Rapport Détection Intrusion - Page Frontière du Site d`Arnaud Valeix

Transcription

CHIAPPINI JEAN ETR 6 PRESENTATION PERSONNELLE
Détection d'intrusions. Etude de cas rapporté aux IP-PBX et IP-enabled PBX
Introduction.....................................................................................3
Piratage..............................................................................................3
intrusions.................................................................................3
Intrusion au moyen d'un troyen...........................................................3
Intrusion au moyen des ressources partagées........................................6
Autres problèmes amenant à des intrusions........................................6
Les attaques ......................................................................................6
Le Flood..............................................................................................6
Les scanners.........................................................................................7
Le Nuke.............................................................................................7
Le Mail Bombing................................................................................7
LE SPOOFING IP.........................................................................7
TCP Session Hijacking ......................................................................9
ARP Spoofing .....................................................................................9
DNS Spoofing.....................................................................................9
Les buffers overflow........................................................................... 10
DOS: Denial of service .................................................................... 10
Les scripts......................................................................................... 11
Oshare............................................................................................... 12
Coke.................................................................................................. 12
Phreaking ....................................................................................... 12
Echelon .......................................................................................... 13
Historique......................................................................................... 13
Moyens .............................................................................................. 13
Cibles ................................................................................................ 14
Techniques et recherches utilisées ...................................................... 15
Virus ................................................................................................ 15
Remède........................................................................................... 16
-1/20-
Les firewalls................................................................................... 16
La cryptographie .......................................................................... 16
La cryptographie symétrique ..................................................... 16
La cryptographie asymétrique........................................................... 16
La détection d'intrusion via un NIDS (Network Intrusion Detection System)
L'authentification......................................................................... 17
Les mots de passe.............................................................................. 17
Les cartes à puces.............................................................................. 17
Les caractéristiques biométriques...................................................... 17
La cryptographie............................................................................... 17
Le filtrage de contenu................................................................. 17
Protection des postes nomad es ............................................... 17
La PKI ou Public Key Infrastructure..................................... 18
Conseils .......................................................................................... 18
Mots de passe................................................................................ 18
Comment faire ? ............................................................................... 18
Il ne faut pas prêter son mot de passe............................................... 18
Il ne faut pas non plus l’écrire.......................................................... 19
Mise a jour..................................................................................... 19
conclusion...................................................................................... 20
Références...................................................................................... 20
Annexes .......................................................................................... 20
-2/20-
16
INTRODUCTION
Le temps ou seule les entreprises de pointes étaient connectées sur Internet esr révolu. Internet c’est
développé d’une façon considérable et est devenu monnaie courante dans une grande majorité des
entreprises. C’est pourquoi la sécurité des réseaux apparaît comme une préoccupation importante tant au
niveau des utilisateurs que pour les administrateurs.
C’est pour ça qu’il a fallu mettre en place des moyens pour sécurisé l’informatique. Cela consiste en un
ensemble de moyen mis en oeuvre pour limiter les risques contre les menaces volontaires ou
intentionnelles. Cette présentation va mettre en avant différents thèmes, tel le Piratage, el s Virus, la
Cryptographie ou même encore la surveillance exercée par le Programme Echelon.
PIRATAGE
Quel que soit le sens qu'ils donnent à leurs actions, les pirates de l'informatique fascinent. Ils fascinent
le pauvre utilisateur qui découvre bien malgré lui que des actes répréhensibles ont été commis sur son
ordinateur et cela par le simple fait d’être branché sur un réseau.
Ils fascinent aussi l'informaticien qui apprend, parfois à ses dépens, quelles sont les vulnérabilités de
telle application, de tel système d'exploitation ou de tel protocole de communication.
Le piratage s'est développé de façon exponentielle depuis l'avènement d'Internet et représente une des
plus importantes préoccupations des acteurs majeurs comme des états.
Aujourd’hui, nous nous devons tous de tenir compte de ce phénomène, en apprendre les mécanismes
pour se préserver des conséquences qui peuvent être désastreuses.
Dans les actes de piratage, on peut distinguer deux catégories, d'abord les intrusions qui visent à
pénétrer sur un ordinateur, un réseau protégé, ensuite les attaques qui consistent à gêner un ou des
utilisateurs, par exemple faire planter un ordinateur ou surcharger un site de connexion comme ce fût le
cas dernièrement avec de grands serveurs américains.
INTRUSIONS
Les intrusions consistent à pénétrer sur un ordinateur ou un réseau distant.
INTRUSION AU MOYEN D'UN TROYEN
Cette sorte de virus permet l'intrusion et la prise de contrôle d’ un ordinateur par celui qui l'aura
envoyé. Le téléchargement de fichiers d'origine douteuse est le principal moyen de contamination par les
programmes de type troyen. Ces derniers permettent à l’agresseur de contrôler à distance la machine, et lui
donne tout pouvoir sur les fichiers du disque dur (lecture, suppression, vol, etc.).
Les Troyens (ou cheval de Troie)
Comment savoir si une machine est infectée par un troyen ? Lors de son installation, le troyen
s'installe en mémoire et s'arrange pour être exécuté à chaque démarrage de la machine. Si on ne se rend
compte de rien, on le détectera tôt ou tard par ses conséquences négatives, voire désastreuses, liées au fait
que le troyen permet à l’agresseur de contrôler à distance l’ordinateur lorsqu’il est connecté à l’Internet.
Une indication symptomatique est de voir clignoter les diodes de la carte réseau ou d'entendre le
disque dur ramer alors qu’il est connecté mais qu’il ne traite rien (ni navigation sur Internet, ni
téléchargement de programme) : il est fort probable que cette activité soie due à la présence d'un troyen, et
qu'en ce moment même un individu soit en train de visiter le disque dur...
-3/20-
Pourquoi troyen au fait ?
C'est l'histoire ancestrale du "cheval de Troie". Les Grecs effectuaient le siège de la ville de Troie et
n'arrivaient pas à faire plier la ville assiégée. Les assaillants eurent l'idée de construire un énorme cheval de
bois et de l'offrir aux Troyens.
Ceux-ci prirent le cheval de bois pour un cadeau des Dieux et l'accueillèrent à l'intérieur de leur ville.
Cependant, le cheval était rempli de soldats qui s'empressèrent d'en sortir à la tombée de la nuit, alors que
la ville entière était endormie... Cette ruse permis aux Grecs de pénétrer dans la ville et de gagner la
bataille.
Principe
Les troyens ou chevaux de Troie permettent à une personne malveillante d'ouvrir des brèches dans un
système, c'est à dire d'ouvrir un port sur la machine distante qui va permettre aux deux machines de
communiquer. Pour que la communication s'établisse, il faut deux parties essentielles, un logiciel serveur
qui doit être installé sur la machine distante et un logiciel client qui permettra de piloter l'ordinateur
distant.
La première étape consiste à envoyer à la machine cible le logiciel serveur. Étant donné la nuisance
que peut occasionner un cheval de Troie, l'utilisateur cible ne va pas de son plein gré exécuté le
programme s'il sait de quoi il s'agit. Aussi, le cheval de Troie en lui-même va être présenté comme
différent, un logiciel pour casser les mots de passe ou un antivirus par exemple, et lorsque l'utilisateur se
plaindra que le programme ne fonctionne pas…
Une autre méthode, plus perverse, existe, elle consiste à introduire le troyen directement dans un
logiciel, aussi divers soit-il, puis de le faire parvenir à la personne visée, dès lors tout programme peut être
infecté ! De plus, selon la personne visé, ses intérêts, sa vigilance, le mode d'infection peut être
personnalisé.
