Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

TROISIEME CHAPITRE – SYSTEMES DE PROTECTION INFORMATIQUE Un système de protecti

TROISIEME CHAPITRE – SYSTEMES DE PROTECTION INFORMATIQUE Un système de protection informatique est un ensemble des techniques permettant de se prémunir contre les attaques et piraterie informatique, en interdisant la copie de contenus d’un support (logiciel) ou en rendant inutilisable toute intrusion dans le système. Les systèmes de protection informatique les plus connus sont : Les anti-virus ; les systèmes de détection (et prévention) d’intrusion (IDS) et Les firewalls ; III.1. LES ANTI-VIRUS Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des logiciels malveillants (dont les virus informatique ne sont qu'une catégorie). Ces derniers peuvent se baser sur l'exploitation de failles de sécurité, mais il peut également s'agir de logiciels modifiant ou supprimant des fichiers, que ce soit des documents de l'utilisateur stockés sur l'ordinateur infecté, ou des fichiers nécessaires au bon fonctionnement de l'ordinateur (le plus souvent ceux du système d'exploitation). Il est intéressant de noter qu’une fois un fichier infecté, il ne l’est jamais deux fois. En effet, un virus est programmé de telle sorte qu’il signe le fichier dès qu’il est contaminé. On parle ainsi de signature de virus. Cette signature consiste en une suite de bits apposée au fichier. Cette suite, une fois décelée, permettra de reconnaitre le virus. Lorsque le virus est détecté par l’antivirus, plusieurs possibilités sont offertes pour l’éradiquer :  Supprimer le fichier infecté ;  Supprimer le code malicieux du fichier infecté ;  Placer le ou les fichiers infectés en "quarantaine" pour un traitement futur. Voici les anti-virus les plus populaires selon leurs finalités : Les principaux anti-virus des PC et Serveurs : AhnLab V3 Internet Security - Avast Antivirus - AVG - Avira AntiVirus - Bitdefender - ClamWin - ClamAV - Comodo Antivirus - Comodo Internet Security - Dr. Web - NOD32 - F-Secure - F-PROT - Fortinet - G Data Software - Advanced SystemCare - iolo System Shield - Kaspersky AntiVirus - Kaspersky Internet Security - KingSoft - Mac Internet Security - McAfee VirusScan - Microsoft Security Essentials - Windows Defender - Panda - 360 Safeguard - Outpost Security Suite - Sophos - Symantec Endpoint Protection - Immunet - Element AntiVirus - Norton AntiVirus - Norton Internet Security - Spyware Doctor - VirusBarrier - Trend Micro Internet Security - TrustPort - Vba32 AntiVirus - Zone Alarm.  Les principaux anti-virus des mobiles et tablettes : AhnLab Mobile Security (en) - Avast Antivirus - AVG - Avira Free Android Security - Bitdefender Mobile Security - CM Security - Comodo Mobile Security - Dr. Web Mobile Security Suite - ESET Mobile Security - F-Secure Mobile Security - G Data MobileSecurity - Lookout Mobile Security - McAfee Mobile Security - FireAMP Mobile - Trend Micro Mobile Security - TrustPort Mobile Security - VirusBarrier. III.1.1. FONCTIONNEMENT DE L’ANTI-VIRUS Un logiciel antivirus vérifie les fichiers et courriers électroniques, les secteurs de démarrage (afin de détecter les virus de boot), mais aussi la mémoire vive de l'ordinateur, les médias amovibles (clefs USB, CD, DVD, etc.), les données qui transitent sur les éventuels réseaux (dont internet) …. Différentes méthodes sont possibles :  Les principaux antivirus du marché se concentrent sur des fichiers et comparent alors la signature virale du virus aux codes à vérifier ;  La méthode heuristique est la méthode la plus puissante, tendant à découvrir un code malveillant par son comportement. Elle essaie de le détecter en analysant le code d'un programme inconnu. Parfois de fausses alertes peuvent être provoquées ;  L’analyse de forme repose sur du filtrage basé entre des règles rege-xp ou autres, mises dans un fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de messagerie électronique supportant les rege-xp type postfix puisqu'elle ne repose pas sur un fichier de signatures. Les antivirus peuvent balayer le contenu d'un disque dur, mais également la mémoire vive de l'ordinateur. Pour les anti-virus les plus modernes, ils agissent en amont de la machine en scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux descendant (téléchargement) que montant (téléchargementt ou upload). Ainsi, les courriels sont examinés, mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions réseau, clefs USB… III.1.2. TECHNIQUES DE DETECTION DES ANTI-VIRUS En général, la guerre entre virus et antivirus est bien réelle. Dès qu’un groupe agit, le camp opposé tente de trouver la parade. Pour détecter les virus, les antivirus doivent user de plusieurs techniques spécialement :  Le scanning des signatures (Dictionnaire) - La détection des virus consiste à la recherche de ces signatures à partir d’une base de données de signatures (on parle également de définitions de virus). Le principal avantage de cette technique est qu’il est possible de détecter le virus avant qu’il ne soit en action. Cependant, il est nécessaire que sa signature soit présente dans la base de données afin qu’il soit détecté. De plus, il est nécessaire de tenir la base régulièrement à jour afin de pouvoir détecter les nouveaux virus.  