7/31/2019 Cours Partie1
1/103
Master spcialis QL : Scurit des Rseaux 116/07/12
Scurit des RseauxMaster spcialis qualit du logiciel
Scurit des RseauxMaster spcialis qualit du logiciel
7/31/2019 Cours Partie1
2/103
Master spcialis QL : Scurit des Rseaux 216/07/12
Sommaire du cours
I. Introduction et problmatique
II. Concepts fondamentaux de la scurit
III. Scurit des rseaux
IV. Conclusion
7/31/2019 Cours Partie1
3/103
Master spcialis QL : Scurit des Rseaux 316/07/12
Sommaire dtaill
I. Introduction et problmatique
1. Pourquoi scuriser?
2. O et quoi scuriser?
3. Comment scuriser?
4. Politique de scurit
II. Concepts fondamentaux de la scurit
1. Services de scurit
2. Technologies cryptographiques de base
3. Autres Technologies de la scurit
III. Scurit des rseaux :
1.Terminologie
2. Classification des attaques rseau
3. Principales attaques rseau
4. Phases dune attaque externe structure typique
5. Solutions et outils pour la scurit rseau
6. Scurit du e-paiement
IV. Conclusion
7/31/2019 Cours Partie1
4/103
Master spcialis QL : Scurit des Rseaux 416/07/12
I. Introduction et problmatique
1. Pourquoi scuriser?
2. O et quoi scuriser?
3. Comment scuriser?
4. Politique de scurit :
7/31/2019 Cours Partie1
5/103Master spcialis QL : Scurit des Rseaux 5
16/07/12
I.1. Pourquoi scuriser ?
Les SI sont de plus en plus considrs comme les centres nvralgiquesdes organismes;
Parfois, le SI est au cur de l'activit de l'organisme;
Les SI sont de plus en plus connects Internet;
Il existe diffrentes motivations pour attaquer un SI, dont : Bnfices financiers (vol d'argent, vol de n de carte de crdit, espionnage
industriel, nuisance l'image de marque profitant aux concurrents, ..);
Satisfaction personnelle (plaisir/jeu, fiert maladive, concurrence entreHackers, etc);
Vengeance (salari licenci et/ou sous estim, ...)
Convictions politiques et/ou idologiques (partisans d'un parti,terroristes, ...);
Espionnage d'tat.
7/31/2019 Cours Partie1
6/103Master spcialis QL : Scurit des Rseaux 6
16/07/12
Suivre les tendances: la scurit est la mode ! Le march de la scurit est en pleine croissance (~36% annuellement);
Les statistiques montrent que le nombre d'attaques (dclares) est 10 foisplus qu'il y a 3 ans et quelles touchent mme les grandes socits desNTIC;
Toutes les attaques exploitent des faiblesses de scurit au niveau du SIet du rseau sous-jacent;
Les pertes dues une attaque peuvent tre trs grandes (daprs unetude faite en lan 2000, ces pertes, rien quen termes de temps perdu,
slveraient 1600 milliards de dollars, lchelle mondiale!).Enfin, la cybercriminalit nest pas encore bien cerne par les services de
lordre, ce qui rend le recours la justice peu fructueux.
I.1. Pourquoi scuriser ?
7/31/2019 Cours Partie1
7/103
Master spcialis QL : Scurit des Rseaux 716/07/12
Les Besoins en termes de scurit se situent plusieurs niveaux:
Scurit des quipements (physique);
Scurit des rseaux;
Scurit des applications et des systmes d'exploitation (logicielle);Scurit des donnes (BD).
I.2. O et quoi scuriser ?
Il faut donc utiliser des outils et des lments de scurit
distincts pour assurer la scurit chaque niveau, en vue descuriser globalement tout le SI.
7/31/2019 Cours Partie1
8/103
Master spcialis QL : Scurit des Rseaux 816/07/12
Cycle de la scurit:
I.3. Comment scuriser ?
Scurisation
Surveillance AmliorationsPolitique de
scurit
Audit
7/31/2019 Cours Partie1
9/103
Master spcialis QL : Scurit des Rseaux 916/07/12
I.4. Politique de scurit
Elle doit tre la base, le point de dpart de tout projet de scurit;
L'implication des hauts responsables dans l'laboration d'une PS est plus
que souhaitable; elle est indispensable pour la russite du projet;
Une PS est une structure autour de laquelle un organisme construit tous les
aspects de scurisation de son SI;
Elle doit dfinir les rgles reprsentant les accs acceptables aux
ressources du SI;
7/31/2019 Cours Partie1
10/103
Master spcialis QL : Scurit des Rseaux 1016/07/12
I.4. Politique de scurit :
Il est recommand qu'elle traite d'abord les points suivants:Diagnostic de l'existant:
Recensement des ressources protger;
Identification de l'infrastructure Rseau;
Inventaire des outils de scurit existants; Aspects organisationnels.
Analyse des risques :
Estimation des vulnrabilits;
Identification des menaces ventuelles;
Estimation des pertes directes et indirectes pouvant tre causes parchaque menace;
Dfinition des priorits concernant les ressources protger.
7/31/2019 Cours Partie1
11/103
Master spcialis QL : Scurit des Rseaux 1116/07/12
I.4. Politique de scurit :
Dfinition des rles: Existence ou non d'un RSSI;
Externalisation ou non de la scurit (si oui: totale ou partielle);
Hirarchie de la scurit:
Par exemple: - RSSI DSI DG- RSSI DG
- RSSI Direction mtier
Chanage des responsabilits au sein de l'quipe Scurit;
Rle (en termes de scurit) de l'utilisateur final (salari, client oufournisseur).
