Cours Sécurité

Elabor par J.Alaoui page 1/210 Scurit des rseaux

SUPPORT DE COURS :

SECURITE DES RESEAUX

Anne 2003/2004 EMSI


La Scurit des Rseaux

Table des matires

1. Introduction ..........................................................................7 1.1. Quelques chiffres: .................................................... 7 1.2. Quelques exemples d'illustration:...................... 8 1.2.1. Kevin Mitnick case: .................................................. 8 1.2.2. Mafiaboy ...................................................................... 8 1.2.3. Melissa.......................................................................... 8 1.2.4. "I love you" et "Kournikova"................................ 9 1.3. Dfinitions................................................................... 9 1.4. Mthodologie.............................................................. 9

2. Les menaces ....................................................................12 2.1. Commandes SMTP .................................................. 12 2.1.1. Descriptif des commandes SMTP ...................... 12 2.2. Commandes POP3 .................................................. 14 2.3. Les attaques distantes et les intrusions ........ 16 2.3.1. Le Nuke ...................................................................... 16 2.3.2. Le Flood...................................................................... 17 2.3.3. Le TCP/SYN flooding ............................................. 17 2.3.4. Le Mail Bombing...................................................... 18 2.3.5. Le spoofing ............................................................... 19 2.3.6. Modification de l'en-tte TCP ............................. 20 2.3.7. Les sniffers ............................................................... 21 2.3.7.1. Utilisation du sniffer.............................................. 22 2.3.7.2. Protection.................................................................. 22 2.3.8. Les scanners............................................................. 23 2.3.9. Les exploits............................................................... 23 2.3.10. Denial Of Service (DoS) ....................................... 24 2.3.10.1. La technique du Denial Of Service.................... 25 2.3.10.2. La technique dite du "smurf" ............................. 25

3. Les virus............................................................................27 3.1. Introduction aux antivirus .................................. 28 3.1.1. La dtection des virus........................................... 28 3.1.2. Les virus mutants ................................................... 29 3.1.3. Les virus polymorphes.......................................... 29 3.1.4. Les rtrovirus........................................................... 30 3.1.5. Les virus de boot .................................................... 30 3.1.6. Les chevaux de Troie............................................. 30 3.1.7. Les virus trans-applicatifs (virus macros) .... 30 3.2. Les hoax..................................................................... 31 3.2.1. Comment lutter contre la dsinformation?.... 32 3.2.2. Comment vrifier qu'il s'agit d'un canular ?. 32

4. Les chevaux de Troie....................................................33 4.1. Les symptmes d'une infection......................... 34 4.2. Principe du cheval de Troie................................. 35


4.3. Se protger contre les troyens .......................... 35 4.4. En cas d'infection .................................................... 36

5. Les bombes logiques ....................................................36 6. Exemples de virus .........................................................37

6.1. Le Sircam ................................................................... 37 6.1.1. Les actions du virus ............................................... 37 6.1.2. Symptmes de l'infection .................................... 38 6.2. Le virus Magistr....................................................... 38 6.2.1. Les actions du virus ............................................... 39 6.2.2. Symptmes de l'infection .................................... 39 6.3. Le ver Nimba ............................................................ 39 6.3.1. Symptmes de l'infection .................................... 40 6.4. Le virus BadTrans................................................... 41 6.4.1. Les actions du virus ............................................... 41 6.4.2. Symptmes de l'infection .................................... 43 6.5. Le virus LovSan ....................................................... 43 6.5.1. Les actions du virus ............................................... 43 6.5.2. Symptmes de l'infection .................................... 44 6.6. L'espionnage du rseau ....................................... 45 6.6.1. Vulnrabilits des rseaux diffusion............ 45 6.6.2. Exploitation .............................................................. 45 6.6.3. Prise de contrle d'un poste utilisateur ......... 45 6.6.4. Connexion physique sur le rseau ................... 46 6.6.5. Outils d'analyse du trafic..................................... 46 6.6.6. Dtection ................................................................... 47 6.6.7. Solutions et recommandations.......................... 48

7. Mesures techniques ......................................................49 7.1. Le concentrateur scuris ................................... 49 7.1.1. La dsactivation des ports non utiliss .......... 49 7.1.2. Le brouillage de trame.......................................... 49 7.1.3. Le contrle d'adresse ............................................ 50 7.1.4. Rappel sur les adresses MAC.............................. 50 7.1.4.1. Dfinition................................................................... 50 7.1.4.2. Pourquoi une adresse lie la carte d'interface ? 51 7.1.4.3. Caractristiques ...................................................... 52 7.1.4.4. Bit de diffusion gnrale...................................... 54 7.1.4.5. Ecoute normale ....................................................... 55 7.1.4.6. Ecoute en mode dit "promiscuous".................. 55 7.1.5. Le contrle de dconnexion................................ 55 7.1.6. Les tables d'adresses ............................................ 55 7.1.6.1. L'apprentissage manuel ....................................... 56 7.1.6.2. L'apprentissage initial .......................................... 56 7.1.6.3. L'apprentissage continu....................................... 56 7.2. Scurit des routeurs............................................ 56 7.2.1. Les ACL (Access Control Lists) .......................... 57 7.2.2. Activation de l'access-list.................................... 58 7.2.3. Contrle des ACL..................................................... 59 7.2.4. Recommandations pour la configuration des routeurs 60 7.2.4.1. Dsactivation des requtes TFTP...................... 60


7.2.4.2. Dsactivation des services inutiliss............... 61 7.2.4.3. Chiffrement des mots de passe ......................... 61 7.2.4.4. Rejet des broadcasts dirigs .............................. 62 7.2.4.5. Dsactivation du routage des redirections ICMP 62 7.2.4.6. Dsactivation du routage par la source ......... 62 7.2.4.7. Limitations de l'accs Telnet sur le routeur . 63 7.2.4.8. Limitation de l'accs SNMP ................................. 63 7.3. Firewall ...................................................................... 64 7.4. Mthodes pare-feu ................................................. 66 7.4.1. Pare-feu IP ............................................................... 67 7.4.2. Proxy dapplication (ou Relais Applicatifs) ... 67 7.5. Microsoft Proxy 2.0..................................................... 69 7.6. Filtrage IP de MSProxy2.0................................... 69

8. Les VLANS ........................................................................73 8.1. Le principe ................................................................ 73 8.2. Les types de VLAN.................................................. 74 8.3. VLAN par port .......................................................... 74 8.4. VLAN par adresse IEEE......................................... 75 8.5. VLAN par protocole ................................................ 76 8.6. VLAN par sous-rseau .......................................... 77 8.7. VLAN par rgles ...................................................... 78 8.8. Le marquage ............................................................ 79 8.9. Les avantages .......................................................... 80

9. Techniques logicielles..................................................80 9.1. La translation d'adresses .................................... 80 9.1.1. NAT dynamique ........................................................ 82 9.1.2. NAT statique. ........................................................... 82 9.2. Protocole IPSec....................................................... 83 9.2.1. Prsentation gnrale .......................................... 83 9.2.2. Les implmentations d'IPSec............................. 84 9.2.3. Les services proposs par IPSec....................... 84

10. La cryptographie............................................................85 10.1. Etymologie:............................................................... 85 10.2. Qu'est-ce que la cryptographie? .......................................... 87 10.3. Les fonctions de la cryptographie .................... 89 10.3.1. La confidentialit .................................................... 89 10.3.2. L'intgrit.................................................................. 89 10.3.3. L'authentification ................................................... 89 10.3.4. La non-rpudiation ................................................ 89 10.4. Le chiffrement par substitution......................... 90 10.4.1. Le chiffrement de Csar ....................................... 90 10.4.1.1. Frquences d'apparition des lettres ................ 92 10.4.1.1.1. Le Franais................................................................ 92 10.4.1.1.2. Langlais..................................................................... 93 10.4.1.1.3. LAllemand ................................................................ 94 10.4.1.1.4. LEspagnol ................................................................. 96 10.4.1.1.5. Comparaison ............................................................ 98 10.4.2. Le chiffrage ROT13 ................................................ 98 10.4.3. La technique assyrienne ...................................... 99 10.5. Le chiffrement symtrique .................................. 99


10.5.1. Les limites du chiffrement symtrique ......... 100 10.5.1.1.1. Les schmas de Feistel....................................... 100 10.6. Le chiffrement Asymtrique ............................. 102 10.6.1. Algorithme de Diffie-Hellman .......................... 105 10.6.2. Attaque Man-in-the-middle............................... 105 10.7. Introduction la notion de signature lectronique 106 10.8. Qu'est-ce qu'une fonction de hachage ? ...... 106 10.9. Public Key Infrastructure (PKI) ...................... 109 10.9.1. Introduction la notion de certificat ............ 109 10.10. Les Cryptosystmes............................................. 112 10.10.1. Le chiffrement de Vigenre............................... 112 10.11. Crypto systmes par analyse des frquences des lettres : Al KINDI ............................................................................... 115 10.12. L'histoire de Enigma ............................................ 118 10.12.1. Le fonctionnement de Enigma ......................... 122 10.12.2. Le cassage du code d'Enigma .......................... 124 10.13. DES, le chiffrement cl secrte .................... 124 10.13.1. L'algorithme du DES ............................................ 126 10.14. IDEA = PES = IPS :Algorithme cl secrte ................... 130 10.14.1. Prsentation de l'algorithme............................ 131 10.14.2. Calcul des sous-cls............................................. 132 10.14.3. Dchiffrement......................................................... 132 10.15. L'AES ......................................................................... 133 10.16. Le systme RSA ..................................................... 136 10.17. Introduction PGP - Pretty Good Privacy ... 139

