KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

CHAPITRE 4:
LES ATTAQUES INFORMATIQUES
1. INTRODUCTION
Il existe de nombreux risques en scurit du systme d'information, qui voluent d'anne en
anne. Le terme criminalit informatique, aussi appel cyber-criminalit , dfinit mauvais
titre les diffrentes attaques contre les systmes informatiques.
Une attaque est l'exploitation d'une faille d'un systme informatique (systme
d'exploitation, logiciel ou bien mme de l'utilisateur) des fins non connues par l'exploitant
du systmes et gnralement prjudiciables.

2. CLASSIFICATION DES ATTAQUES

On peut classifier les attaques en deux grandes catgories :
-

Les attaques passives : elles ne modifient pas le comportement du systme, et

peuvent ainsi passer inaperues (interception sans altration des donnes).

Les attaques actives : elles modifient le contenu des informations du systme ou le

comportement du systme. Elles sont en gnral plus critique que les passives.

Fig4.1 Attaques passives et actives

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

3. LES DIFFERENTS TYPE DATTAQUANTS (PIRATES)

En ralit il existe de nombreux types d'attaquants catgoriss selon leur exprience et selon
leurs motivations, savoir :

Les white hat hackers , hackers au sens noble du terme, dont le but est d'aider
l'amlioration des systmes et technologies informatiques, sont gnralement
l'origine des principaux protocoles et outils informatiques que nous utilisons
aujourd'hui ;

Les black hat hackers , plus couramment appels pirates (ou appels galement
crackers par extension du terme), c'est--dire des personnes s'introduisant dans les
systmes informatiques dans un but nuisible ;

Les crackers , se sont des personnes dont le but est de crer des outils logiciels
permettant d'attaquer des systmes informatiques ou de casser les protections contre la
copie des logiciels payants. Un crack est ainsi un programme cr excutable
charg de modifier (patcher) le logiciel original afin d'en supprimer les protections.

Les hacktivistes (contraction de hackers et activistes) sont des hackers dont les
objectifs sont politiques. Ses action sont notamment le piratage de sites informatiques
en altrant les donnes, en dtournant des serveurs, en remplaant des pages daccueil
afin de dtourner la signification et lengagement de ces sites.

Les script kiddies (traduisez gamins du script) sont de jeunes utilisateurs du

rseau utilisant des programmes trouvs sur Internet, gnralement de faon
maladroite, pour vandaliser des systmes informatiques afin de s'amuser.

Les carders sont des pirates qui s'attaquent principalement aux systmes de cartes
puces pour en comprendre le fonctionnement et en exploiter les failles. Le terme
carding dsigne le piratage de cartes puce.

Les phreakers sont des pirates s'intressant au rseau tlphonique commut

(RTC) afin de tlphoner gratuitement grce des circuits lectroniques connects la
ligne tlphonique dans le but d'en falsifier le fonctionnement. On appelle ainsi
phreaking le piratage de ligne tlphonique.

4. MODE DE DEROULEMENT DUNE ATTAQUE

La ralisation dune attaque suit gnralement le mme mode oprationnel.
2

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

La Figure ci-dessous prsente les diffrentes phases de droulement dune attaque.

Fig4.2 Phases caractristiques de droulement dune attaque

Phase1 : Collecte dinformation et de recherche de vulnrabilit dun systme cible.
Elle a pour objectif de rcolter le maximum dinformations sur le systme cibl afin de les
exploiter. Cela consiste connatre les mcanismes et niveaux de scurit en vigueur
concernant lidentification, lauthentification, le contrle daccs, la cryptographie, la
surveillance et identifier les failles techniques, organisationnelles, humaines de
lenvironnement. Lattaquant tirera partie le plus souvent de la navet ou de la crdulit des
utilisateurs pour leur soutirer des informations facilitant la cration dune attaque (notion de
social engineering(piratage psycologique)).
Phase2 : Savoir faire et exploitation des informations recueillies et des failles.
Le fraudeur semploie dtecter et exploiter les failles de scurit connues mais non encore
rpares (non patches) et utiliser les outils dattaques disponibles (notions de bibliothques
dattaques ou de boites outils dattaques) pour sintroduire dans les systmes.
Phase3 : Cration/Ralisation dune attaque.
Le fraudeur accde au systme et excute son action malveillante.
Phase4 : Exfiltration
Elle a pour objectifs principaux de faire en sorte que lattaque ne soit pas dtecte et que
lattaquant ne laisse pas de trace pouvant servir son identification. Pour contribuer cela, il
tente rester anonyme, il peut alors utiliser des alias (pseudonymes), usurper lidentit

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

numrique dutilisateurs, ou encore brouiller les pistes en passant par plusieurs systmes
intermdiaires ou relais.

