Accs physique : il s'agit d'un cas o l'attaquant accs aux locaux, ventuellement mme aux machines :

Coupure de l'lectricit Extinction manuelle de l'ordinateur Vandalisme Ouverture du botier de l'ordinateur et vol de disque dur Ecoute du trafic sur le rseau Vol de session (session hijacking) Usurpation d'identit Dtournement ou altration de messages

Interception de communications :

Dnis de service : il s'agit d'attaques visant perturber le bon fonctionnement d'un service. On distingue habituellement les types de dni de service suivant :

Exploitation de faiblesses des protocoles TCP/IP Exploitation de vulnrabilit des logiciels serveurs

Intrusions :

Balayage de ports Elvation de privilges : ce type d'attaque consiste exploiter une vulnrabilit d'une application en envoyant une requte spcifique, non prvue par son concepteur, ayant pour effet un comportement anormal conduisant parfois un accs au systme avec les droits de l'application. Les attaques par dbordement de tampon (en anglais buffer overflow) utilisent ce principe.

Maliciels (virus, vers et chevaux de Troie

Ingnierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur lui-mme ! En effet c'est souvent lui qui, par mconnaissance ou par duperie, va ouvrir une brche dans le

systme, en donnant des informations (mot de passe par exemple) au pirate informatique ou en excutant une pice jointe. Ainsi, aucun dispositif de protection ne peut protger l'utilisateur contre les arnaques, seuls bon sens, raison et un peu d'information sur les diffrentes pratiques peuvent lui viter de tomber dans le pige !

Trappes : il s'agit d'une porte drobe (en anglais backdoor) dissimule dans un logiciel, permettant un accs ultrieur son concepteur.

Pour autant, les erreurs de programmation contenues dans les programmes sont habituellement corriges assez rapidement par leur concepteur ds lors que la vulnrabilit a t publie. Il appartient alors aux administrateurs (ou utilisateurs personnels avertis) de se tenir inform des mises jour des programmes qu'ils utilisent afin de limiter les risques d'attaques. D'autre part il existe un certain nombre de dispositifs (pare-feu, systmes de dtection d'intrusions,antivirus) permettant d'ajouter un niveau de scurisation supplmentaire.

Types d'attaques
On appelle attaque par dni de service toutes les actions ayant pour rsultat la mise hors-ligne d'un serveur. Techniquement, couper l'alimentation d'un serveur dans un but malfaisant peut-tre considr comme une attaque par dni de service. Dans les faits, les attaques par dni de service sont opres en saturant un des lments du serveur cibl. [modifier]Exploitation

des failles ou des limites des

machines
Une des attaques les plus courantes consistait envoyer un paquet ICMP de plus de 65 535 octets. Au dessus de cette limite, les piles IP ne savaient pas grer le paquet proprement, ce qui entrainait des erreurs de fragmentation UDP, ou encore les paquets TCP contenant des flags illgaux ou incompatibles.

Les piles actuelles rsistent ce type dattaques. Nanmoins, les dlais de traitement de ce genre de paquets restent plus longs que ceux ncessaires pour traiter les paquets lgitimes. Ainsi, il devient commun voire trivial de gnrer une consommation excessive de processeur(CPU) par la simple mission de plusieurs centaines de milliers danomalies par seconde, ce quun outil tel que hping3 permet en une uniqueligne de commande : [root@localhost root]# hping3 -SARFU -L 0 -M 0 -p 80 www.cible.com --flood
EX

Avec l'arrive du haut dbit et l'augmentation de la puissance des ordinateurs personnels, le potentiel d'attaque a t dcupl, mettant en vidence la faiblesse des installations dveloppes il y a plusieurs annes. Cette augmentation permet quasiment toutes les anomalies dtre lorigine dun dni de service, pourvu quelles soient gnres un rythme suffisamment important. Par exemple :

lusage des champs rservs de len-tte TCP le positionnement dun numro de squence daccus de rception dans un paquet SYN des paquets dont len-tte de couche 4 (TCP/UDP) est tronqu en dpit de checksums corrects

[modifier]Attaque

par dni de service SYN Flood

Article dtaill : SYN flood.