Après l'infection, il faut attendre l'exécution du programme. Dans ce cas deux solutions, soit le
cheval de Troie a été exécuté seul, alors un message d'erreur s'affiche, soit le troyen incorporé dans un
autre logiciel, s'exécute sans changer le comportement du logiciel.
La partie active du programme (soit le troyen en lui-même, soit la partie nocive d'un logiciel) va se
renommer, prend un nom qui ne soit pas suspect (qui change avec le cheval de Troie) et se place dans un
dossier généralement peu fréquenté (du type C:\windows, ou C:\windows\system, où il existe un grand
nombre de fichiers dont l'utilité est parfaitement inconnue.). De plus, le troyen va généralement écrire
dans la base de registre pour pouvoir s'exécuter à chaque lancement de l'ordinateur.
A la suite de ces opérations, le cheval de Troie est actif et prêt à être utilisé, suivant la méthode utilisée
par le troyen, celui-ci va attendre qu'il détecte la possibilité de se connecter à un serveur sur Internet ou
alors que le pirate tente de se connecter à la machine. La technique est toujours la même, après une
requête du pirate, le programme ouvre un port, qui permet par la suite toute communication entre les
deux logiciels (serveur et client), de telle sorte que le pirate peut accéder à tous les fichiers de la personne
infectée.
Dès lors, le pirate peut réaliser de très nombreuses choses sur l'ordinateurs distants. Lorsqu'une liaison
est établie entre le serveur (la personne "infecté") et le pirate de nombreux renseignements peuvent être
récupérés :
•
•
•
•
nom du DNS
l'adresse IP
la présence d'un firewall qui pourrait empêcher la connexion du pirate
la présence d'un proxy
-4/20-
•
•
•
•
•
•
•
•
de nombreuses informations sur les interfaces (type, vitesse, etc.)
les caractéristiques de l'ordinateur (processeur, mémoire, disque dur...)
les navigateur installés(Internet Explorer, Netscape)
les logiciels de messagerie (Outlook, Eudora, etc.)
programmes enregistrés
nom réel d'utilisateur
nom d'utilisateur
adresse e-mail
Remèdes contre les troyens
Les antivirus récents sont capables d'éliminer la plupart des troyens (Norton antivirus, McAfee), mais
il existe également des logiciels spécifiques, l'un des programmes les plus performant est The Cleaner 3.2.
Ce shareware vérifie s'il n'y a pas de troyen en mémoire, puis scanne le disque dur, Bouffetroyen, très
performant également. Ce programme recherche en mémoire divers genres de troyens, de type serveur
FTP, Socket de Troie et DMSETUP. Puis il scanne le disque dur et supprime les troyens trouvés et nettoie
la base de registre et les fichiers *.ini qui peuvent aussi être infecté.
Voici également quelques logiciels de protection contre des troyens spécifiques :
•
•
•
•
•
•
•
Antigen
BoDetect contre Back Orifice, le troyen le plus répandu.
NoBackO
Dmcleanup qui lutte contre DMSETUP
Netbuster
Wolfysoft Notroyen
Antisocket25
Mais le problème de tous ces logiciels est qu'il existe un temps de latence entre le moment de la
sortie d'un nouveau troyen et la mise à jour des logiciels qui luttent contre, c’est une éternelle course
contre la montre. Pour cela, comme pour les virus (dont les troyens possèdent certaines fonctions) il faut
être vigilants sur les programmes téléchargés, mettre son antivirus à jour régulièrement (tous les 15 jours
semblent être un bon compromis).
Pour enlever la plupart (99 % selon certains) des troyens, il faut se rendre dans la base de registre, qui
stocke de nombreuses informations sur le système. Pour cela, cliquer sur "Démarrer", puis "Exécuter",
taper alors "regedit" (sans les guillemets) et valider (cliquer sur OK). il s'ouvre alors un fenêtre, c'est la
base de registre (bdr en abrégé). Alors à l'aide de la partie de gauche et des dossiers qui s'ouvrent, il faut
aller dans :HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ il y a dans ce
répertoire plusieurs dossiers commençant par Run, il faut alors examiner attentivement les clés (dans la
partie de droite) en particulier les "données" qui correspondent à l'adresse des programmes exécutés par
Windows au démarrage. S'il y a des fichiers suspects (par exemple un fichier keyhook.dll ou encore
C:\windows\system\.exe qui correspondent à des troyens) il faut supprimer les clés. Après cela et un
redémarrage, il faut supprimer les fichiers qui avaient été détectés comme suspect et voilà le cheval de
Troie est supprimé normalement, il faut cependant faire attention à ne pas l'exécuter à nouveau...
Un bon moyen de se protéger contre les troyens et en général de protéger son ordinateur ou un réseau
local, est d'installer un firewall qui bloquera les tentatives d'intrusions.
En annexe 1, on trouvera l’exemple détaillé de BackOrifice.
-5/20-
INTRUSION AU MOYEN DES RESSOURCES PARTAGEES
Comme son nom l'indique, le partage de fichiers permet de partager des fichiers avec d'autres
utilisateurs, donc de laisser ceux-ci venir lire, modifier, créer, voire supprimer des fichiers sur le disque dur.
Cette fonctionnalité est très utile lorsqu’on est dans un réseau local (quelques machines connues
reliées ensemble), mais devient très dangereuse si on donne en le sachant ou non ces permissions à
n'importent qui sur Internet voir même au sein du groupe même.
AUTRES PROBLEMES AMENANT A DES INTRUSIONS
La non sensibilisation des utilisateurs induit des fautes à l'origine de failles de sécurité importantes,
surtout dans le cas de réseau ou un faille d'un utilisateur provoque une ouverture vers un ensemble de
machines. Ces faiblesses peuvent être de plusieurs ordres, d'abord un choix de mot de passe aberrant (la
date de naissance de sa femme ou mieux un mot de passe collé avec un post-it sous le clavier !). En effet, il
existe des "dictionnaires" de mots de passe les plus courants et des tests avec un logiciel approprié permet
de trouver le précieux Sésame.
Aussi, chaque utilisateur devrait être informé des précautions à prendre pour éviter des fautes très
connues et utilisées par les pirates. De plus, la mauvaise compétence d'un certain nombre d'administrateur
réseau, insuffisamment formé à la sécurité laisse des failles dans les systèmes utilisés, par exemple de
nombreux services sont laissés aux utilisateurs de réseaux alors que la nécessité ne s'en fait pas sentir. Les
intrusion en utilisant une faille de sécurité d'un service réseau pourtant connus sont à l'origine de
nombreux piratage, alors que des mises à jour sont régulièrement données par les éditeurs de logiciels ou
de systèmes d'exploitations (Windows update est très pratique, mais très peu utilisé hélas).
LES ATTAQUES
Une attaque à distance est une agression contre une machine par une personne n'ayant pas les droits
sur elle. Une machine distante est « toute machine autre que la sienne et que l'on peut joindre grâce à un
protocole à travers un réseau. De nombreuses méthodes existent, avec différents buts, en voilà quelquesunes des plus répandues.
