Sécurité des Systèmes

d’Informations
Rudolf Pareti
Introduction

Les systèmes informatiques sont au cœur
des systèmes d´information.

Ils sont devenus la cible de ceux qui
convoitent l’information.

Assurer la sécurité de l’information
implique d’assurer la sécurité des
systèmes informatiques.
Sécurité des systèmes d’information

Pourquoi mettre en place des méthodes

si les bureaux ou les poubelles sont
accessibles facilement ?
Solutions à mettre en oeuvre

4
 Enjeux
des chiffres…

12 minutes : temps de survie d’un PC sur le net

50132$ : perte moyenne d’un entreprise ayant subit
une attaque virale

506670$ : pertes moyennes dues aux incidents de
sécurité sur un an.

22 milliards : pertes en 2005 dues au spams aux USA

26 milliards : le ver Mydoom

105 milliards : gains illicites liés à la cybercriminalité

1,1 milliards : marché de la sécurité

4,4 milliards : marché des antivirus

5
Plusieurs niveaux de solutions

6
Types de risques

Accidents et pannes (impondérables)
◦ 1/6ème

Erreurs (saisies, conception, transmission,
réalisation)
◦ 1/6ème

Malveillances (volontaires)
◦ 2/3 des risques
45% des Entreprises mettent en place une
politique de sécurité (par prestataire)
objectifs

Disponibilité
◦ Continuité du fonctionnement
◦ Respect des performances

Intégrité
◦ Ni erreur ni falsification
◦ Sauvegarde
◦ Unicité de la représentation

Confidentialité
◦ Accès suivant autorisations
Qui gère les risques ? Contraignant ?
Risques et menaces 1/2
Physiques

Dommages (bris de machines, coup de
pieds, café, boisson sucré, dégât des
eaux…)
◦ Incendie (8/10/2008 Banque Populaire)
◦ Incendie (ailleurs) 200 000€ en direct, 2,5
milliards en indirect.
◦ Climatisation : plusieurs millions par an
◦ Employé licencié, destruction manuelle des
sauvegarde : plusieurs dizaines de millions…
Introduction
Origine des attaques
Objectifs
Cinq principaux objectifs à garantir:

Intégrité

Confidentialité

Disponibilité

Non-répudiation (Certificats numériques)

Authentification
Evolution des risques

Croissance de l'Internet

Croissance des attaques

Failles des technologies

Failles des configurations

Failles des politiques de sécurité

Changement de profil des pirates
Qui sont les pirates ?
• Peut être n'importe qui avec l'évolution et la
vulgarisation des connaissances.
• Beaucoup d'outils sont disponibles sur Internet.
• Vocabulaire:
– "script kiddies"
– "hacktiviste "
– "hackers"
– "white hats "
– "black hats "
– "cracker "
– "carder "
– "phreaker"
Phénomènes

Techniques
◦ Explosion de la technologie des transferts de données.
◦ Grande complexité des architectures de systèmes.
◦ Ouverture (pas toujours maîtrisée) des réseaux de
communication.

Organisationnels
◦ Besoin de plus en plus d'informations.
◦ Grande diversité dans la nature des informations :
 données financières
 données techniques
 données médicales
 …
◦ Ces données constituent les biens de l'entreprise et
peuvent être très convoitées.
Objectifs des attaques

Désinformer.

Empêcher l'accès à une ressource.

Prendre le contrôle d'une ressource.

Récupérer de l'information présente sur
le système.

Utiliser le système compromis pour
rebondir.

Constituer un réseau de « botnet » (ou
réseau de machines zombies).
Les Botnets
• Estimation: une machine sur quatre fait partie d’un botnet, soit environ 154 millions de
machines (Vinton Cerf à Davos en janvier 2007).
• Un botnet peut être utilisé pour:
– Envoyer du spam
– Vol d’informations sensibles (avec un keylogger par exemple).
– Installer des spywares.
– Paralyser un réseau en déni de services
– Installer un site web malicieux (phishing)
– Truquer les statistiques de sites webs (sondage en lignes authentifiés par des adresses IP,
– rémunération sur des clics de bannières,…)
– …
• Quelques exemples:
• – Jeanson James Ancheta, condamné en 2006 à 57 mois de prison ferme et trois ans de
libertés surveillées, à la tête d’un botnet estimé à 400 000 machines.
• Pirate connu sous le pseudo de « 0x80 ». Lire l’article:
• http://www.washingtonpost.com/wp-dyn/content/article/2006/02/14/AR2006021401342.html
 Les Chiffres Symantec 2009

20 000 botnets. Certains ne comptent que quelques

machines, d’autres des centaines de milliers.

100€ Le prix moyen d’une journée de location d’un
botnet pour mener une attaque contre un site web

100 000 000 de machines Zombies, soumises à un
botnet

3 000 000 de Gigaflops de puissance de calcul de
toutes les machines zombies du botnet kido

30 000 spams que peut engendrer le botnet Grum
chaque minute, soit 40 milliards par jour

1 300 000 machines dans le plus gros botnet Rustok
Motivations des attaques

Vol d’informations

Cupidité

Modifications d’informations

Vengeance/rancune

Politique/religion

Défis intellectuels
Niveaux de sécurisation

Sensibilisation des utilisateurs aux
problèmes de sécurité.