Importance de la sensibilisation la culture de la scurit !
7/31/2019 Cours Partie1
12/103
Master spcialis QL : Scurit des Rseaux 1216/07/12
I.4. Politique de scurit :
Estimation du cot/ budget de la scurit: Le cot de dmarrage doit tre raisonnable par rapport aux pertes
possibles moyen terme;
Le budget annuel de la scurit (parfois difficile sparer du budgetinformatique) doit tre infrieur aux pertes probables pendant un an;
Choix du degr de la scurit (en termes OSI: classe de scurit);
Choix fonctionnels et techniques, aprs:
Comparaison (technique et financire) entre diffrents outils et technologiesdisponibles sur le march;
Formation ventuelle du personnel (du DG l'utilisateur final); Sollicitation ventuelle de prestataires de service externes.
7/31/2019 Cours Partie1
13/103
Master spcialis QL : Scurit des Rseaux 1316/07/12
I.4. Politique de scurit :
Elle doit offrir -en rponse aux points prcits- une sorte de plan directeurde scurit qui contient le dtail des procdures suivantes:
Procdures de protection, dont:
Procdures de Login et d'accs au rseau;
Mcanismes de contrle et de neutralisation des virus; Procdures de sauvegarde;
Procdures d'accs aux fichiers et aux rpertoires;
Procdures de configuration et de mise jour des outils installs et descorrectifs correspondants.
7/31/2019 Cours Partie1
14/103
Master spcialis QL : Scurit des Rseaux 1416/07/12
I.4. Politique de scurit :
Procdures de dtection, dont: Mcanismes de surveillance des serveurs (donnes, messagerie, Web,
etc.) ;
Mcanismes de surveillance des activits rseaux;
Procdures de 'lecture' et d'analyse des activits journalires (Exps:rapports de certains outils, messages d'alertes, tableaux de bord, etc).
Procdures de raction (juste aprs la dtection de l'incident), dont:
Procdures de raction une attaque par pirate (diffrents scnarios);
Procdures de raction une attaque virale;
Procdures de raction des incidents de force majeure.
7/31/2019 Cours Partie1
15/103
Master spcialis QL : Scurit des Rseaux 1516/07/12
I.4. Politique de scurit :
Procdures de redressement (raction court et moyen terme), dont: Plan de gestion de crise ;
Contrats d'assurances;
Contrats de maintenance;
Procdures judiciaires.
Importance de la politique de scurit !
7/31/2019 Cours Partie1
16/103
Master spcialis QL : Scurit des Rseaux 1616/07/12
II. Concepts fondamentaux de la scurit
Sommaire
1. Services de scurit :
2. Technologies cryptographiques de base:
3. Autres Technologies de la scurit
7/31/2019 Cours Partie1
17/103
Master spcialis QL : Scurit des Rseaux 1716/07/12
II.1. Services de scurit :
Ce sont des services qui contribuent la scurit des S.I, en loccurrence, lascurit des communications au sein de ce systme. Selon lanorme OSI 7498-2, ils sont comme suit :
Authentification
service qui assure une entit que l'entit avec laquelle elle communique
est bien celle qu'elle prtend reprsenter et vice-versa. Intgrit
Des donnes : service qui permet de dtecter les altrations partielles ouintgrales des donnes entre metteur et rcepteur.
Des flux : service qui permet de prouver qu'un change de donnes estunique (non rejou une deuxime fois).
7/31/2019 Cours Partie1
18/103
Master spcialis QL : Scurit des Rseaux 1816/07/12
II.1. Services de scurit :
Confidentialit Des donnes : service qui assure la protection des donnes contre toute
divulgation des tiers non autoriss.
Des flux : service qui permet de protger lexistence de communicationsentre deux entits et la frquence de ces communications.
Non-rpudiation : A lorigine : elle fournit au rcepteur une preuve empchant lmetteur de
contester lenvoi dun message effectivement reu.
A la remise : elle fournit lmetteur une preuve empchant le rcepteurde contester la rception dun message effectivement remis.
Contrle daccs :
service qui permet de protger les ressources daccs non autoriss viales systmes de communication.
7/31/2019 Cours Partie1
19/103
Master spcialis QL : Scurit des Rseaux 1916/07/12
II.2. Technologies cryptographiques de base
Cryptographie : discipline incluant les principes, moyens et mthodes de
transformation des donnes, dans le but de cacher leur contenu, dempcherque leur modification passe inaperue et/ou dempcher leur utilisation nonautorise.
Les technologies cryptographiques reprsentent les mcanismes de scuritles plus utiliss dans les outils et les protocoles scuritaires afin de raliser
certains services de scurit.
Mthodes de cryptage :
Dfinitions :
Cryptage: opration qui consiste appliquer un algorithme mathmatique,
gnralement paramtr par une cl, des donnes numriques en clair(intelligibles) pour les transformer en des donnes chiffres (inintelligibles).
Dcryptage: opration inverse du cryptage. En gnral, il ncessite aussi unecl pour rendre aux donnes chiffres leur forme initiale.
7/31/2019 Cours Partie1
20/103
Master spcialis QL : Scurit des Rseaux 2016/07/12
II.2. Technologies cryptographiques de base
Mthodes de cryptage : Classification :
Cryptage asymtrique :
Il se base sur un algorithme mathmatique qui utilise une paire de clsdiffrentes, une prive que seul son propritaire a besoin de connatre et
lautre publique (Exp : RSA, DSS). Lorsque lune est utilise pour lecryptage, lautre permet le dcryptage.