11. Commerce lectronique ............................................146 11.1. Introduction SSL ............................................... 146 11.1.1. Fonctionnement de SSL 2.0 .............................. 149 11.1.2. Problmatique ......................................................... 150 11.1.3. Le protocole SSH................................................... 151 11.1.3.1. Fonctionnement de SSH ..................................... 151 11.1.4. Mise en place du canal scuris ...................... 152 11.2. Le KERBEROS ......................................................... 154 11.2.1. Les avantages de Kerberos ............................... 154 11.2.2. Dsavantages de Kerberos ............................... 155 11.3. Le S-HTTP ................................................................ 156 11.4. La complmentarit de S-HTTP et de SSL ... 157 11.5. SET ............................................................................. 158 11.5.1. Fonctionnement de SET...................................... 158

12. La cryptanalyse .......................................................159 12.1. Recherche exhaustive de la clef...................... 159 12.2. Analyse des frquences ..................................... 159 12.3. Technique du mot probable (Cribbing) ........ 159 12.4. Test de Friedman .................................................. 159 12.5. Mthode de Babbage/Kasiski .......................... 160

13. EXEMPLES D'ILLUSTRATIONS.................................160 13.1. Le tlgramme de Zimmermann ..................... 160 13.2. le tlphone rouge ............................................... 163 13.3. Le chiffrement du Che......................................... 165


14. INSTALLATION ET MISE EN PLACE DE MS Proxy 2.0 168

14.1. Nouvelles fonctionnalits de la version 2.0 de Proxy Server 169 Mise en cache rpartie ............................................................................. 170 14.1.1.1. Chane Proxy Server associe ...................... 173 14.1.1.1.1. Protocole CARP (Cache Array Routing Protocol) 173 14.1.1.1.2. Scurit de type pare-feu ......................... 173 14.1.1.1.3. Prise en charge amliore de la publication de pages Web 175 14.2. Fonctionnalits d'administration .................... 177 14.2.1. Administration par ligne de commande ....... 177 14.2.2. Administration de tableau................................. 178 14.2.3. Scripts de configuration client......................... 178 14.2.4. Sauvegarde et restauration de configuration 178 14.3. les 3 services Proxy Server 2.0 ....................... 179 14.3.1. Le service du proxy Web.................................... 180 14.3.2. Le service du proxy WinSock ........................... 183 14.3.3. Le service du proxy SOCKS ............................... 186 14.4. Prparation de l'installation ............................. 187 14.4.1. Utilisation de Proxy Server et de DNS .......... 188 14.4.2. Utilisation de Proxy Server et de WINS ....... 189 14.4.3. Utilisation de Proxy Server et de DHCP........ 190 14.4.4. Utilisation de plusieurs serveurs Proxy Server 190 14.4.5. Utilisation de plusieurs serveurs Proxy Server et de DNS 191 14.4.6. Utilisation de plusieurs serveurs Proxy Server et de WINS 192 14.4.7. Rappel sur les rseaux TCP/IP........................ 193 14.4.8. Description de DNS .............................................. 195 14.4.9. Description de WINS ........................................... 196 14.4.10. Description de DHCP ........................................... 198 14.4.11. Description des ports .......................................... 201 14.5. Rseaux typiques ................................................. 202 14.5.1. Rseau d'entreprise de petite taille............... 202 14.5.2. Rseau d'une entreprise de petite taille ...... 203 14.5.3. Rseau d'entreprise de taille moyenne ........ 204 14.5.4. Rseau d'entreprise de taille moyenne ........ 205 14.5.4.1. Rseau de la filiale ............................................... 205 14.5.4.2. Rseau d'entreprise de grande taille ............ 208 14.5.4.3. Filiales du rseau d'une entreprise de grande taille 209


1. Introduction

1.1. Quelques chiffres:

Les statistiques publies annuellement par le CSI (le

Computer Security Institute) San Francisco en collaboration avec

le FBI sur les incidents de scurit informatique dans les grandes

entreprises amricaines dmontrent que les problmes de scurit

informatique sont rels et qu'ils ont des consquences importantes.

Le rapport de 2002 qui a concern des centaines d'entreprises

dmontre que: (voir le site www.gocsi.com)

! 90% des sonds ont dclar avoir eu des incidents

de scurit informatique durant l'anne coule;

! Les attaques recenses sont partages : 50% de

l'intrieur et 50 % de l'extrieur;

! 80% ont avou avoir subi des pertes financires

considrables;


1.2. Quelques exemples d'illustration: 1.2.1. Kevin Mitnick case:

Il s'agit du pirate informatique le plus connu (un film s'en est

inspir).

La partie la plus classique de son histoire est l'attaque qu'il a

mene contre les ordinateurs de Tsutomu Shimomura, spcialiste

en scurit informatique au San Diego Supercomputing Center,

pour lui voler des logiciels qui devaient lui permettre de pirater des

rseaux de tlphonie cellulaire. Il fut arrt en Nol 1994.

La particularit de ce pirate tait son "social engineering",

qui lui permettait de s'introduire l'intrieur des socits et se fait

pass de technicien d'informatique ou de tlphone pour pirater des

informations confidentielles avant de passer l'action.

1.2.2. Mafiaboy

Le 07 fvrier 2000, les serveurs de Yahoo, buy.com , ebay,

cnn.com, amazon.com, ZDNet, Etrade et Microsoft sont inonds

d'un raz de mare de trafic les rendant inatteignables pendant

plusieurs heures. le 16 fvrier le FBI suspecte un dnomm

Mafiaboy(un pseudonyme). Le 15 avril, un jeune canadien de 15

ans est arrt au Canada et reconnat tre le fameux Mafiaboy et

qu'il a pu pntr 75 ordinateurs grce une faille dans le port FTP.

En 2001, Mafiaboy est condamn 8 mois dans centre de dtention

pour jeunes dlinquants.

1.2.3. Melissa

Le virus Melissa est le premier virus avoir profit du

courrier lectronique sur Internet pour se propager presque

instantanment travers le web. Il s'agissait en fait d'un document


Word contenant une macro qui envoyait une copie du message aux

50 premires adresses du carnet d'adresses de votre client de

messagerie (Netscape, Outlook, Mozaic).

1.2.4. "I love you" et "Kournikova"

Ces deux virus sont similaires Melissa.

1.3. Dfinitions

La scurit informatique, d'une manire gnrale, consiste

assurer que les ressources matrielles ou logicielles d'une

organisation sont uniquement utilises dans le cadre o il est prvu

qu'elles le soient.

La scurit informatique couvre gnralement trois

principaux objectifs :

L'intgrit, c'est--dire garantir que les donnes sont

bien celles qu'on croit tre

La confidentialit, consistant assurer que seules les

personnes autorises ont accs aux ressources

La disponibilit, permettant de maintenir le bon

fonctionnement du systme informatique

1.4. Mthodologie

La scurit des systmes informatiques se cantonne

gnralement garantir les droits d'accs aux donnes et

ressources d'un systme en mettant en place des mcanismes

d'authentification et de contrle permettant d'assurer que les

utilisateurs des dites ressources possdent uniquement les droits

qui leur ont t octroy.

La scurit informatique doit toutefois tre tudie de telle

manire ne pas empcher les utilisateurs de dvelopper les


usages qui leur sont ncessaires, et de faire en sorte qu'ils

puissent utiliser le systme d'information en toute confiance.

La scurit d'un systme informatique fait souvent l'objet de

mtaphores. Ainsi on la compare rgulirement une chane en

expliquant que le niveau de scurit d'un systme est caractris

par le niveau de scurit du maillon le plus faible. Ainsi, une porte

blinde est inutile dans un btiment si les fentres sont ouvertes sur

la rue.

Cela signifie que la scurit doit tre aborde dans un

contexte global :

La sensibilisation des utilisateurs aux problmes de

scurit

La scurit logique, c'est--dire la scurit au niveau des

donnes

La scurit des tlcommunications

La scurit des applications

La scurit physique, soit la scurit au niveau des

infrastructures matrielles (accs aux salles

informatiqueetc.)

La scurit est un sujet qui doit tre approch de manire

systmatique. On ne scurise pas un btiment en apposant

simplement des serrures sur les portes. Pour qu'un btiment rsiste

des attaques il faut que l'architecte pense dj la scurit

lorsqu'il dessine les plans.

L'approche systmatique classique pour la scurisation d'un

systme informatique en rseau peut se rsum comme suit:

! Analyse de la situation: on ne va pas scuriser de la

mme manire une villa qu'une banque ou une gare;


! Analyse du risque: valuation des risques prsents

dans un systme. A ce sujet un inventaire des biens protger

dois tre tabli incluant les menaces auxquelles ils sont exposs,

et on estime ensuite la probabilit que ses menaces se ralisent.

