KHEMIRI Sabrine Cours Scurit des Rseaux 2012

1

CHAPITRE 4:

LES ATTAQUES INFORMATIQUES

1. INTRODUCTION

Il existe de nombreux risques en scurit du systme d'information, qui voluent d'anne en

anne. Le terme criminalit informatique, aussi appel cyber-criminalit , dfinit mauvais

titre les diffrentes attaques contre les systmes informatiques.

Une attaque est l'exploitation d'une faille d'un systme informatique (systme

d'exploitation, logiciel ou bien mme de l'utilisateur) des fins non connues par l'exploitant

du systmes et gnralement prjudiciables.

2. CLASSIFICATION DES ATTAQUES

On peut classifier les attaques en deux grandes catgories :

- Les attaques passives : elles ne modifient pas le comportement du systme, et

peuvent ainsi passer inaperues (interception sans altration des donnes).

- Les attaques actives : elles modifient le contenu des informations du systme ou le

comportement du systme. Elles sont en gnral plus critique que les passives.

Fig4.1 Attaques passives et actives

http://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27informationhttp://fr.wikipedia.org/wiki/Cyber-criminalit%C3%A9http://www.commentcamarche.net/contents/systemes/sysintro.php3http://www.commentcamarche.net/contents/systemes/sysintro.php3

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

2

3. LES DIFFERENTS TYPE DATTAQUANTS (PIRATES)

En ralit il existe de nombreux types d'attaquants catgoriss selon leur exprience et selon

leurs motivations, savoir :

Les white hat hackers , hackers au sens noble du terme, dont le but est d'aider

l'amlioration des systmes et technologies informatiques, sont gnralement

l'origine des principaux protocoles et outils informatiques que nous utilisons

aujourd'hui ;

Les black hat hackers , plus couramment appels pirates (ou appels galement

crackers par extension du terme), c'est--dire des personnes s'introduisant dans les

systmes informatiques dans un but nuisible ;

Les crackers , se sont des personnes dont le but est de crer des outils logiciels

permettant d'attaquer des systmes informatiques ou de casser les protections contre la

copie des logiciels payants. Un crack est ainsi un programme cr excutable

charg de modifier (patcher) le logiciel original afin d'en supprimer les protections.

Les hacktivistes (contraction de hackers et activistes) sont des hackers dont les

objectifs sont politiques. Ses action sont notamment le piratage de sites informatiques

en altrant les donnes, en dtournant des serveurs, en remplaant des pages daccueil

afin de dtourner la signification et lengagement de ces sites.

Les script kiddies (traduisez gamins du script) sont de jeunes utilisateurs du

rseau utilisant des programmes trouvs sur Internet, gnralement de faon

maladroite, pour vandaliser des systmes informatiques afin de s'amuser.

Les carders sont des pirates qui s'attaquent principalement aux systmes de cartes

puces pour en comprendre le fonctionnement et en exploiter les failles. Le terme

carding dsigne le piratage de cartes puce.

Les phreakers sont des pirates s'intressant au rseau tlphonique commut

(RTC) afin de tlphoner gratuitement grce des circuits lectroniques connects la

ligne tlphonique dans le but d'en falsifier le fonctionnement. On appelle ainsi

phreaking le piratage de ligne tlphonique.

4. MODE DE DEROULEMENT DUNE ATTAQUE

La ralisation dune attaque suit gnralement le mme mode oprationnel.

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

3

La Figure ci-dessous prsente les diffrentes phases de droulement dune attaque.

Fig4.2 Phases caractristiques de droulement dune attaque

Phase1 : Collecte dinformation et de recherche de vulnrabilit dun systme cible.

Elle a pour objectif de rcolter le maximum dinformations sur le systme cibl afin de les

exploiter. Cela consiste connatre les mcanismes et niveaux de scurit en vigueur

concernant lidentification, lauthentification, le contrle daccs, la cryptographie, la

surveillance et identifier les failles techniques, organisationnelles, humaines de

lenvironnement. Lattaquant tirera partie le plus souvent de la navet ou de la crdulit des

utilisateurs pour leur soutirer des informations facilitant la cration dune attaque (notion de

social engineering(piratage psycologique)).

Phase2 : Savoir faire et exploitation des informations recueillies et des failles.

Le fraudeur semploie dtecter et exploiter les failles de scurit connues mais non encore

rpares (non patches) et utiliser les outils dattaques disponibles (notions de bibliothques

dattaques ou de boites outils dattaques) pour sintroduire dans les systmes.

Phase3 : Cration/Ralisation dune attaque.

Le fraudeur accde au systme et excute son action malveillante.