Une proprit de base pour ce type de cryptage est quil est pratiquementimpossible de dterminer la cl prive partir de la cl publique.
Ceci est un
messageen clair
Cryptage
Cl publiquede Bob
Cl privede Bob
DcryptageCeci est un
message
en clair
Message crypt
7/31/2019 Cours Partie1
21/103
Master spcialis QL : Scurit des Rseaux 2116/07/12
II.2. Technologies cryptographiques de base
Mthodes de cryptage :
Classification :
Cryptage symtrique :
Ce type de cryptage est la forme la plus classique des systmescryptographiques. Il permet lmetteur et au rcepteur dutiliser la mme
cl secrte pour le cryptage et le dcryptage (exps : DES, IDEA, AES).
Il est gnralement simple, performant et sr, mais condition quelchange de la cl secrte soit lui-mme scuris.
Ceci est unmessageen clair
Cryptage
Cl Cl
DcryptageCeci est un
messageen clair
Message crypt
7/31/2019 Cours Partie1
22/103
Master spcialis QL : Scurit des Rseaux 2216/07/12
II.2. Technologies cryptographiques de base
Mthodes de cryptage :
Qualit dun algorithme de cryptage :
Elle dpend de plusieurs facteurs:
Le type de cryptage (symtrique, asymtrique,) ;
La taille de la cl de cryptage (plus la taille est grande plus il est difficile decasser lalgorithme) ;
La simplicit de mise en oeuvre (logicielle ou matrielle);
La taille des messages crypts par rapport leur taille originale .
7/31/2019 Cours Partie1
23/103
Master spcialis QL : Scurit des Rseaux 2316/07/12
II.2. Technologies cryptographiques de base
Mthodes de cryptage :
Utilisations :
Les algorithmes symtriques sont utiliss dans le cryptage de massevisant la confidentialit des donnes (messages, fichiers, ) et ce, pourleur efficacit par rapport aux algorithmes asymtriques (pour une taille decls identique).
Les algorithmes cls publiques sont utiliss dans les protocoles descurit pour assurer lauthentification et scuriser galement leschanges des cls secrtes des algorithmes symtriques.
Gestion de cls :
Tout algorithme cryptographique fonctionnant avec des cls (secrtes oupubliques) a besoin en amont de mcanismes permettant de crer,distribuer, changer, maintenir, invalider, mettre jour, ces cls.
7/31/2019 Cours Partie1
24/103
Master spcialis QL : Scurit des Rseaux 2416/07/12
II.2. Technologies cryptographiques de base
Fonctions de hachage :
Dfinition :
Cest une transformation mathmatique qui accepte comme entre unmessage de taille variable et retourne des messages de taille fixe(gnralement petite).
Utilisation :
La transforme dun message par une fonction de hachage (souventappele un hash ou un message digest) est utilise pour assurer sonintgrit et aussi dans le calcul de la signature lectronique.
Les fonctions les plus utilises sont SHA-1 et MD5.
7/31/2019 Cours Partie1
25/103
Master spcialis QL : Scurit des Rseaux 2516/07/12
II.2. Technologies cryptographiques de base
Fonctions de hachage :
Caractristiques :
Lutilisation de ce type de fonctions dans la cryptographie requiert quellesaient les proprits suivantes :
tant donn un message quelconque, sa transforme doit tre facilement
calculable,
La fonction doit tre sans collisions (i.e quil est pratiquement infaisable detrouver deux messages diffrents auxquels correspond la mmetransforme); cette proprit fait quune petite modification dun messageimplique une grande modification de la transforme.
La fonction doit tre sens unique (i.e quil est pratiquement infaisable delinverser).
7/31/2019 Cours Partie1
26/103
Master spcialis QL : Scurit des Rseaux 2616/07/12
II.2. Technologies cryptographiques de base
Signature lectronique :
Rle /utilisation :
Il est similaire celui jou classiquement par la signature manuscrite, savoir, assurer le rcepteur dun document lectronique de lidentit deson metteur (authentification) et de lauthenticit dudit document
(intgrit). Principe :
Message
Hachage
Clpublique Cl prive
d'Alice
CryptageMessage
Signature
lectronique
Signature
lectronique
7/31/2019 Cours Partie1
27/103
Master spcialis QL : Scurit des Rseaux 2716/07/12
II.2. Technologies cryptographiques de base
Signature lectronique : Principe :
En gnral, signer lectroniquement un document consiste :
Appliquer une fonction de hachage au contenu de ce document ;
Crypter, ensuite, par un algorithme asymtrique, le hash du document par la clprive du signataire ;
Apposer, enfin, - ce document- le rsultat qui nest autre que la signaturelectronique dudit document.
7/31/2019 Cours Partie1
28/103
Master spcialis QL : Scurit des Rseaux 2816/07/12
II.2. Technologies cryptographiques de base
Signature lectronique : Vrification :
La vrification de la validit de la signature dAlice appose unmessage m soit, m + SA(m), consiste :
recalculer le hash de m soit, H(m) ;
dcrypter par la cl publique dAlice de la signature appose m soit,{SA(m)}PKA ;
comparer le rsultat de ce dcryptage H(m).
Si le message na pas t altr en cours de route et quil a teffectivement sign par Alice, les deux valeurs devront tre gales,car :
{SA(m)} PKA ={{H(m)}SKA} PKA = H(m).
