Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

CHAPITRE III. Les types d’attaques référencés - CYBERATTAQUE Une cyberattaque e

CHAPITRE III. Les types d’attaques référencés - CYBERATTAQUE Une cyberattaque est tout type d’action offensive qui vise des systèmes, des infrastructures ou des réseaux informatiques, ou encore des ordinateurs personnels, en s’appuyant sur diverses méthodes pour voler, modifier ou détruire des données ou des systèmes informatiques. Les types de cyberattaques les plus courants sont: 1. Attaques par déni de service (DoS) et par déni de service distribué (DDoS) 2. Attaque de l’homme au milieu (MitM) 3. Hameçonnage (phishing) et harponnage (spear phishing) 4. Téléchargement furtif (drive-by download) 5. Cassage de mot de passe 6. Injection SQL 7. Cross-site scripting (XSS) 8. Écoute clandestine 9. Attaque des anniversaires 10. Logiciel malveillant (malware) 1. Attaques par déni de service (DoS) et par déni de service distribué (DDoS) Une attaque par déni de service submerge les ressources d’un système afin que ce dernier ne puisse pas répondre aux demandes de service. Une attaque DDoS vise elle aussi les ressources d’un système, mais elle est lancée à partir d’un grand nombre d’autres machines hôtes infectées par un logiciel malveillant contrôlé par l’attaquant. À la différence des attaques conçues pour permettre à un attaquant d’obtenir ou de faciliter des accès, le déni de service ne procure pas d’avantage direct aux attaquants. Le déni de service est une satisfaction en soi pour certains pirates. Cependant, si la ressource attaquée appartient à un concurrent, l’avantage pour l’attaquant est alors bien réel. Une attaque DoS peut aussi avoir pour but de mettre un système hors ligne afin de pouvoir lancer un autre type d’attaque. Un exemple courant de cette technique est le détournement de session, que je décrirai plus loin. Il existe différents types d’attaques DoS et DDoS ; les plus courantes sont les attaques SYN flood, les attaques teardrop, les attaques par rebond, le ping de la mort et les botnets. Attaque TCP SYN flood Un attaquant exploite l’utilisation de l’espace tampon lors du handshake d’initialisation de session TCP. La machine de l’attaquant inonde de demandes de connexion la petite file d’attente de traitement du système cible, mais elle ne réagit pas lorsque le système cible répond à ces demandes. Le système cible se met alors à temporiser en attendant la réponse de la machine de l’attaquant, ce qui fait planter le système ou le rend inutilisable lorsque la file d’attente de connexion se remplit. Il existe quelques parades aux attaques SYN flood :  Placez les serveurs derrière un pare-feu configuré pour bloquer les paquets SYN entrants.  Augmentez la taille de la file d’attente de connexion et diminuez le délai d’attente pour les connexions ouvertes. Attaque teardrop Cette attaque provoque le chevauchement des champs de longueur et de décalage de fragmentation des paquets séquentiels du protocole Internet (IP) au niveau de l’hôte attaqué ; au cours de ce processus, le système attaqué tente de reconstruire les paquets mais échoue. Le système cible s’embrouille et plante. En l’absence de correctifs pour se protéger contre cette attaque DoS, désactivez SMBv2 et bloquez les ports 139 et 445. Attaque Smurf Cette attaque implique d’usurper une adresse IP et d’utiliser l’ICMP pour saturer de trafic un réseau cible. Cette méthode d’attaque utilise des demandes d’écho ICMP ciblant des adresses IP de diffusion. Ces demandes ICMP proviennent d’une adresse usurpée. Si, par exemple, l’adresse de la victime choisie est 10.0.0.0.10, l’attaquant simule une demande d’écho ICMP de 10.0.0.0.10 à l’adresse de diffusion 10.255.255.255.255. Cette demande est envoyée à toutes les adresses IP de la plage, et toutes les réponses sont renvoyées à 10.0.0.0.10, submergeant ainsi le réseau. Ce processus est répétable et peut être automatisé en vue de générer des encombrements considérables sur le réseau. Pour protéger vos appareils de ce type d’attaque, désactivez les diffusions dirigées par IP vers les routeurs. Ceci bloquera les demandes d’écho ICMP au niveau des périphériques réseau. Une autre option consiste à configurer les systèmes d’extrémité de manière à les empêcher de répondre aux paquets ICMP provenant des adresses de diffusion. Ping of death Ce type d’attaque pingue un système cible avec des paquets IP dont la taille est supérieure au maximum de 65 535 octets. Les paquets IP de cette taille ne sont pas autorisés, le pirate les fragmente donc. Lorsque le système cible réassemble les paquets, il peut subir des débordements de tampon et d’autres plantages. Les attaques ping de la mort peuvent être bloquées à l’aide d’un pare-feu