Sécurisation des données, des
applications, des systèmes d'exploitation.

Sécurisation des télécommunications.

Sécurisation physiques du matériel et des
accès.
Politiques de sécurité

Compromis sécurité - fonctionnalité.

Identifier les risques et leurs conséquences.

Elaborer des règles et des procédures à
mettre en oeuvre pour les risques identifiés.

Surveillance et veille technologique sur les
vulnérabilités découvertes.

Actions à entreprendre et personnes à
contacter en cas de détection d'un
problème.
Mise en place d’une politique de
sécurité

Mise en œuvre

Audit

Tests d'intrusion

Détection d'incidents

Réactions

Restauration
Méthode ISO 17799
Les Menaces

Social Engineering

MICE (Money, Ideology, Compromise,
Ego)

Dumpster diving (faire les poubelles)

Shoulder surfing

Sniffing

Scannings

Réseaux sociaux

etc.
Le Social Engineering

La méthode la plus efficace de piratage

Souvent à la base des grandes
escroqueries

Phishing

Les pirates ne sont bridés que par leur
imagination

Exemples …
Dissimulation d’informations

L'information peut être dissimulée dans
un but de protection (mot de passe, …)
ou dans des buts moins légaux.

Différentes méthodes pour s'échanger de
l'information de manière sûre:
◦ chiffrement (symétrique, asymétrique)
◦ Stéganographie

Tout n'est pas autorisé par la loi.
 Stéganographie

Procédé ancien de
dissimulation
d'informations sensibles
parmi d'autres
informations moins
importantes.

Exemple: lettre de
George Sand à Alfred
de Musset:
Stéganographie
• Fichiers graphiques ou sons assez adaptés
comme support.
• Cas particulier du watermarking. (tatouage)
• Exemples de logiciels:
– Steganos Security Suite
http://www.steganography.com
– Outguess
http://www.outguess.org
– MP3Stego
http://www.petitcolas.net/fabien/steganography/mp
3stego/
Menaces liées au réseau
• Menaces actives
– Panne, mauvaise utilisation, pertes d'informations
– Contamination (virus, vers, spyware)
– Spam, phishing
– Chevaux de troie (backdoors)
– Dénis de services
– Intrusions
– Bombes logiques
–…
• Menaces passives
– Écoute des lignes
– Analyse de trafic
–…
Virus
• Portion de code inoffensive ou destructrice
capable de se reproduire et de se propager.
• Différents types de virus:
– Virus boot
– Virus dissimulé dans les exécutables
– Macro virus
• Différentes contaminations possibles:
– Échange de disquettes, clés USB …
– Pièces jointes au courrier électronique
– Exécutables récupérés sur Internet
– ...
Vers (worms)
• Proches des virus mais capables de se
propager sur d'autres ordinateurs à travers
le réseau.
• Un moyen courant de propagation: le carnet
d'adresses d'outlook (ex: "I Love you": déni
de service sur les serveurs web).
• Quelques exemples:
– Code Red (utilisation d'une faille des serveurs IIS
et défiguration des sites)
– Blaster (utilisation d'une faille du protocole
windows DCM RPC)
Troyens (trojan)