7/31/2019 Cours Partie1
29/103
Master spcialis QL : Scurit des Rseaux 2916/07/12
II.2. Technologies cryptographiques de base
Signature lectronique : Problmatique :
La conclusion que le message est bien sign par Alice est trop htive,pour la simple raison quil se peut que PKA ne soit pas rellement sa
cl publique mais dune autre entit qui veut tre prise pour Alice. Le vrificateur de la signature doit avoir la certitude que PKA est bien
la cl publique de A. Il lui faut un mcanisme permettant daffirmerquune cl publique correspond ou non une entit.
Si la confidentialit dune cl publique nest pas requise
(au contraire, il faut la publier), son intgrit et sonauthenticit sont prserver.
7/31/2019 Cours Partie1
30/103
Master spcialis QL : Scurit des Rseaux 3016/07/12
II.2. Technologies cryptographiques de base
Certificat :
Rle/ utilisation :
Un certificat de cl publique est un ensemble de donnes numriques
dont le rle est de lier une cl publique son propritaire. Ce rle ne
peut tre rempli que si :
le certificat est sign par une tierce partie considre de confiance
par le vrificateur du certificat et qui par le biais de cette signature
affirme quelle est convaincue de lauthenticit de la cl publique
quelle a certifie. Le vrificateur connat de manire sre la cl publique de la tierce
partie afin de pouvoir vrifier sa signature appose au certificat.
7/31/2019 Cours Partie1
31/103
Master spcialis QL : Scurit des Rseaux 3116/07/12
II.2. Technologies cryptographiques de base
Certificat :
Problmatique :
Si le vrificateur na pas pu obtenir directement la cl publique de la
tierce partie, il doit vrifier son authenticit, elle aussi, grce un
autre certificat (de cette cl) sign par une autre tierce partie deconfiance, et ainsi de suite. On dit, dans ce cas, quil procde la
validation dun chemin de certification.
Pour que ce chemin aboutit, il faut au moins que parmi ces
tierces parties, il y en a une dont le vrificateur connat, demanire sre, la cl publique et ce, sans biais de certificat.
i i
7/31/2019 Cours Partie1
32/103
Master spcialis QL : Scurit des Rseaux 3216/07/12
II.2. Technologies cryptographiques de base
Certificat :
Description :
En gnral, un certificat contient les informations suivantes :
Identifiant de lmetteur du certificat (la tierce partie de confiance
qui a sign le certificat) ;
Identifiant et/ou autre information de lentit qui possde la cl
publique certifier (sujet du certificat) ;
La cl publique objet de certification ;
Autres informations (exp : date dexpiration).
Signature de lmetteur du certificat.
II 2 T h l i hi d b
7/31/2019 Cours Partie1
33/103
Master spcialis QL : Scurit des Rseaux 3316/07/12
II.2. Technologies cryptographiques de base
Certificat :
Autorits de certification :
Les tierces parties de confiance, ou ce quon appelle les autorits de
certification ou les CAs, ont donc pour rle dmettre des certificats qui
permettent des entits communicantes de sauthentifier en prouvantlauthenticit de leurs cls publiques et donc de leur signature.
Une CA est gnralement un organisme, publique ou priv, qui jouit dune
notorit au sein dune communaut (qui peut tre restreinte ou large) de
telle sorte quelle croit lauthenticit des certificats mis par cette CA.
II 2 T h l i t hi d b
7/31/2019 Cours Partie1
34/103
Master spcialis QL : Scurit des Rseaux 3416/07/12
II.2. Technologies cryptographiques de base
Certificat :
Types de certificat :
Il existe deux types de certificats :
Le certificat didentit o la partie rserve linformation concernant le
propritaire de la cl publique permet de lidentifier. Il est possible d'incluredans ce type les certificats qui gardent lanonymat de lentit certifie tout
en la distinguant des autres entits.
Le certificat dautorisation ou d'attributs o on ne sintresse pas
lidentit de lentit certifie mais un certain nombre de ses attributs
(tranche dge, profession, possession dune licence spciale, etc.) Ces
informations permettent de savoir si le propritaire de la cl publique
possde le droit un produit, service ou tout autre privilge.
7/31/2019 Cours Partie1
35/103
II 2 T h l i t hi d b
7/31/2019 Cours Partie1
36/103
Master spcialis QL : Scurit des Rseaux 3616/07/12
II.2. Technologies cryptographiques de base
Les formats X. 509
Key usage
Basic constraints
Alternative names
Certification policies
Policy mappings
Policy constraints
Name constraints
Key identifiers
Private extensions
. . . . .
X.509 version (v1, v2, v3)
Certificate serial number
Signature algorithm
Validity
Issuer name
Subject name
Public key of subject
Issuer unique identifier
Subject unique identifier
Extensions
Issuer signature
X.509 v1
X.509 v2
X.509 v3
II 2 Technologies cryptographiques de base
7/31/2019 Cours Partie1
37/103
Master spcialis QL : Scurit des Rseaux 3716/07/12
II.2. Technologies cryptographiques de base
Certificat :
Formats de certificat :
Le Format PGP :
Cest le le plus populaire des formats, il est celui adopt par le logiciel
cryptographique PGP. Ce certificat contient les informations suivantes: Le n de version PGP
La cl publique avec lalgorithme de cryptage
Des informations sur le propritaire de la cl (nom, surnom, adresse e-mail,)
La signature du propritaire de la cl ou auto-signature
La priode de validit
Lalgorithme de cryptage symtrique prfr
ventuellement, Autres signatures ( pour plus dassurance).