LE FLOOD
Le flood consiste à envoyer très rapidement de gros paquets d'information a une personne (à
condition d'avoir un PING (temps que met l'information pour faire un aller retour entre 2 machines) très
court). La personne visée ne pourra plus répondre aux requêtes et le modem va donc déconnecter. C'est
cette méthode qui a été employé à grande échelle dans l'attaque des grands sites commerciaux (Yahoo,
Etrade, Ebay, Amazon...) en février 2000. Pour l'éviter une solution consiste à ne pas divulguer son
adresse IP (ce qui est possible pour un particulier, mais pas pour une entreprise possédant un nom de
domaine).
LES SNIFFERS
Un sniffer est un dispositif, logiciel ou matériel, qui permet de capturer les informations qui transitent
sur la machine où il se trouve. Les sniffers ne sont pas des dispositifs illégaux, ils servent par exemple à
détecter des failles de sécurité ou à régler des conflits. Cependant, leur utilisation se révèle illégale quand la
personne concernée n'a pas donné son accord. Ils peuvent ainsi, capturer le texte saisi sur la machine mais
aussi toutes informations provenant des machines du réseau passant par la machine en question. L'usage le
plus malveillant consiste à intercepter les mots de passe.
-6/20-
LES SCANNERS
Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une machine donnée.
Les scanners servent pour les hackers à savoir comment ils vont procéder pour attaquer une machine.
Leur utilisation n'est heureusement pas seulement malsaine, car les scanners peuvent aussi vous permettre
de déterminer quels ports sont ouverts sur votre machine pour prévenir une attaque.
LE NUKE
Les nukes sont des plantages de Windows dus à des utilisateurs peu intelligents (qui connaissent votre
adresse IP) qui s'amusent à utiliser un bug de Windows 95 (qui a été réparé avec Windows 98) qui fait que
si quelqu'un envoie à répétition des paquets d'informations sur le port 139, Windows affiche un
magnifique écran bleu du plus bel effet, qui oblige à redémarrer. Pour se protéger, il existe des patchs
permettant de corriger le bug.
LE MAIL BOMBING
Le mail bombing consiste à envoyer plusieurs milliers de messages identiques à une boîte aux lettres
pour la faire saturer. En effet les mails ne sont pas directs, ainsi lorsque vous relèverez le courrier, celui-ci
mettra beaucoup trop de temps et votre boîte aux lettres sera alors inutilisable... Il existe toutefois des
solutions, avoir plusieurs boîte aux lettres permet de limiter les dégâts, l’important c’est de les divulguez
uniquement aux personnes dignes de confiance, et une à laquelle vous tenez moins. De plus, des logiciels
anti-spam existent, ils interdiront la réception de plusieurs messages identiques à un intervalle de temps
trop court.
LE SPOOFING IP
Le but de cette attaque est l'usurpation de l'adresse IP d'une machine. Ceci permet au pirate de cacher
la source de son attaque ou de profiter d'une relation de confiance entre deux machines.
Le principe de base de cette attaque consiste à forger ses propres paquets IP (avec des programmes
comme hping2 ou nemesis) dans lesquels le pirate modifiera, entre autres, l'adresse IP source. L'IP
Spoofing est souvent qualifié d'attaque aveugle (ou Blind Spoofing). Effectivement, les réponses
éventuelles des paquets envoyés ne peuvent pas arriver sur la machine du pirate puisque la source est
falsifiée. Ils se dirigent donc vers la machine spoofée. Il existe néanmoins deux méthodes pour récupérer
des réponses :
Le Source Routing
Le protocole IP possède une option appelée Source Routing autorisant la spécification du chemin
que doivent suivre les paquets IP. Ce chemin est constitué d'une suite d'adresses IP des routeurs que les
paquets vont devoir emprunter. Il suffit au pirate d'indiquer un chemin, pour le retour des paquets, jusqu'à
un routeur qu'il contrôle. De nos jours, la plupart des implémentations des piles TCP/IP rejettent les
paquets avec cette option.
Le Reroutage
Les tables des routeurs utilisant le protocole de routage RIP peuvent être modifiées en leur envoyant
des paquets RIP avec de nouvelles indications de routage. Ceci dans le but de rerouter les paquets vers un
routeur que le pirate maîtrise.
Ces techniques ne sont difficilement utilisables : l'attaque est donc menée sans avoir connaissance des
paquets émis par le serveur cible.
-7/20-
Le Blind Spoofing
Le Blind Spoofing s'utilise contre des services de type rlogin ou rsh. En effet, leur mécanisme
d'authentification se base uniquement sur l'adresse IP source de la machine cliente. Cette attaque se
déroule en plusieurs étapes :
•
Détermination de l'adresse IP de la machine de confiance en utilisant par exemple
showmount -e qui montre où sont exportés les systèmes de fichiers ou rpcinfo qui
apporte des informations supplémentaires ;
•
Mise hors service de l'hôte de confiance. Cela est nécessaire pour que la machine ne puisse
pas répondre aux paquets envoyés par le serveur cible. Dans le cas contraire elle enverrait des
paquets TCP RST qui mettraient fin à l'établissement de la connexion.
•
Prédiction des numéros de séquence TCP : à chaque paquet TCP est associé un numéro de
séquence initiale. La pile TCP/IP du système d'exploitation le génère de manière linéaire,
dépendante du temps, pseudo-aléatoire ou aléatoire selon les systèmes. Le pirate peut
uniquement appliquer cette attaque à des systèmes générant des numéros de séquence
prévisibles (génération linéaire ou dépendante du temps).
L’attaque consiste à ouvrir une connexion TCP sur le port souhaité (rsh par exemple).
Pour une meilleure compréhension, voici le mécanisme d'ouverture d'une connexion TCP. Elle
s'effectue en trois phases:
1. L’initiateur envoie un paquet comportant le flag TCP SYN et un numéro de séquence X, est
envoyé à la machine cible ;
2. Cette dernière répond avec un paquet dont les flags TCP SYN et ACK (avec un numéro
d'acquittement de X+1) sont activés. Son numéro de séquence vaut Y .
3. L’initiateur renvoie un paquet contenant le flag TCP ACK (avec un numéro d'acquittement
de Y+1) à la machine cible.
Lors de l'attaque le pirate ne reçoit pas le SYN-ACK envoyé par la cible. Pour que la connexion puisse
s'établir, il prédit le numéro de séquence Y afin d'envoyer un paquet avec le bon numéro de ACK (Y+1).
La connexion s'établit alors grâce à l'authentification par l'adresse IP. Le pirate peut donc envoyer une
commande au service rsh pour obtenir des droits supplémentaires, comme echo ++ >> /.rhosts.
Pour cela il forge un paquet avec le flag TCP PSH (PUSH) : les données reçues sont immédiatement
transmises à la couche supérieure, ici le service rsh, pour que celle-ci les traitent. Il lui est alors possible de
se connecter sur la machine directement via un service de type rlogin ou rsh sans IP Spoofing.
La figure ci-dessous résume les étapes de l'IP Spoofing :
-8/20-
Le pirate utilise la machine A tandis que la C représente la machine de confiance. La notion A(C)
signifie que le paquet est envoyé par A avec l'adresse IP Spoofée de C. A noter l'existence du programme
mendax qui met en oeuvre ces différents mécanismes de l'IP Spoofing.
TCP SESSION HIJACKING
Le TCP Session Hijacking permet de rediriger un flux TCP. Un pirate peut alors outrepasser une
protection par un mot de passe (comme telnet ou ftp). La nécessité d'une écoute passive (sniffing)
restreint le périmètre de cette attaque au réseau physique de la cible.
