INTERNET Sécurité. Plan Rappels : Ethernet, IP. Anonymat HTTP : protocole bavard Cookies : drôles de gâteaux Le spamming Aperçu des failles de sécurité

INTERNET

Sécurité

Plan Rappels : Ethernet, IP. Anonymat HTTP : protocole bavard Cookies : drôles de gâteaux Le spamming Aperçu des failles de sécurité des protocoles

Internet Aperçu des principales méthodes d’attaque Firewalls individuels pour poste de travail :

ZoneAlarm

Sécurité Internet

Rappels

Ethernet

Adresse de destination(6 octets)

Adresse source(6 octets)

EtherType(2 octets) IP.

Indique le type de données0800Hexpour IP

CRC(4 octets)

Paquet IP encapsulé dans une trame Ethernet

IP : le datagramme

0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Version| IHL |Type of Service| Total Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Identification |Flags| Fragment Offset | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Time to Live | Protocol | Header Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Source Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Destination Address | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options | Padding | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

IP : valeurs du champ Protocol

ID de protocole Abréviation Signification

0 Réservé

1 ICMP Internet Control Message Protocol (« message de contrôle internet)

2 IGMP Internet Group Managment Protocol (« gestion de groupe Internet »)

3 GGP Gateway-to-Gateway Protocol

4 IP IP in IP encapsulation

5 ST Stream (flux)

6 TCP Transmission Control Protocol (« contrôle de transmission »)

… … …

17 UDP User Datagram Protocol (« datagramme utilisateur »)

… … …

255 (Réservé)

Sécurité Internet

Anonymat

Identification sur Internet

Deux manières d’identifier un utilisateur sur Internet :– L’adresse E-Mail– L’adresse IP

L’adresse E-Mail

Moyen de reconnaître une personne sur Internet

L'adresse E-mail peut-être occultée grâce à des réexpéditeurs anonymes, ou des services de messagerie gratuite

L’adresse IP

Base de la communication sur Internet Fournie par le FAI, elle change à chaque

nouvelle connexion Fichiers logs des FAI : correspondance

entre vous et l’adresse IP Difficile à dissimuler Spoofing IP : usurpation d’identité

Anonymat sur Internet

Ré expéditeurs anonymes : suppriment l'en-tête et l'adresse source du message, et insèrent la leur

Pratique très controversée car certaines personnes l'utilisent à des fins légitimes.

Dissimulation d’adresse IP

Tâche extrêmement plus ardue. Telnet permet de simuler le fait que l'on est

sur une autre machine, cependant grâce aux journaux (logs) des machines, il est possible de remonter jusqu'à la source.

Il existe une technique dite du « spoofing » (« usurpation d'identité ») permettant de s'octroyer une adresse IP qui n'est pas sienne, cela dit cette technique est très compliquée.

Sécurité Internet

HTTP : protocole bavard

Où récupérer les infos ?

Pour obtenir des informations sur votre configuration et l’URL précédemment visitée, il suffit d’analyser une trame IP et d’utilisé les variables d’environnement qui sont définies dans votre navigateur et que ce dernier envoie systématiquement au serveur.

Analyse d’une trame

En analysant une trame IP, voici ce que l’on peut apprendre de vous :– Votre adresse IP– Le navigateur que vous utilisez– Votre système d’exploitation– Votre page précédente– Ce que vous êtes en train de faire

Sécurité Internet

Cookies : drôles de gâteaux

Quels sont ces étranges gâteaux ?

La plupart du temps un serveur vous propose de placer un cookie, vous ignorez ce terme et cliquez sur OK sans vous préoccuper de son devenir.

Ce cookie est en fait un fichier qui est stocké sur votre disque et qui permettra que le serveur vous reconnaisse la prochaine fois que vous revenez sur le site de telle façon à connaître vos préférence (par exemple les options que vous aurez coché) pour vous éviter de les ressaisir.

