RESEAU ET SECURITE

Joelle Saphia DONFACKIngénieur Informatique et Télécommunications

GDG Yaounde Organizer

PLAN DE LA PRESENTATION• INTRODUCTION• DEFINITION DES CONCEPTS• QUELQUES TYPES DE RESEAUX• RESEAU, FAILLES ET MOYENS DE PROTECTION• CONCLUSION• QUELQUES OUTILS

INTRODUCTION

Envahi par les NTIC, presque tout le monde (Individu, entreprise,...) aujourd’hui se sert de réseaux informatiques ou Télécommunications. Pour notre propre sécurité ou celle de notre entreprise, il est crucial de savoir comment se protéger (a notre niveau) d'une éventuelle violation de son espace prive.

DEFINITION DES CONCEPTS• RESEAU : Un réseau en telecommunication est un réseau

d'arcs (liaisons de télécommunications) et de nœuds (commutateurs, routeurs...), mis en place de telle sorte que des messages puissent être transmis d'un bout à l'autre du réseau au travers des multiples liaisons.

• CYBERCRIMINALITE : La convention sur la cybercriminalité du Conseil de l'Europe utilise le terme "cybercriminalité" pour faire référence aux délits allant de toute activité criminelle portant atteinte aux données, au non-respect des droits d'auteur [Krone, 2005]. Toutefois, d'autres auteurs [Zeviar-Geese, 1997-98] suggèrent que la définition de cette notion est beaucoup plus vaste et comprend des activités telles que la fraude en ligne, l'accès non autorisé, la pédopornographie, et le harcèlement dans le cyberespace. Le manuel des Nations Unies sur la prévention et la répression de la criminalité liée à l'informatique inclut la fraude, la contrefaçon et l'accès non autorisé [Nations Unies, 1995] dans sa définition de la cybercriminalité.

• CYBERSECURITE : designe l'ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des états et des organisations (avec un objectif de disponibilité, intégrité & authenticité, confidentialité, preuve & non-répudiation)

QUELQUES TYPES DE RESEAUX• réseau de télévision ;

• réseau informatique ;• Internet ;• réseau de téléphonie mobile ;• réseau téléphonique commuté ;• le réseau numérique à intégration de services (RNIS) ;• le réseau de téléphonie mobile public terrestre ;• le réseau Télex mondial ;• le réseau aéronautique ACARS ;• le réseau Antares de la sécurité civile française ;

RESEAU, FAILLES ET MOYENS DE PROTECTION

• RESEAU INFORMATIQUE (RESEAU D’ENTREPRISE)La sécurité informatique est de nos jours devenue un problème majeur dans la gestion des réseaux d’entreprise ainsi que pour les particuliers toujours plus nombreux à se connecter à Internet. souvent laissé de côté par des entreprises ou des particuliers jusqu'au jour où ils s'aperçoivent que leurs systèmes ont été visités par un hacker ou pirate informatique, et que leurs données confidentielles (login, mots de passe, informations bancaires, feuilles de paie…) ont été dérobées ou copiées, qu'ils étaient espionnés. Définissons le hacking comme un ensemble de techniques informatiques, visant à attaquer un réseau, un site, etc. Ces différents attaques, peuvent être locales (sur le même ordinateur, voir sur le même réseau) ou distantes (sur internet, par télécommunication) et elles sont faites par des individus communément appelé hackers.Ces derniers pour procéder, utilisent différents outils et techniques

• Remarque: HACKER, Qu’est-ce que c’est?Un hacker est une personne qui montre une passion pour la compréhension du fonctionnement intime des systèmes, ordinateurs et réseaux informatiques en particulier.En sécurité informatique, un hacker est un spécialiste dans la maîtrise de la sécurité informatique et donc des moyens de déjouer cette sécurité. Certains d'entre eux utilisent ce savoir-faire dans un cadre légal et d'autres l'utilisent hors-la-loi. Dans ce dernier cas, on parle de pirates informatiques. Differentes sortes existent:

• QUELQUES OUTILS DE HACKINGA/ WPScan

WPScan Est un scanner de vulnérabilités spécialement conçu pour WordPress. Écrit en ruby. Il est capable de trouver les vulnérabilités présentes sur un site web WordPress, de lister les plugins utilisés et de vous donner les failles de sécurités associées.

B/Joomscan Security Scanner

Joomscan Security Scanner est un outil d’audit des sites web pour joomla, il est écrit en perl et il est capable de détecter plus de 550 vulnérabilités comme les inclusions de fichiers, les injections SQL, les failles RFI, LFI, attaques XSS, blind sql injection, protection des répertoires et autres .

C/John The Ripper Conçu par Alexander Peslyak alias Solar, John The

Ripper est un logiciel Open Source, spécialiste de la casse de mots de passe. Disponible sur plus de dix systèmes d'exploitation, John The Ripper supporte en natif de multiples protocoles de chiffrement dont Kerberos AFS, Blowfish, MD5 ou LM hashes / LanMan. John The Ripper ou certaines de ses extensions permettent aussi d'évaluer la robustesse des mots de passe de diverses applications, dont Lotus Domino, Office, Oracle, Microsoft SQL Server et MySQL.