Très répandu

Principe du cadeau empoisonné

Exemples pour Windows
◦ Back Orifice
Permet de la « remote administration ».
◦ Optix
Permet de la « remote administration ».
Les spywares
• Définition du spyware (http://en.wikipedia.org/wiki/Spyware):
– Un spyware ("espiogiciel") est un logiciel qui collecte des
informations d'une machine et les envoie à l'insu de l'utilisateur
sans son consentement.
• Concept inventé par Microsoft en 1995.
• Quelques chiffres émanant d'une étude du NCSA menée
chez les abonnés d'AOL en octobre 2004:
– 80% des PC étudiés contenaient au moins 1 spyware.
– Un PC héberge en moyenne 93 spywares.
– 90% des personnes interrogées n'ont jamais entendu parler de
spyware.
• Un spyware se décline aujourd'hui en "adware" (logiciel
d'affichage de publicité) et en "malware" ("pourriciel",
logiciels hostiles)
• Les logiciels liés (bundles): installation du spyware
en même temps qu'un logiciel légitime (KaZaA,
codec DivX, …)
• La navigation sur Internet
– exploitation de failles (essentiellement mais pas
uniquement avec Internet Explorer)
– Installation volontaire (par acceptation) d'un logiciel,
activeX, plug-in
• La messagerie incitant par SPAM à visiter des
sites douteux.
• Une exemple particulier: 2 septembre 2008 à
travers le webmail de la Poste
http://www.01net.com/editorial/389835/laposte.net-a-diffuse-involontairement-une-publicite-piegee/
Virus vs Spyware
• Un virus est capable de se reproduire, en général pas
les spywares.
• Un virus s'installe sur une machine à sécurité faible,
un spyware va plutôt inciter un utilisateur naïf ou
ignorant à le télécharger et à l'installer.
• Un virus est destiné à utiliser des ressources de la
machine et peut avoir des actions nocives
(destruction de fichiers, ouverture de "backdoor",…).
Un spyware n'est en principe pas destiné à
endommager une machine.
• Les auteurs de spywares peuvent être rémunérés, ce
n'est bien sûr pas le cas pour un créateur de virus. Le
délai d'apparition d'un spyware après découverte
d'une faille peut donc être très court.
Détection de Spyware
• Comportement anormal de la machine:
– Fenêtres "popup" intempestive.
– Page d'accueil du navigateur modifiée.
– Apparitions d'icônes sur le bureau.
– Connexions à Internet intempestives.
– Trafic réseau anormal.
– Désactivation des outils de sécurité locaux.
• Les outils de sécurité locaux:
– DLL modifiée (détectable par un antivirus).
– Firewall personnel
– Outils anti rootkits
• Les outils de sécurité réseau:
– Connexions récurrentes et/ou nocturnes.
– Téléchargements suspects.
– Connexions vers des sites réputés pour être liés au spyware.
– Connexions vers des sites non référencés dans un dns.
– Connexions vers des sites .ru .cc .tw .cn …
SPAM
• Définition de la CNIL: Envoi massif et parfois répété de
courriers électroniques non sollicités à des personnes avec
lesquelles l’expéditeur n’a jamais eu de contact au préalable, et
dont il a capté l’adresse électronique façon
irrégulière.(pourriel en français).
• SPAM=Spiced Pork And Meat, popularisé par un sketch des
Monty Python (http://www.dailymotion.com/swf/x3a5yl)
• Un message va être déposé dans une liste de serveurs de
courrier; les serveurs abusés vont envoyer une copie à chaque
destinataire.
• Courrier basé sur une liste d’adresses collectées de manière
déloyale et illicite.
• Messages peu coûteux à l’envoi mais coûteux pour le
destinataire.
Le SPAM en chiffre
• 100% : croissance du coût du spam chaque année
• 42 milliards de $ : coût global pour les entreprises au
niveau mondial en 2004, 200 milliards de $ en 2007
• 600 à 1000 $ : coût par an et par salarié
• Plus des 2/3 du volume total et mondial d’e-mails
envoyés
• 85% des spams reçus en France sont rédigés en
langue anglaise (7% en français)
• 60% proviennent des Etats-Unis

Sources : Basex, Radicati Group, Ferris Research, Postini,

CNIL
Protection contre les SPAM
• Ne rien acheter par l’intermédiaire de publicité faite par un spam (des
études indiquent que 29% des utilisateurs le font).

• Ne jamais répondre à un spam.

• Ne pas mettre d’adresses électroniques sur les sites webs mais les
encoder par un script ou dans une image (exemple:
http://www.caspam.org).

• Etre prudent dans le remplissage de formulaires demandant des adresses

électroniques; on peut parfois utiliser des adresses « jetables ». Exemple:

• http://www.jetable.org (adresse valable d’une heure à un mois).

• Protection au niveau du client de messagerie (gestion des "indésirables") .

Protection contre les SPAM
• Protection délicate: la frontière entre un courriel et
un pourriel n’est pas toujours franche et il ne faut pas
rejeter des courriers réels.
• Un serveur de courrier doit être bien configuré (en
particulier, pas « d’Open Relay ».
• Gestion de listes blanches.
• Gestion de listes noires:
– Manuellement
– Par utilisation de bases de données de relais ouverts
• Gestion de listes grises.
• Des outils de filtrage en aval:
– spam assassin
– pure message (sophos)
 Phishing
• Contraction de PHreaking et fISHING (Hameçonnage).
• Technique d'ingénierie sociale utilisée par des
arnaqueurs (scammers)
• Technique ancienne mais utilisée massivement depuis
2003.
• Par le biais de courrier électronique, messages
instantanés, site webs, etc., on tente de duper
l'utilisateur en le faisant cliquer sur un lien.
• L'objectif est d'obtenir des adresses de cartes de
crédit, des mots de passe, etc.
• Les adresses sont collectées au hasard, mais
statistiquement un utilisateur peut avoir l'impression de
recevoir un courrier d'un site qui lui est familier
(banque,…).
Le Scam
• Pratique frauduleuse d'origine africaine
("ruse") pour extorquer des fonds à des
internautes.
• Réception d'un courrier électronique du
descendant d'un riche africain décédé
dont il faut transférer les fonds.
• Connue aussi sous le nom de 419 en
référence à l'article du code pénal
nigérian réprimant ce type d'arnaque.
Exemple de Sacm
Les Hoax
• On appel hoax un courrier électronique
propageant une fausse information et,
poussant le destinataire à diffuser la fausse
nouvelle à tous ses proches ou collègues.
• À la différence des SPAM qui sont envoyés
de manière automatisée, les HOAX sont
relayés manuellement par des personnes de
bonne foi à qui on demande de renvoyer le
message à toutes ses connaissances, ou à
une adresse de courrier électronique bien
précise.
Objectifs des HOAX

Engorger les serveurs de mail.

Passer à travers les protections anti-
SPAM.

Nuire à l’image d’une marque.

Politique, idéologique.

Saturer une adresse mail précise.