Une attaque SYN Flood est une attaque visant provoquer un dni de service en mettant un nombre important de demandes de synchronisation TCP incomplte avec un serveur. Quand un systme (client) tente d'tablir une connexion TCP vers un systme offrant un service (serveur), le client et le serveur changent une squence de messages. Le systme client commence par envoyer un message SYN au serveur. Le serveur reconnat ensuite le message en envoyant un SYN-ACK message au client. Le client finit alors dtablir la connexion en rpondant par un message ACK. La connexion entre le client et le serveur est alors ouverte, et le service de donnes spcifiques peut tre chang entre le client et le serveur. Voici une vue de ce flux de messages:

Client -----SYN -------------------------

Serveur -------

SYN-ACK

ACK

Le risque d'abus se pose l'endroit o le systme de serveur a envoy un accus de rception (SYN-ACK) au client, mais ne reoit pas le message ACK. Le serveur construit dans sa mmoire systme une structure de donnes dcrivant toutes les connexions. Cette structure de donnes est de taille finie, et elle peut tre dborde en crant intentionnellement trop de connexions partiellement ouvertes. Crer des connexions semi-ouvertes saccomplit facilement avec l'IP spoofing. Le systme de l'agresseur envoie des messages SYN la machine victime; ceux-ci semblent tre lgitimes, mais font rfrence un systme client incapable de rpondre au message SYN-ACK. Cela signifie que le message ACK final ne sera jamais envoy au serveur victime. Normalement il y a un dlai d'attente associ une connexion entrante, les semi-connexions ouvertes vont expirer et le serveur victime pourra grer lattaque. Toutefois, le systme agresseur peut simplement continuer envoyer des paquets IP falsifie demandant de nouvelles connexions, plus rapides que le serveur victime. Dans la plupart des cas, la victime aura des difficults accepter toute nouvelle connexion rseau entrante. Dans ces cas, l'attaque n'affecte pas les connexions entrantes, ni la possibilit d'tablir des connexions rseau sortant. Toutefois, le systme peut saturer la mmoire, ce qui provoque un crash rendant le systme inoprant. [modifier]UDP

Flooding

Ce dni de service exploite le mode non connect du protocole UDP. Il cre un "UDP Packet Storm" (gnration dune grande quantit depaquets UDP) soit destination dune machine soit entre deux machines. Une telle attaque entre deux machines entrane une congestion du rseau ainsi quune saturation des ressources des deux htes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP

possde un mcanisme de contrle de congestion, dans le cas o lacquittement dun paquet arrive aprs un long dlai, ce mcanisme adapte la frquence dmission des paquets TCP et le dbit diminue. Le protocole UDP ne possde pas ce mcanisme. Au bout dun certain temps, le trafic UDP occupe donc toute la bande passante, ne laissant quune infime partie au trafic TCP. Lexemple le plus connu dUDP Flooding est le Chargen Denial of Service Attack . La mise en pratique de cette attaque est simple, il suffit de faire communiquer le service chargen dune machine avec le service echo dune autre. Le premier gnre des caractres, tandis que le second se contente de rmettre les donnes quil reoit. Il suffit alors au cracker denvoyer des paquets UDP sur le port 19 (chargen) une des victimes en spoofant ladresse IP et le port source de lautre. Dans ce cas, le port source est le port UDP 7 (echo). LUDP Flooding entrane une saturation de la bande passante entre les deux machines, il peut donc neutraliser compltement un rseau. [modifier]Packet