5. LES TYPES DATTAQUES

Il existe de nombreuses attaques. On peut classer ces attaques en plusieurs catgories :
4.1 Les programmes malveillants
Un logiciel malveillant (malware) est un logiciel dvelopp dans le but de nuire un systme
informatique. Voici les principaux types de programmes malveillants :

Le virus : est un programme se reproduisant et contenant des instructions qui le

copient explicitement, et qui peut infecter d'autres programmes en les modifiant, ou en
modifiant l'environnement, de manire ce qu'un appel un programme infect
implique un appel une copie du virus ventuellement volue.
Le virus efface ou modifie des fichiers, formate le disque dur, redmarre lordinateur,
ouvre une porte drobe dans votre ordinateur pour permettre au pirates ou aux
spammeurs den prendre le contrle, etc.

Le vers (worm) : est un parasite informatique qui est capable de se rpliquer sur
dautres systmes informatique habituellement en exploitant les connexions rseaux.
Il a les particularits suivantes :
-

Il a la capacit de se multiplier dans la mmoire de l'ordinateur sans ncessiter

un fichier/programme hte ni l'action d'une personne (contrairement aux virus).

Il peut propager ses propres copies (ou celles de ses segments) travers les
rseaux de manire autonome en exploitant des mcanismes systmes ou rseau
(rpc, rlogin, etc.).

Il peut trs facilement chapper tout contrle et consommer les ressources des
machines infectes. Il est dangereux car il peut dtruire les donnes d'un parc
d'ordinateurs. Au mieux, il ne fait que ralentir le rseau.

Le cheval de troie (Trojan Horse) : est un programme malicieux qui est prsent
comme un programme inoffensif tel quun conomiseur dcran, un petit jeu, etc.
Par analogie avec le mythe du cheval de Troie, lutilisateur croyant manipuler un
programme inoffensif va dclencher une action malveillante. Il ne se rplique pas
la manire des virus et ne se propage pas non plus comme les vers. On le trouve
gnralement attach des mails ou prsents sur des sites de tlchargement.

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

Les actions effectues par les trojans sont diverses : rcupration de fichiers de
mots de passe, infection dune machine avec un virus ou utilisation comme un
outils pour espionner des machines distantes.

Le spyware (espiogiciel): est un logiciel malveillant qui s'installe dans un

ordinateur dans le but de collecter et transfrer des informations sur
l'environnement dans lequel il s'est install, trs souvent sans que l'utilisateur en ait
connaissance. L'essor de ce type de logiciel est associ celui d'Internet qui lui sert
de moyen de transmission de donnes.

4.2 Les attaques par messagerie

En dehors de nombreux programmes malveillants qui se propagent par la messagerie
lectronique, il existe des attaques spcifiques tels que :

Le Pourriel (Spam) : Un courrier lectronique non sollicit, la plupart du temps de la

publicit. Ils encombrent le rseau.

lHameonnage : un courrier lectronique dont lexpditeur se fait gnralement

passer pour un organisme financier et demandant au destinataire de fournir des
informations confidentielles.

4.3 Les attaques sur les mots de passe :

Les attaques sur les mots de passe peuvent consister faire de nombreux essais jusqu
trouver le bon mot de passe. Dans ce cadre, notons les deux mthodes suivantes :

Lattaque par dictionnaire : cest une mthode utilise en cryptanalyse pour trouver
un mot de passe ou une cl. Elle consiste tester une srie de mots de passe potentiels,
les uns la suite des autres, en esprant que le mot de passe utilis pour le chiffrement
soit contenu dans le dictionnaire. Si ce n'est pas le cas, l'attaque chouera.