Cookies et sécurité Le problème : les cookies contiennent des

informations sur vous En réalité un cookie n'a rien de dangereux en soit

car c'est le navigateur qui les gère en écrivant dans un fichier des paires clés valeurs.

Les données stockées dans un cookie sont envoyées par le serveur, ce qui signifie qu'il ne peut en aucun cas contenir des informations sur l'utilisateur que celui-ci n'a pas donné, ou en d'autres termes: le cookie ne peut pas collecter des informations sur le système de l'utilisateur.

Où sont stockés les cookies ?

Les cookies sont généralement stockés dans un fichier cookies.txt

Il est possible de mettre les cookies en lecture seule pour ne plus être ennuyé par les serveurs les proposant

Il existe un programme appelé « Cookie Jar » (http://www.lne.com/ericm/cookie_jar/) permettant de spécifier les serveurs dont vous acceptez les cookies.

Comment fonctionnent les cookies ? Les cookies font partie des spécifications du

protocole HTTP Les requêtes et réponses HTTP contiennent

des en-têtes permettant d'envoyer des informations particulières de façon bilatérale.

Un de ces en-têtes est réservé à l'écriture de fichiers sur le disque: les cookies.

Quelques infos sur les cookies

Un cookie ne peut pas dépasser 4 Ko

Un client ne peut pas avoir plus de 300 cookies sur son disque

Un serveur ne peut créer que 20 cookies maximum chez le client

Précisions supplémentaires Le cookie n’est pas visible avant le prochaine

chargement de page Il faut savoir que certains navigateurs ne traitent

pas bien les cookies– Microsoft Internet Explorer 4 avec le Service Pack 1 ne

traite pas correctement les cookies qui ont le paramètre chemin défini.

– Inversement Netscape Communicator 4.05 et Microsoft Internet Explorer 3.x ne traitent pas correctement les cookies qui n'ont pas les paramètres chemin et expiration définis

Où trouver les cookies

Internet Explorer

Système d’exploitation Répertoire

Windows 9X C:\Windows\Cookies

Windows NT C:\Winnt\Cookies

Unix /home/.microsoft/cookies home : chemin d’accès de votre répertoire personnel.

Macintosh folder:Preferences Panel:Cookies folder : dossier dans lequel est installé votre navigateur.

Où trouver les cookies

Netscape CommunicatorNavigateur Système

d’exploitation

Répertoire

Navigator Windows 95 C:\Program Files\Netscape\Navigator\cookies.txt

Navigator Windows NT C:\Program Files\Netscape\Users\Name\Navigator\cookies.txt

Name : default ou nom sous lequel vous vous connectez

Communicator Windows 95 Windows NT

C:\Program Files\Netscape\Users\Name\Navigator\cookies.txt Name : default ou nom sous lequel vous vous connectez

Navigator

Communicator

Unix /home/.netscape/cookies

home : chemin d’accès de votre répertoire personnel.

Navigator Communicator

Macintosh folder:MagicCookie folder : dossier dans lequel est installé votre navigateur.

Sécurité Internet

Le spamming

Qu’est ce que le spamming ?

Bien que le contenu de l'information soit parfois irréprochable légalement, c'est son utilisation qui peut parfois être critiquée...

Le spamming consiste en ce sens à envoyer plusieurs e-mails identiques (souvent de type publicitaires) à un grand nombre de personnes sur le réseau. Le mot « spamming » provient du mot « spam » qui est une marque de jambonneau fabriquée par la compagnie Hormel.

Pourquoi cette expression? L'association de ce mot au postage excessif provient

à priori d'une pièce des Monty Python (Monty Python's famous spam-loving vikings) qui se déroule dans un restaurant viking dont la spécialité est le jambonneau « spam ». C'est alors qu'un client commande un plat différent, les autres client chantent alors tous en cœur « spam spam spam spam spam ... » si bien que l'on entend plus le pauvre client...