Créer une liste de mail.
Protection contre les HOAX

Toujours vérifier une information avant de
la véhiculer

Sites internet :
◦ http://www.hoaxbuster.com
◦ http://www.hoaxkiller.fr
◦ http://urbanlegends.about.com
◦ …
Les réseaux sociaux

FaceBook, Twitter, MySpace, Deezer,
copains d’avant,Youtube, Dailymotion…

Applications FaceBook

Vol d’identité, informations personnelles

FaceBook est un superbe cyber vivier
pour perpétrer des forfaits

Faux profils, faux amis Twitter
Réseaux Sociaux – Exemple 1/2

Liens youtube (en fait www.yuotube.fr) qui
nécessite l’installation d’un plug-in (virus)
◦ Le lien apparait sur son profil pour se propager

KoobFace (Ukraine 2008) programme qui vole mot
de passe, n° de CB, et ajoute le PC à un
Botnet

Application non vérifiée par Facebook
◦ Photo of the day (tous les jours une photo de
National Geographic) mais code javascript
malicieux

Theharmonyguy.com 9700 applications avec
grosses failles de sécurité
Réseaux Sociaux – Twitter 1/2

Twitter Hacker par Hacker Croll
◦ Par social engeneering
◦ Trouver le mot de passe de la boite mail yahoo d’un
administrateur Evan Williams et son épouse
◦ Accès aux comptes Paypal, Amazon, Apple, AT&T,
MobileMe et Gmail d'Evan Williams, de Sara
Morishige Williams, de Margaret Utgoff, et de Kevin
Thau (des employés de Twitter)
◦ Il a pu accéder aux informations Registrar des noms
de domaines de Twitter et il pouvait à tout moment
rediriger les domaines twitter vers n'importe quelle
adresse IP (ou carrement voler le nom de domaine)
Réseaux Sociaux – Twitter 2/2

informations interne qu'il a pu se procurer sur Twitter.
◦ la liste de tous les employés
◦ leurs préférences alimentaires
◦ des numéros de cartes bleues
◦ des contrats confidentiels avec Nokia, Samsung, Dell, AOL,
Microsoft…
◦ des contacts emails de personnalités du web et du showbizz
◦ des numéros de téléphone
◦ des comptes rendus de réunion (très instructifs)
◦ des modèles de documents internes
◦ des emplois du temps
◦ des CV de candidats aux postes dispo
◦ des grilles de salaire
Conséquences des spyware virus …

Perte de données

Perte de temps de travail

Perte d’image de marque

Perte de fonctionnalités (système ou
email bloqués)

Perte de confidentialité
Attaques Réseau
Sniffer

Outil de base indispensable.

Permet de visualiser les trames sur un
segment de réseau.

Nécessite des droits administrateurs.

Attention au problème juridique

Beaucoup de logiciels sniffers existants.

Affiche les entêtes de paquets répondant
au critère spécifié.
IP spoofing

Méthode d'attaque qui parodie l'adresse
IP d'un autre ordinateur (usurpation).

Permet de brouiller les pistes ou
d'obtenir un accès à des systèmes sur
lesquels l'authentification est fondée sur
l'adresse IP (rlogin, rsh sur les machines à
numéro de séquence TCP prévisible).
Déni de Service (DOS)
• Denial Of Service
• Attaque destinée à empêcher l ’utilisation d ’une
machine ou d ’un service.
• Type d'attaque utilisée par frustration, par
rancune, par nécessité, …
• Souvent plus facile de paralyser un réseau que
d'en obtenir un accès.
• Ce type d ’attaque peut engendrer des pertes
très importantes pour une entreprise.
• Attaque relativement simple à mettre en œuvre
(outils faciles a trouver).
Types de DOS
• DOS local (épuisement des ressources)
– Saturation de l'espace disque
– répertoires récursifs
– boucle infinie de fork ()
–…
• DOS par le réseau (consommation de bande
passante)
– Réassemblage de fragments (Ex: teardrop, ping of the
death)
– Flags TCP illégaux
– SYN flood
–…
DOS par SYN flood

Attaque par inondation de SYN avec une
adresse source usurpée (spoofée) et
inaccessible.

La machine cible doit gérer une liste de
connexions dans l ’état SYN_RECV .

Une attaque est visible si la commande
netstat –an indique un grand nombre de
connexions dans l'état SYN_RECV.
DNS cache poisoning

Reroutage d'un site sur un site pirate
Exemple
• Vulnérabilité découverte en juillet 2007
touchant de nombreuses versions de BIND
(CVE-2007-2926 , BID-25037).
• Description du CERTA:
– "Une vulnérabilité a été identifiée dans BIND. La
faille concerne le générateur d'identifiants de
requêtes, vulnérable à une cryptanalyse
permettant une chance élevée de deviner le
prochain identifiant pour la moitié des requêtes.
Ceci peut être exploité par une personne
malintentionnée pour effectuer du cache
poisoning et donc contourner la politique de
sécurité. "
 ARP spoofing
• Pollution des caches arp avec de fausses
associations adresse mac/adresse IP.
• Permet des attaques de type "man in the
middle", DOS, transgression des règles d'un
firewall par spoofing.
 Smurf
• Envoie d'une trame ICMP "echo request" sur une adresse de diffusion.
• Exemple: ping 193.49.200.255
• Méthode utilisée pour déterminer les machines actives sur une plage IP
donnée.
• Objectif: écrouler une machine
• 3 parties: l'attaquant, l'intermédiaire, la victime
Le Phreaking

contraction de phone et freak (marginal).

pirate téléphonique.

