Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Leçon 3 – Principales techniques d'attaques et logiciels malveillants dans le r

Leçon 3 – Principales techniques d'attaques et logiciels malveillants dans le réseau Équipe Pédagogique Réseau Informatique@ UVCI 2018 Version 1.0 Juin 2018 Table des matières I - Objectifs 3 II - Introduction 4 III - Techniques d'intrusion 6 1. Le sniffing .................................................................................................................................... 6 2. Le « craquage » de mot de passe ................................................................................................. 6 3. Le phishing ................................................................................................................................... 6 4. Le spoofing ................................................................................................................................... 7 5. Les malwares ................................................................................................................................ 7 6. Exercice ......................................................................................................................................... 8 IV - Déni de service 9 1. SYN Flood ................................................................................................................................... 9 2. Ping flooding ................................................................................................................................ 9 3. Smurfing ..................................................................................................................................... 10 4. UDP Flood ................................................................................................................................. 10 5. L'attaque ARP ........................................................................................................................... 10 6. DDOS ......................................................................................................................................... 10 7. Exercice ....................................................................................................................................... 12 V - Solutions des exercices 13 VI - Bibliographie 15 3 A la fin de cette leçon, vous serez capable de : Identifier les techniques d'intrusion Identifier les techniques Déni de service Objectifs 4 Les attaques visant à pirater un système en réseau dans le but de récupérer des informations sensibles ou d'altérer les services existent à tous les niveaux. Les points d'entrée les plus vulnérables sont les (lien malveillant) et les (faux lien intégré et pièces jointes). Les services navigateurs clients de messagerie récents sont également concernés : les nouvelles menaces impliquent les blogs, le partage des fichiers . multimédia et les sites des réseaux sociaux Quelle que soit leur place ou leur rôle dans une architecture de réseau local ou sur Internet, les systèmes (serveurs, PC, routeurs, systèmes de stockage...) sont donc tous vulnérables à un certain niveau : émergence en permanence de nouveaux usages et de nouvelles technologies, et donc de nouvelles vulnérabilités (réseaux sociaux, peer to peer, messagerie instantanée, réseaux sans fil, smartphone connectés en WiFi ou en 3G, téléphonie sur IP, stockage sur clé USB...) ; les politiques de sécurité sont complexes car elles doivent opérer simultanément sur tous les éléments d'une architecture réseau et pour différents types d'utilisateurs (firewall sur les routeurs d'accès et sur les serveurs d'extrémité, cryptage de certains fichiers, droits accrus pour les administrateurs sur certaines ressources...) ; les politiques de sécurité mises en place sont basées sur des jugements humains qui doivent de plus être révisés en permanence pour s'adapter aux nouvelles attaques ; la sécurisation est coûteuse en moyens, en temps et surtout en ressources humaines. Pour limiter les risques, la sécurité informatiques visent trois objectifs principaux présentés dans la figure ci-dessous. Objectifs de sécurité Les attaques peuvent être classées en deux grandes catégories : les dont l'objectif techniques d'intrusion principal est de s'introduire sur un réseau pour découvrir ou modifier des données et les dénis de service Introduction 5 qui ont pour but d'empêcher une application ou un service de fonctionner normalement. Cette deuxième catégorie agit donc sur la disponibilité de l'information tandis que la première concerne essen-tiellement la confidentialité et l'intégrité. Une autre classification existe : elle distingue les basées sur attaques passives l'écoute et l'interception qui concernent seulement la confidentialité et les qui altèrent attaques actives également les données ou les services et concernent donc la disponibilité et l'intégrité. Techniques d'intrusion 6 Objectifs Identifier les techniques d'intrusion Ces techniques peuvent être classées suivant le niveau d'intervention : les accès physiques vont du vol de disque dur ou de portable à l'écoute du trafic sur le réseau (sniffing) ; l'ingénierie sociale (social engineering) permet de retrouver ou de récupérer directement des couples identifiant/mot de passe en envoyant par exemple des messages falsifiés (phishing) ; l'interception de communications permet l'usurpation d'identité, le vol de session (session hijacking), le détournement ou l'altération de messages (spoofing) ; les intrusions sur le réseau comprennent le balayage de ports (port scan), l'élévation de privilèges (passage du mode utilisateur au mode administrateur) et surtout les logiciels malveillants ou malwares (virus, vers et chevaux de Troie). Les principales attaques de ce type sont détaillées dans les paragraphes suivants. 