Les personnes pratiquant l'envoi massif de courrier publicitaire sont appelées « spammers », un mot qui a désormais une connotation péjorative...

Pourquoi faire du spamming ? Le but premier du spamming est de faire de la

publicité à moindre prix par « envoi massif de courrier électronique non sollicité » (junk mail) ou par « multi-postage abusif » (EMP).

Les spammers prétendent pour leur défense que le courrier est facile à supprimer, et qu'il est par conséquent un moyen écologique de faire de la publicité.

Cela est tel, que certains spammers défendent la cause même du spamming. Le plus célèbre spammer est sans aucun doute la compagnie « Cyberpromotion » qui est considérée comme le plus important abuseur du réseau Internet.

Les critères

La détermination du spam se fait sur un critère de volume.

Un courrier électronique envoyé à 5 ou 6 personnes grâce à la fonction « cc » ne peut pas être considéré comme du « spamming »

On considère en effet qu'un envoi supérieur à 20 messages constitue un spam.

Indice de Breidbart L'indice de Breidbart est une formule permettant

de déterminer si un message constitue un spam:

D'après cette formule, lorsqu'un message à atteint un indice Breidbart de 20 il s'agit nécessairement d'un spam... Cependant elle ne prend pas en compte la durée pendant laquelle ces messages ont été envoyés, il n'est donc pas évident de déterminer si un message constitue un spam ou non...

Effets du spamming Le principal inconvénient du spamming est

l'espace qu'il occupe sur le réseau, utilisant inutilement une bonne partie de la bande-passante, rendant Internet moins rapide.

Cela induit des coûts supplémentaires pour les Fournisseurs d'Accès à Internet (FAI) car ils doivent : – mettre en place une plus grande largeur de bande – acheter des ordinateurs supplémentaires – disposer d'un plus grand espace disque – engager du personnel supplémentaire

Combattre le spamming

La chose la plus importante est de ne pas répondre à ces abus, cela ne ferait qu'empirer les choses, et rentrer dans le même jeu que les spammers.

Il ne faut donc pas: – Menacer les spammers (cela ne ferait que les énerver)

– Bombarder les spammers de courrier électronique

– Pirater le site des spammers

– Utiliser le spamming contre les spammers (dépourvu de bon sens...)

– Utiliser toute attaque.

Aperçu des failles de sécurité des protocoles Internet

Nous allons présenter un aperçu des points d’attaque présentés par le protocole TCP/IP ainsi que leur conséquences sur la sécurité de votre ordinateur.

Nous allons naturellement nous restreindre aux attaques les plus courantes.

Failles de sécurité des protocoles Internet

Les chevaux de Troie : la menace cachée

Généralités (1)

Les chevaux de Troie constituent une menace sérieuse pour les ordinateurs.

Un parallèle est souvent établi entre les chevaux de Troie et les virus, car ils sont également transmis lors d’un téléchargement ou au moment de l’ouverture d’un fichier joint à un courrier électronique.

Généralités (2)

En réalité, les chevaux de Troie ne sont pas des virus qui se diffusent de manière non ciblée, mais des programmes cachés permettant d’assurer la transmission de données ou, pire encore, de réaliser une prise de contrôle à distance d’un ordinateur particulier.

Les chevaux de Troie sont mis en place à dessein par un agresseur, pour provoquer des dégâts ou espionner des données.

Généralités (3)

Le programme est parfois transmis de manière ciblée en étant caché dans un téléchargement, ou mis en place à travers un port déterminé lors d’une connexion à Internet.

Ports et chevaux de Troie

La plupart des chevaux de Troie utilisent leur propre port pour éviter d’entrer en conflit avec des programmes et des services déjà installés.

