Sécurité des Réseaux Informatiques - Chapitre 1-5 - 2024-2025 PDF

Document Details

Uploaded by Deleted User

Ingénierie des Données (ID)

2025

Hanane Aznaoui

Tags

sécurité réseaux sécurité informatique ingénierie des données enseignement supérieur

Summary

Ce document est un chapitre d'un cours universitaire sur la sécurité des réseaux informatiques, destiné aux étudiants en Ingénierie des Données au semestre 3. Il aborde les concepts fondamentaux de la sécurité des réseaux, les différents types d'actifs, la classification de la sécurité et les chapitres de ce cours.

Full Transcript

Sécurité des réseaux informatique Ingénierie des Données (ID) Semestre 3 Pr. AZNAOUI Hanane 2024-2025 Introduction Vous avez tous effectué des stages en entreprise, et vous avez sûrement co...

Sécurité des réseaux informatique Ingénierie des Données (ID) Semestre 3 Pr. AZNAOUI Hanane 2024-2025 Introduction Vous avez tous effectué des stages en entreprise, et vous avez sûrement constaté que : La plupart des sociétés ont remplacé les documents papier par une gestion numérique. ▪ Quels types de données avez-vous manipulés ? ▪ Ces données étaient-elles sensibles ? ▪ En cas de perte : ▪ Cela créerait-il des problèmes pour l’entreprise ? ▪ Enfin : ▪ Ces types de données nécessitent-ils d’être protégés ? 2 Introduction ▪ Les organisations comptent beaucoup sur l’utilisation des nouvelles technologies ▪ Améliorent l'efficacité et la productivité des organisations modernes. ▪ L'usage des équipements informatiques, tels que les ordinateurs et les supports de stockage, est crucial. ▪ Les systèmes d'information, incluant les systèmes opérationnels et de gestion, sont essentiels pour les organisations. ▪ L'accès à Internet est devenu indispensable pour la plupart des organisations. ▪ Les nouvelles technologies, notamment Internet, exposent les utilisateurs à de multiples attaques de sécurité, qui évoluent et se diversifient en parallèle avec les technologies. Statistiques des plaintes reçues par IC3 Source: Rapport Annuel 2023 de IC3 3 Introduction ❑ Importance de la sécurité informatique ▪ Un système d’information contient généralement toutes les informations sensibles d’une entreprise, y compris les informations relatives à son fonctionnement, sa clientèle, ses produits, etc. ▪ Certaines attaques de sécurité visant les systèmes d’information peuvent causer une suppression, altération, falsification, ou diffusion des informations sensibles dont elles effectuent leurs traitements. Ce qui pourrait induire plusieurs risques graves à l’entreprise tel que pertes financières, perte de la confiance de sa clientèle, perte de son image de marque, etc. ▪ Par conséquent, la protection des systèmes d’information contre les attaques de sécurité est primordiale. ▪ La protection des systèmes d'information et leurs résistances aux attaques de sécurité permet à leur entreprise de : ✓ Garantir la protection des informations sensibles ; ✓ Assurer la continuité de ses activités et par conséquent préserver la confiance de ses clients ; ✓ Se protéger contre les risques potentiels. 4 Droit et sécurité informatique Positionnement Pourquoi un module de sécurité pour des étudiants en ingénierie de données ? ✓ Protection des données sensibles : manipulation des informations critiques, nécessite une protection contre les cyberattaques et violations de confidentialité. ✓ Prévention des risques : La sécurité permet d'anticiper et de gérer les risques liés aux failles de sécurité, aux pertes de données, ou à la corruption d'informations. ✓ Conformité aux réglementations : En maitrisant les normes de sécurité, vous pouvez assurer que les systèmes que vous développer respectent les lois et réglementations ✓ Fiabilité des systèmes : Une bonne sécurité garantit que les systèmes de traitement et d’analyse de données restent fiables et opérationnels face aux menaces externes. ✓ Compétence clé pour l’avenir : La sécurité des données est une compétence indispensable dans un environnement numérique en constante évolution, ce qui vous rendra plus compétitifs sur le marché du travail. ‫ال يُعذر أحد بجهله للقانون‬ 5 Droit et sécurité informatique Elément de module Cours TD Protection des données 14 8 Sécurité des réseaux et cryptographie 22 10 Sécurité des systèmes d’information 26 10 6 CHAPITRE 1 CHAPITRE 4 GÉNÉRALITÉS SUR INFORMATIQUE LA SÉCURITÉ 01 04 LES DROITS NÉCESSAIRES POUR SÉCURISER L’INFORMATION CHAPITRE 2 CHAPITRE 5 LES ATTAQUES INFORMATIQUES 02 05 SÉCURISER L’ACCÈS PHYSIQUE CHAPITRE 3 CHAPITRE 6 POLITIQUE DE SÉCURITÉ DU SI 03 06 SÉCURITÉ DES SYSTÈMES D’INFORMATION CHAPITRE 1 Généralités La sécurité informatique CHAPITRE 1 1 Introduction à la Sécurité des Réseaux Comprendre les principes de base de la sécurité des réseaux 2 Les concepts de base de la sécurité Définition, Importance, principe, architecture 9 Introduction à la Sécurité des Réseaux Définition et Importance de la Sécurité des Réseaux ▪ Sécurité informatique: est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l’information, des systèmes et ressources informatiques contre les menaces. ▪ La sécurité des réseaux est cruciale dans l'environnement numérique actuel en raison de la multiplication des cybermenaces et de la dépendance croissante des organisations aux infrastructures informatiques pour leurs opérations quotidiennes. 10 Les concepts de base de la sécurité ❑ Classification de la sécurité ▪ Différentes classes de sécurité peuvent être distinguées : 1 La sécurité de l’information 2 La sécurité physique 3 La sécurité informatique Protège les informations à chaque Adresse la protection d'un système Se réfère au contrôle de l'accès étape du traitement contre les risques informatique par la prévention, la détection et physique aux ressources matérielles comme la falsification, la suppression la réduction des conséquences des actions et/ou logicielles et à leurs protections non autorisées exécutées par les utilisateurs ou la diffusion à des personnes non contre les dommages physiques et le (autorisés et/ou non autorisés). autorisées. vol, grâce à l'utilisation des outils et/ou techniques de défense. 4 La sécurité des communications 5 La sécurité opérationnelle Consiste à protéger : Il s'agit de protéger les opérations d'une organisation pour éviter Les systèmes informatiques connectés à un réseau de tout dommage aux informations sensibles échangées. La sécurité communication (tel que le réseau internet). opérationnelle met en place des mesures après une analyse des Les informations circulant dans un réseau informatique risques, en se plaçant du point de vue d'un pirate pour identifier contre les dommages potentiels. les failles. 11 Les concepts de base de la sécurité ❑ Classification de la sécurité ▪ Différentes classes de sécurité peuvent être distinguées : ▪ Partant des définitions précédentes, il est possible de noter que les quatre classes de sécurité (sécurité physique, sécurité informatique, sécurité des communications, et sécurité opérationnelle) sont indispensables pour assurer la sécurité de l’information. ▪ Par conséquent, ces quatre classes de sécurité peuvent être considérées comme sous-classes de la sécurité de l’information. 