Lattaque par force brute : Il s'agit de tester, une une, toutes les combinaisons
possibles jusqu trouver la bonne solution. Cette mthode de recherche exhaustive ne
russit que dans les cas o le mot de passe cherch est constitu de peu de caractres.
(par exemple de "aaaaaa "jusqu "zzzzzz" pour un mot de passe compos strictement
de six caractres alphabtiques).

4.4 Les attaques sur le rseau :

Ce type dattaque se base principalement sur des failles lies aux protocoles ou leur
implmentation. Les principales techniques dattaques sur le rseau sont :
5

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

4.4.1 IP Spoofing
Le IP Spoofing signifie usurpation d'adresse IP. Cest une attaque assez ancienne mais
qui existe encore. Elle sert accder un serveur ou toute autre station dont la scurit se
base sur le filtrage des adresses IP distantes, ce filtrage est gnralement assur par un
firewall. Elle est aussi utilise pour accder des stations qui utilisent des services avec une
authentification base sur l'adresse IP de la machine distante dsirant se connecter. Ces
services (rlogin et rsh sur les systmes bass sur Linux) sont rarement utiliss de nos jours.
Cette attaque consiste remplacer ladresse IP de lexpditeur dun paquet IP par ladresse IP
dune autre machine. Son principe est simple : Lattaquant essaie de profiter dune relation de
confiance (Trust) entre deux stations pour pouvoir accder lune des deux.
Cette attaque se droule en plusieurs tapes :

Trouver la machine de confiance (son adresse IP) qu'accepte le service du serveur

cible.

Mettre hors service cette machine de confiance (avec un SYN Flooding par exemple)
pour viter qu'elle ne rponde aux paquets ventuellement envoys par le serveur
cible.

Prdire les numros de squence TCP du serveur cible. Ce numro caractrise une
connexion TCP (un numro de squence initial est gnr chaque nouvelle
connexion TCP). C'est un champ de l'en-tte du protocole TCP. De nos jours ce
numro est difficilement prdictible voir impossible sur des systmes type Linux. Ce
qui n'tait pas le cas il y a quelques annes.

Lancer l'attaque. Elle va consister crer une connexion TCP sur le serveur cible.
Pour cela, l'attaquant va forger un paquet TCP avec le flag SYN et l'adresse IP source
de la machine de confiance. Le serveur cible va rpondre par un paquet TCP avec les
flags SYN-ACK. L'attaquant, qui aura prdis le numro de squence TCP, pourra
forger un paquet TCP avec le flag ACK et le bon numro d'acquittement (numro de
squence envoy par le serveur cible incrment de 1). Une connexion TCP est alors
tablie au niveau du serveur cible. L'attaquant n'a plus qu' envoyer un paquet TCP
avec le flag PSH (permettant de remonter directement l'application les donnes du
paquet) pour envoyer une commande au service (par exemple echo ++ >> /.rhosts).

KHEMIRI Sabrine

L'attaquant

Cours Scurit des Rseaux

peut

accder

librement

au

serveur

2012

cible.

Le schma suivant illustre cette attaque : La machine A est celle de l'attaquant, la C celle de
confiance et enfin Cible qui est le serveur cible. A(C) signifie que la machine A va envoyer
un paquet en spoofant l'adresse IP de la machine C :

Consquences : Usurpation d'identit et Prise de contrle du serveur cible.

4.4.2 Le dni de service (DOS Attack)
Les attaques par dni de service ont pour seul but dempcher le bon fonctionnement dun
systme (de paralyser un service ou un rseau complet) et non de rcuprer des informations.
Elles utilisent une faiblesse de larchitecture dun rseau. Il est ainsi possible denvoyer des
paquets de taille anormalement importante. Le systme victime reoit des paquets IP quil ne
peut grer et fini par stopper tous les services (saturation mmoire). Les utilisateurs ne
peuvent plus alors accder aux ressources
Exemple : Lenvoi massif de courriers lectroniques pour saturer une boite mail.
Une technique de dni de service : Smurf (Attaque par rflexion)
Cette attaque est base sur l'utilisation de serveurs de diffusion (broadcast) pour paralyser un
rseau. Le scnario d'une telle attaque est le suivant :

la machine attaquante envoie une requte ping (ping est un outil exploitant le
protocole ICMP, permettant de tester les connexions sur un rseau en envoyant un
paquet et en attendant la rponse) un ou plusieurs serveurs de diffusion en falsifiant
l'adresse IP source (adresse laquelle le serveur doit thoriquement rpondre) et en
fournissant l'adresse IP d'une machine cible.

le serveur de diffusion rpercute la requte sur l'ensemble du rseau ;

toutes les machines du rseau envoient une rponse au server de diffusion,
7

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

le serveur broadcast redirige les rponses vers la machine cible.