II 2 Technologies cryptographiques de base
7/31/2019 Cours Partie1
38/103
Master spcialis QL : Scurit des Rseaux 3816/07/12
II.2. Technologies cryptographiques de base
Infrastructures de cls publiques ou PKI :
Dfinition :
Une dfinition simple serait : un ensemble dentits communiquant par le
biais de protocoles et offrant des services pour la gestion et la distribution
des cls publiques par le biais des certificats . Une PKI est gnralement compose de plusieurs CAs afin de permettre
l'utilisation des certificats dans un contexte large o une seule CA ne peut
assurer elle seule la gestion et la distribution de tous les certificats.
II 2 Technologies cryptographiques de base
7/31/2019 Cours Partie1
39/103
Master spcialis QL : Scurit des Rseaux 3916/07/12
II.2. Technologies cryptographiques de base
Infrastructures de cls publiques ou PKI :
Rle :
Fournir les mcanismes ncessaires tablir des relations de confiance
entre ses utilisateurs et leur offrir des services de scurit tels que la
confidentialit, lintgrit, lauthentification et la non-rpudiation et ce,
essentiellement par le biais des certificats de cls publiques.
Parmi les contextes o une PKI est trs utile si ce n'est ncessaire, on
trouve celui du commerce lectronique et le cas dune grande entreprise
possdant plusieurs applications qui ncessitent des services
d'authentification ou d'autorisation.
7/31/2019 Cours Partie1
40/103
II 2 Technologies cryptographiques de base
7/31/2019 Cours Partie1
41/103
Master spcialis QL : Scurit des Rseaux 4116/07/12
II.2. Technologies cryptographiques de base
Horodatage :
But :
Prolonger la dure de vie d'une preuve signe au-del de la dure de vie
de la signature (ou certificat) en apportant la preuve d'antriorit ;
viter le renvoi une date ultrieure dun message par une entit qui a puse le procurer (par exemple, entit = source).
Principe :
Complter la signature lectronique dun document par la date de
signature signature lectronique de la date ou contremarque detemps (Time Stamping).
II 2 Technologies cryptographiques de base
7/31/2019 Cours Partie1
42/103
Master spcialis QL : Scurit des Rseaux 4216/07/12
II.2. Technologies cryptographiques de base
Horodatage :
Fonctionnement :
La preuve de date peut tre tablie par une convention entre les parties
La preuve de date peut tre tablie par un tiers spcialis dans ce service
(exps : Certeurope ,Certplus, etc.) qui ajoute une contremarque de tempslors de la signature du document.
Si les certificats sont utiliss (ce qui est souvent le cas), il faut prolonger la
dure de conservation de listes de certificats rvoqus.
7/31/2019 Cours Partie1
43/103
II 3 Autres Technologies de la scurit
7/31/2019 Cours Partie1
44/103
Master spcialis QL : Scurit des Rseaux 4416/07/12
II. 3. Autres Technologies de la scurit
Mcanismes de Contrle daccs :
Liste de contrle daccs (ACL) :
Consiste en une liste des oprations que les diffrents utilisateurs peuvent
effectuer sur chaque objet.
A chaque donne correspond une liste dcrivant les droits des diffrentsutilisateurs (droit de consultation, modification, excution, ...).
Cette liste est parcourue lors de chaque tentative d'accs, et sa
consultation permet de dcider ou non de la validit de laccs demand.
7/31/2019 Cours Partie1
45/103
II. 3. Autres Technologies de la scurit
7/31/2019 Cours Partie1
46/103
Master spcialis QL : Scurit des Rseaux 4616/07/12
II. 3. Autres Technologies de la scurit
Bourrage de trafic :
But :
Cette technique vise protger un canal de communication contrel'analyse de trafic (confidentialit de flux) et, en second lieu, contrel'coute de la ligne.
Principe : Maintenir un dbit de transmission (sur une ligne ou entre 2 entits)
constant, quel que soit le dbit rel de la communication proprement dite.
Fonctionnement :
Le dbit de transmission est complt par lmission de paquets dedonnes alatoires et gnralement cryptes (pour masquer le fait queces donnes supplmentaires sont factices).
7/31/2019 Cours Partie1
47/103
II. 3. Autres Technologies de la scurit
7/31/2019 Cours Partie1
48/103
Master spcialis QL : Scurit des Rseaux 4816/07/12
g
Contrle de routage :
Fonctionnement : La slection du chemin de routage peut se faire dedeux manires :
En spcifiant explicitement les chemins autoriss (ventuellement pourchaque type de donnes) ;
En spcifiant, au contraire, les chemins non autoriss (et donc considrscomme risqus).
Variante :
But : Protger un sous rseau daccs via Internet
Principe : Ne pas annoncer (faire connatre) le sous-rseau : ladresse IPdu sous-rseau sera inconnue dans les tables de routage nationales etinternationales.
III. Scurit des rseaux
7/31/2019 Cours Partie1
49/103
Master spcialis QL : Scurit des Rseaux 4916/07/12
SommaireSommaire
1. Terminologie :
2. Classification des attaques rseau :
3. Principales attaques rseau:4. Phases dune attaque externe structure typique :
5. Solutions et outils pour la scurit rseau:
6. Scurit du e-paiement:
III. Scurit des rseaux
7/31/2019 Cours Partie1
50/103
Master spcialis QL : Scurit des Rseaux 5016/07/12
La scurit rseau est au cur de la scurit des SI surtout que sice maillon est cass, les portes sont gnralement grandes
ouvertes pour casser les autres maillons de la scurit.
"Connatre son ennemi" : avant de scuriser un rseau, il faut
connatre les types de dangers et dattaques dont il peut tre la
cible.