12 Les concepts de base de la sécurité ▪ Terminologie et définitions Actifs ▪ Un actif se réfère à tout ce qui a de la valeur pour une entité (une organisation ou une personne) et qui nécessite donc d’être protégé par des mesures de sécurité. ▪ Un actif peut être définit comme un bien, ayant la forme d’une donnée, appareil, ou composant, qui pourrait être consulté, utilisé, divulgué, détruit et/ou volé de manière illicite et entraîner une perte. Actifs Matériels Logiciels Informationnels Commerciaux Chapitre 1 13 Les concepts de base de la sécurité ▪ Terminologie et définitions -- Actifs ▪ Différent types d’actifs peuvent être distingués : ✓ Actifs matériels : Ce sont les biens matériels qui exécutent des tâches spécifiques et/ou fournissent des produits. Les actifs matériels incluent des serveurs physiques, des postes de travail, des supports amovibles, des équipements de réseau, etc… ✓ Actifs logiciels : Ce sont les bien logicielles qui exécutent des tâches de traitement des informations pour les transformer sous formes de données prêtes à être utilisées. Les actifs logiciels incluent les applications, les systèmes d'exploitation, les logiciels de virtualisation, les systèmes de gestion de base de données, les systèmes d'aide à la décision, etc… ✓ Actifs informationnels : Ce sont les biens qui sont liés directement aux informations ou à leurs stockages, tels que les bases de données, les systèmes de fichiers, les informations de routage, etc… Matériels ✓ Actifs commerciaux : Ce sont les autres biens d’une organisation qui ne rentrent pas dans les trois types d’actifs Chapitre 1 précédents (c.à.d., matériels, logiciels, et informationnels). Les actifs commerciaux incluent le capital humain, la réputation, l'image de l'organisation, etc… 14 Les concepts de base de la sécurité ▪ Terminologie et définitions Vulnérabilité, Menace et Attaque Vulnérabilité : La faiblesse d’un actif (ou d’une ressource) l’expose à des menaces internes et externes pouvant entraîner des défaillances ou des violations. Les faiblesses peuvent être inhérentes à la conception, à la configuration, ou à la mise en œuvre d’un actif. Les mauvaises pratiques lors de l’utilisation d’un actif, tel que l’utilisation des mots de passes faibles pour accéder à cet actif, peuvent être aussi des sources de faiblesses. Les vulnérabilités Menace : Un potentiel de violation de la sécurité Attaque : Une action ou un évènement non qui pourrait exploiter une ou plusieurs autorisée délibérée sur un actif pour causer son vulnérabilités d’un actif pour l’endommager. dysfonctionnement ou l’altération de l’information qu’il stocke. Chapitre 1 15 Les concepts de base de la sécurité ▪ Terminologie et définitions Acteur de menace, Victime, Risque et Contre-mesures ▪ Acteur de menace (Agent de menace) : Une entité qui exécute et réalise une action de menace. Un agent de menace peut être : ✓ une personne ou groupe de personnes qui sont souvent des employés de l’entreprise ou des pirates ; ✓ un programme malveillant tel que les virus ; ou la nature lorsque la menace réalisée est une menace naturelle comme les tempêtes ou les inondations. ▪ Victime : La cible d’une attaque de sécurité. Elle est généralement une entité (une personne, groupe de personnes, organisations) qui possède un ou un ensemble d’actifs menacés par des attaques de sécurité. ▪ Risque : Une mesure qui évalue la combinaison du niveau de la gravité des conséquences de l’apparition d’une attaque de sécurité et la probabilité d’occurrence associée (c.à.d., la probabilité qu'une menace particulière exploite une vulnérabilité donnée). Chapitre 1 ▪ Mesures de sécurité (Contre-mesures) : Les techniques, méthodes, et/ou outils permettant la détection, la prévention ou la récupération des attaques de sécurité. 16 Les concepts de base de la sécurité ▪ Terminologie et relations ▪ Un acteur de menace exécute des menaces, qui sont généralement concrétisées par un ensemble d’attaques de sécurité, en exploitant des vulnérabilités. ▪ Les actifs qui souffrent de la présence des vulnérabilités sont exposés à des risques potentiels. ▪ Pour protéger les actifs contre les menaces de sécurité et atténuer les risques potentiels, il est possible de mettre en place un ensemble de mesures de sécurité (contre-mesures). Chapitre 1 ▪ Une victime est la cible d’une attaque. Elle possède des actifs qui Chapitre 1 pourraient être endommagés par des menaces de sécurité 17 Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Pour assurer la sécurité de l’information, au moins les trois principaux objectives de la sécurité (souvent appelés triade DIC), que sont la disponibilité, l’intégrité et la confidentialité, doivent être atteints. → La définition de ces objectives est fournie par la suite : ✓ Disponibilité : exige qu’une ressource soit disponible et/ou fonctionnelle lorsqu' une entité autorisée la demande ; ✓ Intégrité : exige que les actifs n’ont pas été modifié, détruit, falsifié, ou perdu d’une manière non autorisée ou accidentelle ; Chapitre 1 ✓ Confidentialité : exige que les données ne soient pas divulguées aux entités à moins qu'elles n'aient été autorisées à accéder et à connaitre ces données. La triade DIC pour la sécurité de l’information Lorsqu’un objectif de sécurité est assuré, il est souvent appelé propriété de sécurité. 18 Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Disponibilité: La disponibilité désigne la capacité d'un système, d'un service ou de données à être accessibles à tout moment par les utilisateurs autorisés. ▪ But : la disponibilité permet de garantir que les ressources réseau restent fonctionnelles et accessibles, même en cas de pannes techniques, d'erreurs humaines ou d'attaques. ▪ Mécanismes courants pour assurer cette disponibilité : ✓Redondance : Prévoir des systèmes ou serveurs de secours pour pallier les pannes. ✓Répartition de charge (Load Balancing) : Répartir le trafic entre plusieurs serveurs pour éviter la surcharge. ✓Sauvegardes régulières : Stocker des copies des données critiques pour les restaurer en cas de perte. ✓Protection contre les attaques : Mettre en place des systèmes pour contrer les tentatives de surcharge des services. ✓Plans de reprise après sinistre : Élaborer des stratégies de restauration rapide des services après une interruption majeure. Ces techniques permettent de minimiser les interruptions de service et d'assurer un accès continu aux ressources réseau. 19 Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Intégrité des données : Protège les données contre la modification non autorisée, assurant ainsi leur exactitude et leur fiabilité. ▪ But : L'intégrité des données vise à assurer que les informations sont exactes, complètes et fiables, et qu'elles n'ont pas été modifiées ou corrompues sans autorisation. ▪ Mécanismes courants : ✓Contrôles d'intégrité (hashing) : Utilisation de fonctions de hachage pour vérifier que les données n'ont pas été modifiées entre leur émission et leur réception. ✓Signature numérique : Garantit l'authenticité et l'intégrité des messages en confirmant qu'ils proviennent d'une source fiable. ✓Contrôle d'accès : Limiter qui peut modifier les données, pour éviter les modifications non autorisées. ✓Audit des modifications : Garder une trace des changements apportés aux données pour identifier toute altération potentielle En résumé, l'intégrité des données vise à garantir que l'information reste inchangée, fiable et fidèle à son état original, renforçant ainsi la confiance dans les systèmes informatiques. 