Quelques exemplesPort Cheval de Troie 1999 27374 2773 54283 7215

Backdoor/

12223 Keylogger 12345 12346

NetBus

12361-12363 Whack-A-Mole 2023 Ripper

Port Cheval de Troie 2140 3150 41 60000 6771 999

DeepThroat

21554 GirlFriend 23476 23477

Donald Dick

2583 3024 4092 5742

WinCrash

27374 2774

Subseven

31785-31792 HackA’Tack 31337 BackOrifice 2000 569 RoboHack 7789 ICKiller

Info

Substitution et camouflageN’oubliez pas que les chevaux de Troie sont passés maîtres dans l’art du camouflage. Le tableau ci-dessus ne peut donc présenter que les ports utilisés par défaut. Les chevaux de Troie peuvent changer de port et même tester lesquels sont ouverts sur votre firewall. Si vous n’autorisez donc que les ports « normaux », cela n’implique pas que les chevaux de Troie ne puissent plus fonctionner.


Blocage d’un ordinateur à l’aide de paquets défectueux

Établissement d’une connexion TCP Elle ouvre la porte à quelques attaques dirigées

vers l’ordinateur et vers la pile IP. Elle consomme de la mémoire et du temps CPU et

mobilise ainsi des ressources qui devraient être à la disposition des autres utilisateurs.

Dans les cas les plus graves ces attaques peuvent même provoquer un blocage (plantage) de l’ordinateur. Il s’agit alors d’une attaque de type Denial-of-Service.

Denial of Service (DoS)

Le terme Denial of Service signifie littéralement « refus de service » et désigne la situation dans laquelle un programme ou un ordinateur arrête de fonctionner sur Internet, ou n’est plus accessible que très lentement, ou même est virtuellement déconnecté vis-à-vis de l’extérieur. Cette situation est généralement obtenue par blocage du système d’exploitation ou du programme concerné.

Buffer, stack overflow Il arrive que la saturation de l’ordinateur avec des

paquets aboutit au blocage de la pile de protocoles TCP/IP, en provoquant un débordement du tampon ou de la pile.

Littéralement, il s’agit du débordement du tampon ou de la pile, c’est à dire d’une erreur de programme qui conduit à l’exécution anormale d’un programme en mémoire centrale. Il peut être dû à une erreur de programmation dans différents systèmes de serveurs Web ou de messagerie, mais également dans la pile TCP/IP.

Une protection totale est-elle possible ? La diversité des types d’attaque rend

difficile la mise en place d’une protection complète par des modifications manuelles de votre ordinateur et l’installation de mises à jour sur votre ordinateur personnel. ? La plupart des firewalls individuels (desktop firewall) offrent une protection de base de bon niveau capable d’identifier et de contrer la plupart des attaques connues.

Une protection totale est-elle possible ? Dans le cas d’un réseau, la protection de

plusieurs ordinateurs est totalement impossible sans la mise en place d’un firewall, car il faut ici protéger plusieurs ordinateurs. Il est impératif que le routeur ou le firewall exécutent les fonctions de protection.

Une protection totale est-elle possible ? Cependant, même si vous possédez un

firewall parfaitement configuré, il est vraisemblable que les failles de sécurité seront identifiées tôt ou tard, ce qui cantonne une protection totale dans le domaine de l’utopie.

Une protection totale est-elle possible ? Il est évident que vous serez dans de

meilleures conditions avec une protection à 98% qu’avec une protection à 50%, ce qui doit vous amener à combattre les problèmes connus par des mesures appropriées, à l’aide d’un routeur, d’un firewall et d’un proxy.


Attaques SYN

Qu’est ce qu’un SYN

Pour pouvoir établir une connexion TCP/IP, l’ordinateur demandeur transmet un signal SYN (synchronisation) à son interlocuteur.

Ce dernier répond par un message d’acquittement ACK (acknowledge), auquel l’émetteur répond à son tour par un message SYNACK.

En l’absence de cette confirmation, le système cible attend très longtemps, théoriquement pendant une durée de deux minutes.