"Connatre ses richesses" : avant de scuriser un rseau, il faut
savoir ce que lon veut protger et surtout ce qui mrite de ltre.
III.1. Terminologie
7/31/2019 Cours Partie1
51/103
Master spcialis QL : Scurit des Rseaux 5116/07/12
Attaque :
Une attaque est une action malveillante visant tenter de contournerles mesures de scurit dun systme dinformation
Une attaque est un ensemble dun ou plusieurs vnements quipeuvent avoir une ou plusieurs consquences en termes de scurit.
Elle peut tre passive (contre uniquement la confidentialit) ou active(contre lintgrit, lauthentification, la non-rpudiation et/ou lecontrle daccs)
Mesures de scurit :
Les mesures de scurit sont les actions menes par un organismeen vue dassurer les services de scurit et ce, pour protger le SIcontre les attaques de scurit, dtecter (si cest possible, en tempsrel) ses attaques et enfin ragir en consquence.
g
III.1. Terminologie
7/31/2019 Cours Partie1
52/103
Master spcialis QL : Scurit des Rseaux 5216/07/12
Menace :
Une menace est une violation potentielle de la scurit (accident,erreur, malveillance).
Deux types de menaces peuvent tre distingus : la menaceaccidentelle et la menace intentionnelle .
Vulnrabilit : Elle peut tre due :
une faiblesse ou une faille dans les protocoles, la topologie, lesmcanismes de scurit dun rseau, etc. ;
labsence dune politique de scurit (ou son inefficacit) ; labsence de formation et de sensibilisation des utilisateurs du
rseau.
III.1. Terminologie
7/31/2019 Cours Partie1
53/103
Master spcialis QL : Scurit des Rseaux 5316/07/12
Risque :
Le risque peut se dfinir comme tant la probabilit quune menace
particulire puisse exploiter une vulnrabilit donne.
Virus
Un virus est un programme cach dans un autre qui peut sexcuter etse reproduire en infectant dautres programmes ou dautres
ordinateurs.
Les dgts causs peuvent aller du simple message qui saffiche
lcran au formatage des disques durs de toutes les machines dunrseau.
7/31/2019 Cours Partie1
54/103
III.2. Classification des attaques rseau
7/31/2019 Cours Partie1
55/103
Master spcialis QL : Scurit des Rseaux 5516/07/12
Les attaques rseau peuvent tre classes selon plusieurs critres dont :
La nature de lattaquant :
Attaques structures ou dexpert :
En gnral, ces attaquants sont trs motivs et techniquement
comptents ;
Ils crent leur propres outils ou en perfectionnent ceux dautrui ;
Ces attaques ont toujours un but prcis (vol dinfo et/ou argent, causer
des dommages,) ;
Si le but est de nuire, les dommages sont souvent trs srieuses et
peuvent aller jusqu anantir tout le SI.
III.2.Classification des attaques rseau
7/31/2019 Cours Partie1
56/103
Master spcialis QL : Scurit des Rseaux 5616/07/12
La nature de lattaquant :
Attaques non structures ou de novices :
Ces attaquants sont gnralement sans relles mauvaises intentions,
mais peuvent causer de vrais dommages ;
Ils utilisent les outils dvelopps par dautres attaquants (procurs viaInternet) ;
Les sites Web sont les cibles prfres de ces attaquants (moins
scuriss, attaque vite connue, etc);
III.2. Classification des attaques rseau
7/31/2019 Cours Partie1
57/103
Master spcialis QL : Scurit des Rseaux 5716/07/12
La localit de lattaquant :
Attaques externes (e.g, partir dInternet) :
Ces attaques peuvent provenir de nimporte quelle personne
connecte Internet pourvue que la cible le soit aussi ;
Elles bnficient parfois de complicit de lintrieur, dans ce cas, elles
deviennent plus dangereuses.
Attaques internes :
Les statistiques disent quelles sont les plus frquentes : 80% (de
celles dtectes et dclares) selon Studies and Survey, dc 2000;
Elles sont gnralement plus dangereuses car leur auteur ont plus
dinformations sur le rseau attaqu;
7/31/2019 Cours Partie1
58/103
III.2. Classification des attaques rseau
7/31/2019 Cours Partie1
59/103
Master spcialis QL : Scurit des Rseaux 5916/07/12
Les faiblesses exploites par lattaquant :
Les faiblesses des protocoles rseau (e.g :TCP/IP);
Les faiblesses des systmes dexploitation;
Les faiblesses des mcanismes dauthentification ;
Les bugs connus de certains logiciels ;
Les backdoors ;
Les faiblesses dans les configurations des serveurs (Web, mail,
DNS, etc.). Les faiblesses humaines: Social Engineering
III.2. Classification des attaques rseau
7/31/2019 Cours Partie1
60/103
Master spcialis QL : Scurit des Rseaux 6016/07/12
Le(s) but(s) de lattaquant :
coute du rseau ( confidentialit) attaque passive;
Disfonctionnement du rseau et de ces machines: DOS & Virus;
Accs au rseau : Mascarade & Virus.
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
61/103
Master spcialis QL : Scurit des Rseaux 6116/07/12
coute (sniffing) :
Dni de service (DOS) :
Mascarade (Spoofing) :
Virus/vers/ Chevaux de Troie :
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
62/103
Master spcialis QL : Scurit des Rseaux 6216/07/12
coute (sniffing) :
But : Interception de mots de passe qui transitent en clair sur le rseau,
Espionnage concernant les pages web visites, les sessions ftp en cours,les mails en envoi ou rception, etc.