! Politique de scurit: elle dcrit de quelle manire on

va rduire les risques pour atteindre un niveau de risque rsiduel

acceptable. C'est un document qui dcrit les diffrents lments

d'un systme d'information et les rgles qui s'y appliquent. On y

trouve par exemple une classification des informations, un

dcoupage du systme en zones plus ou moins protges et des

rgles qui indiquent les prcautions prendre en fonction de la

classification des informations et de la zone dans laquelle elles se

trouvent.

La politique de scurit est donc l'ensemble des orientations

suivies par une organisation ( prendre au sens large) en terme de

scurit. A ce titre elle se doit d'tre labore au niveau de la

direction de l'organisation concerne, car elle concerne tous les

utilisateurs du systme.

Ainsi, il ne revient pas aux administrateurs informatiques de

dfinir les droits d'accs des utilisateurs mais aux responsables

hirarchiques de ces derniers. Le rle de l'administrateur

informatique est donc de faire en sorte que les ressources

informatiques et les droits d'accs celles-ci soient en cohrence

avec la politique de scurit retenue. De plus, tant donn qu'il est

le seul connatre parfaitement le systme, il lui revient de faire

remonter les informations concernant la scurit sa direction,

ventuellement de la conseiller sur les stratgies mettre en

oeuvre, ainsi que d'tre le point d'entre concernant la

communication aux utilisateurs des problmes et recommandations

en terme de scurit.

! Mesures de scurit : Une fois que la politique de

scurit est crite, il est possible de choisir les mesures qui vont


permettre de la raliser. Ces mesures peuvent tre techniques,

comme l'installation de fire-walls, ou organisationnelles, par

exemple l'tablissement de procdures de secours ou la

nomination d'un responsable de la scurit.

! Implmentation: Ce n'est qu'une fois qu'un ensemble

de mesures a t choisi pour rpondre la politique de scurit

que l'on pourra commencer les implmenter.

! Validation: il convient enfin de valider les mesures de

scurit implmentes afin de vrifier qu'elles offrent vraiment la

protection voulue. Cette validation peut tre des audits sous

forme de scanners de vulnrabilit ou par des tests d'intrusion.

Il est noter que cette tape peut remettre en cause toutes

les autres prcdentes.

2. Les menaces

2.1. Commandes SMTP

Le protocole SMTP (Simple Mail Transfer Protocol) est le

protocole standard permettant de transfrer le courrier d'un serveur

un autre en connexion point point.

Il s'agit d'un protocole fonctionnant en mode connect,

encapsul dans une trame TCP/IP.

Le courrier est remis directement au serveur de courrier du

destinataire.

Le protocole SMTP fonctionne grce des commandes

textuelles envoyes au serveur SMTP (par dfaut le port 25).

Chacune des commandes envoyes par le client (valide par la

chane de caractres ASCII CR/LF, quivalente un appui sur la

touche entre) est suivi d'une rponse du serveur SMTP compose

d'un numro et d'un message descriptif.

2.1.1. Descriptif des commandes SMTP


Lors de l'ouverture de la session SMTP, la premire

commandes envoyer est la commande HELO suivie d'un espace

(not ) et du nom de domaine de votre machine (afin de dire

"bonjour je suis telle machine"), puis valider par entre (note

). Depuis avril 2001, les spcifications du protocole SMTP,

dfinies dans le RFC 2821, imposent que la commande HELO soit

remplace par la commande EHLO.

La seconde commande est "MAIL FROM:" suivie de l'adresse e-

mail de l'expditeur. Si la commande est accepte le serveur

renvoie le message "250 OK"

La commande DATA est la troisime tape de l'envoi. Elle

annonce le dbut du corps du message. Si la commande est

accpte le serveur renvoie un message intermdiaire numrot

354 indiquant que l'envoi du corps du mail peut commencer et

considre l'ensemble des lignes suivantes jusqu' la fin du message

repr par une ligne contenant uniquement un point. Le corps du

mail contient ventuellement certains enttes tels que:

- Date

- Subject

- Cc

- Bcc

- From

Si le message est accept le serveur renvoie le message "250

OK"

Voici un rcapitulatif des principales commandes SMTP

Commande Exemple Description

HELO (dsormais EHLO) EHLO 193.56.47.125

Identification l'aide de l'adresse IP ou du nom de domaine de l'ordinateur expditeur

MAIL FROM: MAIL FROM: [email protected]

Identification de l'adresse de l'expditeur

RCPT TO: RCPT TO: [email protected]

Identification de l'adresse du destinataire


DATA DATA message Corps du mail QUIT QUIT Sortie du serveur SMTP

HELP HELP Liste des commandes SMTP supportes par le serveur

2.2. Commandes POP3

Le protocole POP (Post Office Protocol que l'on peut traduire

par "protocole de bureau de poste") permet comme son nom

l'indique d'aller rcuprer son courrier sur un serveur distant (le

serveur POP). Il est ncessaire pour les personnes n'tant pas

connectes en permanence Internet afin de pouvoir collecter les

mails reus hors connexion.

Il existe deux principales versions de ce protocole, POP2 et

POP3, auxquels sont affects respectivement les ports 109 et 110 et

fonctionnant l'aide de commandes textuelles radicalement

diffrentes.

Tout comme dans le cas du protocole SMTP, le protocole POP

(POP2 et POP3) fonctionne grce des commandes textuelles

envoyes au serveur POP. Chacune des commandes envoyes par

le client (valide par la squence CR/LF) est compose d'un mot-

cl, ventuellement accompagn d'un ou plusieurs arguments et est

suivie d'une rponse du serveur POP compose d'un numro et d'un

message descriptif.

Commandes POP3

Commande Description

USER identifiant Cette commande permet de s'authentifier. Elle doit tre suivie du nom de l'utilisateur, c'est--dire une chane de caractres identifiant l'utilisateur sur le serveur. La


commande USER doit prcder la commande PASS.

PASS mot_de_passe

La commande PASS, permet d'indiquer le mot de passe de l'utilisateur dont le nom a t spcifi lors d'une commande USER pralable.

STAT Information sur les messages contenus sur le serveur

RETR Numro du message rcuprer

DELE Numro du message supprimer

LIST [msg] Numro du message afficher

NOOP Permet de garder les connexions ouvertes en cas d'inactivit

TOP

Commande affichant n lignes du message, dont le numro est donn en argument. En cas du rponse positive du serveur, celui-ci renvoie les en-ttes du message, puis une ligne vierge et enfin les n premires lignes du message.

UIDL [msg]

Demande au serveur de renvoyer une ligne contenant des informations sur le message ventuellement donn en argument. Cette ligne contient une chane de caractres, appele listing d'identificateur unique, permettant d'identifier de faon unique le message sur le serveur, indpendamment de la session. L'argument optionnel est un numro correspondant un message existant sur le serveur POP, c'est--dire un message non effac).

QUIT La commande QUIT demande la sortie du serveur POP3. Elle entrane la suppression de tous les messages marqus comme effacs et renvoie l'tat de cette action.

Le protocole POP3 gre ainsi l'authentification l'aide d'un

nom d'utilisateur et d'un mot de passe, il n'est par contre pas

scuris car les mots de passe, au mme titre que les mails,

circulent en clair (de manire non chiffre) sur le rseau. D'autre

part le protocole POP3 bloque la bote aux lettres lors de la

consultation, ce qui signifie qu'une consultation simultane par deux

utilisateurs d'une mme bote aux lettres est impossible.

Au mme titre qu'il est possible d'envoyer un e-mail grce telnet,

il est galement possible d'accder son courrier entrant grce

un simple telnet sur le port du serveur POP (110 par dfaut).


2.3. Les attaques distantes et les intrusions

De plus en plus de personnes s'amusent se connecter aux

ordinateurs des autres via Internet. Certaines personnes le font par

plaisir, mais la plupart du temps les personnes oprant ce genre de

techniques cherchent introduire des virus, a voler vos mots de

passe pour se connecter sur Internet sur votre compte, ou bien

d'autres buts.

Une attaque distance est une agression contre une

machine par une personne n'ayant pas les droits sur elle. Une

machine distante est "toute machine autre que la sienne et que l'on

peut joindre grce un protocole travers un rseau.

Les Hackers sont des personnes qui s'intressent de prs

aux systmes d'exploitation. Ils cherchent constamment

approfondir leurs connaissances et les faire partager. Leur but

n'est pas de nuire mais au contraire de connatre pour amliorer.

Les crashers par contre violent des systmes distance

dans un but de malveillance. Ils dtruisent des donnes,

empchent le fonctionnement de services...

2.3.1. Le Nuke

Les nukes sont des plantages de Windows dus des

utilisateurs peu intelligents (qui connaissent votre adresse IP) qui

s'amusent utiliser un bug de Windows 95 (pas 98) qui fait que si

quelqu'un envoie rptition des paquets d'informations sur le port


139, Windows affiche un magnifique cran bleu du plus bel effet,

vous n'avez plus qu' rebooter.

Pour se protger il existe des patches permettant de corriger

le bug.

2.3.2. Le Flood

Le flood consiste envoyer trs rapidement de gros paquets

d'information a une personne ( condition d'avoir un PING, c'est--

dire le temps que met l'information pour faire un aller retour entre 2

machines, trs court). La personne vise ne pourra plus rpondre

aux requtes et le modem va donc dconnecter.

Pour l'viter une solution consiste ne pas divulguer son

adresse IP.