D/ Caïn et Abel Dans la rubrique recuperation de mot de passe, nous avons aussi le logiciel gratuit Caïn et Abel.

E/WiresharkAutrefois connu sous le nom de Ethereal, Wireshark est un "sniffer" ou analyseur de protocoles réseau et applicatif. C'est-à-dire qu'il va capturer des paquets IP transitant sur le réseau de manière transparente pour qu'ils soient ensuite analysés. Des filtres de capture peuvent être appliqués afin de recueillir des paquets correspondants aux besoins. Distribué sous licence GNU GPL, Wireshark est utilisé par les administrateurs réseau et les experts en sécurité lors de tests d'intrusion, notamment pour des scénarios d'attaque man-in-the-middle.F/ MetasploitPlate forme d’open source de tests d’intrusion. Outil de prédilection pour bon nombre d’expert en sécurité

• TECHNIQUES DE HACKING ET MOYEN DE PROTECTIONC’est l’ensemble des procédés que les hackers utilisent pour attaquer les réseaux. Il en

existe plusieurs certaines utilisant des méthodes communes. On distingue: A/Déni de Service(DoS)Les attaques par déni de service (DoS) sont des attaques agressives sur un ordinateur individuel ou sur des groupes d'ordinateurs visant à refuser des services aux utilisateurs prévus. Les attaques DoS peuvent cibler les systèmes d'utilisateurs finaux, les serveurs, les routeurs et les liaisons réseau.En général, les attaques DoS tentent :• D'inonder de trafic un système ou un réseau pour bloquer le trafic réseau

légitime ; • De perturber les connexions entre un client et un serveur pour interdire

l'accès à un service.

Il existe plusieurs types d'attaques DoS  :LE FLOODINGCette attaque consiste à envoyer à une machine de nombreux paquets IP de grosse taille. La machine cible ne pourra donc pas traiter tous les paquets et finira par se déconnecter du réseau. LE SMURFLe smurf est une attaque qui s’appuie sur le ping et les serveurs de broadcast . On falsifie d’abord son adresse IP pour se faire passer pour la machine cible. On envoie alors un ping sur un serveur de broadcast. Il le fera suivre à toutes les machines qui sont connectées qui renverront chacune un « pong » au serveur qui fera suivre à la machine cible. Celle-ci sera alors inondée sous les paquets et finira par se déconnecter.

LE DEBORDEMENT DE TAMPON Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la machine cible. A ce moment, il y aura débordement des variables internes.Suite à ce débordement, plusieurs cas se présentente: la machine se bloque, redémarre ou ce qui est plus grave, écrit sur le code en mémoire. Illustration d’une attacque dos(cas du flooding)

• DENIS DE SERVICE DISTRIBUEÉ Une attaque par déni de service distribué (DDoS) est une forme d'attaque DoS plus sophistiquée et potentiellement plus dangereuse. Elle est conçue pour submerger et saturer les liaisons réseaux de données inutiles. Les attaques DDoS fonctionnent à beaucoup plus grande échelle que les attaques DoS. En général, des centaines ou des milliers de points d'attaque tentent de submerger une cible simultanément. Un ordinateur qui a été infecté au préalable par du code DDoS peut devenir un point d'attaque à son insu. Les systèmes infectés par du code DDoS attaquent le site cible lorsque ce code est appelé.Illustration du Deni de service distribué :

Comment échapper à ces DoS ?

• Mettre à jour le système d'exploitation et les applications• Définir des autorisations d'ouverture de session et d'accès aux fichiers• Modifier les paramètres par défaut permissifs• Exécuter un antivirus et un bloqueur de logiciel espion• Mettre à jour les fichiers logiciels antivirus• Activer les outils du navigateur (bloqueurs de fenêtres publicitaires intempestives,

antihameçonnage, moniteurs de plug-in) • Utiliser un pare-feu

B/ Le phishing (ou Hameçonnage)La technique est assez simple : le phishing (ou hameçonnage) consiste à faire croire à la victime qu'elle est en train de s'adresser à un tiers de confiance, qu'il s'agisse d'un organisme à priori fiable comme une banque, d'un réseau social ou de n'importe quel site internet vous demandant vos identifiants. La première étape pour les fraudeurs est de transmettre un email ressemblant à celui d'une société digne de confiance et incitant son destinataire à se rendre sur une page web pour résoudre un problème (désactivation de compte, information manquante, modification des conditions d'utilisation, litige...).Or, la page web frauduleuse est une réplique quasi exacte du site de la société et servira à enregistrer les données personnelles fournies par la victime trompée (mots de passe, numéros de carte de crédit, adresses en tout genre...).