Fragment

Les dnis de service de type Packet Fragment utilisent des faiblesses dans limplmentation de certaines piles TCP/IP au niveau de la dfragmentation IP (rassemblage des fragments IP). Une attaque connue utilisant ce principe est Teardrop. Loffset de fragmentation du second fragment est infrieur la taille du premier ainsi que loffset plus la taille du second. Cela revient dire que le deuxime fragment est contenu dans le premier (overlapping). Lors de la dfragmentation, certains systmes ne grent pas cette exception et cela entrane un dni de service. Il existe des variantes de cette attaque : bonk, boink et newtear. Le dni de service Ping of Death exploite une mauvaise gestion de la dfragmentation au niveau ICMP, en envoyant une quantit de donnes suprieure la taille maximum dun paquet IP. Ces diffrents dnis de services aboutissent un crash de la machine cible. [modifier]Smurfing Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoy une adresse de broadcast (par exemple 10.255.255.255), celui-ci est dmultipli et envoy chacune des machines du rseau. Le principe de lattaque est de spoofer les paquets

ICMP ECHO REQUEST envoys en mettant comme adresse IP source celle de la cible. Le cracker envoie un flux continu de ping vers ladresse de broadcast dun rseau et toutes les machines rpondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est alors multipli par le nombre dhte composant le rseau. Dans ce cas tout le rseau cible subit le dni de service, car lnorme quantit de trafic gnre par cette attaque entrane une congestion du rseau.

Types d'attaques.
Nombreuses ont t et sont encore les attaques informatiques. Nous en donnons un bref aperu, tries par cible d'attaque :

hardware : le hardware est un point d'attaque facile car il est visible. La liste des attaques humaines est sans fin, que ces dernires soient involontaires ("oops, mon coca sur le clavier") ou volontaires (vengeance).

software : le software peut tre dtruit, modifi, effac, dplac. Le rsultat est identique dans chaque cas, on perd l'accs au programme voulu. La modification est sans doute la pire des attaques car elle peut causer de dangereux troubles ultrieurs. Les bombes logiques, les chevaux des Troie, les virus sont diffrentes techniques de modification ayant chacune leur propres spcificits.

donnes : la confidentialit des donnes peut tre mise en dfaut par "mise sur coute", par simple requte, en droutant les appareils de sortie de donnes ... La modification des donnes est en gnral plus complique mettre en oeuvre car elle ncessite un plus grande connaissance technologique.

rseau : les rseaux ajoutent l'ensemble de la scurit le problme de la communication. L'utilisation de moyens de transports partags et les accs longue distance sont deux points cruciaux dont il faut tenir compte.

accs : l'utilisation abusive d'un accs peut dcouler sur des pertes de performances, des pertes commerciales, mais aussi des pertes de donnes.

personnel : n'oublions pas que l'humain reste un des points faibles en scurit. D'un simple mainteneur qui tombe malade l'employ qui touche une somme pour fournir un mot de passe, les causes d'infractions lies au personnel sont nombreuses.

Quels types d'attaques de rseau existent ?

Toutes les attaques de rseau peuvent tre divises en passives et actives.

Attaques passives Ces attaques ne sont pas vises la corruption des donnes ou des services sur votre ordinateur. Elles sont effectues pour obtenir l'information de votre ordinateur et estimer les moyens possibles d'intrusion distance:
o

Sniffing. C'est le moyen de l'coute clandestine des donnes transmises. Habituellement, il se produit lorsque les donnes elles-mmes sont envoyes en clair, l'quipement de rseau fonctionne en mode mixte, c'est-dire quand un priphrique rseau dcouvre tous les paquets de donnes qui le traverse, peu importe de quelle

source et destination sont les ordinateurs. Le sniffing est excut au moyen d'applications cres pour cela. o Balayage du port et de la vulnrabilit du systme d'exploitation. Gnralement, le balayage du port, c'est le moyen de dtection quels services d'un ordinateur distant du systme d'exploitation sont actifs et prts accepter des donnes et des commandes par les ports associs avec elles, c'est une recherche avant la dcouverte de la vulnrabilit. Le balayage de la vulnrabilit du systme d'exploitation vise savoir si un service avec son port ouvert a encore une vulnrabilit connue pour excuter un exploit1. Attaques actives Ces attaques visent pntrer distance dans votre ordinateur, en volant des donnes ou excutant des exploits afin de perturber le fonctionnement normal du systme d'exploitation:
o