Objectifs :
◦ ne pas payer la communication.
◦ rester anonyme.

Origine : Le phreaking est né aux États-Unis
dans les années 1970. Un des mythes fondateur
du phreaking est l'histoire de Captain Crunch.
Ce phreaker de renommée internationale avait
utilisé un sifflet trouvé dans une boîte de
céréales Captain Crunch pour accéder à des
fonctions spéciales du central téléphonique.
Le Phreaking

Les télécartes furent l'objet d'actes de
piratage pendant les années 1990.

Croissance avec le Minitel.

Piratage de standard d’entreprise.
Le Carding

Cartes bancaires et plus généralement des banques.

Carte de télévision.

Numéro des cartes de certaines banques :
◦ 4970 : La poste
◦ 4971 : Crédit Commercial
◦ 4972 : Crédit Lyonnais
◦ 4973 : Société Générale
◦ 4974 : BNP
◦ 4975 : Banque Populaire
◦ 4976 : Banque Sofinco
◦ 4978 : Caisse d'Epargne
◦ 5016 : Finedis
◦ 5032 : Accord Finances
◦ 5131 : Crédit Agricole
La Yescard

Une YesCard est une carte bancaire donnant
une autorisation de transfert ("oui" à la
demande) quel que soit le "code secret" tapé
par son titulaire.

vierge à l'origine, dans laquelle un programme et
des données spécifiques sont programmées par
un pirate.

Le programme est développé soit à partir du
contenu d'une carte bancaire trouvée même
périmée.
Législation

En France :

La contrefaçon et/ou la falsification des cartes bancaires sont régies par le décret-loi du 30
octobre 1935 unifiant le droit en matière de chèques et relatif aux cartes de paiement.

Art. 67. (L. n° 91-1382 du 30 déc. 1991)
◦ Seront punis d'un emprisonnement d'un an à sept ans et d'une amende de 3.600 F à
5.000.000 F ou de l'une de ces deux peines seulement :
 Ceux qui auront contrefait ou falsifié un chèque ;
 Ceux qui, en connaissance de cause, auront fait usage ou tenté de faire usage d'un
chèque contrefait ou falsifié ;
 Ceux qui, en connaissance de cause, auront accepté de recevoir un chèque contrefait ou
falsifié.

Art. 67-1. (L. n° 91-1382 du 30 déc. 1991) Seront punis des peines prévues à l'article 67
◦ Ceux qui auront contrefait ou falsifié une carte de paiement ou de retrait ;
◦ Ceux qui, en connaissance de cause, auront fait usage d'une carte de paiement ou de retrait
contrefaite ou falsifiée ;
◦ Ceux qui, en connaissance de cause, auront accepté de recevoir un paiement au moyen
d'une carte de paiement contrefaite ou falsifiée.

Art. 67-2. (L. n° 91-1382 du 30 déc. 1991)
◦ Dans les cas prévus par les articles 67 et 67-1, les chèques et les cartes de paiement ou de
retrait contrefaits ou falsifiés seront confisqués et détruits. La confiscation des matières,
machines, appareils ou instruments qui ont servi ou étaient destinés à servir à la fabrication
desdits objets sera prononcée, sauf lorsqu'ils ont été utilisés à l'insu du propriétaire.
Le wifi

Médium partagé

Piratage en hausse constante

(coWPAtty, aircrack, KisMAC, Wireshark,
Kismet, Airjack, …)

Nécessite une forte sécurisation et
authentification
Le wifi

Une infrastructure adaptée

Eviter les valeurs par défaut

Le filtrage des adresses MAC

WEP - Wired Equivalent Privacy
◦ clés d'une longueur de 64 bits ou 128 bits
◦ déclarée au niveau du point d'accès et des
clients
◦ la connaissance de la clé est suffisante pour
déchiffrer les communications
Le wifi

WPA - WiFi Protected Access

TKIP (Temporary Key Integrity Protocol)

génération aléatoire de clés

possibilité de modifier la clé de chiffrement plusieurs
fois par secondes, pour plus de sécurité.

TKIP se met en place après le protocole WEP

le code d'authentification de message est contenu dans
un paquet WEP

un pirate informatique peut l'intercepter

récupérer le code MAC et se faire passer pour le point
d'accès.