Phase4 : Exfiltration

Elle a pour objectifs principaux de faire en sorte que lattaque ne soit pas dtecte et que

lattaquant ne laisse pas de trace pouvant servir son identification. Pour contribuer cela, il

tente rester anonyme, il peut alors utiliser des alias (pseudonymes), usurper lidentit

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

4

numrique dutilisateurs, ou encore brouiller les pistes en passant par plusieurs systmes

intermdiaires ou relais.

5. LES TYPES DATTAQUES

Il existe de nombreuses attaques. On peut classer ces attaques en plusieurs catgories :

4.1 Les programmes malveillants

Un logiciel malveillant (malware) est un logiciel dvelopp dans le but de nuire un systme

informatique. Voici les principaux types de programmes malveillants :

Le virus : est un programme se reproduisant et contenant des instructions qui le

copient explicitement, et qui peut infecter d'autres programmes en les modifiant, ou en

modifiant l'environnement, de manire ce qu'un appel un programme infect

implique un appel une copie du virus ventuellement volue.

Le virus efface ou modifie des fichiers, formate le disque dur, redmarre lordinateur,

ouvre une porte drobe dans votre ordinateur pour permettre au pirates ou aux

spammeurs den prendre le contrle, etc.

Le vers (worm) : est un parasite informatique qui est capable de se rpliquer sur

dautres systmes informatique habituellement en exploitant les connexions rseaux.

Il a les particularits suivantes :

- Il a la capacit de se multiplier dans la mmoire de l'ordinateur sans ncessiter

un fichier/programme hte ni l'action d'une personne (contrairement aux virus).

- Il peut propager ses propres copies (ou celles de ses segments) travers les

rseaux de manire autonome en exploitant des mcanismes systmes ou rseau

(rpc, rlogin, etc.).

- Il peut trs facilement chapper tout contrle et consommer les ressources des

machines infectes. Il est dangereux car il peut dtruire les donnes d'un parc

d'ordinateurs. Au mieux, il ne fait que ralentir le rseau.

Le cheval de troie (Trojan Horse) : est un programme malicieux qui est prsent

comme un programme inoffensif tel quun conomiseur dcran, un petit jeu, etc.

Par analogie avec le mythe du cheval de Troie, lutilisateur croyant manipuler un

programme inoffensif va dclencher une action malveillante. Il ne se rplique pas

la manire des virus et ne se propage pas non plus comme les vers. On le trouve

gnralement attach des mails ou prsents sur des sites de tlchargement.

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

5

Les actions effectues par les trojans sont diverses : rcupration de fichiers de

mots de passe, infection dune machine avec un virus ou utilisation comme un

outils pour espionner des machines distantes.

Le spyware (espiogiciel): est un logiciel malveillant qui s'installe dans un

ordinateur dans le but de collecter et transfrer des informations sur

l'environnement dans lequel il s'est install, trs souvent sans que l'utilisateur en ait

connaissance. L'essor de ce type de logiciel est associ celui d'Internet qui lui sert

de moyen de transmission de donnes.

4.2 Les attaques par messagerie

En dehors de nombreux programmes malveillants qui se propagent par la messagerie

lectronique, il existe des attaques spcifiques tels que :

Le Pourriel (Spam) : Un courrier lectronique non sollicit, la plupart du temps de la

publicit. Ils encombrent le rseau.

lHameonnage : un courrier lectronique dont lexpditeur se fait gnralement

passer pour un organisme financier et demandant au destinataire de fournir des

informations confidentielles.

4.3 Les attaques sur les mots de passe :

Les attaques sur les mots de passe peuvent consister faire de nombreux essais jusqu

trouver le bon mot de passe. Dans ce cadre, notons les deux mthodes suivantes :

Lattaque par dictionnaire : cest une mthode utilise en cryptanalyse pour trouver

un mot de passe ou une cl. Elle consiste tester une srie de mots de passe potentiels,

les uns la suite des autres, en esprant que le mot de passe utilis pour le chiffrement

soit contenu dans le dictionnaire. Si ce n'est pas le cas, l'attaque chouera.

Lattaque par force brute : Il s'agit de tester, une une, toutes les combinaisons

possibles jusqu trouver la bonne solution. Cette mthode de recherche exhaustive ne

russit que dans les cas o le mot de passe cherch est constitu de peu de caractres.

(par exemple de "aaaaaa "jusqu "zzzzzz" pour un mot de passe compos strictement

de six caractres alphabtiques).