Ainsi, lorsque la machine attaquante adresse une requte plusieurs serveurs de diffusion
situs sur des rseaux diffrents, l'ensemble des rponses des ordinateurs des diffrents
rseaux vont tre routes sur la machine cible.
4.4.3 Le sniffing
Le Sniffing est une technique qui correspond lcoute passive par surveillance des paquets
IP qui transitent sur un rseau. Lun des buts finals est de rcolter illgalement des mots de
passe vhiculs en claire par les protocoles de communication.
Les logiciels, qui permettent danalyser le trafic (sniffer) sont trs utiliss des fins de gestion
de rseau, certains tant gnralement livrs en standard avec divers systmes dexploitation,
dautre tant accessible en freeware sur le rseau. Ils sexcutent sur nimporte quel PC en
sniffant et en analysant les donnes en transit sur les lignes, pour en extraire les mots de passe
transmis par lutilisateur lors de sa demande de connexion.
Cette coute passive de donnes en transit peut conduire des intrusions illicites.
4.4.4 ARP Spoofing (ARP cache Poisonning)
Cest une attaque Man in the Middle . Elle repose sur le protocole ARP (Address Resolution
Protocol). L'attaque consiste s'interposer entre deux machines du rseau et de transmettre chacune
un paquet ARP falsifi indiquant que ladresse MAC de l'autre machine a chang, l'adresse ARP
fournie tant celle de l'attaquant. Les deux machines cibles vont ainsi mettre jour leur Cache ARP.
De cette manire, chaque fois qu'une des deux machines souhaitera communiquer avec la machine
distante, les paquets seront envoys au pirate.

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

Remarque :
Man in the middle (lattaque de lhomme du milieu) est une attaque qui a pour but de
rcuprer des donnes sensibles qui transitent sur le rseau local.
Lobjectif de cette attaque est dintercepter les communications entre deux parties sans que ni
l'une ni l'autre ne puisse se douter que le canal de communication entre elles a t compromis.
4.4.6 DNS cache poisonnig
Les serveurs DNS possdent un cache permettant de garder pendant un certain temps la
correspondance entre un nom de machine et son adresse IP. En effet, un serveur DNS n'a les
correspondances que pour les machines du domaine sur lequel il a autorit. Pour les autres
machines, il contacte le serveur DNS ayant autorit sur le domaine auquel appartiennent ces
machines. Ces rponses, pour viter de sans cesse les redemander aux diffrents serveurs
DNS, seront gardes dans ce cache.
Le DNS Cache Poisoning consiste corrompre ce cache avec de fausses informations. Pour
cela le pirate doit avoir sous son contrle un nom de domaine (ici pirate.fr) et le serveur DNS
ayant autorit sur celui-ci (ns.pirate.fr).
L'attaque se droule en plusieurs tapes :

Le pirate envoie une requte vers le serveur DNS cible demandant la rsolution du
nom d'une machine du domaine pirate.fr (www.pirate.fr)

Le serveur DNS cible relaie cette requte ns. pirate.fr puisque c'est lui qui a autorit
sur le domaine pirate.fr

Le serveur DNS du pirate (modifi pour l'occasion) enverra alors, en plus de la

rponse, des enregistrements additionnels (dans lesquels se trouvent les informations
falsifies savoir un nom de machine publique associ une adresse IP du pirate)
9

KHEMIRI Sabrine

Cours Scurit des Rseaux

2012

Les enregistrements additionnels sont alors mis dans le cache du serveur DNS cible.
Ces fausse informations sont envoyes lors dune rponse dun serveur DNS contrl
par le pirate un autre serveur DNS, lors de la demande de l@ IP dun domaine.

Lobjectif final de cette attaque est de rediriger, linsu, des internautes vers des sites
pirates. Grace cette fausse redirection, lutilisateur peut envoyer ses identifiants en toute
confiance par exemple.

10