2.3.3. Le TCP/SYN flooding

Lors d'une connexion TCP, le client et le serveur changent

des donnes et des accuss de rception pour tablir la connexion.

On appelle ce mcanisme la poigne de main en trois temps.


Toutefois ce mcanisme possde une faiblesse lorsque le

serveur renvoie un accus de rception (SYN-ACK) mais ne reoit

aucun accus (ACK) en provenance du client. Dans ce cas le serveur

cre une structure de donnes contenant toutes les connexions

ouvertes (et occupant de la place en mmoire). S'il est vrai qu'il

existe un mcanisme d'expiration permettant de fermer des

connexions ouvertes pendant un temps trop long, et ainsi librer de

la mmoire, il est possible pour un agresseur de saturer la mmoire

rapidement en envoyant suffisamment rapidement des paquets

SYN.

D'autre part, le systme agresseur fournit gnralement une

adresse de retour d'un ordinateur n'tant pas capable de rpondre.

Il est ainsi trs difficile de savoir d'o provient l'attaque...

2.3.4. Le Mail Bombing

Le mail bombing consiste envoyer plusieurs milliers de

messages identiques une bote aux lettres pour la faire saturer. En

effet les mails ne sont pas directs, ainsi lorsque vous relverez le

courrier, celui-ci mettra beaucoup trop de temps et votre bote aux

lettres sera alors inutilisable...


Les solutions:

Avoir plusieurs bote aux lettres: une importante que vous ne divulguez qu'aux personnes dignes de confiance, et une laquelle vous tenez moins.

Installer un logiciel anti-spam qui interdira la rception de plusieurs messages identiques un intervalle de temps trop court

2.3.5. Le spoofing

Le spoofing IP (en franais mystification) est une technique

permettant un pirate d'envoyer une machine des paquets

semblant provenir d'une adresse IP autre que celle de la machine

du pirate. Le spoofing IP n'est pas pour autant un changement

d'adresse IP. Plus exactement il s'agit d'une mascarade de l'adresse

IP au niveau des paquets mis, c'est--dire une modification des

paquets envoys afin de faire croire au destinataire qu'ils

proviennent d'une autre machine.

Ainsi, certains tendent assimiler l'utilisation d'un proxy

(permettant de masquer d'une certaine faon l'adresse IP) avec du

spoofing IP. Toutefois, le proxy ne fait que relayer les paquets, ainsi

mme si l'adresse est apparemment masque, un pirate peut

facilement tre retrouv grce au fichier journal (logs) du proxy.


Comme l'indique le schma ci-dessus, la technique du

spoofing (difficile mettre en oeuvre) peut permettre un pirate de

faire passer des paquets sur un rseau sans que ceux-ci ne soient

intercepts par le systme de filtrage de paquets (firewall).

En effet un firewall fonctionne grce des rgles de filtrage

indiquant quelles adresses IP sont autorises communiquer avec

les machines internes. Ainsi, un paquet spoof avec l'adresse IP

d'une machine interne semblera provenir du rseau interne et sera

transmis la machine cible, tandis qu'un paquet contenant une

adresse IP externe sera automatiquement rejete par le firewall.

Cependant, le protocole TCP (protocole assurant

principalement le transport fiable de donnes sur Internet) repose

sur des liens d'authentification et d'approbation entre les machines

d'un rseau, ce qui signifie que pour accepter le paquet, le

destinataire doit auparavant accuser rception auprs de

l'metteur, ce dernier devant nouveau accuser rception de

l'accus de rception.

2.3.6. Modification de l'en-tte TCP


Sur Internet, les informations circulent grce au protocole IP,

qui assure l'encapsulation des donnes dans des paquets (ou plus

exactement datagramme IP). Voici la structure d'un datagramme :

Version Longueur d'en-tte

type de service

Longueur totale

Identification Drapeau Dcalage fragment Dure de vie Protocole Somme de contrle en-tte

Adresse IP source Adresse IP destination

Donnes

Masquer son adresse IP avec la technique du spoofing

revient modifier le champ source afin de simuler un datagramme

provenant d'une autre adresse IP (donc d'une autre machine).

Toutefois, sur internet, les paquets sont gnralement transports

par le protocole TCP, qui assure une transmission dite fiable.

Ainsi, avant d'accepter un paquet, une machine doit

auparavant accuser rception de celui-ci auprs de la machine

mettrice, et attendre que cette dernire confirme la bonne

rception de l'accus.

2.3.7. Les sniffers

Un sniffer (appel analyseur rseau en franais) est un

dispositif permettant d'couter" le trafic d'un rseau, c'est--dire de

capturer les informations qui y circulent.

En effet dans un rseau non commut, les donnes sont

envoyes toutes les machines du rseau. Toutefois, dans une

utilisation normale les machines ignorent les paquets qui ne leur

sont pas destins.

Ainsi, en utilisant l'interface rseau dans un mode spcifique

(appel gnralement mode promiscuous) il est possible d'couter

tout le trafic passant par un adaptateur rseau (une carte rseau

Ethernet, une carte rseau sans fil, ...).


2.3.7.1. Utilisation du sniffer

Un sniffer est un formidable outil permettant d'tudier le

trafic d'un rseau. Il sert gnralement aux administrateurs pour

diagnostiquer les problmes sur leur rseau ainsi que pour

connatre le trafic qui y circule. Ainsi les dtecteurs d'intrusion (IDS,

pour intrusion detection system) sont bass sur un sniffeur pour la

capture des trames, et utilisent une base de donnes de rgles

(rules) pour dtecter des trames suspectes.

Malheureusement, comme tous les outils d'administration, le

sniffer peut galement servir une personne malveillante ayant un

accs physique au rseau pour collecter des informations. Ce risque

est encore plus important sur les rseaux sans fil car il est difficile

de confiner les ondes hertziennes dans un primtre dlimit, si

bien que des personnes malveillantes peuvent couter le traffic en

tant simplement dans le voisinage.

La grande majorit des protocoles Internet font transiter les

informations en clair, c'est--dire de manire non chiffre. Ainsi,

lorsqu'un utilisateur du rseau consulte sa messagerie via le

protocole POP ou IMAP, ou bien surfe sur Internet sur des sites dont

l'adresse ne commence pas par HTTPS, toutes les informations

envoyes ou reues peuvent tre interceptes. C'est comme cela

que des sniffers spcifiques ont t mis au point par des pirates afin

de rcuprer les mots de passe circulant dans le flux rseau.

2.3.7.2. Protection

Il existe plusieurs faons de se prmunir des dsagrments

que pourraient provoquer l'utilisation d'un sniffer sur votre rseau :


Utiliser des protocoles chiffrs pour toutes les communications

dont le contenu possde un niveau de confidentialit lev.

Segmenter le rseau afin de limiter la diffusion des

informations. Il est notamment recommand de prfrer

l'utilisation de switchs (commutateurs) celle des hubs

(concentrateurs) car ils commutent les communications, c'est-

-dire que les informations sont dlivres uniquement aux

machines destinataires.

Utiliser un dtecteur de sniffer. Il s'agit d'un outil sondant le

rseau la recherche de matriels utilisant le mode

promiscuous.

Pour les rseaux sans fil il est conseill de rduire la

puissance des matriels de telle faon ne couvrir que la

surface ncessaire. Cela n'empche pas les ventuels pirates

d'couter le rseau mais rduit le primtre gographique

dans lequel ils ont la possibilit de le faire.

2.3.8. Les scanners

Un scanner est un programme qui permet de savoir quels

ports sont ouverts sur une machine donne.

Les scanners servent pour les crackers savoir comment ils

vont procder pour attaquer une machine.

Leur utilisation n'est heureusement pas seulement malsaine,

car les scanners peuvent aussi vous permettre de dterminer quels

ports sont ouverts sur votre machine pour prvenir une attaque.

2.3.9. Les exploits

Un exploit est un programme qui exploite un bug dans un

software spcifique (le mot exploit vient de la racine exploiter).

Chaque exploit est diffrent et exploite des bugs prcis se trouvant

dans un programme utilis par le "root".

Il existe diffrents types d'exploits :


la plupart servent tre root (statut de l'administrateur systme sous linux).

certains ont pour fonctions d'afficher le fichier password. d'autres ont pour missions d'obtenir des fichiers divers sur le

systme ...

L'utilisation d'un exploit est assez simple. La plupart du

temps les exploits sont crits en langage C (ils peuvent galement

tre en PERL ou tout langage pour lequel il existe un interprteur

sur la machine cible). Il faut ainsi au hacker une connaissance

minimale en programmation pour arriver ses fins (ce qui est assez

commun pour ce type de personnes).

Afin de pouvoir l'utiliser, il doit le compiler dans son

rpertoire de travail sur la machine qu'il veut prendre d'assaut

galement appel "Shell" (qu'il aura obtenu bien avant).

Une fois l'excution russie, selon le rle de l'exploit, le

hacker peut obtenir le statut root sur la machine distante (#sous

Unix) et donc faire absolument toutes les actions qu'il dsire...

2.3.10. Denial Of Service (DoS)

Les attaques par Denial Of service (souvent abrg en DoS,

en franais "Dni de service") consistent paralyser

temporairement (rendre inactif pendant un temps donn) des

serveurs afin qu'ils ne puissent tre utiliss et consults. Elles sont

un flau pouvant toucher tout serveur mais aussi tout particulier

reli Internet. Le but d'une telle attaque n'est pas de rcuprer ou

d'altrer des donnes, mais de nuire des socits dont l'activit

repose sur un systme d'information en l'empchant de fonctionner.