4.4 Les attaques sur le rseau :

Ce type dattaque se base principalement sur des failles lies aux protocoles ou leur

implmentation. Les principales techniques dattaques sur le rseau sont :

http://fr.wikipedia.org/wiki/Logiciel_malveillanthttp://fr.wikipedia.org/wiki/Informationhttp://fr.wikipedia.org/wiki/Internethttp://fr.wikipedia.org/wiki/Transmission_de_donn%C3%A9eshttp://fr.wikipedia.org/wiki/Cryptanalysehttp://fr.wikipedia.org/wiki/Cassage_de_mot_de_passehttp://fr.wikipedia.org/wiki/Cassage_de_mot_de_passehttp://fr.wikipedia.org/wiki/Cl%C3%A9_de_chiffrementhttp://fr.wikipedia.org/wiki/Cryptographie

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

6

4.4.1 IP Spoofing

Le IP Spoofing signifie usurpation d'adresse IP. Cest une attaque assez ancienne mais

qui existe encore. Elle sert accder un serveur ou toute autre station dont la scurit se

base sur le filtrage des adresses IP distantes, ce filtrage est gnralement assur par un

firewall. Elle est aussi utilise pour accder des stations qui utilisent des services avec une

authentification base sur l'adresse IP de la machine distante dsirant se connecter. Ces

services (rlogin et rsh sur les systmes bass sur Linux) sont rarement utiliss de nos jours.

Cette attaque consiste remplacer ladresse IP de lexpditeur dun paquet IP par ladresse IP

dune autre machine. Son principe est simple : Lattaquant essaie de profiter dune relation de

confiance (Trust) entre deux stations pour pouvoir accder lune des deux.

Cette attaque se droule en plusieurs tapes :

Trouver la machine de confiance (son adresse IP) qu'accepte le service du serveur

cible.

Mettre hors service cette machine de confiance (avec un SYN Flooding par exemple)

pour viter qu'elle ne rponde aux paquets ventuellement envoys par le serveur

cible.

Prdire les numros de squence TCP du serveur cible. Ce numro caractrise une

connexion TCP (un numro de squence initial est gnr chaque nouvelle

connexion TCP). C'est un champ de l'en-tte du protocole TCP. De nos jours ce

numro est difficilement prdictible voir impossible sur des systmes type Linux. Ce

qui n'tait pas le cas il y a quelques annes.

Lancer l'attaque. Elle va consister crer une connexion TCP sur le serveur cible.

Pour cela, l'attaquant va forger un paquet TCP avec le flag SYN et l'adresse IP source

de la machine de confiance. Le serveur cible va rpondre par un paquet TCP avec les

flags SYN-ACK. L'attaquant, qui aura prdis le numro de squence TCP, pourra

forger un paquet TCP avec le flag ACK et le bon numro d'acquittement (numro de

squence envoy par le serveur cible incrment de 1). Une connexion TCP est alors

tablie au niveau du serveur cible. L'attaquant n'a plus qu' envoyer un paquet TCP

avec le flag PSH (permettant de remonter directement l'application les donnes du

paquet) pour envoyer une commande au service (par exemple echo ++ >> /.rhosts).

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

7

L'attaquant peut accder librement au serveur cible.

Le schma suivant illustre cette attaque : La machine A est celle de l'attaquant, la C celle de

confiance et enfin Cible qui est le serveur cible. A(C) signifie que la machine A va envoyer

un paquet en spoofant l'adresse IP de la machine C :

Consquences : Usurpation d'identit et Prise de contrle du serveur cible.

4.4.2 Le dni de service (DOS Attack)

Les attaques par dni de service ont pour seul but dempcher le bon fonctionnement dun

systme (de paralyser un service ou un rseau complet) et non de rcuprer des informations.

Elles utilisent une faiblesse de larchitecture dun rseau. Il est ainsi possible denvoyer des

paquets de taille anormalement importante. Le systme victime reoit des paquets IP quil ne

peut grer et fini par stopper tous les services (saturation mmoire). Les utilisateurs ne

peuvent plus alors accder aux ressources

Exemple : Lenvoi massif de courriers lectroniques pour saturer une boite mail.

Une technique de dni de service : Smurf (Attaque par rflexion)

Cette attaque est base sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un

rseau. Le scnario d'une telle attaque est le suivant :

la machine attaquante envoie une requte ping (ping est un outil exploitant le

protocole ICMP, permettant de tester les connexions sur un rseau en envoyant un

paquet et en attendant la rponse) un ou plusieurs serveurs de diffusion en falsifiant

l'adresse IP source (adresse laquelle le serveur doit thoriquement rpondre) et en

fournissant l'adresse IP d'une machine cible.

le serveur de diffusion rpercute la requte sur l'ensemble du rseau ;

toutes les machines du rseau envoient une rponse au server de diffusion,

http://www.commentcamarche.net/contents/outils-reseau/ping.php3http://www.commentcamarche.net/contents/internet/icmp.php3

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

8

le serveur broadcast redirige les rponses vers la machine cible.