Principe

Si le nombre de requêtes SYN transmises simultanément est trop important, l’ordinateur cible utilise trop de ressources pour assurer la surveillance des connexions en cours d’établissement et ne réagit plus à des demandes de connexion « normales ». Le comportement de nombreux systèmes d’exploitation présente ainsi une lacune dans la gestion des temps d’attente (timeout).

Solution

Une bonne solution pour éviter ce problème consiste à mettre en place un firewall ou un routeur qui ne transmet les demandes de connexion TCP à un ordinateur cible que lorsqu’une connexion a été établie correctement avec le routeur utilisé comme proxy pour cet ordinateur cible.


Attaques par fragmentation

Problématique

Le protocole IP prévoit que l’expéditeur ou le routeur découpe les paquets de trop grande longueur en fragments qui sont alors rassemblés par les signataires. Ce processus est appelé « fragmentation ». Cependant, de nombreux ordinateurs présentent des problèmes lorsqu’ils doivent rassembler des paquets de plus de 64 kilo-octets et réagissent par un débordement de la mémoire.

Principe

Les attaques de type Ping-of-death ou Teardrop en sont des exemples très connus.

D’autres attaques par fragmentation s’appuient sur des numéros de fragments erronés ou manquants, qui peuvent également être dangereux pour certains ordinateurs.

Solution

Un firewall ou un routeur qui identifie ce type d’attaque et qui interrompt la connexion avant que le paquet de données ne soit transmis à l’ordinateur cible constitue une bonne protection.


IP-Spoofing

Principe

Lors des attaques de type IP-Spoofing, l’adresse de l’expéditeur du paquet de données IP est falsifié. L’agresseur peut ainsi tromper certains filtres de firewall, dès lors que les accès sont possibles de l’extérieur à partir de certaines adresses IP.

Ces adresses sont faciles à identifier si l’agresseur surveille le flux de données transitant à travers un firewall.

Protection

La protection contre ce type de connexion illicite n’est possible qu’à l’aide de mécanismes d’authentification demandant à chaque accès un nom d’utilisateur et un mot de passe, qui ne doivent naturellement pas être transmis en clair. Une autre solution consiste à convertir la connexion en VPN (Virtual Private Network).


Autres attaques

TCP-Hijacking

Signifie littéralement enlèvement Consiste à intercepter une connexion

TCP/IP existante Falsification de l’adresse IP de l’expéditeur

d’origine et en devinant le numéro correct du prochain paquet TCP

Très difficile de contrer

Flooding : submerger de paquets

Dans ce cas, l’objectif ne consiste pas à établir une connexion valide.

Il existe par ailleurs des attaques spécifiques qui aboutissent à une saturation en utilisant exclusivement des paquets IP standard valides, et qui sont donc d’autant plus difficiles à bloquer.

Attaque Smurf Transmission d’une série de pings simples à l’adresse

de diffusion réseau d’un routeur, en utilisant comme adresse d’expéditeur l’adresse IP du PC cible.

Le routeur exécute alors le ping à l’adresse de diffusion, ce qui amène tous les PC du réseau à répondre au ping par un paquet de données adressé à l’ordinateur cible. Le routeur est ainsi utilisé comme amplificateur.

La solution de ce problème consiste à configurer tous les routeurs accessibles de l’extérieur de manière à les empêcher de fonctionner comme amplificateur de Smurf.

DDoS : Distributed DoS

Un ordinateur maître pilote plusieurs ordinateurs esclaves (daemon) sur lesquels le programme d’attaque proprement dit est installé et à partir desquels l’attaque est déclenchée.

Le grand nombre d’ordinateurs impliqués conduit à un flot de données capable de saturer les serveurs de grands fournisseurs d’accès ou même des moteurs de recherche

DDoS : Distributed DoS Le daemon est lui-même un petit programme résident

sur différents ordinateurs. Il agit comme un cheval de Troie et la plupart des propriétaires de ces ordinateurs ne savent pas que ce programme est exécuté sur leurs machine.