Cette attaque crée un état de désynchronisation de chaque côté de la connexion TCP, rendant possible
le vol de session. Une connexion est désynchronisée lorsque le numéro de séquence du prochain octet
envoyé par la machine source est différent du numéro de séquence du prochain octet à recevoir par le
destinataire. Et réciproquement, il y a désynchronisation lorsque le numéro de séquence du prochain octet
envoyé par la machine destinataire est différent du numéro de séquence du prochain octet à recevoir par la
station source.
ARP SPOOFING
Cette attaque, appelée aussi ARP Redirect, redirige le trafic réseau d'une ou plusieurs machine vers la
machine du pirate. Elle s'effectue sur le réseau physique des victimes.
Cette attaque corrompt le cache de la machine victime. Le pirate envoie des paquets ARP réponse à la
machine cible indiquant que la nouvelle adresse MAC correspondant à l'adresse IP d'une passerelle (par
exemple) est la sienne. La machine du pirate recevra donc tout le trafic à destination de la passerelle, il lui
suffira alors d'écouter passivement le trafic (et/ou le modifier). Il routera ensuite les paquets vers la
véritable destination.
L'ARP Spoofing sert dans le cas où le réseau local utilise des switchs. Ceux-ci redirigent les trames
Ethernet sur des ports différents selon l'adresse MAC. Il est dès lors impossible à un sniffer de capturer
des trames au-delà de son brin physique. L'ARP Spoofing permet ainsi d'écouter le trafic entre des
machines situées sur des brins différents au niveau du switch.
DNS SPOOFING
Le protocole DNS (Domain Name System) a pour rôle de convertir un nom de domaine (par exemple
www.test.com) en son adresse IP (par exemple 192.168.0.1) et réciproquement, à savoir convertir une
adresse IP en un nom de domaine. Cette attaque consiste à faire parvenir de fausses réponses aux requêtes
DNS émisent par une victime. Il existe deux méthodes principales pour effectuer cette attaque.
DNS ID Spoofing
L'en-tête du protocole DNS comporte un champ identification qui permet de faire correspondre les
réponses aux demandes. L'objectif du DNS ID Spoofing est de renvoyer une fausse réponse à une requête
DNS avant le serveur DNS. Pour cela il faut prédire l'ID de la demande. En local, il est simple de le
prédire en sniffant le réseau. Néanmoins, cela s'avère plus compliqué à distance. Cependant il existe
plusieurs méthodes :
•
Essayer toutes les possibilités du champ ID. Cette méthode n'est pas très réaliste puisqu'il y a
65535 possibilités pour le champ ID (car ce champ est codé sur 16 bits).
•
Envoyer quelques centaines de requêtes DNS dans l'ordre. Cette méthode est bien
évidemment peu fiable.
•
Trouver un serveur qui génère des ID prévisibles (incrémentation de 1 de l'ID par exemple),
ce genre de faille existe sur certaines version de Bind ou des machines Windows 9x.
-9/20-
Dans tous les cas, il est nécessaire de répondre avant le serveur DNS, en le faisant tomber via un déni
de service par exemple.
DNS Cache Poisoning
Les serveurs DNS possèdent un cache gardant en local, pendant un certain temps, les réponses de
requêtes passées. Ceci pour éviter de perdre du temps à interroger chaque fois le serveur de nom ayant
autorité sur le domaine demandé. Ce deuxième type de DNS Spoofing va consister à corrompre ce cache
avec de fausses informations.
LES BUFFERS OVERFLOW
Le dépassement de pile est une faille due à une mauvaise programmation. Effectivement, un buffer
overflow apparaît quand une variable passée en argument d'une fonction est recopiée dans un buffer sans
que sa taille n’ait été vérifiée. Il suffit que la variable ait une taille supérieure à l'espace mémoire réservé
pour ce buffer pour qu'un dépassement de pile se produise. Celui-ci sera exploité en passant dans la
variable un fragment de programme capable de faire démarrer un shell tout en obligeant ce débordement
de pile à se produire. Dans le cas où un pirate réussi cette attaque il obtiendra alors le moyen d'exécuter à
distance des commandes sur la machine cible avec les droits de l'application attaquée
DOS: DENIAL OF SERVICE
Cette attaque porte bien son nom puisque qu'elle aboutira à l'indisponibilité du service (application
spécifique) ou de la machine visée. Nous distinguerons deux types de déni de services, d'une part ceux
dont l'origine est l'exploitation d'un bug d'une application et d'autre part ceux dus à une mauvaise
implémentation d'un protocole ou à des faiblesses de celui-ci.
Les dénis de service applicatifs
Tout comme les vulnérabilités d'une application entraînent la possibilité de prendre le contrôle d'une
machine (exemple du buffer overflow), elles peuvent aussi amener à un déni de service. L'application sera
alors indisponible par saturation des ressources qui lui sont allouées ou un crash de celle-ci.
Les dénis de service réseaux
Il existe différents types de déni de service utilisant les spécificités des protocoles de la pile TCP/IP.
SYN Flooding
Nous avons vu qu'une connexion TCP s'établie en trois phases. Le SYN Flooding exploite ce
mécanisme d'établissement en trois phases. Les trois étapes sont l'envoi d'un SYN, la réception d'un SYNACK et l'envoi d'un ACK. Le principe est de laisser sur la machine cible un nombre important de
connexions TCP en attentes. Pour cela, le pirate envoie un très grand nombre de demandes de connexion
(flag SYN à 1), la machine cible renvoie les SYN-ACK en réponse au SYN reçus. Le pirate ne répondra
jamais avec un ACK, et donc pour chaque SYN reçu la cible aura une connexion TCP en attente. Etant
donné que ces connexions semi-ouvertes consomment des ressources mémoires au bout d'un certain
temps la machine est saturée et ne peut plus accepter de connexion. Ce type de déni de service n'affecte
que la machine cible.
Le pirate utilise un SYN Flooder comme synk4, en indiquant le port TCP cible et l'utilisation
d'adresses IP source aléatoires pour éviter toute identification de la machine du pirate.
UDP Flooding
Ce déni de service exploite le mode non connecté du protocole UDP. Il crée un "UDP Packet Storm"
(génération d'une grande quantité de paquets UDP) soit à destination d'une machine soit entre deux
machines. Une telle attaque entre deux machines entraîne une congestion du réseau ainsi qu'une saturation
des ressources des deux hôtes victimes. La congestion est plus importante du fait que le trafic UDP est
-10/20-
prioritaire sur le trafic TCP. En effet, le protocole TCP possède un mécanisme de contrôle de congestion,
dans le cas où l'acquittement d'un paquet arrive après un long délai, ce mécanisme adapte la fréquence
d'émission des paquets TCP, le débit diminue. Le protocole UDP ne possède pas ce mécanisme, au bout
d'un certain temps le trafic UDP occupe donc toute la bande passant n'en laissant qu'une infime partie au
trafic TCP.
Packet Fragment
Les dénis de service de type Packet Fragment utilisent des faiblesses dans l'implémentation de
certaines pile TCP/IP au niveau de la défragmentation IP.