Le moniteur de comportement : Il s’agit ici de contrôler en continu toute activité suspecte telles que les lectures et écritures dans des fichiers exécutables, les tentatives d’écriture dans les secteurs de partitions et de boot du disque.  Liste blanche - est une technique de plus en plus utilisée pour lutter contre les logiciels malveillants. Au lieu de rechercher les logiciels connus comme malveillants, on empêche l'exécution de tout logiciel à l'exception de ceux qui sont considérés comme fiables par l'administrateur système. En adoptant cette méthode de blocage par défaut, on évite les problèmes inhérents à la mise à jour du fichier de signatures virales. De plus, elle permet d'empêcher l'exécution de logiciels indésirables. Étant donné que les entreprises modernes possèdent de nombreuses applications considérées comme fiables, l'efficacité de cette technique dépend de la capacité de l'administrateur à établir et mettre à jour la liste blanche. Cette tâche peut être facilitée par l'utilisation d'outils d'automatisation des processus d'inventaire et de maintenance.  Le contrôleur d’intégrité : Le principe est que l’antivirus maintienne une liste des fichiers exécutables associés à leur taille, leur date de création, de modification, voire un CRC (Contrôleur Redondance Cyclique). L’utilisation du CRC permet de vérifier qu’un exécutable n’a pas été modifié en comparant sa somme de contrôle avant et après son exécution. En effet, en dehors d’une mise à jour explicite du fichier, un fichier exécutable n’est pas sensé être modifié. Le même type de vérifications peut être instauré avec la date et l’heure de modification. Cependant, il suffira aux virus de mémoriser ces valeurs afin de pouvoir les restaurer par la suite.  L’analyse heuristique : A la différence du moniteur de comportement qui détecte les modifications causées par les virus, l’analyse heuristique tente de détecter les virus avant leur exécution, en cherchant des portions de code suspectes. Il pourrait par exemple chercher des séquences de lecture suivies de séquences d’écriture sur un même fichier exécutable. Cette technique permet donc de détecter des virus même s’ils ne sont pas présents dans la base de données, puisque l’analyseur teste des séquences d’instructions communes à de nombreux virus. III.2. LES SYSTEMES DE DETECTION D’INTRUSION Un système de détection d'intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. Les IDS, les plus connus selon leurs différentes catégories sont :  Les IDS réseau (NIDS) - Snort ; Bro ; Suricata ; Enterasys ; Check Point ; Tipping point.  Les IDS système (HIDS) - AIDE ; Chkrootkit ; DarkSpy ; Fail2ban ; IceSword ; OSSEC ; Rkhunter ; Rootkit Unhooker; Tripwire.  Les IDS hybride - Prelude; OSSIM. III.2.1. TYPOLOGIE DE SYSTÈMES DE DÉTECTION D'INTRUSION Il existe trois grandes familles distinctes d’IDS :  les NIDS (Network Based Intrusion Detection System), qui surveillent l'état de la sécurité au niveau du réseau ;  les HIDS (HostBased Intrusion Detection System), qui surveillent l'état de la sécurité au niveau des hôtes. Les HIDS sont particulièrement efficaces pour déterminer si un hôte est contaminé et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement à un HIDS qui est restreint à un hôte.  Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus pertinentes. III.2.1.1. LES NIDS (IDS réseau) Un NIDS se découpe en trois grandes parties : la capture, les signatures et les alertes. Cependant à ces trois principales parties, s’ajoute de même 2 principales techniques :  La Capture - La capture sert à la récupération de trafic réseau. En général cela se fait en temps réel, bien que certains NIDS permettent l'analyse de trafic capturé précédemment. La plupart des NIDS utilisent la bibliothèque standard de capture de paquets libpcap. La bibliothèque de capture de paquets Packet Capture Library est portée sur quasiment toutes les plates-formes, ce qui permet en général aux IDS réseau de suivre. Le fonctionnement de la capture d'un NIDS est donc uploads/Management/ troisieme-chapitre-systemes-de-protections-informatique.pdf