D'un point de vue technique, ces attaques ne sont pas trs

compliques, mais ne sont pas moins efficaces contre tout type de

machine possdant un systme d'exploitation Windows (95, 98, NT,

2000, XP, ...), Linux (Debian, Mandrake, RedHat, Suse, ...), Unix

commercial (HP-UX, AIX, IRIX, Solaris, ...) ou tout autre systme ...


En effet, la plupart des attaques par dni de service

n'exploitent non pas les failles d'un systme d'exploitation

particulier, mais celle de l'architecture TCP/IP. Les attaques par dni

de service consistent en un envoi de paquets IP de taille ou de

constitution inhabituelle, ce qui a pour cause la saturation ou une

mauvaise gestion de la part de la machine victime, qui ne peut plus

assurer les services rseaux qu'elle propose (d'o le terme de dni

de service).

2.3.10.1. La technique du Denial Of Service

Pour tre prcis, le DoS se fait par le biais de l'envoi d'un

datagramme IP de 65536 octets fabriqu grce la fragmentation.

Une fois le datagramme refragment sur l'hte distant on obtiendra

un dbordement de mmoire (communment appel Buffer

overflow) provoquant un plantage de la machine...

2.3.10.2. La technique dite du "smurf"

La technique du "smurf" est base sur l'utilisation de

serveurs broadcast pour paralyser un rseau. Un serveur broadcast

est un serveur capable de dupliquer un message et de l'envoyer

toutes les machines prsentes sur le mme rseau que lui.

Le scnario d'une attaque est le suivant:

La machine attaquante envoie un ping (le ping est un outil

du monde UNIX pour tester les machines d'un rseau en envoyant

un paquet et en attendant la rponse) un (ou plusieurs) serveurs

broadcast en falsifiant sa propre adresse IP (l'adresse laquelle le

serveur devrait thoriquement rpondre par un pong) et en

fournissant l'adresse IP de la machine cible.

Lorsque le serveur broadcast va dispatcher le ping sur tout le

rseau, toutes les machines du rseau vont rpondre par un pong,

que le serveur broadcast va rediriger vers la machine cible.


Ainsi lorsque la machine attaquante adresse le ping a

plusieurs serveurs broadcast situs sur des rseaux diffrents,

l'ensemble des rponses de tous les ordinateurs des diffrents

rseaux vont tre reroutes sur la machine cible.

De cette faon l'essentiel du travail de l'attaquant consiste

trouver une liste de tous les serveurs broadcast et d'arriver

falsifier l'adresse de rponse afin de les diriger vers la machine

cible.


3. Les virus

Un virus est un petit programme situ dans le corps d'un

autre, qui, lorsqu'on l'excute, se charge en mmoire et excute les

instructions que son auteur a programmes.

La dfinition d'un virus pourrait tre la suivante:

"Tout programme d'ordinateur capable d'infecter un autre programme d'ordinateur en le modifiant de faon ce qu'il puisse son tour se reproduire."

Ils se multiplient pour la plupart, c'est--dire qu'ils s'insrent

dans les fichiers que vous excutez ds lors qu'ils sont rsidents en

mmoire. Le vritable nom donn aux virus est CPA soit Code Auto-

Propageable, mais par analogie avec le domaine mdical, le nom de

"virus" leur a t donn.

Les virus vont de la simple balle de ping-pong qui traverse

l'cran, au virus destructeur de donnes. Ce dernier tant la forme

de virus la plus virulente. Ainsi, tant donn qu'il existe une vaste

gamme de virus ayant des actions aussi diverses que varies, les

virus ne sont pas classs selon leurs dgts mais selon leur mode

de propagation et d'infection.

On distingue ainsi diffrents types de virus :

les vers sont des virus capables de se propager travers un

rseau

les troyens (chevaux de Troie) sont des virus permettant de

crer une faille dans un systme (gnralement pour

permettre son concepteur de s'introduire dans le systme

infect afin d'en prendre le contrle)

les bombes logiques sont des virus capables de se dclencher

suite un vnement particulier (date systme, activation

distante, ...)


Depuis quelques annes un autre phnomne est apparu, il

s'agit des canulars (en anglais hoax), c'est--dire des annonces

reues par mail (par exemple l'annonce de l'apparition d'un

nouveau virus destructeur ou bien la possibilit de gagner un

tlphone portable gratuitement,...) accompagnes d'une note

prcisant de faire suivre la nouvelle tous ses proches. Ce procd

a pour but l'engorgement des rseaux ainsi que la dsinformation.

3.1. Introduction aux antivirus

Les antivirus sont des programmes capables de dtecter la

prsence de virus sur un ordinateur, ainsi que de nettoyer celui-ci

dans la mesure du possible si jamais un ou des virus sont trouvs.

On parle ainsi d'radication de virus pour dsigner la procdure de

nettoyage de l'ordinateur.

3.1.1. La dtection des virus

Les virus se reproduisent en infectant des "applications

htes", c'est--dire en copiant une portion de code excutable au

sein d'un programme existant. Or, afin de ne pas avoir un

fonctionnement chaotique, les virus sont programms pour ne pas

infecter plusieurs fois un mme fichier. Ils intgrent ainsi dans

l'application infecte une suite d'octets leur permettant de vrifier si

le programme a pralablement t infect : il s'agit de la signature

virale.

Les antivirus s'appuient ainsi sur cette signature propre

chaque virus pour les dtecter. Il s'agit de la mthode de recherche

de signature (scanning), la plus ancienne mthode utilise par les

antivirus.

Cette mthode n'est fiable que si l'antivirus possde une

base virale jour, c'est--dire comportant les signatures de tous les

virus connus. Toutefois cette mthode ne permet pas la dtection


des virus n'ayant pas encore t rpertoris par les diteurs

d'antivirus. De plus, les programmeurs de virus les ont dsormais

dot de capacit de camouflage, de manire rendre leur signature

indtectable, il s'agit de "virus polymorphes".

Certains antivirus utilisent un contrleur d'intgrit pour

vrifier si les fichiers ont t modifis. Ainsi le contrleur d'intgrit

construit une base de donnes contenant des informations sur les

fichiers excutables du systme (date de modification, taille, et

ventuellement une somme de contrle). Ainsi, lorsqu'un fichier

excutable change de caractristiques, l'antivirus prvient

l'utilisateur de la machine.

3.1.2. Les virus mutants

En ralit, la plupart des virus sont des clones, ou plus

exactement des "mutants", c'est--dire des virus ayant t rcrits

par d'autres utilisateurs afin d'en modifier leur comportement ou

bien uniquement leur signature.

Le fait qu'il existe plusieurs versions (on parle de variantes)

d'un mme virus le rend d'autant plus difficile reprer dans la

mesure o les diteurs d'antivirus doivent ajouter ces nouvelles

signatures leurs bases de donnes ...

3.1.3. Les virus polymorphes

Etant donn que les antivirus dtectent (entre autres) les

virus grce leur signature (la succession de bits qui les identifie),

certains crateurs de virus ont pens leur donner la possibilit de

modifier automatiquement leur apparence, tel un camlon, en

dotant les virus de fonction de chiffrement et de dchiffrement de

leur signature de telle manire ce que seul le virus soit capable de

reconnatre sa propre signature.

Ce type de virus est appel virus polymorphe (ce mot

provenant du grec signifie qui peut prendre plusieurs formes).


3.1.4. Les rtrovirus

On appelle "rtrovirus" ou "virus flibustier" (en anglais

bounty hunters) un virus ayant la capacit de modifier les

signatures des antivirus afin de les rendre inoprants.

3.1.5. Les virus de boot

On appelle virus de boot, un virus capable d'infecter le

secteur de dmarrage d'un disque (MBR, soit master boot

record), c'est--dire un secteur du disque copi dans la mmoire

au dmarrage de l'ordinateur, puis excut afin d'amorcer le

dmarrage du systme d'exploitation.

3.1.6. Les chevaux de Troie

De plus, le virus peut reprsenter une faille dans la scurit

d'un rseau en crant des vulnrabilits dissimules qu'un

utilisateur extrieur pourra utiliser pour s'introduire dans le

systme, ou pour lui fournir des informations.

Le but de ces virus est de se propager, vulnrabiliser des

systmes, et "marquer" les systmes de telle faon ce qu'ils

puissent tre reprs par leurs crateurs. De tels virus dvoilent

l'ensemble des systmes d'informations d'une machine et brisent

ainsi la confidentialit des documents qu'elle renferme, on appelle

ce type de virus un cheval de Troie...

3.1.7. Les virus trans-applicatifs (virus macros)

Avec la multiplication des programmes utilisant des

macros, Microsoft a mis au point un langage de script commun

pouvant tre insr dans la plupart des documents pouvant

contenir des macros, il s'agit de VBScript, un sous-ensemble de

Visual Basic.


Ces virus arrivent actuellement infecter les macros des

documents Microsoft Office, c'est--dire qu'un tel virus peut tre

situ l'intrieur d'un banal document Word ou Excel, et excuter

une portion de code l'ouverture de celui-ci lui permettant d'une

part de se propager dans les fichiers, mais aussi d'accder au

systme d'exploitation (gnralement Windows).

