analyse comportementale : Elle repose sur l’analyse dynamique des opérations de lecture et d’écriture en mémoire ou sur support physique. M.ENNAHBAOUI 98 L’éradication Pour obtenir l’éradication, l’antivirus doit lancer un processus automatisé inverse. Le succès s’obtiendra après : 1. Étude du code viral ; 2. Comparaison des fichiers sains et infectés ; 3. Localisation des données déplacées et sauvegardées ; 4. Marquage des fichiers nouvellement créés ; 5. Recherche des modifications annexes induites sur le système (ex. modification de la base de registres). Le travail d’éradication se complique lorsque des fichiers sains ont été modifiés pour accueillir le code viral!!. M.ENNAHBAOUI 99