20 Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Confidentialité : Garantit que les données échangées restent privées et ne sont accessibles qu'aux parties autorisées. ▪ But : Protéger la vie privée des individus, ainsi que les données sensibles (comme les informations financières, médicales, personnelles ou commerciales), afin de prévenir leur divulgation, leur vol ou leur utilisation malveillante. ▪ Mécanismes courants : ✓Chiffrement ✓Gestion des droits d'accès → La confidentialité assure que les données sensibles ne sont accessibles qu'aux utilisateurs autorisés, protégeant ainsi la vie privée des individus et des organisations. 21 Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Liste exhaustive des objectives de sécurité Une liste exhaustive d'objectifs relatifs à la sécurité de l’information comprend, en plus des objectives DIC, les éléments suivants : ✓ Authenticité ✓ Contrôle d'accès ✓ Non-répudiation ✓ Traçabilité 22 Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Liste exhaustive des objectives de sécurité L’Authentification : Vérifie l’identité des entités communicantes (utilisateurs, systèmes, etc.) avant de permettre l'accès aux ressources. ▪ But : Confirmer l'identité de l'utilisateur. ▪ Mécanismes courants : ✓Mot de passe : L'utilisateur fournit un mot de passe associé à son identifiant. →Exemple : Un utilisateur doit entrer son nom d'utilisateur et son mot de passe pour prouver son identité avant de se connecter à un système. 23 Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Liste exhaustive des objectives de sécurité Contrôle d'accès : exige que l'accès à un actif ou une ressource soit contrôlée pour assurer que l’accès n’est possible que pour les entités autorisées ; ▪ But : protéger les actifs ou les ressources en s'assurant que seules les entités autorisées (utilisateurs, processus, ou systèmes) peuvent y accéder. ▪ Mécanismes courants : ✓ Identification : L'utilisateur ou l'entité doit s'identifier, souvent via un nom d'utilisateur ou un identifiant unique. ✓ Authentification : Vérification de l'identité déclarée, généralement à l'aide d'un mot de passe, d'un jeton, d'une empreinte biométrique, ou d'autres méthodes. ✓ Autorisation : Après l'authentification, l'entité se voit attribuer des droits spécifiques en fonction des autorisations accordées (lecture, écriture, modification, etc.). ✓ Audit et suivi : Enregistrement des actions effectuées par les entités pour détecter d'éventuelles violations de sécurité. →Exemple: Un employé dans une entreprise accède à des fichiers sur un serveur de l'entreprise. L'identification se fait par son compte utilisateur, l'authentification par un mot de passe ou une authentification multi-facteurs (MFA), et les autorisations sont définies en fonction de son rôle (ex. : accès en lecture seule ou avec droit d'écriture). 24 Introduction à la Sécurité des Réseaux Objectifs et propriétés de la sécurité Liste exhaustive des objectives de sécurité Non répudiation : consiste en l'assurance qu'une action sur la donnée réalisée au nom d'un utilisateur (après authentification) ne saurait être répudiée par ce dernier. ▪ But : Garantit que les parties impliquées ne peuvent pas contester leur implication dans une transaction ou une opération. ▪ Mécanismes courants : ✓Signatures numériques : Utilisent la cryptographie pour garantir que l'action ou le message provient bien du signataire et qu'il est impossible de renier cette action après coup. ✓Logs sécurisés : Enregistrent de manière détaillée et protégée toutes les actions effectuées, fournissant des preuves solides en cas de contestation. ✓Certificats électroniques : Valident l'identité des parties impliquées, associant ainsi chaque action à une personne spécifique. ✓Audit et traçabilité : Permettent de suivre et vérifier les opérations effectuées, garantissant que chaque action est correctement attribuée à l'utilisateur responsable. En résumé, Lorsqu'un employé signe numériquement un contrat, cette signature est enregistrée dans un log sécurisé. Cela permet de prouver que l'employé a bien signé le document et que le contenu est resté intact, empêchant ainsi toute tentative de nier la 25 signature ou la transaction. Les concepts de base de la sécurité Objectifs et propriétés de la sécurité Liste exhaustive des objectives de sécurité Traçabilité : exige de suivre les actions exécutées par une entité durant son accès à un actif et de journaliser des informations décrivant les actions exécutées ▪ But : permet de rendre compte des actions, de détecter les comportements anormaux et d'attribuer les responsabilités. ▪ Mécanismes courants : ✓ Journalisation : Enregistrement des actions, y compris la durée d'accès, la nature des actions (lecture, écriture, modification), et les données utilisées. ✓ Attribution unique : Chaque action doit pouvoir être reliée de manière certaine à une seule entité (utilisateur ou processus). ✓ Contrôle d’intégrité des logs : Les journaux doivent être protégés contre toute modification pour garantir leur fiabilité. ✓ Analyse des logs : Les données enregistrées peuvent être analysées périodiquement pour identifier les comportements suspects ou les anomalies. → Exemple : Utilisateur John.Doe s'est connecté le 22/09/2024 à 09:35 depuis l'IP 192.168.1.25 avec authentification 26 Les concepts de base de la sécurité L'utilité des principales propriétés de la sécurité Scénario contextuel : ▪ Une entreprise de santé, "MediCare Analytics", utilise un système de gestion de données pour collecter et analyser les informations médicales de ses patients. ▪ Ces données incluent des diagnostics médicaux, des prescriptions, et des informations personnelles sensibles. ▪ Les analystes de données de l'entreprise utilisent ces informations pour élaborer des rapports prédictifs et fournir des recommandations médicales aux hôpitaux. Collecte (données des patients) Rapports prédictifs Chapitre 1 Analyser les MediCare informations Analytics médicales Système de gestion 27 Les concepts de base de la sécurité L'utilité des principales propriétés de la sécurité o MediCare Analytics doit appliquer les principes de sécurité o Protéger les données sensibles des patients → Sécurité est essentielle non seulement d'un point de vue technique, mais aussi pour élaborer des bonnes résultats, maintenir la confiance des partenaires et garantir la continuité des services dans le secteur de la santé. Chapitre 1 28 Les concepts de base de la sécurité ❑Exercice 1: Quiz sur les notions de base de la sécurité informatique Question 1 : Quelle est la propriété de sécurité qui garantie qu'un actif est accessible uniquement aux entités autorisées ? ❑La confidentialité ❑L’intégrité ❑La disponibilité ❑L’authenticité Question 2 : Quelle est la propriété de sécurité qui consiste à assurer qu’un actif devra répondre aux demandes des entités autorisées ? ❑La confidentialité ❑L’intégrité ❑La disponibilité ❑L’authenticité Question 3 : Un agent de menace peut être : ❑Un employé ❑Un logiciel malveillant ❑Un pirate Chapitre 1 ❑Toutes les réponses sont correctes Question 4 : Toutes les informations sensibles d’une organisation (tel que chiffre d’affaires, clientèle, produits, etc.) peuvent être considérées comme actif ? ❑Vrai ❑Faux 29 Les concepts de base de la sécurité ❑Quiz sur les notions de base de la sécurité informatique Correction Question 1 : Quelle est la propriété de sécurité qui garantie qu'un actif est accessible uniquement aux entités autorisées ? 