Une attaque connue utilisant ce principe est Teardrop. L'offset de fragmentation du second fragment
est inférieur à la taille du premier ainsi que l'offset plus la taille du second. Cela revient à dire que le
deuxième fragment est contenu dans le premier (overlapping). Lors de la défragmentation certains
systèmes ne gèrent pas cette exception et cela entraîne un déni de service. Il existe des variantes de cette
attaque : bonk, boink et newtear par exemple. Le déni de service Ping of Death exploite une mauvaise
gestion de la défragmentation au niveau ICMP, en envoyant une quantité de données supérieure à la taille
maximum d'un paquet IP. Ces différents dénis de services aboutissent à un crash de la machine cible.
Smurfing
Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoyé à une
adresse de broadcast (par exemple 10.255.255.255), celui-ci est démultiplié et envoyé à chacune des
machines du réseau. Le principe de l'attaque est de spoofer les paquets ICMP ECHO REQUEST envoyés
en mettant comme adresse IP source celle de la cible. Le pirate envoie un flux continu de ping vers
l'adresse de broadcast d'un réseau et toutes les machines répondent alors par un message ICMP ECHO
REPLY en direction de la cible. Le flux est alors multiplié par le nombre d'hôte composant le réseau.
Dans ce cas tout le réseau cible subira le déni de service, puisque l'énorme quantité de trafic généré par
cette attaque entraîne une congestion du réseau.
Déni de service distribué
Les dénis de services distribués saturent le réseau victime. Le principe est d'utiliser plusieurs sources
(daemons) pour l'attaque et des maîtres (masters) qui les contrôlent. Les outils de DDoS (DISTRIBUTED
Denial of Service)
Les plus connus sont Tribal Flood Network (TFN), TFN2K, Trinoo et Stacheldraht.
Les pirates utilisent des maîtres pour contrôler plus facilement les sources. En effet, il y a besoin de se
connecter (en TCP) aux maîtres pour configurer et préparer l'attaque. Les maîtres se contentent d'envoyer
des commandes aux sources en UDP. S'il n'y avait pas les maîtres, le pirate serait obligé de se connecter à
chaque source. La source de l'attaque serait détectée plus facilement et sa mise en place beaucoup plus
longue.
Chaque daemon et master discutent en échangeant des messages spécifiques selon l'outil utilisé. Ces
communications peuvent même être cryptées et/ou authentifiées. Pour installer les daemons et les
masters, le pirate utilise des failles connues (buffer overflow sur des services RPC, FTP ou autres).
L'attaque en elle-même est un SYN Flooding, UDP Flooding ou autre Smurf Attack. Le résultat d'un déni
de service est donc de rendre un réseau inaccessible.
LES SCRIPTS
Une mauvaise programmation des scripts a souvent une répercussion sur la sécurité d'un système. En
effet, il existe des moyens d'exploiter des failles de scripts développés en Perl qui permettront de lire des
fichiers hors racine Web ou d'exécuter des commandes non autorisées.
-11/20-
OSHARE
L'attaque Oshare vise tous les systèmes. Elle consiste à envoyer une entête IP invalide à la victime.
Cette entête IP est rendue invalide en jouant sur la valeur des champs de l'entête qui spécifient la longueur
du datagramme. Ce sont les champs "IHL" (mot de 32 bits indiquant la longueur du header) et "Total
lenght" (mot de 16 bits indiquant la longueur du datagramme en octets, entête comprise), qui sont
modifiés pour cette attaque. Les conséquences sont multiples : Elles dépendent du hardware de la carte
réseau. Néanmoins, cette attaque ne peut porter que sur le même sous réseau. En effet, ces packets
invalides (somme de contrôle IP incorrect dû à la mauvaise longueur du datagramme), ne peuvent passer
les routeurs.
•
Déconnexion du réseau
•
Ralentissement système
•
Blocage système
•
Plantage système
COKE
L'attaque Coke vise les systèmes WinNT qui exécutent le service WINS (Windows Internet Name
Service). Elle consiste à se connecter à la cible et à envoyer n'importe quoi. En fonction de la
configuration de l'ordinateur cible, celui ci inscrira un message d'erreur dans le log pour chaque packet
invalide reçu. Ceci a pour but de ralentir le système, et d'utiliser de place disque. De façon extrème, le
disque peut arriver à saturation, écroulant considérablement les performances, et pouvant bloquer le
système.
•
Ralentissement système
•
Blocage système
•
Crash système
PHREAKING
Le phreaking, est l'action de pirater les réseaux téléphoniques. Cette activité est liée au piratage
informatique parce que les hackers devaient passer de longues heures à essayer de se connecter par modem,
sur les ordinateurs qu'ils avaient pris pour cible et que cela aurait fini par leur coûter cher. C'est pour cela
que la plupart des hackers sont aussi des phreakers. De plus comme les centraux téléphoniques modernes
sont des ordinateurs, le piratage du téléphone se rapproche beaucoup du piratage d'un ordinateur
"classique". Le phreaker (pirate des système téléphoniques) est une variante du hacker, ou plus
précisément une espèce particulière de hacker. Le terme phreak est la contraction de phone phreak : le
« f » de freak (littéralement, « dingue ») est remplacé par le « ph » de phone (téléphone). Les phreakers sont
des hackers qui s’intéressent tout particulièrement aux téléphones et aux systèmes téléphoniques.
L’élément visé est le PBX
PBX
Il s’agit d’ACU (Auto Commutateur d’Usager). C’est en fait un central téléphonique qui gère les appels
entrants et sortants. Il gère également le réseau téléphonique interne à l’entreprise. La « touche » (le 0 en
général) d’outdial permet aux hackers et phreakers de téléphoner gratuitement et/ou anonymement.
Pour entrer dans un PBX il faut un compte donc un login/password , les phreakers utilisent en
général des scanneurs automatique ou ils le font à la main ; une fois que le phreaker a un compte il faut
-12/20-
qu’il trouve la touche d’outdial pour se rediriger a l’extérieur du PBX. Une fois cette touche trouvée, il
peut téléphoner via le PBX, se connecter a Internet via le PBX etc…
Il obtient également une VMB, une boite vocale, qu’il peut interroger à distance, modifier etc… les
VMB servent aux phreakers pour communiquer entre eux, ainsi ça permet de discuter sans payer et de
rester anonyme.
Cette liste n’est pas exhaustive, mais elle indique la plus part des attaques répertoriées sur le web. En
ce qui concerne les attaques relatives aux PBX, se sont des attaques encore trop récentes pour qu’il y ait
vraiment la méthodologie et le moyen de s’en protéger, donc je n’ai pas pu trouver plus d’informations. Il
reste clair que ce n’est pas une tâche facile et qu’en cas d’attaque contre sont PBX, il faut en tout premier
lieu faire le tour des ses employés, car le fait de connaître la fréquence est bien plus aisée à acquérir si on a
le PBX sous la main. Une autre direction serait de contacter la firme qui nous a vendu ou/et installé le
central et de voir si il aurait été possible qu’un des collaborateurs aie pu se procurer la fréquence correcte.
Ce qui est sûr, c’est qu’une fois le pirate ayant trouvé une ligne, il pourra faire gonfler la facture très
aisément sans qu’on puisse le détecter. Si le central est un IPBX ou un enable-PBX, il est clair que si le
phreaker fait un scan des ports qu’il en trouve ouvert un, voir plusieurs, il pourra ensuite s’infiltrer plus
loin dans le réseau et aller attaquer directement des stations connectées..
