Documente Academic
Documente Profesional
Documente Cultură
2012
CHAPITRE 4:
LES ATTAQUES INFORMATIQUES
1. INTRODUCTION
Il existe de nombreux risques en scurit du systme d'information, qui voluent d'anne en
anne. Le terme criminalit informatique, aussi appel cyber-criminalit , dfinit mauvais
titre les diffrentes attaques contre les systmes informatiques.
Une attaque est l'exploitation d'une faille d'un systme informatique (systme
d'exploitation, logiciel ou bien mme de l'utilisateur) des fins non connues par l'exploitant
du systmes et gnralement prjudiciables.
KHEMIRI Sabrine
2012
Les white hat hackers , hackers au sens noble du terme, dont le but est d'aider
l'amlioration des systmes et technologies informatiques, sont gnralement
l'origine des principaux protocoles et outils informatiques que nous utilisons
aujourd'hui ;
Les black hat hackers , plus couramment appels pirates (ou appels galement
crackers par extension du terme), c'est--dire des personnes s'introduisant dans les
systmes informatiques dans un but nuisible ;
Les crackers , se sont des personnes dont le but est de crer des outils logiciels
permettant d'attaquer des systmes informatiques ou de casser les protections contre la
copie des logiciels payants. Un crack est ainsi un programme cr excutable
charg de modifier (patcher) le logiciel original afin d'en supprimer les protections.
Les hacktivistes (contraction de hackers et activistes) sont des hackers dont les
objectifs sont politiques. Ses action sont notamment le piratage de sites informatiques
en altrant les donnes, en dtournant des serveurs, en remplaant des pages daccueil
afin de dtourner la signification et lengagement de ces sites.
Les carders sont des pirates qui s'attaquent principalement aux systmes de cartes
puces pour en comprendre le fonctionnement et en exploiter les failles. Le terme
carding dsigne le piratage de cartes puce.
KHEMIRI Sabrine
2012
KHEMIRI Sabrine
2012
numrique dutilisateurs, ou encore brouiller les pistes en passant par plusieurs systmes
intermdiaires ou relais.
Le vers (worm) : est un parasite informatique qui est capable de se rpliquer sur
dautres systmes informatique habituellement en exploitant les connexions rseaux.
Il a les particularits suivantes :
-
Il peut propager ses propres copies (ou celles de ses segments) travers les
rseaux de manire autonome en exploitant des mcanismes systmes ou rseau
(rpc, rlogin, etc.).
Il peut trs facilement chapper tout contrle et consommer les ressources des
machines infectes. Il est dangereux car il peut dtruire les donnes d'un parc
d'ordinateurs. Au mieux, il ne fait que ralentir le rseau.
Le cheval de troie (Trojan Horse) : est un programme malicieux qui est prsent
comme un programme inoffensif tel quun conomiseur dcran, un petit jeu, etc.
Par analogie avec le mythe du cheval de Troie, lutilisateur croyant manipuler un
programme inoffensif va dclencher une action malveillante. Il ne se rplique pas
la manire des virus et ne se propage pas non plus comme les vers. On le trouve
gnralement attach des mails ou prsents sur des sites de tlchargement.
KHEMIRI Sabrine
2012
Les actions effectues par les trojans sont diverses : rcupration de fichiers de
mots de passe, infection dune machine avec un virus ou utilisation comme un
outils pour espionner des machines distantes.
Lattaque par dictionnaire : cest une mthode utilise en cryptanalyse pour trouver
un mot de passe ou une cl. Elle consiste tester une srie de mots de passe potentiels,
les uns la suite des autres, en esprant que le mot de passe utilis pour le chiffrement
soit contenu dans le dictionnaire. Si ce n'est pas le cas, l'attaque chouera.
Lattaque par force brute : Il s'agit de tester, une une, toutes les combinaisons
possibles jusqu trouver la bonne solution. Cette mthode de recherche exhaustive ne
russit que dans les cas o le mot de passe cherch est constitu de peu de caractres.
(par exemple de "aaaaaa "jusqu "zzzzzz" pour un mot de passe compos strictement
de six caractres alphabtiques).
KHEMIRI Sabrine
2012
4.4.1 IP Spoofing
Le IP Spoofing signifie usurpation d'adresse IP. Cest une attaque assez ancienne mais
qui existe encore. Elle sert accder un serveur ou toute autre station dont la scurit se
base sur le filtrage des adresses IP distantes, ce filtrage est gnralement assur par un
firewall. Elle est aussi utilise pour accder des stations qui utilisent des services avec une
authentification base sur l'adresse IP de la machine distante dsirant se connecter. Ces
services (rlogin et rsh sur les systmes bass sur Linux) sont rarement utiliss de nos jours.
Cette attaque consiste remplacer ladresse IP de lexpditeur dun paquet IP par ladresse IP
dune autre machine. Son principe est simple : Lattaquant essaie de profiter dune relation de
confiance (Trust) entre deux stations pour pouvoir accder lune des deux.
Cette attaque se droule en plusieurs tapes :
Mettre hors service cette machine de confiance (avec un SYN Flooding par exemple)
pour viter qu'elle ne rponde aux paquets ventuellement envoys par le serveur
cible.