🞖 La confidentialité ❑L’intégrité ❑La disponibilité ❑L’authenticité Question 2 : Quelle est la propriété de sécurité qui consiste à assurer qu’un actif devra répondre aux demandes des entités autorisées ? ❑La confidentialité ❑L’intégrité 🞖 La disponibilité ❑L’authenticité Question 3 : Un agent de menace peut être : ❑Un employé ❑Un logiciel malveillant ❑Un pirate Chapitre 1 🞖 Toutes les réponses sont correctes Question 4 : Toutes les informations sensibles d’une organisation (tel que chiffre d’affaires, clientèle, produits, etc.) peuvent être considéré comme actif ? 🞖 Vrai 30 Les concepts de base de la sécurité ❑Exercice 2: Proposition ❑Énoncé Dans une entreprise, les documents financiers sont protégés par des mots de passe. Seuls les membres du département financier sont censés y avoir accès. L’administrateur du réseau souhaite renforcer la confidentialité des données. Quels mécanismes de sécurité pouvez-vous suggérer pour protéger ces documents de manière plus robuste que le simple mot de passe ? Chapitre 1 31 Les concepts de base de la sécurité ❑Exercice 2: proposition ❑Correction Dans une entreprise, les documents financiers sont protégés par des mots de passe. Seuls les membres du département financier sont censés y avoir accès. L’administrateur du réseau souhaite renforcer la confidentialité des données. Quels mécanismes de sécurité pouvez-vous suggérer pour protéger ces documents de manière plus robuste que le simple mot de passe ? Réponse attendue : ✓ Utilisation de chiffrement : Les fichiers doivent être chiffrés de manière à ce que seules les personnes possédant la clé de déchiffrement puissent les lire. ✓ Contrôle d'accès basé sur les rôles Chapitre 1 ✓ Audit et journalisation des accès 32 Les concepts de base de la sécurité Les Principes de Sécurité L’Authentification vérifier l’identité des personnes qui veulent manipuler l’information La Confidentialité, qui garantit que seules les personnes autorisées peuvent accéder aux données La Disponibilité, qui veille à ce que les services et les données soient accessibles quand nécessaire. L'Intégrité, qui assure que les informations ne sont pas altérées pendant leur transmission La Non répudiation est L’absence de possibilité de contestation d’une action une fois celle-ci est effectuée Ces principes doivent être intégrés à chaque niveau de l'architecture des réseaux 33 Les concepts de base de la sécurité Architecture des Réseaux – Modèle OSI Application Service applicatifs au plus proche des utilisateurs traduction des données, de leur formatage et du chiffrement, en assurant Présentation l'interopérabilité entre différents systèmes Gère les connexions (ou sessions) entre les applications, en contrôlant Session l'ouverture, la gestion et la fermeture des sessions de communication Garantit le transfert fiable des données d'un bout à l'autre, en s'assurant Transport que les paquets arrivent complets et sans erreurs. Responsable de l'adressage et de l'acheminement des paquets de Réseau données à travers différents réseaux jusqu'à leur destination finale Gère la transmission fiable des données entre deux nœuds directement Liaison de données connectés, en détectant et corrigeant les erreurs de transmission Assure la transmission des bits sous forme de signaux électriques ou Physique optiques entre les dispositifs sur un support physique (câbles, ondes, etc.) 34 Les concepts de base de la sécurité Architecture des Réseaux –Modèle OSI Application Application DATA Présentation Présentation Désencapsulassions HTTP Encapsulation Session DATA Session header TCP HTTP Transport DATA Transport header header TCP HTTP Réseau IP header DATA Réseau header MAC TCP HTTP Liaison de données Header IP header DATA Liaison de données header Physique 01000011101100011010111 Physique 35 Les concepts de base de la sécurité Les principales caractéristiques de l'architecture de sécurité OSI ❑ Norme internationale : aide à organiser les services et mécanismes de sécurité de manière cohérente et structurée. ❑ Séparation en couches : où chaque couche nécessite des mesures de sécurité spécifiques. Cela permet une approche modulaire. ❑ Services de sécurité : L’architecture propose une classification des services de sécurité, comme l’authentification, le contrôle d’accès, la confidentialité, l’intégrité des données et la gestion des clés. Ces services peuvent être appliqués à différentes couches pour protéger l'intégrité et la confidentialité des données. ❑ Mécanismes de sécurité : Des mécanismes tels que le chiffrement, la signature numérique, l'authentification ou les pare-feu sont intégrés pour fournir les services de sécurité nécessaires à chaque couche. ❑ Utilisation par les entreprises : Les fournisseurs de solutions de sécurité et de communications se basent souvent sur ce modèle pour développer des produits et des services qui répondent aux besoins de sécurité des organisations. ✓ OSI est un cadre conceptuel qui organise la sécurité des systèmes informatiques en couches ✓ permettant aux professionnels de structurer et de gérer efficacement les défis de sécurité. 36 Les concepts de base de la sécurité Protocoles de Communication : ▪ Les protocoles de communication définissent des règles et des conventions permettant l'échange de données entre les appareils. Ils sont souvent associés à des couches spécifiques du modèle OSI. ✓ HTTP (HyperText Transfer Protocol) – Utilisé pour le transfert de pages web (couche Application). ✓ TCP (Transmission Control Protocol) – Garantit la livraison fiable des paquets de données (couche Transport). ✓ UDP (User Datagram Protocol) – Fournit un transfert de données rapide mais non fiable (couche Transport). ✓ IP (Internet Protocol) – Assure l'adressage et le routage des paquets à travers le réseau (couche Réseau). ✓ Ethernet – Utilisé pour la transmission de données sur un réseau local (LAN) via câbles (couche Liaison de données). Ces concepts forment les bases des communications réseau modernes, facilitant la transmission efficace et sécurisée des données à travers différents systèmes et infrastructures. 37 Les concepts de base de la sécurité ❑Exercice 3 : Modèle OSI, Types de données et Protocoles Énoncé : 1.Associez chaque couche du modèle OSI à son type de données. 2.Citez pour chaque couche un ou plusieurs protocoles courants. 3.Expliquez le rôle de chaque couche dans la communication réseau. Chapitre 1 38 Les concepts de base de la sécurité ❑Exercice 3 : Modèle OSI, Types de données et Protocoles ❑ Correction : → Explication : ✓ Couche 1 : Physique → Bits : À ce niveau, les données sont transmises sous forme de signaux (électriques, optiques, radio) sous forme de bits. ✓ Couche 2 : Liaison de données → Trames : Ici, les bits sont regroupés en trames et le contrôle des erreurs de transmission est géré. ✓ Couche 3 : Réseau → Paquets : Cette couche segmente les données en paquets et se charge du routage pour acheminer les Chapitre 1 données entre différents réseaux. ✓ Couche 4 : Transport → Segments/Datagrammes : Elle divise les données en segments (avec TCP) ou en datagrammes (avec UDP) et assure la livraison fiable ou non fiable des données. ✓ Couches 5 à 7 : Session, Présentation, Application → Données : Ces couches manipulent les données au niveau des sessions, de leur formatage (encodage, chiffrement) et de la communication entre applications. 