ECHELON
HISTORIQUE
Pendant la seconde guerre mondiale, les cryptanalistes britanniques réussissent à casser l'algorithme de
chiffrement de la machine Enigma. Ils partagent leur découverte avec les Américains (accord Brusa signé
le 17 mai 1943). Après la guerre, en 1947, la Grande-Bretagne et les Etats-Unis signent un pacte secret qui
donne naissance à Ukusa. Les deux agences autour desquelles s'organise cette complicité sont la National
Security Agency (NSA) des Etats-Unis qui naît en 1952 et le Government Communications Headquarters
(GCHQ) de la Grande-Bretagne. Trois autres nations anglophones, le Canada, l'Australie et la NouvelleZélande ont rejoint plus tard cet accord. La NSA jouit donc maintenant d'un réseau international de
postes d'écoutes, en coopération avec l'Angleterre, l'Australie, le Canada et la Nouvelle-Zélande.
L'existence de la NSA est devenue publique en 1957, mais ce n'est qu'à partir de 1994 que l'on s'inquiète
vraiment de ses réelles intentions. La première publication sur la NSA date de 1987, elle est écrite par
James Bamford. En août 1988, un article du journaliste britannique Duncan Campbell donne des détails
du projet P415 (Echelon) : un système de surveillance électronique global qui vise les communications
civiles. Des travaux menés par un néo-zélandais Nicky Hager (Secret Power, Hager, 1996) fournissent des
détails extrêmement précis sur Echelon, notamment un fonctionnement à base de mots-clés. On y
découvre alors beaucoup de centres d'intérêts. Une deuxième liste est révélée en 1998 par Guy Fawkes.
MOYENS
Financiers
La NSA aurait disposé d'un budget annuel de 4 milliards de dollars en 1997 et 16 milliards en 1999.
Personnel
La NSA comptait en 1998 environ 38000 agents, militaires et civils, répartis sur l'ensemble du globe.
Mais ce chiffre ne tient pas compte de divers contractuels faisant passer l'effectif à presque 100000
salariés. A titre de comparaison, ce chiffre représente plus du double du personnel de la CIA (17 000
personnes). L'agence est aussi le premier employeur de mathématiciens au monde. Il faut noter que la
sécurité de beaucoup de systèmes de chiffrement repose plus sur la difficulté de réaliser certaines
opérations mathématiques que sur la puissance des ordinateurs ; on peut alors avoir de gros soupçons sur
-13/20-
leur solidité. Des systèmes à clé publique, comme PGP notamment, proposent un algorithme dont la
solidité ne repose que sur la difficulté de factoriser des très grands nombres. Les progrès effectués dans ce
domaine sont beaucoup plus liés aux découvertes mathématiques qu'à la puissance des ordinateurs qui
s'accroît sans cesse. Avec la plus grande équipe de mathématiciens au monde, il est difficile de penser que
leurs recherches puissent être à la traîne dans ce domaine.
Technique
Le système possède d'énormes capacités d'interception, il capture à la fois les conversations
téléphoniques, les fax et les mails. C'est l'ensemble des communications internationales mondiales qui sont
interceptées. Celles-ci incluent l'interception des satellites commerciaux (Notamment les communications
qui transitent via les satellites Intelsat), des communications longues distance de l'espace, des câbles sousmarins et de l'Internet. Plus de 120 systèmes satellites sont couramment utilisés simultanément pour capter
les renseignements. Une constellation de satellites espions a été mise en orbite à partir de 1963 sous les
noms de code Ryolithes, Canyon, Jumpseat et Vortex. En plus d'un réseau satellitaire, Echelon dispose de
nombreuses bases terrestres. Chaque pays du pacte (excepté le Canada) est chargé de couvrir une zone
déterminée de la planète. C'est l'Angleterre qui est chargée d'intercepter la totalité du trafic européen, et
donc entre autres la Suisse pour le compte des Etats-Unis. La base d'interception anglaise, la plus grosse
de toutes, se situe à Menwith Hill.
Ci-dessous, la répartition des différents centres collecteurs :
CIBLES
Officiellement, le mandat de la NSA est d'écouter et de décoder toutes les communications qui
entrent et sortent des Etats-Unis, qui pourraient présenter un intérêt pour leur sécurité. Mais la
surveillance des terroristes est devenue une activité qui permet de légitimer des actions qui, à un niveau
-14/20-
diplomatique, sont politiquement incorrectes. C'est aujourd'hui surtout l'intérêt économique qui est visé
par le système Echelon et qui est également sujet à polémiques. Les sociétés ciblées sont entre autres
européennes comme Thalès, Alcatel, Airbus, Michelin ou encore Siemens. Mais les petites entreprises en
font également les frais. Il existe souvent un concurrent américain qui profite bien de l'espionnage
économique de masse pratiqué par Echelon. Il peut s'agir d'une histoire de brevet comme de clients
potentiels.
TECHNIQUES ET RECHERCHES UTILISEES
Mots clés
Des systèmes automatiques regardent si le message que vous envoyez sur Internet contient un mot clé
bien particulier, ce qui signifie dans ce cas que le contenu de votre message est susceptible de les
intéresser. C'est pourquoi une liste de mots clés est constituée. Celle-ci est bien sûr mise à jour en fonction
des sources de conflits ou d'inquiétude dans le monde (qui concernent de près ou de loin les pays anglosaxons bien sûr) ou peut-être même avant qu'une grande entreprise dans le monde remporte un contrat
important.
Recherche linguistique
Ce type de liste n'est pas le seul moyen qui permet à la NSA de sélectionner les bons messages parmi
d'autres. L'agence d'espionnage finance aujourd'hui la recherche sur la compréhension linguistique. Il est
très probable qu'elle a les capacités de comprendre de façon automatique une partie des conversations
téléphoniques du monde et de les sélectionner si elles s'avèrent intéressantes.
Liste des mots clés
Cette liste se trouve dans l’annexe 2.
Aujourd’hui, elle comprendrait notamment Ben Laden,. Al Qaida,… qui sont des mots plus
d’actualités.
VIRUS
Un virus est un petit programme, situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se met dans la
mémoire et exécute les instructions que son auteur lui a données.
La définition d'un virus est : "tout programme d'ordinateur capable d'infecter un autre programme
d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire". Ils se multiplient pour la
plupart, c'est-à-dire qu'ils s'insèrent dans les fichiers que vous exécutez après qu'ils soient résidant en
mémoire.
Les virus ont des formes très différentes, et des conséquences aussi diverses, cela va de la balle de
ping-pong qui traverse l'écran au virus destructeur de données. Quelques rares virus sont également
capables de détériorer le matériel, par exemple de flasher le BIOS (chose possible sur certains BIOS, c'est
notamment le cas du virus Win95 CIH alias Chernobyl), détériorer le disque-dur (en faisant repasser
physiquement la tête du disque des millions de fois sur le même secteur), abîmer l'écran (possible en
appliquant matériellement des changements de fréquence pouvant causer la mort du moniteur...).
Les virus utilisent différentes voies pour infecter les systèmes, une simple disquette, une méthode qui
a été longtemps la seule employée, un réseau local et l'échange de fichiers par son intermédiaire, Internet
avec le téléchargement de fichiers et les emails, particulièrement les fichiers qui y sont joints.
-15/20-
REMEDE
Tant que les réseaux des entreprises demeuraient privés, coupés du monde extérieur (en utilisant des
technologies propriétaires notamment), les risques d'intrusions et de piratage étaient plus faibles. Avec le
développement d'Internet et l'interconnexion de la plupart des systèmes via le protocole IP les risques au
niveau de la sécurité informatique ont été fortement accrus.