Il est actuellement très difficile de protéger l’ordinateur cible, car il est presque impossible d’interdire l’accès à tous les ordinateurs pouvant servir de daemon. La protection ne peut fonctionner que si tous les utilisateurs d’Internet installent des programmes de protection contre les chevaux de Troie, pour empêcher l’installation de daemons.

Sécurité Internet

Dangers présentés par les ports en écoute

Question :

Quels sont les dangers encourus lorsque certains de ces ports sont ouverts sur votre ordinateur ?

Dangers

D’une part, les attaques de type IP-Spoofing ou Denial-of-Service ne peuvent être dirigées que vers les ports ouverts.

Par ailleurs, les attaques ne peuvent être dirigées que vers des programmes installés sur un port et qui sont en attente de connexion. L’utilisation des failles de sécurité de ces programmes est désignée par le terme exploit, dérivé du terme exploitation.

Quand un port est-il ouvert ?

Un port est ouvert lorsqu’un programme ou un service qui attend une connexion sur ce port a été démarré.

Dans le cas contraire, le port est considéré comme fermé.

Certains firewalls n’autorisent pas le scanning de l’état des ports interdits, qui sont alors désignés comme étant cachés ou stealth, c’est à dire invisibles.

Problème des ports ouverts

Le principal problème présenté par des ports ouverts est qu’un programme est exécuté derrière chacun d’entre eux et que de nombreux programmes comportent des erreurs.

C’est ainsi que, si vous utilisez par exemple un ancien programme ICQ pour dialoguer en direct, un agresseur pourra utiliser ce programme pour prendre le contrôle de votre PC.

Protection contre les dangers liés aux ports en écoute Si vous avez besoin d’un serveur Web, il faut

naturellement laisser les ports concernés ouverts, comme pour les serveurs de messagerie ou les serveurs FTP.

Il est cependant recommandé de désactiver tous les services superflus sur les serveurs exposés aux attaques provenant d’Internet.

Par ailleurs, il faut n’utiliser que des logiciels à jour et mettre en oeuvre tous les patchs de sécurité. Vérifiez régulièrement s’il existe de nouveaux patchs ou abonnez-vous à la lettre de nouvelles (newsletter) correspondante.

Sécurité Internet

Port Scanner

Le scanning est-il dangereux ?

Les tentatives de scanning ne constituent pas une attaque en soi, mais ils servent généralement à identifier les ports ouverts ou les adresses accessibles derrière un firewall, et donc à recueillir des informations sur le système d’exploitation utilisé, pour pouvoir exploiter les failles. Il faut donc être particulièrement attentif à l’état des ports.

Commande « netstat –a »

Vous pouvez utiliser la commande « netstat –a » sur un PC sous Windows pour obtenir des informations concernant les ports ouverts et les connexions établies avec votre ordinateur.

SuperScan

SuperScan, dans sa version 3.0, est un freeware sorti en novembre 2000 et fonctionnant sous Windows 95/98/NT/2000.

SuperScan est un puissant scanner de port TCP, un pinger ainsi qu’un séparateur de noms d’hôte. Cet outil est destiné aux administrateurs de réseau.

Où trouver SuperScan :– http://www.calogiciel.com rubrique

Téléchargement > Windows > Utilitaires > Réseau

Sécurité InternetPrincipales méthodes d’attaques

Qu’est ce qu’un hacker ? Ce terme est généralement utilisé dans le langage

courant pour désigner un agresseur sur Internet. Personne qui connaît particulièrement bien le

système utilisé et qui s’occupe de manière très intensive des détails des systèmes.

Il met en avant les failles de sécurité et détecte même de nouvelles lacunes et de nouveaux points d’attaque possibles sur les systèmes.

Généralement ces personnes publient leurs découvertes sur des pages Web ou dans des groupes de nouvelles.

Qu’est ce qu’un cracker ? Les crackers ne publient pas leurs découvertes

concernant les failles des systèmes, mais les utilisent pour accéder à des ordinateurs qui ne leur appartiennent pas et obtenir par exemple des droits d’administrateur.