39 CHAPITRE 2 LES ATTAQUES INFORMATIQUES ▪ Après avoir exploré les concepts de base de la sécurité, il est essentiel de comprendre comment ces principes sont mis à l'épreuve dans des environnements réels. ▪ Le passage aux attaques permettra de mieux saisir les vulnérabilités exploitables dans les systèmes et de voir comment les mécanismes de sécurité sont contournés, mettant en lumière l'importance de mesures de protection efficaces. CHAPITRE 2 IDENTIFIER LES ATTAQUES DE SÉCURITÉ VISANT UN SI 1 Classifier les attaques de sécurité et les hackers. 3 Les attaques internes et externes des vulnérabilités 4 1 LES ATTAQUES INFORMATIQUES ❑Classifier les attaques de sécurité et les hackers Une attaque informatique est une action malveillante menée par un individu ou un groupe dans le but de compromettre la confidentialité, l'intégrité ou la disponibilité des systèmes informatiques, des réseaux, ou des données. Ces attaques visent souvent à : ✓Accéder illégalement à des données (ex : vol d'informations sensibles), ✓Perturber le fonctionnement d'un système (ex : déni de service ou DDoS), ✓Modifier ou détruire des informations (ex : altération de données), Chapitre 2 ✓Prendre le contrôle d'un système (ex : prise de contrôle à distance ou ransomwares). 42 LES ATTAQUES INFORMATIQUES ❑Classifier les attaques de sécurité et les hackers →Les Attaques internes Les attaques internes sont les attaques exécutées par des entités internes à l’organisation ou ayant un lien avec elle, comme les employés ou les partenaires. Ces individus peuvent exploiter leur accès pour nuire intentionnellement ou par négligence à la sécurité du système. →Exemples d'attaques internes : ▪ Espionnage : Un employé vole des données confidentielles pour les revendre à la concurrence. ▪ Sabotage : Un ex-employé mécontent altère ou détruit des fichiers ou des systèmes avant de quitter l'entreprise. Chapitre 2 ▪ Abus de privilèges : Un administrateur système utilise ses droits d'accès pour obtenir des informations sensibles ou accéder à des parties du système sans autorisation. 43 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques internes Les attaques internes peuvent être classifiées selon le type d’employés qui sont à l’origine des attaques internes. ✓ Employé inconscient : A un accès à des données sensibles mais ne comprend pas leur valeur ni l'importance de la sécurité, ce qui conduit à de mauvaises pratiques. ✓ Employé négligent : Mal formé sur la sécurité, il contourne les mesures pour des raisons pratiques (comme le partage de mots de passe), ce qui le rend vulnérable aux attaques d'ingénierie sociale. ✓ Employé malveillant : Vole, détruit ou publie intentionnellement des données de l'entreprise, souvent pour se venger avant de quitter son poste. Chapitre 2 ✓ Employé professionnel : Possède une expertise en sécurité, mais utilise ses compétences pour exploiter les failles de l'entreprise et vendre des informations sensibles à des concurrents. 44 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes ▪ Les attaques externes sont des attaques exécutées par des entités n’ayant aucun contact avec l’organisation victime ▪ Il existe une large variété d’attaques de sécurité externes. En fait, le nombre ainsi que la nature de ce type d’attaques évoluent chaque année. Attaques externes Attaques sur le réseau local Attaques sur Internet 45 45 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques externes sur le réseau local ✓ Le modèle OSI est structuré en couches indépendantes, chaque couche pouvant fonctionner séparément. ✓ Si une couche est compromise, les autres peuvent continuer à fonctionner sans détecter immédiatement l'intrusion. ✓ La sécurité des protocoles à chaque couche du réseau est cruciale pour éviter des failles potentielles. ✓ La couche liaison de données (niveau 2) est particulièrement vulnérable en termes de sécurité. o Il est essentiel de renforcer la sécurité à ce niveau pour éviter des Chapitre 2 attaques. o Le protocole ARP (Address Resolution Protocol), qui associe une adresse IP à une adresse MAC, est une cible fréquente d'attaques 46 dans cette couche. 46 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Différence entre IP et MAC ▪ Une adresse IP est une adresse logique utilisée pour identifier un appareil au sein d'un réseau ou sur Internet. ▪ Une adresse MAC est une adresse physique unique attribuée à la carte réseau de chaque appareil et utilisée pour l'identification au sein d'un Chapitre 2 réseau local (LAN). 47 47 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Différence entre IP et MAC ▪ Transmission des données : Lorsque vous voulez envoyer des données d'un appareil A à un appareil B dans le même réseau local, le protocole IP utilise l'adresse IP de l'appareil B. Mais pour que les données atteignent B, il faut une adresse MAC, car les commutateurs réseau (switches) travaillent au niveau des adresses MAC pour transmettre les données. ▪ Résolution d'adresse : Comme A connaît l'adresse IP de B mais pas son adresse MAC, ARP est utilisé pour trouver l'adresse MAC correspondant à une adresse IP donnée. ARP permet ainsi d'assurer la communication entre les Chapitre 2 appareils dans un réseau local en associant les adresses IP aux adresses MAC. 48 48 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Le protocole ARP (Address Resolution Protocol) est un protocole utilisé dans les réseaux informatiques, en particulier dans les réseaux IPv4, pour associer une adresse IP (logique) à une adresse MAC (physique) au sein d'un réseau local (LAN). ARP joue un rôle essentiel dans la communication réseau en permettant à un hôte d'obtenir l'adresse MAC correspondant à une adresse IP donnée, afin d'envoyer des paquets au bon destinataire au niveau de la couche liaison de données (modèle OSI, couche 2). ▪ Fonctionnement du protocole ARP : ✓ ARP request demande ARP) ✓ ARP Reply (Réponse ARP) Chapitre 2 ✓ Mise en cache 49 49 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques externes sur le réseau local Fonctionnement du Protocole ARP : 1.Une requête ARP est diffusée lorsqu'une machine "A" veut identifier l'adresse MAC d'une adresse IP donnée (figure ci-dessous) ; Requête ARP Requête ARP PC_B IP: 10.10.10.10 MAC:C PC_B Requête ARP IP: 10.10.10.2 ‘difffusion’ MAC: B Qui est 10.10.10.2? PC_B IP: 10.10.10.4 MAC: A Chapitre 2 50 50 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques externes sur le réseau local Fonctionnement du Protocole ARP : 1.Uniquement l'hôte "B" ayant cette adresse IP répond avec un message de réponse ARP unicast intégrant son adresse MAC (figure ci-dessous à droite) ; 2.L'hôte "A" prend l'adresse MAC de B et l'écrit dans son cache ARP PC_B IP: 10.10.10.2 Réponse ARP MAC: B ‘Unicast’ PC_B IP: 10.10.10.10 MAC:C Cache ARP Réponse ARP @IP @MAC Chapitre 2 10.10.10.2 B PC_B IP: 10.10.10.4 MAC: A 51 51 LES ATTAQUES INFORMATIQUES ❑Classifier les attaques de sécurité et les hackers →Les Attaques externes Faiblesses du protocole ARP et attaques ▪ Le protocole ARP présente plusieurs faiblesses qui le rend vulnérable à certaines attaques de sécurité, parmi ces faiblesses, nous citons : ✓ARP est un protocole sans état qui n'implémente pas le concept d’établissement de session. En effet, la cache ARP est mis à jour chaque fois qu'une réponse ARP est reçue, même si la machine hôte n’a pas envoyé une requête ARP. ✓ARP n’implémente aucun mécanisme d'authentification et par conséquent les intrus Chapitre 2 peuvent usurper les informations IP et MAC dans les paquets ARP pour mener certaines attaques. 