Cette méthode est encore plus efficace en interceptant
les paquets ARP puisque leur contenu est connu.
Le wifi

WPA2
◦ Ne repose plus sur le WEP
◦ Utilise des algorithmes de cryptage différent
de TKIP comme Radius ou AES
◦ Existe une version allégée pour les
particuliers
Les Mobiles

Les appareils mobiles peuvent être de 8
types
◦ Téléphone mobile
◦ PDA
◦ Smartphone
◦ Tablette PC
◦ Notebook
◦ Lecteur multimédia mobile
◦ Console de jeu mobile
◦ Appareil mobile industriel
 Les Mobiles
Téléphone mobile

typologie très variée

fournissent différents niveaux de fonctionnalités

fonctionnalités de base
◦ effectuer un appel
◦ envoi d’un court message de texte

fonctions supplémentaires
◦ alarme ou un calendrier.
◦ synchronisation du contenu du calendrier
◦ du répertoire téléphonique avec un ordinateur de bureau

font tourner un système d’exploitation spécialisé et
compact.
 Les Mobiles
PDA

Appareils possédant généralement un large écran
tactile muni d’un clavier

disposent de processeurs relativement rapides

capacité mémoire et de stockage plutôt limitée

ensemble de logiciels pour la gestion des
informations personnelles

carnet d’adresses, un calendrier, un petit traitement
de texte

un système d’exploitation supportant l’installation de
logiciels supplémentaires

fournissent généralement une certaine connectivité
sans fil
 Les Mobiles
Smartphones

combinaison d’un téléphone mobile et d’un
PDA

une version élaborée ressemblant à un PDA

une version plus simple ressemblant à un
téléphone mobile

Un smartphone possède beaucoup
d’applications communes à un PDA

installation d’applications supplémentaires
 Les Mobiles
Tablette PC

écrans tactiles mobiles sans clavier

connectivité sans fill

composants standards d’ordinateurs
personnels

système d’exploitation commun aux
ordinateurs personnels

enrichi de quelques services d’interface
spécifiques
 Les Mobiles
Lecteur multimédia mobile

conçus pour accéder à du contenu multimédia

aussi appelés lecteurs de musique ou baladeurs

peuvent inclure un lecteur et enregistreur vidéo

connectivité sans fil pour accéder à du contenu
à travers un réseau

La plupart utilisent un système d’exploitation
personnalisé

ne supporte pas l’installation de logiciels
supplémentaires.
 Les Mobiles
Console de jeu mobile

Conçues pour jouer à des jeux vidéos

Capables de fournir du contenu multimédia

Distinction entre une console de jeu portable et
un lecteur multimédia mobile

Peuvent utiliser une connectivité sans fil (multi-
joueurs)

Système d’exploitation personnalisé et ne
supportent pas l’installation de logiciels
supplémentaires autre que des jeux

Il existe des outils permettant de les utiliser
comme un ordinateur portable.
Mobiles – Les causes

Convergence technologique
◦ Combinaison de technologies différentes
◦ baladeur ou un appareil photo numérique.

Forte connectivité
◦ Beaucoup d’appareils supportent de multiples
façons de se connecter à Internet ou à tout autre
réseau.

Forte personnalisation
◦ Les appareils mobiles ne sont généralement pas
partagés entre les utilisateurs, là où les
ordinateurs le sont souvent. Ces appareils ne
sont jamais loin de leur propriétaire.
 Mobiles – Les causes

Plus difficile à sécurisé

Mobilité augmente risque de vol de données, ou de
l’appareil

Une forte personnalisation + forte connectivité =
violation de la vie privée
◦ (un appareil mobile se situe là où se trouve son propriétaire,
et donc localiser le mobile signifie localiser son propriétaire)

Nouvelle fonctionnalité = Nouvelle cible potentiellement
attaquable

L’absence d’un clavier complet, complique l’implantation
de mécanisme d’authentification (login, mdp à saisir)
 Mobiles – Les Menaces

Perte ou vol d’appareil (sauvegarde)

Attaques par déni de service (capacité faible en
traitement)

Attaques par réseau sans fil (écoute)

Attaques par effraction (dépassement de tampon et injection de
code sur un système Windows CE )

Virus, vers et chevaux de Troie

Attaques par surfacturation

Attaques par infrastructure

Failles Java (Midlet, Kvm
(KiloVirtualMachine),…)
Les Mobiles – Les Menaces

Commonwarrior-A pour Symbian (Nokia)

Envoie de SMS de SPAM

Explosion de la facture

1000 Programmes malveillants

C’est l’OS qui est ciblé

Frontière entre mobile et PC très mince

Accès direct au Web, peu de logiciel de
surveillance (Norton, Kaspersky)
Les Mobiles - Protection

Factures au montant inhabituel

Désactiver Bluetooth et Wifi

Ne pas ouvrir les pièces jointes
expéditeur inconnu (Mail, Sms, MMS)

Applications d’origines douteuses

Infection -> réinitialisation complète
Protection
Les Protections

se tenir au courant

connaître le système d'exploitation

réduire l'accès au réseau (firewall)

réduire le nombre de points d'entrée
(ports)

définir une politique de sécurité interne
(mots de passe, lancement d'exécutables)

déployer des utilitaires de sécurité
(journalisation)
Les anti-
anti-virus

fichiers de signatures :
◦ comparaison de la signature virale du virus aux codes
à vérifier.
◦ méthode dite heuristique tendant à découvrir un
code malveillant par son comportement.

balayer le contenu d'un disque dur.

la mémoire de l'ordinateur.

Action en amont de la machine en scrutant les échanges
de fichiers avec l'extérieur.