qui vérifie la taille maximale des paquets IP fragmentés. Botnets Les botnets sont des réseaux constitués de millions de systèmes infectés par des logiciels malveillants et contrôlés par des pirates informatiques afin d’effectuer des attaques DDoS. Ces bots ou systèmes zombies sont utilisés pour effectuer des attaques contre les systèmes cibles, souvent en submergeant leur bande passante et leurs capacités de traitement. Ces attaques DDoS sont difficiles à tracer, car les botnets sont disséminés dans des lieux géographiques différents. Les botnets peuvent être atténués par :  le filtrage RFC3704, qui bloque le trafic provenant d’adresses usurpées et contribue à assurer la traçabilité du trafic vers son véritable réseau source. Le filtrage RFC3704 supprime par exemple les paquets provenant d’adresses figurant sur la liste Bogon.  Le filtrage par trous noirs, qui élimine le trafic indésirable avant qu’il n’entre dans un réseau protégé. Lorsqu’une attaque DDoS est détectée, l’hôte BGP (Border Gateway Protocol) doit envoyer des mises à jour de routage aux routeurs des FAI, afin qu’ils acheminent tout le trafic à destination des serveurs victimes vers une interface null0 lors du saut suivant. 2. Attaque de l’homme au milieu (MitM) Une attaque de l’homme du milieu est un pirate qui s’insère dans les communications entre un client et un serveur. Voici quelques types courants d’attaques de l’homme du milieu : Détournement de session Dans ce type d’attaque MitM, un attaquant détourne une session entre un client de confiance et un serveur réseau. L’ordinateur attaquant substitue son adresse IP au client de confiance pendant que le serveur poursuit la session, croyant qu’il communique avec le client. Par exemple, l’attaque pourrait se dérouler ainsi :  Un client se connecte à un serveur.  L’ordinateur de l’attaquant prend le contrôle du client.  L’ordinateur de l’attaquant déconnecte le client du serveur.  L’ordinateur de l’attaquant remplace l’adresse IP du client par sa propre adresse IP et son propre nom de domaine et usurpe les numéros de séquence du client.  L’ordinateur de l’attaquant poursuit le dialogue avec le serveur, le serveur croit qu’il communique toujours avec le client. Usurpation d’IP Un pirate peut utiliser l’usurpation d’adresse IP pour convaincre un système qu’il communique avec une entité connue et fiable afin de lui donner accès au système. Le pirate envoie à un hôte cible un paquet contenant l’adresse IP source d’un hôte connu et fiable au lieu de sa propre adresse IP source. Il est possible que l’hôte cible accepte le paquet et agisse en conséquence. Relecture Une attaque par rejeu se produit lorsqu’un attaquant intercepte et enregistre d’anciens messages, puis essaie plus tard de les envoyer, se faisant passer pour l’un des participants. Ce type d’attaque peut facilement être contré avec un horodatage des sessions ou un nonce (nombre ou chaîne aléatoire variant avec le temps). Il n’existe actuellement pas de technologie unique ni de configuration unique permettant de prévenir toutes les attaques de l’homme du milieu. En général, le chiffrement et les certificats numériques offrent une protection efficace contre les attaques de ce type, assurant à la fois la confidentialité et l’intégrité des communications. Mais une attaque de l’homme du milieu peut être injectée au cœur des communications de telle sorte que le chiffrement ne soit d’aucun secours. Par exemple, l’attaquant « A » intercepte la clé publique de la personne « P » et la remplace par sa propre clé publique. Par la suite, tout utilisateur souhaitant envoyer un message chiffré à P en utilisant la clé publique de P utilise sans le savoir la clé publique de A. A peut donc lire le message destiné à P, puis l’envoyer à P, chiffré avec la vraie clé publique de P, et P ne remarquera jamais que le message a été compromis. De plus, A peut modifier le message avant de le transmettre à P. Ce dernier, utilisant le chiffrement, pense que ses informations sont protégées, mais elles ne le sont pas, en raison de l’attaque de l’homme du milieu. Dans ces conditions, comment pouvez-vous vous assurer que la clé publique de P appartient à P et non à A ? Des autorités de certification et des fonctions de hachage ont été créées pour résoudre ce problème. Si une personne P2 veut envoyer un message à P, et que P souhaite s’assurer qu’A ne lira ni ne modifiera le message et que le message provient bien de P2, la méthode suivante doit être utilisée :  P2 crée une clé symétrique et la chiffre avec la clé publique de P.  P2 envoie la clé symétrique chiffrée à P.  P2 calcule une fonction de hachage du message et la signe numériquement.  uploads/Ingenierie_Lourd/ chapitre-iii-les-types-d-x27-attaques-references.pdf