52 LES ATTAQUES INFORMATIQUES ❑Classifier les attaques de sécurité et les hackers →Les Attaques externes Faiblesses du protocole ARP et attaques ▪ À cause des faiblesses citées précédemment, une attaque de sécurité peut cibler le protocole ARP qui est l’attaque d'usurpation (ARP spoofing attack). Chapitre 2 →Une attaque de type ARP Spoofing peut survenir au niveau de la couche 2, où un attaquant envoie de fausses correspondances d'adresses IP et MAC, permettant d'intercepter ou rediriger le trafic réseau, tandis que les autres couches du modèle OSI continuent de fonctionner sans détecter immédiatement l'intrusion. 53 LES ATTAQUES INFORMATIQUES ❑Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques d'usurpation (ARP spoofing attack) L'attaque par usurpation ARP (ARP spoofing) est une technique utilisée par des attaquants pour intercepter ou manipuler les communications au sein d'un réseau local (LAN). Principe de l'ARP spoofing : ▪ Le rôle de l'ARP : Le protocole ARP permet aux ordinateurs de savoir quelle adresse MAC (physique) correspond à une adresse IP (logique). C'est essentiel pour envoyer des données à la bonne machine sur un réseau local. ▪ Ce que fait l'attaquant : Lors d'une attaque ARP spoofing, l'attaquant envoie de fausses réponses ARP à deux appareils du réseau (par exemple, un ordinateur et un routeur). Il se fait passer pour un Chapitre 2 autre appareil en associant son adresse MAC à l'adresse IP d'une autre machine. ▪ Conséquence : Les appareils victimes pensent que l'adresse IP d'un autre ordinateur ou routeur appartient à l'attaquant. Cela permet à l'attaquant d'intercepter, modifier ou bloquer les communications entre ces appareils, créant ainsi une attaque Man-in-the-Middle (l'attaquant se positionne entre les deux). 54 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques d'usurpation (ARP spoofing attack) Les étapes de l’exécution de l’attaque ARP spoofing sont les suivantes : PC_C PC_B IP: 10.10.10.3 IP: 10.10.10.2 MAC:C MAC: B Pirate IP: 10.10.10.4 MAC: H Chapitre 2 55 55 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques d'usurpation (ARP spoofing attack) Les étapes de l’exécution de l’attaque ARP spoofing sont les suivantes : 1. Le pirate envoie une réponse ARP contrefaite avec l’adresse IP de l’hôte C et son adresse MAC à l’hôte B ; 2. Il envoie également une réponse ARP falsifiée avec l’adresse IP de l’hôte B et son adresse MAC à l’hôte C ; 3. Par conséquent, l'hôte de l'attaquant est insérée entre le chemin de communication des hôtes "B" et "C ". 1. Réponse 2. Réponse ARP falsifié ARP falsifié PC_C PC_B IP: 10.10.10.3 IP: 10.10.10.2 MAC:C MAC: B Réponse ARP fasifié Pirate Chapitre 2 IP: 10.10.10.4 MAC: H 56 56 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques d'usurpation (ARP spoofing attack) Les étapes de l’exécution de l’attaque ARP spoofing sont les suivantes : ➔La machine B a enregistré dans son cache ARP le mappage entre l’adresse IP de la machine C et l’adresse MAC de l’attaquant ; ➔La machine C a enregistré dans son cache ARP le mappage entre l’adresse IP de la machine B et l’adresse MAC de l’attaquant. 1. Réponse 2. Réponse ARP falsifié ARP falsifié PC_C PC_B IP: 10.10.10.3 IP: 10.10.10.2 MAC:C MAC: B Cache ARP Réponse ARP Cache ARP fasifié @IP @MAC @IP @MAC Chapitre 2 10.10.10.2 H Pirate 10.10.10.3 H IP: 10.10.10.4 MAC: H 57 57 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques d'usurpation (ARP spoofing attack) Après la réalisation de l’attaque ARP spoofing, l’attaquant relaie les messages de communication entre les deux hôtes victimes "B" et "C ", sans que ces derniers soient conscient de sa présence. En fait, comme illustré dans la figure ci-dessous à droite, tout message envoyé passe par le pirate puis il atteint sa destination finale. Message envoyé à C 4 1 PC_C PC_B IP: 10.10.10.3 IP: 10.10.10.2 MAC:C MAC: B Cache ARP Cache ARP 3 2 @IP @MAC @IP @MAC 10.10.10.2 H Pirate 10.10.10.3 H Chapitre 2 IP: 10.10.10.4 MAC: H 58 58 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Se protéger contre les Attaques d'usurpation (ARP spoofing attack) Pour se protéger contre les attaques d'usurpation ARP (ARP spoofing), il existe plusieurs mesures de sécurité que vous pouvez mettre en place à différents niveaux du réseau. Voici quelques-unes des meilleures pratiques : ✓ Configurez manuellement des entrées ARP statiques pour les appareils critiques, comme les serveurs, routeurs, et points d'accès, en associant directement les adresses IP aux adresses MAC. Cela empêche la mise à jour automatique des tables ARP par des requêtes ARP potentiellement malveillantes. Chapitre 2 ✓ Activer la détection et la protection contre les attaques ARP 59 59 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaque par inondation d'adresses MAC (MAC Flooding Attack) ▪ L'attaque par inondation d'adresses MAC est une technique qui tire parti des vulnérabilités des switches pour rediriger et capturer le trafic réseau, offrant ainsi à l'attaquant un accès à des données sensibles. ▪ L'attaque par inondation d'adresses MAC (ou MAC Flooding Attack) est une technique utilisée pour perturber le fonctionnement d'un commutateur réseau (switch). Cette attaque vise à exploiter la façon dont un switch gère sa table d'adresses MAC, une table qui associe chaque adresse MAC à un port spécifique du commutateur pour permettre l'acheminement des données de manière efficace et sécurisée. Chapitre 2 60 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Principe de fonctionnement d’une Attaque par inondation d'adresses MAC (MAC Flooding Attack) ▪ Un switch utilise une table de commutation appelée table CAM (Content Addressable Memory) pour associer les adresses MAC des périphériques connectés à chaque port. Cela permet au switch de diriger les paquets uniquement vers le port où se trouve la destination, au lieu d'envoyer les données à tous les ports comme un hub. Cette table CAM a une capacité limitée en termes d’adresses qu’elle peut stocker. ▪ Comme illustré, le commutateur transfère les trames entre le PC_C et le PC_B, grâce à sa table CAM qui contient les mappages port/adresse MAC. Dans une telle situation, un pirate qui est connecté à ce même commutateur ne peut pas recevoir une copie du trafic échangé. Chapitre 2 61 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Principe de fonctionnement d’une Attaque par inondation d'adresses MAC (MAC Flooding Attack) ✓Envoi massif de fausses adresses MAC : L'attaquant inonde le switch avec de nombreuses trames contenant des adresses MAC sources falsifiées, saturant la table CAM du switch. ✓Saturation de la table CAM : Lorsque la table CAM est pleine, le switch ne peut plus gérer correctement les adresses MAC et diffuse alors tout le trafic sur tous les ports comme un hub. ✓Redirection du trafic : L'attaquant, connecté à un des ports, peut alors recevoir des trames qui ne lui sont pas destinées et potentiellement intercepter des données sensibles. Chapitre 2 62 62 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Se protéger contre Attaque par inondation d'adresses MAC (MAC Flooding Attack) ▪ La plupart des commutateurs modernes prennent en charge la