Spoofing de l'adresse IP. Cela implique le changement ou la dformation de l'adresse IP d'un ordinateur partir duquel l'attaque est effectue. Il est particulirement dangereux dans les rseaux avec l'authentification base sur l'adresse IP. Attaques par dni de service (DoS). Une inondation massive contre un ordinateur concret est ralise pour puiser ses ressources et absorber la bande passante de rseau ce qui fait l'ordinateur inaccessibles pour d'autres ordinateurs via le rseau. Un type de l'attaque DoS fonde sur le spoofing est montr l'image ci-dessous:

cette image, un pirate informatique excute le ping (qui est utilis pour vrifier si un rseau de destination est

disponible) spcifiant l'adresse a.b.c.d, emprunt un autre ordinateur, comme l'adresse IP qui a lanc la commande (c'est--dire la source IP). En rponse la commande tous les ordinateurs du rseau de destination renvoient les paquets vers l'ordinateur vide avec l'adresse a.b.c.d confirmant ainsi leur accessibilit et en mme temps le surchargeant ce qui peut causer son plantage.
o

Attaques de navigateur. Les vulnrabilits des navigateurs sont rgulirement dcouvertes. Les trous du navigateur permettent un attaquant de dpasser les restrictions de scurit sur le contenu Web actif et de contourner les vrifications de la signature cryptographique. Par exemple, une vulnrabilit du navigateur peut provoquer l'installation d'un keylogger (un enregistreur de frappe) par un attaquant:

Attaques dtournes. Cela permet un attaquant d'accder un ordinateur distant en utilisant une mthode d'entre alternative. Habituellement les utilisateurs se connectent visage dcouvert, travers les crans de connexion avec les noms de compte utilisateur et mots de passe ou l'authentification base de jetons (par exemple, une carte puce). Les attaquants utilisent des moyens dtourns pour contourner ces composants de commande de scurit du systme qui agissent comme la porte d'entre. Ordinairement, le premier moyen dtourn est

prcde par la pntration dans un ordinateur en utilisant une fonctionnalit non documente ou la vulnrabilit du systme d'exploitation pas encore annonce, et puis quand un attaquant obtient l'accs un ordinateur distant, il installe un logiciel dtourn pour pntrer dans l'ordinateur distant maintes et maintes fois, mais en utilisant sa propre entre depuis lors et, par exemple, son invite de commande de donnes l'coute sur les ports et pour les rediriger o il veut. Attaques Rootkit. Ces attaques sont les plus dangereuses et assez difficiles dcouvrir. Aprs avoir pntr dans un ordinateur, un attaquant remplace les fichiers de systme par les fichiers modifis ou modifie directement le noyau du systme d'exploitation. Donc, tant cachs de cette faon, ils semblent tre comme les composantes habituelles du systme d'exploitation bien qu'ils ne soient pas tels, car ils servent aux besoins de l'attaquant. Regardez l'image qui montre comment un hacker utilisant un rootkit excutable le cache dans un dossier, tout son contenu et tout ce qui se passe dans ce rpertoire:

- Un exploit est un lment de programme permettant un individu d'exploiter une faille de scurit informatique dans un systme d'exploitation ou un logiciel.