Surveille aussi les courriels.
Les anti-
anti-virus

il peut :
◦ tenter de réparer les fichiers endommagés en
éliminant le virus.
◦ mettre les dossiers en quarantaine afin qu’ils ne
puissent être accessibles aux autres dossiers ni se
répandre et qu'ils puissent éventuellement être
réparés ultérieurement.
◦ supprimer les fichiers contaminés.

Les mises à jour doivent être faites de façon très
régulière et fréquente
Les pare feu (firewall)

élément du réseau informatique, logiciel
et/ou matériel.

faire respecter la politique de sécurité du
réseau, celle-ci définissant quels sont les
types de communication autorisés ou
interdits.
Les pare feu (firewall)

une des pierres angulaires de la sécurité d'un réseau
informatique.

Il perd en importance au fur et à mesure que les
communications basculent sur HTTP sur SSL, court-
circuitant tout filtrage.

contrôler le trafic entre différentes zones de confiance.

Le filtrage se fait selon divers critères :
◦ l'origine ou la destination des paquets (adresse IP, ports TCP ou
UDP, interface réseau, etc.)
◦ les options contenues dans les données (fragmentation, validité,
etc.)
◦ les données elles-mêmes (taille, correspondance à un motif, etc.)
◦ les utilisateurs pour les plus récents
Les pare feu (firewall)

Pare-feu sans états (stateless firewall)

Regarde chaque paquet indépendamment des autres et
le compare à une liste de règles préconfigurées.

Ces règles peuvent avoir des noms très différents en
fonction du pare-feu :
◦ "ACL" pour Access Control List (pare-feu Cisco),
◦ politique ou policy (pare-feu Juniper/Netscreen),
◦ Filtres …

Pare-feu à états (stateful firewall)
◦ notion de connexion
◦ vérifient la conformité des paquets à une connexion en cours
◦ vérifient que chaque paquet d'une connexion est bien la suite du
précédent paquet et la réponse à un paquet dans l'autre sens.
Les pare feu (firewall)

Pare-feu applicatif
◦ vérifient la complète conformité du paquet à un protocole
attendu.
◦ Exemple : seul du HTTP passe par le port TCP 80.
◦ très gourmand en temps de calcul dès que le débit devient très
important.
◦ de plus en plus de protocoles réseaux utilisent un tunnel TCP
pour contourner le filtrage par ports.
◦ ouverture de ports dynamique (FTP)

Pare-feu identifiant
◦ règles de filtrage par utilisateur et non plus par IP.
◦ NuFW.
◦ ISA Server.
Les pare feu (firewall)

Pare-feu personnel
◦ installés sur une machine de travail
◦ agissent comme un pare-feu à états
◦ vérifient aussi quel programme est à l'origine des données
◦ But : lutter contre les virus informatiques et les logiciels espions.

Portails captifs
◦ But : effectuer une vérification de l'identité de l'utilisateur avant
de le laisser accéder à internet.
◦ permettent de limiter les utilisations abusives des moyens
d'accès.
◦ Très utilisé dans les réseaux Wifi (hot spot)
◦ Pfsense
Les pare feu (firewall)

Les firewalls récents embarquent de plus en plus de fonctionnalités,
parmi lesquelles on peut citer :
◦ Filtrage sur adresses IP/Protocole.
◦ Inspection stateful et applicative.
◦ Intelligence artificielle pour détecter le trafic anormal.
◦ Filtrage applicatif
 HTTP (restriction des URL accessibles).
 Courriel (Anti-pourriel).
 Logiciel antivirus, anti-logiciel malveillant.

Translation d'adresses.

Tunnels IPsec, PPTP, L2TP.

Identification des connexions.

Serveurs de protocoles de connexion (telnet, SSH), de protocoles
de transfert de fichier (SCP).

Serveur mandataire (« proxy » en anglais).
Intrusion Detection System (IDS)

Un IDS a pour fonction d'analyser en temps réel ou
différé les évènements en provenance des différents
systèmes, de détecter et de prévenir en cas d'attaque.

Les buts sont nombreux :
◦ collecter des informations sur les intrusions.
◦ gestion centralisée des alertes.
◦ effectuer un premier diagnostic sur la nature de
l'attaque permettant une réponse rapide et efficace.
◦ réagir activement à l'attaque pour la ralentir ou la
stopper.
Intrusion Détection System (IDS)

Les systèmes de détection d'intrusion ou IDS peuvent
se classer selon trois catégories majeures selon qu'ils
s'attachent à surveiller :
◦ le trafic réseau : on parle d'IDS réseau ou NIDS(Network based
IDS)
◦ l'activité des machines: on parle d'IDS Système ou HIDS(Host
based IDS)
◦ une application particulière sur la machine : on parle d'IDS
Application (Application based IDS). Contrairement aux deux
IDS précédents, ils sont rares. Nous ne les traiterons donc pas.
Intrusion Détection System (IDS)

Les systèmes de détection d'intrusion ou IDS peuvent
se classer selon trois catégories majeures selon qu'ils
s'attachent à surveiller :
◦ le trafic réseau : on parle d'IDS réseau ou NIDS(Network based
IDS)
◦ l'activité des machines : on parle d'IDS Système ou HIDS(Host
based IDS)
◦ une application particulière sur la machine : on parle d'IDS
Application (Application based IDS). Contrairement aux deux
IDS précédents, ils sont rares. Nous ne les traiterons donc pas.