Ainsi, lorsque la machine attaquante adresse une requte plusieurs serveurs de diffusion

situs sur des rseaux diffrents, l'ensemble des rponses des ordinateurs des diffrents

rseaux vont tre routes sur la machine cible.

4.4.3 Le sniffing

Le Sniffing est une technique qui correspond lcoute passive par surveillance des paquets

IP qui transitent sur un rseau. Lun des buts finals est de rcolter illgalement des mots de

passe vhiculs en claire par les protocoles de communication.

Les logiciels, qui permettent danalyser le trafic (sniffer) sont trs utiliss des fins de gestion

de rseau, certains tant gnralement livrs en standard avec divers systmes dexploitation,

dautre tant accessible en freeware sur le rseau. Ils sexcutent sur nimporte quel PC en

sniffant et en analysant les donnes en transit sur les lignes, pour en extraire les mots de passe

transmis par lutilisateur lors de sa demande de connexion.

Cette coute passive de donnes en transit peut conduire des intrusions illicites.

4.4.4 ARP Spoofing (ARP cache Poisonning)

Cest une attaque Man in the Middle . Elle repose sur le protocole ARP (Address Resolution

Protocol). L'attaque consiste s'interposer entre deux machines du rseau et de transmettre chacune

un paquet ARP falsifi indiquant que ladresse MAC de l'autre machine a chang, l'adresse ARP

fournie tant celle de l'attaquant. Les deux machines cibles vont ainsi mettre jour leur Cache ARP.

De cette manire, chaque fois qu'une des deux machines souhaitera communiquer avec la machine

distante, les paquets seront envoys au pirate.

http://www.google.tn/url?sa=i&rct=j&q=smurf+attaque&source=images&cd=&cad=rja&docid=7B_DHhxJVORmrM&tbnid=3bN5bTl9-8JnYM:&ved=0CAUQjRw&url=http://www.commentcamarche.net/contents/attaques/attaque-smurf.php3&ei=gpY_UbOwFcnM0AW50ICYBA&bvm=bv.43287494,d.d2k&psig=AFQjCNEkPYiRurvnCsD32u6PhRmh6DAluQ&ust=1363208090486993

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

9

Remarque :

Man in the middle (lattaque de lhomme du milieu) est une attaque qui a pour but de

rcuprer des donnes sensibles qui transitent sur le rseau local.

Lobjectif de cette attaque est dintercepter les communications entre deux parties sans que ni

l'une ni l'autre ne puisse se douter que le canal de communication entre elles a t compromis.

4.4.6 DNS cache poisonnig

Les serveurs DNS possdent un cache permettant de garder pendant un certain temps la

correspondance entre un nom de machine et son adresse IP. En effet, un serveur DNS n'a les

correspondances que pour les machines du domaine sur lequel il a autorit. Pour les autres

machines, il contacte le serveur DNS ayant autorit sur le domaine auquel appartiennent ces

machines. Ces rponses, pour viter de sans cesse les redemander aux diffrents serveurs

DNS, seront gardes dans ce cache.

Le DNS Cache Poisoning consiste corrompre ce cache avec de fausses informations. Pour

cela le pirate doit avoir sous son contrle un nom de domaine (ici pirate.fr) et le serveur DNS

ayant autorit sur celui-ci (ns.pirate.fr).

L'attaque se droule en plusieurs tapes :

Le pirate envoie une requte vers le serveur DNS cible demandant la rsolution du

nom d'une machine du domaine pirate.fr (www.pirate.fr)

Le serveur DNS cible relaie cette requte ns. pirate.fr puisque c'est lui qui a autorit

sur le domaine pirate.fr

Le serveur DNS du pirate (modifi pour l'occasion) enverra alors, en plus de la

rponse, des enregistrements additionnels (dans lesquels se trouvent les informations

falsifies savoir un nom de machine publique associ une adresse IP du pirate)

KHEMIRI Sabrine Cours Scurit des Rseaux 2012

10

Les enregistrements additionnels sont alors mis dans le cache du serveur DNS cible.

Ces fausse informations sont envoyes lors dune rponse dun serveur DNS contrl

par le pirate un autre serveur DNS, lors de la demande de l@ IP dun domaine.

Lobjectif final de cette attaque est de rediriger, linsu, des internautes vers des sites

pirates. Grace cette fausse redirection, lutilisateur peut envoyer ses identifiants en toute

confiance par exemple.