Or, de plus en plus d'applications supportent Visual Basic,

ces virus peuvent donc tre imaginables sur de nombreuses

autres applications supportant le VBScript.

Le dbut du troisime millnaire a t marqu par

l'apparition grande frquences de scripts Visual Basic diffuss

par mail en fichier attach (reprables grce leur extension

.VBS) avec un titre de mail poussant ouvrir le cadeau

empoisonn.

Celui-ci a la possibilit, lorsqu'il est ouvert sur un client de

messagerie Microsoft, d'accder l'ensemble du carnet d'adresse

et de s'autodiffuser par le rseau. Ce type de virus est appel ver

(ou worm en anglais).

3.2. Les hoax

On appelle hoax (en franais canular) un courrier

lectronique propageant une fausse information et poussant le

destinataire a diffuser la fausse nouvelle a tous ces proches ou

collgues.

Ainsi, de plus en plus de personnes font suivre (anglicis en

forwardent) des informations reues par courriel sans vrifier la

vracit des propos qui y sont contenus. Le but des hoax est

simple :

provoquer la satisfaction de son concepteur d'avoir bern une

masse norme de personnes

Les consquences de ces canulars sont multiples :


ils contribuent engorger inutilement les rseaux en

provoquant une masse de donnes superflues circulant dans

les infrastructures rseaux.

ils tendent provoquer de la dsinformation, c'est--dire faire

admettre de nombreuses personnes de faux concepts ou

vhiculer de fausses rumeurs (on parle de lgendes urbaines)

pour certains de ces courriers

ils encombrent inutilement nos bote aux lettres dj charges

ils nous font perdre un temps certain

ils peuvent contribuer la dgradation de l'image d'une

personne ou bien d'une entreprise

ils provoquent un effet d'incrdulit, c'est--dire qu' force de

recevoir de fausses informations on finit par ne plus croire aux

vraies

Ainsi, il est essentiel de suivre certains principes avant de

faire circuler une information sur Internet.

3.2.1. Comment lutter contre la dsinformation?

Afin de lutter efficacement contre la propagation de fausses

informations par courrier lectronique, il suffit de retenir un seul

concept :

Ainsi tout courrier contenant une information non

accompagne d'un pointeur vers un site d'information ne doit pas

tre transmis d'autres personnes.

Lorsque vous transmettez une information des

destinataires, cherchez un site prouvant votre propos.

3.2.2. Comment vrifier qu'il s'agit d'un canular ?


Lorsque vous recevez un courriel insistant sur le fait qu'il

est essentiel de propager l'information (et ne contenant pas de

lien prouvant son intgrit), vous pouvez vrifier sur le site

hoaxbuster (site en franais) s'il s'agit effectivement d'un hoax

(canular).

Si l'information que vous avez reue ne s'y trouve pas,

recherchez l'information sur les principaux sites d'actualits ou

bien par l'intermdiaire d'un moteur de recherche (Google tant

un des plus fiables).

4. Les chevaux de Troie

On appelle "Cheval de Troie" (an anglais trojan horse) un

programme informatique effectuant des oprations malicieuses

l'insu de l'utilisateur. Le nom "Cheval de Troie" provient d'une

lgende narre dans l'Iliade (de l'crivain Homre) propos du

sige de la ville de Troie par les Grecs.

La lgende veut que les Grecs, n'arrivant pas pntrer

dans les fortifications de la ville, eurent l'ide de donner en

cadeau un norme cheval de bois en offrande la ville en

abandonnant le sige.

Les troyens (peuple de la ville de Troie), apprcirent cette

offrande priori inoffensive et la ramenrent dans les murs de la

ville. Cependant le cheval tait rempli de soldats cachs qui

s'empressrent d'en sortir la tombe de la nuit, alors que la

ville entire tait endormie, pour ouvrir les portes de la cit et en

donner l'accs au reste de l'arme ...

Un cheval de Troie (informatique) est donc un programme

cach dans un autre qui excute des commandes sournoises, et

qui gnralement donne un accs la machine sur laquelle il est

excut, par extension il est parfois nomm troyen par analogie

avec les habitants de la ville de Troie.


Un peu comme le virus, le cheval de Troie est un code

(programme) nuisible plac dans un programme sain (imaginez

une fausse commande de listage des fichiers, qui dtruit les

fichiers au-lieu d'en afficher la liste).

Un cheval de Troie peut par exemple

voler des mots de passe copier des donnes sensibles excuter tout autre action nuisible ...

Pire, un tel programme peut crer, de l'intrieur de votre

rseau, une brche volontaire dans la scurit pour autoriser des

accs des parties protges du rseau des personnes se

connectant de l'extrieur.

Les principaux chevaux de Troie sont des programmes

ouvrant des ports de la machine, c'est--dire permettant son

concepteur de s'introduire sur votre machine par le rseau en

ouvrant une porte drobe. C'est la raison pour laquelle on parle

gnralement de backdoor (littralement porte de derrire) ou de

backorifice (terme imag vulgaire signifiant "orifice de derrire"

...).

Un cheval de Troie n'est pas ncessairement un virus,

dans la mesure o son but n'est pas de se reproduire pour

infecter d'autres machines.

Par contre certains virus peuvent galement tre des

chevaux de Troie, c'est--dire se propager comme un virus

et ouvrir un port sur votre machine !

Dtecter un tel programme est difficile car il faut arriver

dtecter si l'action du programme (le cheval de Troie) est voulue

ou non par l'utilisateur.

4.1. Les symptmes d'une infection


Une infection par un cheval de Troie fait gnralement suite

l'ouverture d'un fichier contamin contenant le cheval de Troie

(voir l'article sur la protection contre les vers) et se traduit par les

symptmes suivants :

activit anormale du modem: des donnes sont charges alors que vous ne faites rien

des ractions curieuses de la souris des ouvertures impromptues de programmes des plantages rptition ...

4.2. Principe du cheval de Troie

Le principe des chevaux de Troie tant gnralement (et de

plus en plus) d'ouvrir un port de votre machine pour permettre

un pirate d'en prendre le contrle (par exemple voler des donnes

personnelles stockes sur le disque), le but du pirate est dans un

premier temps d'infecter votre machine en vous faisant ouvrir un

fichier infect contenant le troyen et dans un second temps

d'accder votre machine par le port qu'il a ouvert.

Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate

doit gnralement en connatre l'adresse IP. Ainsi :

soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connect par cble, ...) auquel l'adresse IP peut tre facilement rcupre;

soit votre adresse IP est dynamique (affecte chaque connexion), c'est le cas pour les connexions par modem; auquel cas le pirate doit scanner des adresses IP au hasard afin de dceler les adresses IP correspondant des machines infectes.

4.3. Se protger contre les troyens

Pour se protger de ce genre d'intrusion, il suffit d'installer

un firewall, c'est--dire un programme filtrant les communications

entrant et sortant de votre machine.


Un firewall (littralement pare-feu) permet ainsi d'une part

de voir les communications sortant de votre machines (donc

normalement inities par des programmes que vous utilisez) ou

bien les communications entrant. Toutefois, il n'est pas exclu que

le firewall dtecte des connexions provenant de l'extrieur sans

pour autant que vous ne soyez la victime choisie d'un hacker. En

effet il peut s'agir de tests effectus par votre fournisseur d'accs

ou bien un hacker scannant au hasard une plage d'adresses IP.

Pour les systmes de type Windows, il existe des firewalls

gratuits trs performant :

ZoneAlarm Tiny personal firewall

4.4. En cas d'infection

Si un programme dont l'origine vous est inconnue essaye

d'ouvrir une connexion, le firewall vous demandera une

confirmation pour initier la connexion.

Il est essentiel de ne pas autoriser la connexion aux

programmes que vous ne connaissez pas, car il peut trs bien

s'agir d'un cheval de Troie.

5. Les bombes logiques

Sont appels bombes logiques les dispositifs programms

dont le dclenchement s'effectue un moment dtermin en

exploitant la date du systme, le lancement d'une commande, ou

n'importe quel appel au systme.

Ainsi ce type de virus est capable de s'activer un moment

prcis sur un grand nombre de machines (on parle alors de

bombe retardement ou de bombe temporelle), par exemple le

jour de la Saint Valentin, ou la date anniversaire d'un vnement

majeur : la bombe logique Tchernobyl s'est active le 26 avril

1999, jour du 13me anniversaire de la catastrophe nuclaire ...


Les bombes logiques sont gnralement utilises dans le

but de crer un dni de service en saturant les connexions rseau

d'un site, d'un service en ligne ou d'une entreprise !

6. Exemples de virus 6.1. Le Sircam

Le virus Sircam (nom de code W32.Sircam.Worm@mm,

Backdoor.SirCam ou Troj_Sircam.a) est un ver se propageant

l'aide du courrier lectronique. Il affecte particulirement les

utilisateurs de Microsoft Outlook sous les systmes d'exploitation

Windows 95, 98, Millenium et 2000.