fonctionnalité Port Security, qui permet de limiter le nombre d'adresses MAC autorisées à être associées à un port spécifique. ▪ Configurer une limite sur le nombre d'adresses MAC qui peuvent être apprises dynamiquement sur chaque port. ▪ Utiliser des adresses MAC statiques pour les appareils connus et autorisés. Chapitre 2 63 63 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaque du vol de port (Port Stealing) L'attaque du vol de port (Port Stealing) est une méthode utilisée par un attaquant pour accéder à des communications réseau normalement privées entre deux appareils connectés à un commutateur (switch). L'attaquant utilise cette technique pour rediriger ou intercepter des données qui ne lui sont pas destinées. Chapitre 2 64 64 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaque du vol de port (Port Stealing) ▪ Étapes de l’exécution de l'attaque du vol de port : 1. Le pirate inonde le commutateur avec des paquets ARP falsifiés qui incluent comme : o Adresse MAC source celle de l'hôte victime ; o Adresse MAC de destination celle du pirate; 2. Comme illustré dans la figure ci-dessous, le commutateur mappe l’adresse MAC de l'hôte victime B sur le port du pirate (le port 2 dans notre exemple). →Lorsqu’un hôte C envoie un paquet à l'hôte victime B, le commutateur le transfère sur le port du pirate (qui est le port 2). Chapitre 2 65 65 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers Attaque du vol de port (Port Stealing) →Les Attaques externes 3. Lors de la réception d’un message qui est destiné à la machine victime B, le pirate l’enregistre dans une mémoire tampon et envoie une requête ARP pour demander l'adresse IP de l’hôte victime. 4. Comme illustré dans la figure ci-dessous, lorsque l’hôte victime B répond à la requête ARP reçu, le commutateur mappe l’adresse MAC de la victime à son port réel (le port 3 dans notre exemple). 5. Comme illustré dans la figure ci-dessous à droite, le pirate transmet le message envoyé qui a été mis en mémoire tampon à l'hôte victime B. 66 Chapitre 2 66 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaque du vol de port (Port Stealing) Contre-mesures : ▪ VLANs : Segmenter le réseau en VLANs pour limiter l'impact des attaques au sein d'une petite portion du réseau. ▪ Surveillance du réseau : Utiliser des systèmes de détection d'intrusion (IDS) pour identifier des comportements suspects, comme des changements fréquents dans la table CAM. Chapitre 2 67 67 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol) ▪ Les adresses IP peuvent être configurées statiquement ou dynamiquement. ▪ En statique, vous devez configurer vous-même l'adresse IP sur votre ordinateur, votre routeur ou votre commutateur. ▪ En dynamique, cela signifie que nous utilisons le protocole DHCP. Il s’agit d’un serveur qui affecte, à partir d’un Pool, des adresses IP sur des périphériques réseau. Chapitre 2 68 68 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol) Chapitre 2 69 69 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol) Les serveurs DHCP jouent un rôle vital dans la plupart des réseaux d'aujourd'hui. La plupart des périphériques réseau utilisent le DHCP pour obtenir : ▪ Une adresse IP ▪ Un masque de sous-réseau ▪ Une passerelle par défaut Chapitre 2 ▪ Et les adresses IP du serveur DNS. 70 70 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol) ▪ Le protocole DHCP est vulnérable à deux attaques de sécurité qui sont : DHCP Starvation (attaque par épuisement de ressources) et DHCP spoofing (attaque d’usurpation). ▪ Principe de l’attaque DHCP Starvation : Pour réaliser cette attaque, le pirate épuise les adresses IP disponibles dans le serveur DHCP, en lui envoyant un grand nombre de requêtes avec des adresse MAC falsifiés. Cela induit la production d’un déni de service. En effet, le serveur DHCP ne peut plus attribuer des adresses IP aux hôtes légitimes. Exécution de l’attaque DHCP Starvation Chapitre 2 Dans une attaque DHCP Starvation, un attaquant inonde le serveur DHCP de requêtes de type DHCPDISCOVER, en usurpant des adresses MAC à chaque demande. Le serveur DHCP alloue alors une adresse IP pour chaque requête, jusqu'à ce qu'il épuise son pool d'adresses disponibles. 71 71 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol) Principe de l’attaque DHCP Spoofing ▪ Le pirate déploie un serveur DHCP malveillant pour répondre aux requêtes DHCP des clients. ▪ Il envoie une réponse DHCP falsifiée avant que le serveur DHCP légitime ne réponde. ▪ La fausse réponse inclut l'adresse IP du pirate comme passerelle par défaut du client. ▪ Pour que sa réponse arrive en premier, le pirate peut : ▪ Se positionner plus près physiquement du client que le serveur DHCP légitime. ▪ Exécuter une attaque de déni de service (DoS) sur le serveur DHCP Exécution de l’attaque DHCP Spoofing légitime pour l'empêcher de répondre. Chapitre 2 ▪ Le client accepte la première réponse reçue (celle du pirate), faisant passer tout le trafic par le pirate, qui devient un "man-in-the-middle". ▪ Le pirate peut alors intercepter ou bloquer les paquets. 72 72 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Attaques ciblant le protocole DHCP (Dynamic Host Configuration Protocol) Contre-mesures contre le DHCP Spoofing : 1.DHCP Snooping (Filtrage DHCP) : 1.Activer la fonctionnalité DHCP Snooping sur les commutateurs réseau. 2.Le DHCP Snooping permet de distinguer les ports de confiance (où un serveur DHCP légitime est autorisé) et les ports non fiables (où les clients ou les attaquants pourraient tenter d’envoyer des réponses DHCP). 3.Cela empêche les réponses DHCP venant de ports non autorisés, bloquant ainsi les serveurs DHCP malveillants. 2.Port Security : 1.Limiter le nombre d'adresses MAC autorisées sur chaque port. Cela empêche un attaquant de simuler plusieurs adresses MAC ou de connecter un appareil malveillant pour servir de Chapitre 2 serveur DHCP. 73 73 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes ✓ Le DNS Spoofing Le DNS Spoofing : est une attaque où un attaquant injecte des informations falsifiées dans le cache DNS d'un serveur ou d'un client, dans le but de rediriger le trafic vers un site Web malveillant ou de compromettre les communications réseau. Le DNS Spoofing : Pousse un serveur de DNS à accepter l’intrus. 74 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Une attaque par déni de service (Denial of Service ou DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de ✓ Déni de service l’utiliser. Il peut s’agir de : ▪ L’inondation d’un réseau afin d’empêcher son fonctionnement ; ▪ La perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ; ▪ L’obstruction d’accès à un service à une personne en particulier. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. 75 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes Les DDoS ▪ Une attaque DDoS vise à rendre une ressource indisponible en la saturant de trafic provenant de plusieurs sources. ▪ L'attaquant utilise un botnet, un réseau de machines compromises, contrôlées à distance. ▪ Il envoie des commandes aux machines via des serveurs relais, et celles-ci bombardent la cible de requêtes, submergeant ses ressources. Chapitre 2 DDoS attaque LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques externes SYN flood attaque Principe d’une connexion TCP : Avant de commencer l’échange de données, l’émetteur (client) et le récepteur (Serveur) sont tenus d’établir une "connexion". Comme illustrées dans la figure, les étapes de l’établissement d’une connexion sont comme suit : 1.Le client envoie un segment TCP SYN au serveur ; 2.Le serveur reçoit SYN et répond par sagement SYN- ACK ; Chapitre 2 3.Le client reçoit SYNACK du serveur et répond par ACK Principe d’une connexion TCP qui peut contenir des données. Le principe de l'attaque SYN Flood repose sur une exploitation du processus d'établissement de connexion TCP, appelé la handshake TCP en trois étapes (SYN, SYN/ACK, ACK). 