Principe :
En utilisant un outil adquat (dit sniffer), il est possible dintercepter toutesles trames qui arrivent une carte mme si elles ne lui sont pasdestines.
Condition :
Le rseau doit utiliser le broadcasting (exp, Ethernet) : toutes les trames
transitant sur le rseau arrivent toutes les cartes rseau des machinesconnectes. Normalement, seules les trames destines une machinesont lues (par sa carte rseau), les autres sont ignores.
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
63/103
Master spcialis QL : Scurit des Rseaux 6316/07/12
Dni de service (DOS) :
But :
gnrer des arrts de service et donc empcher le bon fonctionnementdun systme (diminution de la bande passante du rseau, dconnexionde la machine cible ou son plantage, ).
Principe : En gnral, il consiste en lenvoi en trs grand nombre de messages
autoriss en vue de saturer une machine ou un quipement rseau et ce,en exploitant les faiblesses de larchitecture ou dun protocole du rseau.
Actuellement, ce sont les attaques les plus utilises sur les gros serveurs
Web (Yahoo, eBay). Il existe deux catgories pour ce type dattaque : Attaque Dos mono-source
et attaque Dos multi-sources (DDoS).
7/31/2019 Cours Partie1
64/103
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
65/103
Master spcialis QL : Scurit des Rseaux 6516/07/12
Dni de service (DOS) :
Variante TCP-SYN flooding :
Principe :
Envoi en grand nombre de paquets TCP SYN avec des adressesalatoires (IP spoofing) ou partir de plusieurs machines (DDoS) pour
simuler des demandes de connexion TCP au serveur cibl ; Le serveur renvoie des SYN ACK et maintient les connexions ouvertes
en attente de paquets ACK qui ne viendront jamais ce qui peutprovoquer le blocage du serveur
Condition:
dbit denvoi < timeout de demi-connexion
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
66/103
Master spcialis QL : Scurit des Rseaux 6616/07/12
Dni de service (DOS) :
Tear Drop :
Principe :
Exploitation dun bug dans le rassemblage des fragments IP:
Envoi du 1er paquet IP dune fragmentation ;
Envoi dun 2me paquet dont le bit de dcalage et la longueurimpliquent quil est inclus dans le 1er paquet et ainsi de suite ;
Face cette exception le systme peut se bloquer.
Condition :
Il faut que le systme ne sache pas grer cette exception(exp :Win95/NT).
7/31/2019 Cours Partie1
67/103
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
68/103
Master spcialis QL : Scurit des Rseaux 6816/07/12
Dni de service (DOS) :
Dbordement de tampon (Buffer overflow) :
Principe:
Exploitation dune faille du protocole IP :
Envoi la machine cible des donnes dune taille trs trs grandece qui va entraner leur fragmentation en plusieurs paquets;
Dbordement des variables internes lors du rassemblement ;
Suite ce dbordement, plusieurs cas se prsentent : la machine sebloque, redmarre ou ce qui est plus grave, crit sur le code en
mmoire. On peut ainsi modifier directement le code des programmesde la machine
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
69/103
Master spcialis QL : Scurit des Rseaux 6916/07/12
Dni de service (DOS) :
Variante: Ping de la mort (Ping of Death) :
Principe :
Envoi dune requte ping du protocole ICMP. Envoyer un paquet ICMP(en gnral, ping) d'une taille suprieure la longueur maximale une
machine. Lors de son envoi, le ping of death est fragment en paquets plus
petits. La machine qui reoit ces paquets doit alors les reconstruirent.
Certains systmes ne grent pas cette fragmentation, et se bloquent,
ou crashent compltement.
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
70/103
Master spcialis QL : Scurit des Rseaux 7016/07/12
Dni de service (DOS) :
Dbordement de messages (Spams) :
But :
Engorger les rseaux suite leur propagation massive et saturationdes botes aux lettres
Principe:
Envoi par mail de messages large chelle (En gnral, sans aucuneaction nuisible sur la machine cible)
Ils propagent la dsinformation (exemples : fausse nouvelle
concernant un nouveau virus, une possibilit de gain norme, unedemande daide).
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
71/103
Master spcialis QL : Scurit des Rseaux 7116/07/12
Mascarade (Spoofing ) :
But :
Ouverture de connexions non autorises avec les serveurs cibles,cela se fait gnralement par construction de paquets IP avec unefausse adresse source, pour ventuellement, raliser dautres buts,
comme par exemple: effectuer dautres attaques DoS ou de crationde backdoors.
Condition :
Il faut quune machine cliente soit autorise se connecter en root ou
avec des privilges sur le serveur cible.
7/31/2019 Cours Partie1
72/103
7/31/2019 Cours Partie1
73/103
7/31/2019 Cours Partie1
74/103
III.3. Principales attaques rseau
7/31/2019 Cours Partie1
75/103
Master spcialis QL : Scurit des Rseaux 7516/07/12
Virus/ Vers/ Chevaux de Troie :
Chevaux de Troie ou troyens :
Programmes cachs qui crent des failles dans un systme ( parexemple, ils crent une backdoor sur la machine au profit du crateurdu troyen). Ils peuvent aussi voler des mots de passe, communiquer
des donnes leur crateur, excuter des actions nuisibles, etc.
Bombes logiques :
Programmes dont le dclenchement seffectue un momentdtermin, en exploitant la date du systme, ou suite un vnement
dclencheur.