Prdire les numros de squence TCP du serveur cible. Ce numro caractrise une
connexion TCP (un numro de squence initial est gnr chaque nouvelle
connexion TCP). C'est un champ de l'en-tte du protocole TCP. De nos jours ce
numro est difficilement prdictible voir impossible sur des systmes type Linux. Ce
qui n'tait pas le cas il y a quelques annes.
Lancer l'attaque. Elle va consister crer une connexion TCP sur le serveur cible.
Pour cela, l'attaquant va forger un paquet TCP avec le flag SYN et l'adresse IP source
de la machine de confiance. Le serveur cible va rpondre par un paquet TCP avec les
flags SYN-ACK. L'attaquant, qui aura prdis le numro de squence TCP, pourra
forger un paquet TCP avec le flag ACK et le bon numro d'acquittement (numro de
squence envoy par le serveur cible incrment de 1). Une connexion TCP est alors
tablie au niveau du serveur cible. L'attaquant n'a plus qu' envoyer un paquet TCP
avec le flag PSH (permettant de remonter directement l'application les donnes du
paquet) pour envoyer une commande au service (par exemple echo ++ >> /.rhosts).
KHEMIRI Sabrine
L'attaquant
peut
accder
librement
au
serveur
2012
cible.
Le schma suivant illustre cette attaque : La machine A est celle de l'attaquant, la C celle de
confiance et enfin Cible qui est le serveur cible. A(C) signifie que la machine A va envoyer
un paquet en spoofant l'adresse IP de la machine C :
la machine attaquante envoie une requte ping (ping est un outil exploitant le
protocole ICMP, permettant de tester les connexions sur un rseau en envoyant un
paquet et en attendant la rponse) un ou plusieurs serveurs de diffusion en falsifiant
l'adresse IP source (adresse laquelle le serveur doit thoriquement rpondre) et en
fournissant l'adresse IP d'une machine cible.
KHEMIRI Sabrine
2012
Ainsi, lorsque la machine attaquante adresse une requte plusieurs serveurs de diffusion
situs sur des rseaux diffrents, l'ensemble des rponses des ordinateurs des diffrents
rseaux vont tre routes sur la machine cible.
4.4.3 Le sniffing
Le Sniffing est une technique qui correspond lcoute passive par surveillance des paquets
IP qui transitent sur un rseau. Lun des buts finals est de rcolter illgalement des mots de
passe vhiculs en claire par les protocoles de communication.
Les logiciels, qui permettent danalyser le trafic (sniffer) sont trs utiliss des fins de gestion
de rseau, certains tant gnralement livrs en standard avec divers systmes dexploitation,
dautre tant accessible en freeware sur le rseau. Ils sexcutent sur nimporte quel PC en
sniffant et en analysant les donnes en transit sur les lignes, pour en extraire les mots de passe
transmis par lutilisateur lors de sa demande de connexion.
Cette coute passive de donnes en transit peut conduire des intrusions illicites.
4.4.4 ARP Spoofing (ARP cache Poisonning)
Cest une attaque Man in the Middle . Elle repose sur le protocole ARP (Address Resolution
Protocol). L'attaque consiste s'interposer entre deux machines du rseau et de transmettre chacune
un paquet ARP falsifi indiquant que ladresse MAC de l'autre machine a chang, l'adresse ARP
fournie tant celle de l'attaquant. Les deux machines cibles vont ainsi mettre jour leur Cache ARP.
De cette manire, chaque fois qu'une des deux machines souhaitera communiquer avec la machine
distante, les paquets seront envoys au pirate.
KHEMIRI Sabrine
2012
Remarque :
Man in the middle (lattaque de lhomme du milieu) est une attaque qui a pour but de
rcuprer des donnes sensibles qui transitent sur le rseau local.
Lobjectif de cette attaque est dintercepter les communications entre deux parties sans que ni
l'une ni l'autre ne puisse se douter que le canal de communication entre elles a t compromis.
4.4.6 DNS cache poisonnig
Les serveurs DNS possdent un cache permettant de garder pendant un certain temps la
correspondance entre un nom de machine et son adresse IP. En effet, un serveur DNS n'a les
correspondances que pour les machines du domaine sur lequel il a autorit. Pour les autres
machines, il contacte le serveur DNS ayant autorit sur le domaine auquel appartiennent ces
machines. Ces rponses, pour viter de sans cesse les redemander aux diffrents serveurs
DNS, seront gardes dans ce cache.
Le DNS Cache Poisoning consiste corrompre ce cache avec de fausses informations. Pour
cela le pirate doit avoir sous son contrle un nom de domaine (ici pirate.fr) et le serveur DNS
ayant autorit sur celui-ci (ns.pirate.fr).
L'attaque se droule en plusieurs tapes :
Le pirate envoie une requte vers le serveur DNS cible demandant la rsolution du
nom d'une machine du domaine pirate.fr (www.pirate.fr)
Le serveur DNS cible relaie cette requte ns. pirate.fr puisque c'est lui qui a autorit
sur le domaine pirate.fr
KHEMIRI Sabrine
2012
Les enregistrements additionnels sont alors mis dans le cache du serveur DNS cible.
Ces fausse informations sont envoyes lors dune rponse dun serveur DNS contrl
par le pirate un autre serveur DNS, lors de la demande de l@ IP dun domaine.
Lobjectif final de cette attaque est de rediriger, linsu, des internautes vers des sites
pirates. Grace cette fausse redirection, lutilisateur peut envoyer ses identifiants en toute
confiance par exemple.
10