Lorsqu’une tentative a réussi, ils mettent généralement en place un accès permanent sur le système cible et effacent les traces de leur effraction. Pour cela, ils installent des portes dérobées (Backdoors) qui leur permettront d’accéder à tout instant à l’ordinateur, si la voie utilisée initialement était verrouillée.

Motivation des crackers La motivation de ces personnes est soit simplement

la curiosité qui les pousse à se « promener » dans les ordinateurs cibles, soit l’exécution d’un contrat, par exemple au bénéfice d’un concurrent, ou encore la vengeance, dans le cas de certains employés qui veulent causer du tort à leur ancien employeur.

Dans le cas d’un contrat, le cracker disparaît généralement après avoir perpétré son forfait, c’est à dire après avoir copié ou détruit des données ou fichiers, selon l’objectif de l’attaque. En outre, il efface les traces de son effraction.

Les scripts kiddies Les script kiddies se contentent d’utiliser des

programmes tout prêts pour attaquer des ordinateurs.

Ils utilisent donc des programmes créés par des hackers, souvent sans même en comprendre le fonctionnement.

Leurs motivations se limitent généralement à l’aspect ludique de cette activité .

Il est généralement assez facile de démasquer ces script kiddies.

Sécurité Internet

Les différentes méthodes d’attaques

Tromperie et travestissement

De nombreux outils d’attaque utilisent une adresse IP falsifiée pour éviter que l’on puisse remonter à la source de l’attaque. Ce processus est appelé IP-Spoofing.

Une autre possibilité de masquage consiste à intercepter une connexion TCP établie, en appliquant la méthode Session Hijacking, c’est à dire littéralement du « détournement de session ».

DoS Le terme Denial of Service (DoS) désigne le

blocage de l’ordinateur opéré de telle sorte que celui-ci ne puisse plus remplir son rôle normal.

Cela peut signifier :– qu’un serveur réagit nettement plus lentement à des

tentatives de connexion – qu’un serveur n’est plus accessible à partir de l’extérieur – que la bande passante disponible est nettement réduite – qu’un ordinateur est amené à se bloquer – qu’un débordement de tampon est provoqué sur un

ordinateur pour générer d’autres failles de sécurité.

DoS : risque potentiel

Une attaque de type Denial-of-Service, si elle n’est pas accompagnée d’autres agressions, est désagréable car l’ordinateur cible est mis hors service temporairement ou jusqu’à un prochain redémarrage, mais ne constitue pas en soi une menace directe pour la sécurité.

Il faut cependant remarquer que ces attaques sont souvent utilisées comme diversion pendant une véritable attaque visant un autre ordinateur.

Recherche de mot de passe

Type d’attaque particulièrement dangereux S’il arrive à trouver le mot de passe de

l’administrateur, un cracker peut pénétrer dans le système et provoquer des dégâts considérables :– créer des comptes d’administrateurs supplémentaires

– voler, manipuler ou effacer les données

– mettre en place des programmes de surveillance

– prendre le contrôle d’autres ordinateurs

– installer des chevaux de Troie pour ménager ainsi un accès permanent à vos ordinateurs.


Les administrateurs sont-ils les seuls visés ?– Il faut savoir qu’il n’est même pas nécessaire de

disposer de droits d’administration pour mettre en place des chevaux de Troie sur des ordinateurs fonctionnant avec certains systèmes d’exploitation comme Windows 9x, si aucun anti-virus n’est installé.

– Les dangers liés à l’identification des mots de passe concernent donc tous les utilisateurs ; il est donc impératif de protéger l’ensemble des mots de passe.


Il existe plusieurs possibilités pour trouver les mots de passe :– essais manuels

– essais automatiques de tous les mots de passe possibles à l’aide d’algorithmes ou de dictionnaires

– vol de fichiers contenant les mots de passe

– espionnage des mots de passe lors de leur transmission vers le serveur

– espionnage de mots de passe par des chevaux de Troie qui « écoutent » les saisies clavier.