1. Le sniffing Sur la plupart des réseaux, les trames sont diffusées sur tout le support (câble Ethernet, transmission radio WiFi...). En fonctionnement normal, seul le destinataire reconnaît son adresse (adresse MAC destination sur un réseau Ethernet) et lit le message. La carte Ethernet ou WiFi d'un PC peut être reprogrammée pour lire tous les messages qui traversent le réseau (promiscious mode). La limite dans ce cas est le dispositif d'interconnexion utilisé sur le LAN ou le segment de LAN (hub, switch, point d'accès WiFi, routeur...). Les hackers utilisent des « sniffers » ou analyseurs réseau qui scannent tous les messages qui circulent sur le réseau et recherchent ainsi des identités et des mots de passe. 2. Le « craquage » de mot de passe Le hacker utilise un dictionnaire de mots et de noms propres construit à partir d'informations personnelles et privées qui ont été collectées (social engineering). Ces chaînes de caractère sont essayées une à une à l'aide de programmes spécifiques qui peuvent tester des milliers de mots de passe à la seconde. Ce type d'attaque est souvent nommé attaque par force brute car le mot de passe est deviné grâce à des milliers d'essais successifs à partir d'un dictionnaire, et non pas retrouvé à l'aide d'un programme capable de décrypter une chaîne de caractères. 3. Le phishing Ce néologisme anglais provient de la contraction de fishing (pêcher) et de phreaking (pirater le réseau téléphonique). Il s'agit de conduire des internautes à divulguer des informations confidentielles, notamment bancaires, en usant d'un hameçon fait de mensonge et de contrefaçon électronique (identité visuelle d'un site connu, en-têtes, logo...). Le cas le plus classique est celui d'un mail usurpant l'identité de votre banque et contenant un lien vers un faux site où l'on vous demandera de confirmer votre numéro de carte visa par exemple. Techniques d'intrusion I Techniques d'intrusion 7 4. Le spoofing Le spoofing consiste à faire passer pour, à usurper . Les falsifications peuvent intervenir sur tous types de serveur, en particulier sur les serveurs DNS et web. 1) Le DNS spoofing Le pirate utilise les faiblesses du protocole DNS et de son implémentation sur les serveurs de noms de domaine pour rediriger des internautes vers des sites falsifiés. Le but du pirate est donc de faire correspondre l'adresse IP d'une machine qu'il contrôle à l'URL réel d'une machine publique. 2) Le web spoofing Le web spoofing est une version élaborée de l'IP spoofing : il s'agit de remplacer un site par une version pirate du même site. Cette technique est notamment utilisée dans la dernière étape du phishing. La falsification se déroule en plusieurs temps : amener la victime à entrer dans le faux site web (grâce à l'utilisation du DNS spoofing par exemple) ; intercepter les requêtes HTTP ; récupérer les vraies pages web et modifier ces pages ; envoyer de fausses pages à la victime. 5. Les malwares Le terme « virus » est souvent employé abusivement pour désigner toutes sortes de logiciels malveillants (les virus ont été historiquement les premiers malwares). 1) Virus Un virus est un programme qui se propage à l'aide d'autres programmes ou de fichiers. Il est souvent simple et facile à détecter à partir de son code (signature) mais néanmoins efficace lorsqu'il se propage plus rapidement que la mise à jour des anti-virus. Un virus passe le plus souvent par la messagerie et est activé par la sélection d'un lien sur le message ou l'ouverture d'un fichier attaché. Les conséquences de l'exécution du virus peuvent aller de la simple modification des paramètres d'une application (page par défaut du navigateur) ou de la base de registre du système (exécution automatique d'un programme commercial à chaque démarrage) à l'effacement de données ou de fichiers essentiels au système d'exploitation. 2) Ver Un ver (worm) est un programme plus sophistiqué capable de se propager et de s'auto-reproduire sans l'utilisation d'un programme quelconque (d'un vecteur) ni d'une action par une personne. La particularité des vers ne réside pas forcément dans leur capacité immédiate de nuire mais dans leur facilité pour se propager grâce par exemple aux listes de contacts présentes sur les PC ou les smartphones. 3) cheval de Troie Un cheval de Troie (troyan) est un programme caché dans un autre programme qui s'exécute au démarrage du programme « hôte ». Il permet donc de s'introduire sur le système à l'insu de la victime (ouverture d'une « porte dérobée » ou backdoor) ; le cheval de Troie devient alors autonome et peut agir comme un virus en infectant des données ou des programmes. Techniques d'intrusion 8 6. Exercice [Solution n°1 p 13] : 1 Exercice Lequel des éléments suivants permet de faire un backdoor caché pour accéder aux postes de travail sur Internet ? a)Cheval de troie b)Bombe logique c)Firmware d)Ver : 2 Exercice Quelle technique permet de collecter des identifiants et mots de passe ? A) Sniffing B) SYN Flood C) Ingénierie sociale D) DoS : 3 Exercice Parmi ces attaques, lesquelles réalisent une attaque par intrusion ? A) phishing B) web flooding C) web spoofing D) DoS E) attaque par force brute : 4 Exercice Donner dans la liste ci-dessous les objectifs d'une attaque par intrusion : A) uploads/Ingenierie_Lourd/ lecon-3-securite-mis-a-jour.pdf