6.1.1. Les actions du virus

Le ver Sircam choisit alatoirement un document

(d'extension .gif, .jpg, .mpg, .jpeg, .mpeg, .mov, .pdf, .png, .ps

ou .zip) se trouvant dans le rpertoire c:\Mes Documents\ de

l'ordinateur infect, puis envoie automatiquement un courrier

lectronique dont le sujet est le nom de ce document, dont le

corps du message est un des deux messages suivants :

En anglais "Hi! How are you? I send you this file in order to have your advice

See you later. Thanks" "Hi! How are you? I hope you can help me with this file that I send See you later. Thanks" "Hi! How are you? I hope you like the file that I send to you See you later. Thanks"


Le virus Sircam adjoint au message une copie de lui-mme

dont le nom est celui du fichier rcupr sur le disque de

l'utilisateur avec la double extension .vbs.

Le ver Sircam risque en outre de supprimer l'intgralit des

fichiers de votre disque dur le 16 octobre de chaque anne si

votre ordinateur utilise un format de date l'europenne

(jour/mois/anne).

Sircam ajoute galement du texte au fichier

c:\recycled\sircam.sys lors de chaque redmarrage de la

machine, ce qui risque potentiellement de saturer l'espace

disponible sur le lecteur C:\.

6.1.2. Symptmes de l'infection

Les machines infectes possdent sur leur disque les

fichiers :

Sirc32.exe Sircam.sys Run32.exe

Pour vrifier si vous tes infects, procdez une recherche

des fichiers cits ci-dessus sur l'ensemble de vos disques durs

(Dmarrer / Rechercher / Fichiers ou Dossiers).

6.2. Le virus Magistr

Le virus Magistr (nom de code W32/Magistr.b@MM, I-

Worm.Magistr.b.poly ou PE_MAGISTR.B) est un ver polymorphe

(c'est--dire un ver dont la forme, ou plus exactement la

signature, se modifie continuellement) se propageant l'aide du

courrier lectronique. Il s'agit d'une variante du ver Disemboweler

(Magistr.A) affectant particulirement les utilisateurs de client de

messagerie Microsoft Outlook, Eudora ou Netscape sous les

systmes d'exploitation Windows 95, 98, Millenium et 2000.



Le virus Magistr.B recherche les fichiers de carnet

d'adresses prsents sur le systme (respectivement d'extensions

.WAB et .DBX/.MBX pour les clients Outlook et Eudora), afin de

slectionner les destinataires du message.

Le sujet et le corps du message envoy par le ver Magistr

sont choisis alatoirement en prenant un extrait de fichier trouv

sur le disque de l'ordinateur infect.

Le virus Magistr adjoint au message une copie de lui-mme

dont le nom contient une extension (ou une double extension) du

type .com, .bat, .pif, .exe ou .vbs.

Le ver Magistr risque en outre de supprimer l'intgralit des

informations contenues dans :

Le CMOS le BIOS Le disque dur

Le virus Magistr.B peut ainsi gravement endommager votre

systme et les informations s'y trouvant.

De plus, le virus Magistr.B est capable de dsactiver le

Firewal personnel ZoneAlarm l'aide de la commande WM_QUIT.


Les machines infectes possdent la particularit suivante :

Un dplacement du pointeur de la souris sur le bureau provoque

un dplacement des icnes.

6.3. Le ver Nimba

Le virus Nimda (nom de code W32/Nimda est un ver se

propageant l'aide du courrier lectronique, mais il exploite

galement 4 autres modes de propagation :


Le web Les rpertoires partags Les failles de serveur Microsoft IIS Les changes de fichiers

Il affecte particulirement les utilisateurs de Microsoft

Outlook sous les systmes d'exploitation Windows 95, 98,

Millenium, NT4 et 2000.

Le ver Nimda rcupre la liste des adresses prsentes dans

les carnets d'adresses de Microsoft Outlook et Eudora, ainsi que

les adresses e-mails contenues dans les fichiers HTML prsents

sur le disque de la machine infecte.

Puis le virus Nimda envoie tous les destinataires un

courrier dont le corps est vide, dont le sujet est alatoire et

souvent trs long et attache au courrier une pice jointe nomme

Readme.exe ou Readme.eml (fichier encapsulant un fichier

excutable). Les virus utilisant une extension du type .eml

exploitent une faille de Microsoft Internet Explorer 5.

D'autre part le virus Nimda est capable de se propager

travers les rpertoires partags des rseaux Microsoft Windows

en infectant les fichiers excutables s'y trouvant.

La consultation de pages Web sur des serveurs infects par

le virus Nimda peut entraner une infection lorsqu'un utilisateur

consulte ces pages avec un navigateur Microsoft Internet Explorer

5 vulnrable.

En effet, le virus Nimda est galement capable de prendre

la main sur un serveur Web Microsoft IIS (Internet Information

Server) en exploitant certaines failles de scurit.

Enfin, le virus infecte les fichiers excutables prsents sur la

machine infecte, ce qui signifie qu'il est galement capable de se

propager par change de fichiers.



Les postes de travail infects par le ver Nimda possdent

sur leur disque les fichiers suivants :

README.EXE README.EML fichiers comportant l'extension .NWS fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe

(par exemple mepE002.tmp.exe)




6.4. Le virus BadTrans

Le virus BadTrans (nom de code W32.BadTrans.B ou

W32/Badtrans-B) est un ver se propageant l'aide du courrier

lectronique. Il exploite galement un autre mode de propagation

:

Les failles de Microsoft Internet Explorer

Le virus BadTrans.B affecte particulirement les

utilisateurs de Microsoft Outlook sous les systmes

d'exploitation Windows 95, 98, Millenium, NT4 et 2000,

dans la mesure o le virus s'active par simple consultation

du message (c'est--dire mme si l'utilisateur ne clique

pas sur la pice jointe).



Le ver BadTrans rcupre la liste des adresses prsentes

dans les carnets d'adresses de l'utilisateur infect, ainsi que dans

les pages web contenues dans les dossiers de cache Internet et

dans le rpertoire Mes Documents.

Puis le virus BadTrans envoie tous les destinataires un

courrier:

dont le corps est vide, ou comportant la phrase Take a look to the attachment.

dont le sujet est Re: dont la pice jointe possde un nom compos de trois parties

o Premire partie: un des textes suivants : ! CARD ! DOCS ! FUN ! HAMSTER NEWS_DOC ! HUMOR ! IMAGES ! ME_NUDE ! New_Napster_Site ! News_doc ! PICS ! README ! S3MSONG ! SEARCHURL ! SETUP ! Sorry_about_yesterday ! YOU_ARE_FAT!

o Seconde partie: une des extensions suivantes : ! .DOC ! .MP3 ! .ZIP

o Troisime et dernire partie : une des extensions suivantes : ! .pif ! .scr

Ainsi, le message contiendra une pice jointe du type :

Me_Nude.MP3.scr News_doc.DOC.scr HAMSTER.DOC.pif PICS.doc.scr HUMOR.MP3.scr


README.MP3.scr FUN.MP3.pif YOU_are_FAT!.MP3.scr ...


Les postes de travail infects par le ver BadTrans possdent

sur leur disque le fichier suivant :

kdll.dll, ce dernier est un cheval de Troie capable d'enregistrer les frappes sur le clavier afin de rcuprer vos mots de passe




6.5. Le virus LovSan

Apparu durant l't 2003, le virus LovSan (connu

galement sous les noms W32/Lovsan.worm,

W32/Lovsan.worm.b, W32.Blaster.Worm, W32/Blaster-B,

WORM_MSBLAST.A, MSBLASTER, Win32.Poza, Win32.Posa.Worm,

Win32.Poza.B) est le premier virus a exploiter la faille RPC/DCOM

(Remote Procedure Call, soit en franais appel de procdure

distante) des systmes Microsoft Windows permettant des

processus distants de communiquer. En exploitant la faille grce

un dbordement de tampon, un programme malveillant (tel que

le virus LovSan) peut prendre le contrle de la machine

vulnrable. Les systmes affects sont les systmes Windows NT

4.0, 2000, XP et Windows Server 2003.


Le ver LovSan / Blaster est programm de telle faon

scanner une plage d'adresses IP alatoire la recherche de

systmes vulnrables la faille RPC sur le port 135.


Lorsqu'une machine vulnrable est trouve, le ver ouvre un

shell distant sur le port TCP 4444, et force la machine distante

tlcharger une copie du ver dans le rpertoire

%WinDir%\system32 en lanant une commande TFTP (port 69

UDP) pour transfrer le fichier partir de la machine infecte.

Une fois le fichier tlcharg, il est excut, puis il cre des

entres dans la base de registre afin de se relancer

automatiquement chaque redmarrage :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill


L'exploitation de la vulnrabilit RPC provoque un certain

nombre de dysfonctionnements sur les systmes affects, lis la

dsactivation du service RPC (processus svchost.exe / rpcss.exe).