Brute force attack La deuxième méthode permettant de trouver les

mots de passe Consiste à essayer automatiquement toutes les

combinaisons possibles Il est évident qu’un mot de passe ne comportant

que trois caractères peut être très facilement trouvé, car les combinaisons de lettres en majuscules et en minuscules, de chiffres et de caractères spéciaux autorisés ne permettent environ que 603 soit 216 000 possibilités.

Brute force attack

Certains programmes essayent d’abord uniquement des chiffres et des lettres, ce qui réduit le nombre de combinaisons à 363 soit 46 656, qui seront essayées systématiquement avant que le programme n’utilisent également des caractères spéciaux.

Les tests successifs de ces mots de passe nécessitent, sur les PC actuels, un maximum de 10 minutes. Dans le cas d’un ordinateur de grande puissance, cette durée est encore réduite.

Règles de création de mot de passe (1/3) Utilisez des mots de passe composés d’au moins huit

caractères, pour rendre la tâche des crackers plus difficile, et les amener à abandonner leurs tentatives.

Prenez l’habitude de mélanger les majuscules et les minuscules.

Utilisez au moins un caractère spécial pour empêcher certains programmes de fonctionner.

Changez régulièrement votre mot de passe pour éviter que les tentatives à long terme ne puissent aboutir ou que les intrusions réussies ne se répètent, c’est à dire au moins tous les 30 jours.

Règles de création de mot de passe (2/3) Dans la mesure du possible, configurez votre

système de manière qu’un utilisateur soit verrouillé pendant au moins trois jours si plus de cinq tentatives de connexion ont échoué et que sa revalidation ne puisse être réalisée que par un administrateur.

Mettez en place des stratégies de mot de passe, appelées également Policies, pour vérifier que tous les utilisateurs respectent ces règles, et informez-les de l’importance de ces mesures.

Règles de création de mot de passe (3/3) Prenez la précaution de changer le nom d’origine

de l’administrateur, sachant que la plupart des attaques sont dirigées d’abord sur l’administrateur installer par défaut (administrateur sous Windows, root sous Unix, etc.).

Appliquez ces règles à tous les équipements participant à la sécurité, c’est à dire également aux routeurs, firewalls, switchs, etc.

Mal Ware Les programmes appelés MalWare constituent

actuellement une menace sévère. L’utilisation de ces programmes provoque des dégâts sur les ordinateurs cibles.

Il peut s’agir des mécanismes suivants :– vers – virus – chevaux de Troie – contrôles ActiveX et applets Java malicieuses – bombes de messagerie (mailbomb) – List-Linking

Bombes de messagerie Ces attaques consistent à saturer votre boîte aux

lettres chez votre fournisseur d’accès ou sur votre serveur de messagerie avec des messages totalement inutiles, si possible dotés de fichiers volumineux

Il est parfois difficile de faire la distinction entre une bombe de messagerie et un virus

Il est naturellement très difficile de se protéger contre les bombes de messagerie si l’adresse de l’expéditeur change.

List Linking

Les attaques de type List-Linking procèdent de manière similaire au mail-bombing

L’agresseur inscrit votre adresse de messagerie sur différentes listes de diffusion de telle sorte que vous recevez constamment des messages qui ne vous sont pas destinés

La seule solution consiste à résilier vos abonnements à ces listes.

Détournement de confirmation

Les mécanismes de certaines listes de diffusion ont amené des agresseurs à s’abonner sous leur propre nom, à envoyer une confirmation automatique, puis à modifier l’adresse de messagerie utilisée. La protection liée à l’obligation de confirmation est ainsi contournée.

Documents

INTERNET Sécurité. Plan Rappels : Ethernet, IP. Anonymat HTTP : protocole bavard Cookies : drôles de gâteaux Le spamming Aperçu des failles de sécurité