Il se place juste derrière le firewall
Le VPN

Principe
◦ vu comme une extension des réseaux locaux
◦ préserve la sécurité logique que l'on peut
avoir à l'intérieur d'un réseau local
◦ techniques de « tunnel »
◦ utiliser Internet comme support de
transmission
◦ réseau ainsi artificiellement créé
◦ une liaison sécurisée à moindre coût
Le VPN

l'authentification (et donc l'identification) des
interlocuteurs

l'intégrité des données (le chiffrement vise à les
rendre inexploitables par quelqu'un d'autre que
le destinataire)

sécurisé par des algorithmes de cryptographie

entre l'entrée et la sortie du VPN les données
sont chiffrées

comme si les données passaient dans un tunnel
Le VPN

encapsuler un protocole dans un
protocole de même niveau du modèle
OSI (IP dans IPSec par exemple)
Le VPN

Principe

Un système extérieur (client nomade)
veut atteindre le réseau de son entreprise
◦ Les paquets sont chiffrés par le client VPN et
éventuellement signés.
◦ Transmis par Internet
◦ Reçus par le serveur VPN
Cryptographie Symétrique

Un peu de binaire

Exemple de cryptage
◦ Message 10011100
◦ Clé de cryptage : 101
Cryptographie asymétrique

2 clés une publique et une privée

Clé publique crypte mais ne décrypte pas

Clé privée décrypte mais ne crypte pas
◦ On envoie la clé publique uniquement et on
garde sa clé privée
Cryptage asymétrique

Le coffre-fort

Le chiffrement : Alice a choisi un coffre-fort. Elle l'envoie
ouvert à Bob, et en garde la clé. Lorsque Bob veut écrire à
Alice, il y dépose son message, ferme le coffre, et le renvoie à
Alice. À sa réception, seule Alice peut ouvrir le coffre,
puisqu'elle seule en possède la clé, à supposer le coffre
inviolable, et que personne ne puisse retrouver la clé.

L'authentification ou la signature : Alice place un message
dans le coffre-fort qu'elle ferme avec sa clef privée avant de
l'envoyer à Bob. Si Bob parvient, à l'aide de la clé publique
d'Alice (dont il dispose), à ouvrir le coffre-fort c'est que c'est
bien celui d'Alice et donc que c'est bien elle qui y a placé le
message. (src wikipédia)
les certificats numériques

Permet de s’assurer que l’expéditeur est
bien celui que l’on croit (ma banque…)

Procédure inverse on crypte avec sa clé
privé un message décryptable avec la clé
publique.

Si le message décrypté est valide c’est
bien l’expéditeur qui l’a envoyé
Cryptage asymétrique

La boîte à deux serrures

Une autre analogie envisageable serait d'imaginer une boîte avec deux
serrures différentes. Lorsque l'on ferme la boîte d'un côté, seule la clé
correspondant à l'autre serrure permet l'ouverture de la boîte et vice-
versa. Une des clés est privée et conservée secrète, l'autre est dite
publique et un exemplaire peut-être obtenu par quiconque souhaite
utiliser la boîte.

Pour chiffrer un message Bob prend la boîte, y place son message, et la

ferme à l'aide de la clé publique. Seul le détenteur de la clé privée
permettant d'accéder à l'autre serrure, Alice en l'occurrence, sera en
mesure de rouvrir la boîte.

Pour signer un message, Alice le place dans la boîte et ferme celle-ci à

l'aide de sa clé privée. Ainsi n'importe qui ayant récupéré la clé publique
pourra ouvrir la boîte. Mais comme la boîte a été fermée par la clé privée,
cette personne sera assurée que c'est bien Alice, seule détentrice de cette
clé, qui aura placé le message dans la boîte et fermé ladite boîte.
 Le niveau humain

Impliquer l'utilisateur en le sensibilisant (ce

cours)
Garder à l'esprit que toute attaque trouve
son origine dans une défaillance humaine
« Le plus gros bug en
informatique est celui qui se
trouve entre la chaise et
l’ordinateur »
105
 La charte informatique

Reponsabiliser l'utilisateur par un outil de

prévention
code du travail article L.121-8 :
« Aucune information concernant personnellement un salarié ou un
candidat à un emploi ne peut être collectée par un dispositif qui
n'a pas été porté préalablement à la connaissance du salarié ou du
candidat à un emploi. »

on ne peut surveiller l'activité d'un employé

si celui-ci n'est pas prévenu !

106
 Contenu de la charte
Doit préciser le comportement attendu de l'utilisateur du
système en gardant le respect de la déontologie et du
droit

1- Qui est autorisé à utiliser les ressources réseau ?

2- Quelles sont les utilisations normales de ces ressources ?
3- Qui est autorisé à donner des droits aux autres
utilisateurs ?
5- Quels sont les droits et responsabilités des utilisateurs ?
6- Quels sont les droits et responsabilités des
administrateurs ?
7- Que faire avec les informations sensibles ?
8- Quelle politique de mot de passe ?

107
 CAS PRATIQUE

Établir votre version de charte

informatique de l‘école en justifiant
chacun des articles

108