Les systmes vulnrables prsentent les symptmes

suivants :

Copier/Coller dfectueux ou impossible Ouverture d'un lien hypertexte dans une nouvelle fentre

impossible Dplacement d'icones impossibles fonction recherche de fichier de windows erratique fermeture du port 135/TCP Redmarrage de Windows XP : le systme est sans cesse

relanc par AUTORITE NT/system avec le(s) message(s) suivant(s) :

Windows doit maintenant redmarrer car le service appel de procdure distante (RPC) s'est termin de faon inattendue arrt du systme dans 60 secondes veuillez enregistrer tous les travaux en cours cet arrt a t initi par AUTORITE NT\SYSTEM

Windows doit maintenant dmarrer


6.6. L'espionnage du rseau 6.6.1. Vulnrabilits des rseaux diffusion

Les rseaux diffusion, comme Ethernet, utilisent un seul

support de communication pour tous les noeuds du rseau. Sur le

bus Ethernet, toute trame mise est reue par toutes les cartes

rseaux. Seule la carte qui reconnat son adresse dans dans le

champ destination de l'en-tte de la trame transmet le contenu la

couche protocole. Dans le cas d'Ethernet 10BaseT (topologie toile),

les trames sont mises en diffusion par le concentrateur, de faon

simuler le bus partag.

En gnral, des informations peuvent tre rcupres par simple

coute. Des protocoles tels que telnet, POP3, HTTP et FTP

transfrent encore des mots de passe en clair.

6.6.2. Exploitation

L'espionnage du rseau ncessite d'une part un accs au rseau et

un outil d'analyse du trafic

6.6.3. Prise de contrle d'un poste utilisateur

Ceci est plus ou moins facile selon les systmes d'exploitation.

Les systmes Microsoft Windows acceptent, en configuration

standard, uniquement des commandes "console". Il est ncessaire

d'avoir un accs physique la station.


Les systmes UNIX acceptent des commandes "console" et

des commandes distantes (Telnet, RLOGIN...). Il peut tre possible

de prendre le contrle distance, mme sur un autre rseau. C'est

une menace interne et externe.

6.6.4. Connexion physique sur le rseau

L'intrus connecte son propre quipement, un ordinateur

portable, sur le rseau. C'est particulirement facile sur les rseaux

Ethernet 10Base5 et 10Base2, qui utilise une topologie bus base

de cble coaxial. Un connecteur type Vampire dans le premier cas,

ou un T et un cble coaxial dans le deuxime cas suffisent

amplement.

Pour les rseaux Ethernet 10BaseT, il suffit d'un cble en

paires torsades, branch soit directement sur un concentrateur,

soit sur une prise murale. La connexion ncessite un accs physique

et local au rseau. C'est une menace interne.

6.6.5. Outils d'analyse du trafic

Les outils d'analyse du trafic (sniffers) permettent d'couter et

d'enregistrer le trafic rseau. Sur les rseaux diffusion, tout le

trafic peut ainsi tre analys. Ce sont des outils d'administration,

qui peuvent toutefois tre utiliss des fins peu scrupuleuses.

Ils utilisent un mode de fonctionnement particulier des cartes

rseaux, appel le mode Promiscuous. En principe une carte rseau

ne transfre aux protocoles que le contenu des trames qui lui sont

destines (soit par son adresse physique, soit par une adresse

multicast ou broadcast). En mode promiscuous, la carte rseau

transfre toutes les trames vers l'outil d'analyse.


Il existe de nombreux sniffers fonctionnant sur diffrents systmes.

On utilisera titre de dmonstration le logiciel GOBBLER sous MS-

DOS.

L'espionnage d'un rseau permet de rcuprer des informations telles que :

les comptes et les mots de passe non chiffrs les adresses physiques et logiques des noeuds les caractristiques et configuration de certains

quipements. les donnes

L'espionnage du rseau peut se limiter la rcupration des

informations, mais c'est aussi une tape pralable pour mener une

attaque plus consquente partir des informations recueillies.

6.6.6. Dtection

Lorsqu'une station se contente d'couter sans rien mettre, il

est impossible de dtecter une carte qui fonctionne en mode

Promiscuous. La seule solution consiste parcourir le rseau et

vrifier les connexions de toutes les stations.

Sur certains systmes Unix toutefois, la commande ifconfig -a

permet de lister les interfaces et leur tat. Une connexion Telnet sur


une station peut aider dtecter un fonctionnement en mode

Promiscuous.

6.6.7. Solutions et recommandations

Contre les intrusions internes, on pourra :

! ne pas brasser les prises non utilises.

! dsactiver les ports non utiliss

! utiliser des quipements actifs dots de fonctions de

dtection d'intrusion (DUD ou blocage de port sur

dconnexion)

! mettre en place des contrle d'accs aux postes du

rseau (ouverture de session avec mot de passe, ...)

! utiliser des cartes rseaux ne supportant pas le mode

promiscuous.

! utiliser des systmes d'exploitation ne supportant pas

le mode promiscuous (certains noyaux peuvent tre

recompils sans le support de ce mode).

Contre les intrusions externes, on pourra:

! contrler les accs externes l'aide d'un routeur

filtrant

! mettre en place des contrle d'accs aux postes du

rseau (ouverture de session avec mot de passe, ...)

! dsactiver les services de prise de contrle distance

non utiliss.

Contre l'espionnage du rseau, on pourra :

! utiliser des quipements actifs quips de fonctions de

brouillage (NTK)


! segmenter le trafic l'aide de ponts et de

commutateurs

! constituer des rseaux virtuels isols l'aide de VLAN

! utiliser des protocoles scuriss (IPSec, SSH, SSL ..).

7. Mesures techniques 7.1. Le concentrateur scuris

Un concentrateur Ethernet rpte le signal sur tous les ports.

C'est pourquoi il est possible de capturer tout le trafic d'un rseau

en se connectant sur un seul port.

Avant l'arrive des commutateurs, les constructeurs ont mis en

oeuvre des solutions de scurisation sur les concentrateurs. On

retrouve quatre techniques

! la dsactivation des ports non utiliss

! le brouillage de trame (appel NTK, Need to Know)

! le contrle d'adresse avec blocage de port (appel DUD,

Disconnect Unauthorized Device)

! le contrle de la dconnexion

7.1.1. La dsactivation des ports non utiliss

La plupart des concentrateurs administrables disposent de la

possibilit de dsactiver les ports non utiliss. Cette solution n'est

pourtant pas aussi efficace que le non-brassage, mais peut tre

utile de faon temporaire, contre les connexions pirates.

7.1.2. Le brouillage de trame

Lorsque la trame ethernet est reu au niveau du

concentrateur, celui analyse l'en-tte et rcupre l'adresse

destination de la trame. En fonction de sa table d'adresse, il redirige

la trame sur le port destinataire.


Toutefois, pour que le fonctionnement en diffusion ne soit pas

remis en cause, il rmet une trame brouille sur les autres ports,

de faon prvenir les stations de l'occupation du rseau Ethernet.

Le brouillage de trame est trs efficace contre l'coute, mais n'est

valable que sur les topologies toiles. Un bus connect sur un port

ne pouvant pas tre brouill.

7.1.3. Le contrle d'adresse

Le contrle d'adresse utilise la table d'adresses MAC et les

correspondances avec les ports pour dtecter le changement d'une

adresse et la possibilit d'une intrusion. Lorsqu'une trame Ethernet,

le concentrateur rcupre l'adresse source et la compare avec celle

stocke dans la table pour le port correspondant.

En cas de changement d'adresse, le concentrateur peut

! soit bloquer le port, et plus aucune trame ne sera

accepte ni diffuse sur ce port.

! soit enregistrer l'vnement dans un fichier journal

! soit mettre une alarme SNMP vers une plate-forme

d'administration.

Le contrle d'adresse est assez efficace contre les connexions

en place d'une station existante. Il peut toutefois tre mis en chec

par une falsification de l'adresse source des trames. Dans ce cas, on

peut lui associer le contrle de dconnexion.

Souvent, le contrle d'adresse augmente considrablement la

charge d'administration. L'administrateur doit saisir les adresses des

stations sur le concentrateur et tout dmnagement ncessite une

reconfiguration de l'quipement.

7.1.4. Rappel sur les adresses MAC 7.1.4.1. Dfinition


Afin de pouvoir tre dsign comme destinataire

d'informations, tout nud d'un rseau doit avoir au moins une

adresse.

Une adresse est un nombre binaire qui peut s'crire sur un nombre

variable d'octets suivant les protocoles.

Les adresses MAC s'crivent sur 6 octets ( voir plus bas).

Dans ce contexte, MAC signifie "Medium Access Card" :

carte d'accs au mdium de transmission.

C'est, en effet une adresse lie la carte d'accs matriel au

rseau. Elle est "inscrite" sur cette carte, gnralement mmorise

dans une ROM ou EPROM.

7.1.4.2. Pourquoi une adresse lie la carte d'interface ?

On sait, ou on ne sait pas, tout dpend de votre avancement

dans l'tude des rseaux, que la couche 3 de l'OSI, couche

"Rseau" a vocation de grer l'adressage des stations sur un

rseau. Or, les adresses MAC sont dfinies au niveau 1 Physique

(on les appelle aussi "adresses physiques") et manipules au niveau

MAC intermdiaire entre les couches 1 et 2.

En fait, les adresses MAC et les adresses de niveau 3

(adresses IP par exemple) semblent faire double emploi.

En fait, les adresses MAC ont l'avantage d'tre dcodes trs

rapidement :

! les dcodeurs se trouvent immdiatement l'entre

des cartes rseau

et reoivent la trame les premiers

! ce sont des dcodeurs de logique combinatoire &

squentielle donc environ

1000 fois plus rapides que de la logique programme


! les adresses MAC se trouvent en tte de trame (on

n'attend pas longtemps les dcouvrir)

Les adresses de niveau 3 ont les inconvnients suivants :