Les moyens techniques pour se protéger des attaques de cybercriminels sont nombreux, néanmoins
ces parades sont très standards et ne permettent de se protéger que de la grande masse inexpérimentée des
hackers. Voici une typologie des moyens qu'une entreprise et même un particulier peut mettre en oeuvre
pour se protéger et se sécuriser.
LES FIREWALLS
Le firewall est l'un des moyens les plus fréquents de se protéger : c'est une passerelle entre le réseau de
l'entreprise et Internet. C'est un point de filtrage et de contrôle de l'activité de ces réseaux. C'est le firewall
qui est chargé d'interdire ou d'autoriser les flux d'informations en entrée ou en sortie. L'objectif du firewall
est de protéger le réseau interne de l'entreprise des accès non autorisés provenant de l'extérieur ainsi que
de garantir un certain niveau de sécurité entre le réseau Internet et les machines extérieures à celui-ci
(typiquement dans le cadre d'un VPN, virtual private network).
Concrètement, un firewall est souvent une machine, un serveur avec un logiciel qui fait le pont entre
ces deux réseaux (internet - internet ou deux réseaux internes avec des niveaux de sécurité différents). Le
logiciel est chargé du filtrage des paquets en fonction de leurs caractéristiques : type, source, destination.
En outre, le firewall permet également un contrôle au niveau applicatif ce qui permet de bloquer le recours
à certains outils non autorisés.
LA CRYPTOGRAPHIE
Le but premier de la cryptographie a été bien entendu la garantie de la confidentialité des informations
transmises par l'armée et le gouvernement. Avec le développement des réseaux et de l'informatique non
militaire, le cryptage s'est fortement répandu. Les enjeux se sont aussi fait plus pressants avec le
développement du commerce-électronique qui impliquait la garantie de la sécurité des transactions et
notamment de la préservation de la confidentialité des numéros de cartes bancaires. La cryptographie est
très utilisée entre les banques, les entreprises, les organismes financiers et même les particuliers.
Le principe de la cryptographie est le suivant : l'idée c'est de transformer l'information de manière à ce
qu'elle ne soit pas compréhensible par une personne non destinataire. Ainsi l'information peut transiter
par des canaux publics sans que la confidentialité de la transmission ne soit remise en cause. Il existe
plusieurs méthodes de cryptographie:
LA CRYPTOGRAPHIE SYMETRIQUE
La source et la destination de l'information disposent de clé de cryptage à utiliser avant la transmission
de l'information. C'est cette même clé qui va servir à crypter et à décrypter le message.
LA CRYPTOGRAPHIE ASYMETRIQUE
Là, il existe deux types de clés : une clé publique qui est à la disposition de tous et qui permet de
crypter le message et une clé privée qui seule permet de déchiffrer le message. L'avantage principal de ce
type de cryptage est qu'elle évite l'échange de clé même par des canaux publics hautement sécurisés.
LA DETECTION D'INTRUSION VIA UN NIDS (NETWORK INTRUSION DETECTION SYSTEM)
La détection d'intrusions (IDS) complète souvent un firewall. Elle permet une surveillance en temps
réel des réseaux par une écoute permanente couplée à une réponse adaptée en fonction des anomalies. La
-16/20-
où le Firewall se contente d'accepter ou de refuser les requêtes, un système de détection des intrusions
permet la mise en oeuvre de mesure appropriées comme la déconnexion immédiate des intrus, le
lancement de programmes ad-hoc ou l'alerte des administrateurs du réseau en cas d'attaque.
L'AUTHENTIFICATION
Les systèmes d'information sont de plus en plus ouverts vers l'extérieur du fait de l'interconnexion
enter les sites à distance, les postes nomades et le réseau principal de l'entreprise. C'est la raison pour
laquelle l'identification est devenue un enjeu crucial en terme de sécurité. L'authentification est une
procédure qui permet d'autoriser chaque utilisateur d’un ordinateur l'accès à un type d'information
Il existe de nombreuses techniques d'authentification parmi lesquelles on trouve :
LES MOTS DE PASSE
Les mots de passe
Ce que la plus part des gens utilisent tous les jours tel le mot de passe d’une session Windows ou le
numéro pin.
Les mots de passe uniques
Ils ne servent que pour une requête et sont invalidés juste après.
LES CARTES A PUCES
Le principal intérêt de la carte à puce c'est que l'utilisateur doit la posséder physiquement pour l'utiliser et
souvent la compléter par des données que seul l'utilisateur connaît (code par exemple).
LES SUPERS CARTES A PUCES
Ce sont des cartes à puce de dernière génération qui comportent un clavier, un écran et une source
d'énergie autonome. Ce type de cartes ne nécessite pas de terminal ou de réseau pour fonctionner.
LES CARACTERISTIQUES BIOMETRIQUES
Empreintes digitales, vocales, signatures.
LA CRYPTOGRAPHIE
La possession d'une clef de chiffrage.
L E FILTRAGE DE CONTENU
L'idée est de contrôler les échanges d'information au sein de l'entreprise et aussi par rapport à
l'extérieur. Parmi les pratiques à proscrire on trouve l'utilisation non professionnelle de la messagerie, le
non respect de la confidentialité, le spamming ( mail non sollicité), le spoofing (usurpation d'identité pour
le mail), la transmission de virus...
PROTECTION DES POSTE S NOMADES
Les risques concernant les postes nomades sont de plus en plus élevés. Non seulement les données
contenues dans ces postes peuvent être sensibles mais si ces postes sont détournés, ils peuvent servir de
point d'entrée dans le système informatique de l'entreprise. Les réponses à ces préoccupations sont le
recours à un VPN, virtual private network qui consiste à un cryptage point à point, une utilisation stricte
des procédures d'authentification ou encore l'utilisation de solution de cryptographie et de protection au
démarrage.
-17/20-
LA PKI OU PUBLIC KEY INFRASTRUCTURE
Cette infrastructure regroupe tous les éléments requis par une autorité de certification afin de
permettre l'émission des certificats à un ensemble d'individus ou de réseaux ainsi que l'administration de
ces certificats. Un certificat identifie deux entités distantes qui souhaitent communiquer ensemble.
CONSEILS
MOTS DE PASSE
La sécurité commence par de bons mots de passe, de plus en plus de nombreux services demandent
un mot de passe. Quelques règles permettent de sécuriser un mot de passe par un bon choix.
La stratégie la plus fréquente des malveillants qui cherchent à prendre possession d’un système,
consiste d’abord à usurper l’identité d’un utilisateur ; puis, dans un deuxième temps, à utiliser les failles
connues du système pour devenir super administrateur sur une machine.
Dans la plupart des systèmes, en particulier sous Windows NT et UNIX, lorsque le pirate a réussi la
première étape d’usurpation, plus rien ne peut l’arrêter tant qu’il n’est pas détecté. Or, le système
d’authentification par mot de passe, n’est efficace que dans la mesure où chacun a conscience que celui-ci
constitue un secret précieux. La sécurité de tous repose sur la capacité de chacun à conserver
consciencieusement cet important secret. Les trois lois fondamentales qu’il faut connaître et appliquer
pour que ce secret ne tombe jamais entre des mains « qui ne vous veulent que du mal », sont à graver dans
le marbre.
COMMENT FAIRE ?