III.4. Phases dune attaque typique
7/31/2019 Cours Partie1
76/103
Master spcialis QL : Scurit des Rseaux 7616/07/12
Phase 1: Dfinition du but de lattaque
tablissement vis :
Pour les attaques structures, la cible est connue davance, parexemple, le concurrent du mandataire de lattaque, le gouvernementdun tat ennemi, une banque (pour vol dargent), lex-socit de
lattaquant, etc.
Objectif raliser :
Accs au systme (donnes, ressources) pour avoir ou augmenterdes privilges;
Dni de service, pour causer des pertes financires ou nuire limagede marque.
7/31/2019 Cours Partie1
77/103
7/31/2019 Cours Partie1
78/103
III.4. Phases dune attaque typique
7/31/2019 Cours Partie1
79/103
Master spcialis QL : Scurit des Rseaux 7916/07/12
Phase 2: Reconnaissance avant lattaque
Outils utiliss:
Outils habituels dadministration rseau: commandes netstat,traceroute, etc.
Outils pour cartographier un rseau :Nessus, Nmap, etc.
Outils de scan : Rat, Satan, Strobe, etc.
Autres techniques:
Craquage de mots de passe : mthode exhaustive ou avecdictionnaires;
Utilisation de la pile TCP/IP pour deviner lOS, etc.
7/31/2019 Cours Partie1
80/103
III.4. Phases dune attaque typique
7/31/2019 Cours Partie1
81/103
Master spcialis QL : Scurit des Rseaux 8116/07/12
Phase 4 : Aprs lattaque
Si Gain daccs russi:
Augmenter les privilges (par exemple, Compte Root,);
Compromettre dautres quipements du rseau attaqu voire dautresrseaux partenaires (effet domino);
Laisser des backdoors pour des futurs attaques;
Si possible, ne pas laisser de traces ou de preuves compromettantes.
Si Dni de service achev :
Diffuser la nouvelle de lattaque dans les sites Web en amplifiantlimpact de lattaque.
7/31/2019 Cours Partie1
82/103
7/31/2019 Cours Partie1
83/103
7/31/2019 Cours Partie1
84/103
7/31/2019 Cours Partie1
85/103
III.5.1. Scurit active ou de protection
7/31/2019 Cours Partie1
86/103
Master spcialis QL : Scurit des Rseaux 8616/07/12
La segmentation :
Principe :
Filtrage niv 1 et 2
But :
Rduire les domaines de collision;
Rduire les domaines de diffusion.
Types :
Physique
Logique : Vlan
7/31/2019 Cours Partie1
87/103
III.5.1. Scurit active ou de protection
7/31/2019 Cours Partie1
88/103
Master spcialis QL : Scurit des Rseaux 8816/07/12
Segmentation Logique : VLan
Principe : Un rseau local virtuel est un rseau logique de niveau 2;
Il exploite la technique de la commutation ;
Il permet de connecter un groupe logique de stations de travail, mme si cesdernires ne sont pas gographiquement proches les unes des autres.
Rles :
Regrouper/isoler des groupes dutilisateurs qui ont besoin daccder ou dutiliser lesmmes ressources tout en permettant leur mobilit (sans changement dadresse);
Limiter la propagation du trafic au seul VLAN concern : un flux originaire d'un VLANdonn n'est transmis qu'aux ports qui appartiennent ce mme VLAN. Chacun des
VLANs constitue ainsi un domaine de diffusion propre.
Apporter ainsi un premier niveau de scurit.
7/31/2019 Cours Partie1
89/103
7/31/2019 Cours Partie1
90/103
7/31/2019 Cours Partie1
91/103
7/31/2019 Cours Partie1
92/103
7/31/2019 Cours Partie1
93/103
7/31/2019 Cours Partie1
94/103
III.5.1. Scurit active ou de protection
7/31/2019 Cours Partie1
95/103
Master spcialis QL : Scurit des Rseaux 9516/07/12
Le filtrage IP:
Fonctionnement (suite):
Politique de filtrage:
Les types de paquets autoriss sont lists dans une liste exhaustive,les paquets dont le type est dans la liste passent, les autres sont
arrts;
Les types de paquets interdits sont lists dans une liste exhaustive, lespaquets dont le type nest pas dans la liste passent, les autres sontarrts;
Un ensemble de rgles de filtrage qui dterminent les paquetsautoriss et ceux interdits.
7/31/2019 Cours Partie1
96/103
7/31/2019 Cours Partie1
97/103
7/31/2019 Cours Partie1
98/103
III.5.1. Scurit active ou de protection
L l li tif
7/31/2019 Cours Partie1
99/103
Master spcialis QL : Scurit des Rseaux 9916/07/12
Le relayage applicatif :
Avantages et inconvnients :
Permet danalyser le flux applicatif et fournit donc une plus grandefinesse dans le contrle
Outre le filtrage, il permet de faire de la traabilit.
Le niveau de scurit offert, pour une application donne, est lev.
Il est uniquement logiciel et ses performances sont relativementmdiocres.
Il faut gnralement avoir pour chaque service ou application rseauun programme spcifique (proxy)
III.5.1. Scurit active ou de protection
Le relayage applicatif:
7/31/2019 Cours Partie1
100/103
Master spcialis QL : Scurit des Rseaux 10016/07/12
Le relayage applicatif:
Utilisations (1) :
III.5.1. Scurit active ou de protection
Le relayage applicatif:
7/31/2019 Cours Partie1
101/103
Master spcialis QL : Scurit des Rseaux 10116/07/12
Le relayage applicatif:
Utilisations (2) :
7/31/2019 Cours Partie1
102/103
7/31/2019 Cours Partie1
103/103
Recommended