77 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers SYN flood attaque →Les Attaques externes ▪ Initiation : L'attaquant envoie un grand nombre de requêtes SYN au serveur victime en se faisant passer pour un client légitime. ▪ Adresses IP falsifiées : Les requêtes SYN utilisent de fausses adresses IP, donnant l'impression que les demandes viennent de plusieurs clients. ▪ Réponse du serveur : Le serveur répond à chaque requête avec un SYN/ACK, mais envoie ces réponses à des adresses incorrectes. ▪ Absence de réponse : Comme les adresses sont fausses, le serveur n'obtient jamais l'ACK final et attend indéfiniment. Chapitre 2 ▪ Épuisement des ressources : Les ressources du serveur sont mobilisées pour ces connexions incomplètes, ce qui finit par le submerger et le rend incapable de répondre aux nouvelles requêtes. 78 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques internet Le web BUG: Un mail publicitaire est envoyé en HTML avec une micro-image ▪ Il est inséré dans une page web ou un e-mail. invisible dans une page web ou un e- mail, servant à déclencher l'exécution ▪ Lorsqu'un utilisateur visite la page ou ouvre l'e-mail, d'un script depuis un site extérieur le web bug envoie des informations (adresse IP, type de navigateur, etc.) à un serveur de suivi. ▪ Principe de Fonctionnement 1. Insertion discrète ▪ Les données collectées sont ensuite analysées 2. Collecte de données pour étudier les habitudes des utilisateurs, souvent 3. Analyse des données à des fins marketing ou publicitaires. Ces informations sont ensuite utilisées pour comprendre les préférences des clients et améliorer les services ou les publicités. 79 LES ATTAQUES INFORMATIQUES ❑ Classifier les attaques de sécurité et les hackers →Les Attaques internet Virus: Un programme caché dans un autre qui peut s’exécuter et se reproduire en infectant d’autres programmes ou d’autres ordinateurs Principe de fonctionnement : 1.Infection initiale : Le virus s'attache à un fichier ou à un programme légitime. Lorsqu'un utilisateur exécute ce fichier ou programme, le virus s'active. 2.Propagation : Une fois activé, le virus se réplique en infectant d'autres fichiers ou programmes sur le même système ou sur d'autres systèmes lorsqu'ils sont partagés via des réseaux, des périphériques externes (comme des clés USB), ou des téléchargements. 3.Exécution des charges malveillantes : En parallèle de sa réplication, le virus peut exécuter diverses charges nuisibles, comme : 1.Corrompre ou effacer des fichiers. 2.Voler des informations. Chapitre 2 3.Perturber le fonctionnement du système. 4.Déclenchement : Certains virus sont programmés pour s'activer à un moment précis ou sous certaines conditions (par exemple, une date spécifique ou une action utilisateur). 80 QCM : Compréhension des Attaques ▪ Qu'est-ce que l'usurpation ARP ? a) Une méthode pour chiffrer des données b) Une technique permettant de rediriger le trafic vers un attaquant c) Un moyen d'augmenter la bande passante ▪ Que provoque une inondation MAC ? a) Une surcharge des adresses IP sur un réseau b) L'épuisement des ressources de la table MAC d'un commutateur c) L'amélioration de la sécurité réseau ▪ Dans une attaque par vol de port, qu'essaie de faire l'attaquant ? a) Copier des fichiers d'un serveur b) Se connecter à un port réseau utilisé par un autre utilisateur c) Chiffrer les données échangées ▪ Quel est l'objectif d'une attaque DHCP starvation ? a) Empêcher un serveur DHCP de fournir des adresses IP b) Augmenter la vitesse de distribution des adresses IP c) Chiffrer les communications réseau Chapitre 2 ▪ Qu'est-ce que le DHCP spoofing ? a) Une technique pour sécuriser les communications DHCP b) Une usurpation de serveur DHCP pour attribuer de fausses adresses IP c) Un moyen d'augmenter la bande passante sur un réseau 81 QCM : Compréhension des Attaques ▪ Qu'est-ce qu'une attaque DoS ? a) Une méthode pour sécuriser un serveur b) Une attaque visant à rendre un service indisponible c) Un moyen d'augmenter la capacité d'un serveur ▪ Que fait une attaque Syn Flood ? a) Elle envoie un grand nombre de requêtes SYN pour saturer un serveur b) Elle crypte les données échangées entre deux ordinateurs c) Elle améliore la vitesse de connexion à un réseau ▪ Quel est le rôle d'un web bug ? a) Chiffrer des données b) Collecter des informations sur les utilisateurs sans qu'ils le sachent c) Améliorer la performance d'un site web ▪ Quel type de programme est un virus ? a) Un logiciel conçu pour aider les utilisateurs b) Un code malveillant capable de se reproduire et d'infecter d'autres fichiers Chapitre 2 c) Un outil de sécurité pour protéger les données 82 Exercices : Compréhension des Attaques Exercice 1 : Scénario Un administrateur réseau remarque que son serveur DHCP ne parvient pas à attribuer d'adresses IP. Après une enquête, il découvre que de nombreuses requêtes DHCP sont envoyées rapidement et que les adresses disponibles s'épuisent rapidement. Question : Quelle attaque est en cours ? Chapitre 2 83 Exercices : Compréhension des Attaques Solution- EX1 : Scénario Un administrateur réseau remarque que son serveur DHCP ne parvient pas à attribuer d'adresses IP. Après une enquête, il découvre que de nombreuses requêtes DHCP sont envoyées rapidement et que les adresses disponibles s'épuisent rapidement. Question : Quelle attaque est en cours ? → une attaque DHCP starvation Chapitre 2 84 Exercices : Compréhension des Attaques Exercice 2 : Scénario Un utilisateur se rend compte qu'en visitant un site web, il est redirigé vers une page d'erreur ou un site différent qui semble identique, mais qui lui demande de saisir des informations personnelles. De plus, l'utilisateur a remarqué des comportements étranges dans les résultats de recherche sur son navigateur. Question : Quelle attaque est en cours ? Chapitre 2 85 Exercices : Compréhension des Attaques Exercice 2 : Scénario Un utilisateur se rend compte qu'en visitant un site web, il est redirigé vers une page d'erreur ou un site différent qui semble identique, mais qui lui demande de saisir des informations personnelles. De plus, l'utilisateur a remarqué des comportements étranges dans les résultats de recherche sur son navigateur. Question : Quelle attaque est en cours ? → Attaque de DNS spoofing Chapitre 2 86 Exercices : Compréhension des Attaques Exercice 3 : Scénario Une entreprise reçoit plusieurs plaintes de ses employés concernant des connexions lentes et des difficultés d'accès aux serveurs internes. Après une investigation, l'équipe IT découvre que des connexions réseau sont bloquées et que des messages d'erreur apparaissent. En analysant le trafic, ils remarquent qu'un grand nombre de requêtes de connexion provenant d'adresses IP douteuses saturent le réseau. Les employés ne peuvent pas accéder aux outi

Use Quizgecko on...
Browser
Browser