Des techniques existent pour tenter de casser les mots de passe. La plus utilisée consiste à faire des
essais systématiques à partir de dictionnaires : on connaît l’algorithme de codage des mots de passe, il
suffit alors de l’appliquer à des dictionnaires choisis astucieuse-ment - sur Internet, il y en a en de
nombreuses langues - et de comparer le résultat à chacune des entrées du fichier système contenant les
mots de passe, qu’on a réussi à extraire au préalable. Par cette technique, on arrive à casser en moyenne
plus de 20% des mots de passe d’un fichier en moins d’une heure. La loi de composition d’un bon mot de
passe doit rendre cette technique inefficace, d’où la règle suivante :
Règle 1 :
Un mot de passe ne doit pas pouvoir être trouvé dans un dictionnaire
Règle 2 :
Votre mot de passe doit contenir un mélange de caractères alphanumériques et de caractères spéciaux
(- + ! § %, ...)
Règle 3 :
Votre mot de passe doit faire au moins 8 caractères (sur les systèmes Unix, seuls les 8 premiers
caractères sont pris en considération).
IL NE FAUT PAS PRETER SON MOT DE PASSE
Un mot de passe est un secret entre vous et votre machine qui ne doit être partagé par personne
d’autre. Si vous le confiez à quelqu’un, même à votre étudiant, à votre ami ou encore à un proche, ce n’est
plus un secret et le mot de passe ne joue plus son rôle d’authentifiant. Vous mettez en échec la sécurité du
système dans son fondement ; dès lors, toutes les mesures que vous pourriez prendre par ailleurs, ne
servent plus à rien.
-18/20-
IL NE FAUT PAS NON PLUS L’ECRIRE
Votre mot de passe sur un support, à proximité de la machine ou de manière qu’un rapprochement
puisse être fait avec le système qu’il est censé protéger. Les « stickers » sous le clavier ou le tapis de la
souris, ne sont pas une bonne idée !
Il faut changer régulièrement le mot de passe. Les mots de passe circulent en clair sur les réseaux. Des
techniques simples (sniffers, espions, chevaux de Troie ...), peuvent être mises en oeuvre pour capter le
couple (identifiant, mot de passe) à l’insu des utilisateurs et administrateurs. Ces dispositifs peuvent rester
en place pendant des mois avant d’être découverts. Pendant ce temps, tapis à l’écoute du réseau, ils
captent tous les mots de passe qui circulent. C’est pourquoi, même robuste, un mot de passe doit être
modifié régulièrement - au moins tous les trois mois. Mais cette exigence pose un problème de
mémorisation, qui devient insurmontable lorsqu’on a plusieurs mots de passe à se rappeler et qu’on
applique scrupuleusement les règles ci-dessus. C’est pourquoi un mot de passe ne peut être un pur aléa. Il
faut avoir une règle de constitution mnémotechnique.
Méthode poétique :
Elle consiste à apprendre un vers par coeur et à constituer le mot de passe en prenant un caractère de
chaque mot. Exemple : « Tant va la cruche à l’eau qu’à la fin elle se casse ». Pour chaque mot du vers qui
possède plus de trois caractères, je prends le premier caractère. Les autres mots sont ignorés. J’alterne 1
minuscule, une virgule, 2 majuscules, un point-virgule, 2 minuscules, 1 majuscule, pour que la chaîne fasse
8 caractères. Résultat : t,CE;feC. Certes, la méthode peut paraître compliquée au premier abord, mais, avec
un peu d’habitude on s’y fait très bien. Une version simplifiée, consistant à ne prendre que les premiers
caractères de chaque mot du vers, est souvent utilisée. Mais le résultat est considéré comme faible, dès lors
que l’attaquant connaît la méthode de mémorisation.
Méthode par substitution :
J’apprends par coeur une chaîne {C}de caractères spéciaux. Par exemple : {* + $ / ? £}. Je prends un
mot ou un nom que je peux retenir facilement. Par exemple : Robert. Je remplace les voyelles par les
caractères successifs de la chaîne {C}. Je mets une majuscule à chaque bout du mot et je le complète, si
nécessaire, à 8 caractères avec le reste de la chaîne {C}.Résultat : R*b+rT$/. Quand je change mon mot
de passe, je ne change que la « graine » (ici Robert) et je garde toujours la même chaîne {C} que je
mémorise définitivement. Personnellement, cette méthode me plaît plus que la précédente. Avec un peu
d’entraînement, l’opération de composition du mot de passe se fait facilement mentalement. Les mots
obtenus sont aussi très robustes. Si l’une de ces deux méthodes vous convient, servez-vous, il n’y a pas de
droits d’auteur. Sinon, à vous d’en trouver une autre.
MISE A JOUR
De nombreuses attaques ou intrusions sont permises grâce à des failles dans des logiciels ou dans les
systèmes d'exploitation même. Ainsi, il est important pour se préserver de mettre à jour ces logiciels. Cette
rubrique est donc consacrée à cette préoccupation à travers une liste d'adresse pour réaliser ces mises à
jour.
-19/20-
CONCLUSION
La première chose à prendre note et le fait qu’il n’y aura aucun moyen de se protéger contre n’importe
quels types d’attaques à long terme. Il faut bien se rendre compte que les hackers, phreakers et autre
cybercriminels auront toujours un pas d’avance sur la technique les contrant. C’est pourquoi tout système
mis en place sera tôt ou tard mis à genoux. Ce n’est d’ailleurs pas pour rien que les plus grands hackers du
web, une fois retrouvé, se voient offrir des pont d’or par toutes les grandes entreprises ayant dans leur
activité la sécurité et les moyens de sécurisé le monde Internet. Une autre preuve à cela est que la plus
grande partie des données se trouvant dans cette présentation provient essentiellement de sites de hackers
ou de forums.
En ce qui concerne les attaques visant les PBX , ce n’est pas à proprement parlé le PBX lui-même qui
intéresse les hackers, mais plutôt le fait qu’il offre les portails vers les réseaux téléphoniques, les réseaux
d’entreprises et même le réseau mondial qu’est Internet par le biais des IPBX ou des Enable-PBX.
Il faut encore prendre en compte que plus on désire avoir un système sécurisé et plus ce sera un
challenge intéressant pour tout hackers en manque de reconnaissance.
Pour pouvoir vérifier si on a un système « sûr », il existe des sites qui le font on-line, exemple le site
suivant : http://grc.com/intro.htm
REFERENCES
http://www.ifrance.com/Scpolundi/Cyberguerre/Cyber-guerre.htm
http://www.etud-sc.u-picardie.fr/~devismes/dossier/introduction.html
http://www.securite.org/
http://www.securiteinfo.com/
http://minimum.inria.fr/~raynal/index.php3?page=406
http://www.securent-2000.com/index.php
…
ANNEXES
Annexe 1 : Annexe entrant un peu plus dans les détails sur le fameux troyen qu’est BackOrifice.
Annexe 2 : Annexe comportant la liste des mots pris en compte dans le système échelon. Liste datant
de 1998.
Jean Chiappini ETR6, le 3 juillet 2002
-20/20-

Rapport Détection Intrusion - Page Frontière du Site d`Arnaud Valeix

Transcription

Documents pareils

La maison de la lettre P

spectralité pirate

Famille Pirate, les naufragés d`Aude Picault et Fabrice Parme

pirate

Attaque par IP Spoofing

Pirate des Caraïbes

Déguisement pirate - E

Programme des petits Cliquez pour télécharger

ALM programme printemps 2016.xlsx