• Comment y échapper ?il faut vérifier l’adresse de la page sur laquelle vous vous rendez via votre navigateur (dans la barre d’état ou via les « Informations sur la page » sous Firefox) en effectuant ces opérations : sélectionnez Outils Options, l’onglet Sécurité et vérifiez que l’option Signaler si le site est suspecté d’être une contrefaçon est bien validée.Un anti-spam efficace détectera très souvent l’email malveillant. De même qu’un navigateur récent devrait vous alerter s’il se retrouve confronter à un site webMéfiez-vous également des pop-ups intempestifs.

C/ L'IP spoofing• L’IP spoofing est une technique de hacking qui consiste en

l’usurpation d’une adresse IP, on fait croire que la requête provient d’une machine autorisée. Autrement dit, cette attaque consiste à se faire passer pour une autre machine en falsifiant son adresse IP lors d'une attaque de serveur ou de profiter des services dont bénéficie l'adresse IP usurpée.• Il existe des variantes car on peut spoofer aussi des adresses e-

mail, des serveurs DNS ou NFS. Elle est en fait assez complexe.Comment y échapper ?Théoriquement, pour éviter ce genre d'attaque, il est recommandé de ne pas utiliser de service se basant sur l'adresse IP pour identifier les clients. Les services utilisant des algorithmes de cryptographie sont donc à privilégier (de plus en plus de services de téléchargement de P2P, Torrent, Newsgroups le font)

• Une bonne configuration du routeur d’entrée permet d’éviter qu’une machine extérieure puisse se faire passer pour une machine interne.

D/ Porte dérobée Lorsqu’un pirate informatique arrive à accéder à un serveur à l’aide d’une des techniques présentées dans cette section, il souhaiterait y retourner sans avoir à tout recommencer. Pour cela, il laisse donc des portes dérobées (backdoor) qui lui permettrons de reprendre facilement le contrôle du système informatique. Il existe différents types de portes dérobées : • Création d’un nouveau compte administrateur avec un mot de passe choisi par le pirate. • Création de compte ftp

• Modification des règles du pare-feu pour qu’il accepte des connections externes. • Dans tous les cas, l’administrateur pert le contrôle total du système

informatique. Le pirate peut alors récupérer les données qu’il souhaite, voler des mots de passe ou même détruire des données.

• Une porte dérobée, ou backdoor, est un programme ou une foncton invisible permettant à un individu de prendre le contrôle d'un ordinateur à des fins plus ou moins malicieuses. Ces backdoors sont souvent intégrées à un virus, et se répliquent donc par elles-mêmes afin de contaminer un maximum d'ordinateurs pour constituer des botnets.• Les techniques d'infection sont les mêmes que celles utilisées par les

pirates informatiques pour répandre un virus :

- Par spamming : la victime reçoit un message l'incitant à exécuter une pièce jointe contenant la backdoor ou à cliquer sur un lien qui l'enverra sur une page piégée où il lui sera demandé de télécharger un fichier (codec manquant, activeX, faux antivirus...).

• Par l'exploitation d'une faille : cette dernière prend souvent la forme d'un buffer overflow présent dans une fonction de Windows: le pirate enverra sa requête piégée en scannant des plages d'ip et la backdoor infectera la victime sans intervention de sa part• Le pirate pourra aussi exploiter une faille dans un navigateur,

mais il devra dans ce cas obliger la victime à se rendre sur la page piégée.

Exemple de fonctionnementUne fois installée sur l'ordinateur, la backdoor va agir discrètement en arrière plan et sera donc invisible pour la victime. Elle pourra ensuite effectuer différentes actions à la demande du pirate. Le plus souvent, les ordinateurs piégés (créant un réseau de zombis, aussi appelé botnet) serviront de relais aux spammeurs, mais pourront aussi être utilisés pour lancer des attaques DDOS ou servir de proxy. Le pirate pourra aussi espionner les activités des ordinateurs contrôlés et ainsi récupérer des mots de passe ou des coordonnées en tout genre (banque, boite mail...).

E/ L’ingénierie sociale • L’ingénierie sociale (social engineering en anglais) n’est

pas vraiment une attaque informatique, c’est plutôt une méthode pour obtenir des informations sur un système ou des mots de passe. • Elle consiste surtout à se faire passer pour quelqu’un

que l’on est pas (en général un des administrateurs du serveur que l’on veut pirater) et de demander des informations personnelles (login, mots de passe, accès, numéros, données…) en inventant un quelconque motif (plantage du réseau, modification de celui-ci…). Elle se fait soit au moyen d’une simple communication téléphonique ou par courriel.

Comment y echapper?Par la sensibilisation des personnes.

CONCLUSIONEn conclusion, nous pouvons retenir qu’il y a une multitude d’outils de hacking dont certaines ont été présentés (tels que Wireshark, Cain & Abel, etc) et de techniques de hacking telles que les DoS, le sniffing et autres. Pour les administrateurs et les individus, maitriser la plupart de ces notions serait un atout salutaire pour mieux se protéger contre les attaques des hackers.

*QUELQUES OUTILS

My contactJoelle Saphia DONFACKIT support and Network Engineer at NFC Bank SAMail: joellesophia1@gmail comPhone: 674 60 40 33 / 693 17 26 34GDG Yde and Women TechMaker (WTM) Organizer