Connatre les familles d'attaques et les solutions pour les viter

Rsum tre en mesure d'identifier une attaque lorsqu'elle se produit ou a posteriori. tre capable d'apporter une rponse aux attaques en fonction de l'environnement. Dans cette activit, nous listerons les familles d'attaques avec quelques exemples. Nous verrons par la suite comment arrter ces attaques ou au pire les analyser. Il existe de trs bons outils de dtection d'intrusion efficaces, mais pour chacun d'entre eux, il est ncessaire de les coupls une surveillance humaine. Ces outils sont plutt des aides la dtection d'intrusion. Nous pouvons lists deux grandes familles d'outils de dtection d'intrusion :

des outils analysant les journaux des vnements (host-based). des outils de capture et d'analyse du trafic (network-based)

Attention
Le dploiement de ce type d'outils est primordial pour le bon fonctionnement d'un rseau. Il est galement indispensable de prendre en compte l'aspect juridique, contraignant l'utilisation de ces outils. Site de la CNIL.
Note
La CNIL ou (Commission Nationale de l'Information et des Liberts) prodigue en France des conseils en matire de surveillance de rseau :

transparence : Les utilisateurs doivent avoir connaissance de l'existence d'un processus de journalisation des accs externes,

ainsi que de la dure de conservation des fichiers de log correspondants. Proportionnalit : Il faut se demander pour quelle raison le processus de surveillance est mis en place. Si par exemple la journalisation des accs Web est mise en place pour des raisons de scurit, une analyse en volume pourra tre considre comme proportionne au but recherch. L'analyse du dtail des connexions de l'ensemble des sites contacts par une machine sera plus difficilement justifiable par rapport l'objectif. Cette analyse risque d'tre considre comme une intrusion dans la vie prive de l'utilisateur. Discussion collective : les mesures de surveillance doivent le plus largement possible tre approuves par les personnels ou leurs reprsentants. De plus, le fait de donnr la parole aux utilisateurs sur ce sujet est une garantie de leur adhsion la politique de scurit. C'est l un lment essentiel pour la bonne marche du systme, car une scurit mal comprise par les utilisateurs risque malheuresement d'tre contourne par ces derniers.

4.1. Les types d'attaques

Rsum Les pirates informatiques se rpartissent en deux familles qui ont chacune une clientle, des ouils et des objectifs diffrents. Le plus grand nombre d'entre eux est constitu d'utilisateurs de scriptkiddies, qui ne matrise pas rellement les systmes et les diffrents rseaux existants. Ils se limitent utiliser des programmes leurs permettant de prendre le contrle de machines comportant des failles de diffrentes manires. Des outils permettant de saturs des machines par l'envoie en grands nombre de paquets sur le rseau de l'hte vise. Des chevaux de troie, utiliss par exemple par un premier envoie d'un fichier de type image, et une fois excute sur la machine vise, cette dernire peut tre contrle distance par un logiciel. Libre ensuite au pirate d'en faire ce que bon lui semble. Ces outils sont dvelopps par des crackers. Ces personnes matrisent les systmes et les diffrents protocoles afin de dtecter des failles de scurit sur les systmes. Ils dveloppent par la suite des programmes permettant tout chacun

une utilisation simple. Ces personnes recherchent une gloire personnelle et ne font gure avanc la scurit informatique (quoique). Viennent par contre les hackers, souvent des dveloppeurs systme extrmement pointus dans leur domaine, qui prouvent la scurit des systmes afin d'tudier la scurit d'un systme ou la tester pour un collgue, client, ami ... afin de les protger contre une intrusion ultrieure. Ainsi, une fois s'y tre introduit, ils laissent le systme en l'tat et font remonter les failles utilises. Nous allons par la suite tenter de lister les principales familles d'attaques informatique.

4.1.1. Cheval de Troie

Dans le domaine de l'informatique un cheval de Troie est un programme ou script cach dans un programme autoris. Ce code, une fois excut, ouvre un accs ou produit des effets indsirables. Les premiers programmes connus sont les Back Oriffice ou SubSeven par exemple. Ils sont apparus avec Internet, et sont pour la plupart en mode client / serveur. Le principe est simple, un fichier doit tre excut sur la machine cible, puis par le client on se connecte sur le serveur. En fonction du programme utilis, il est possible de rcuprer des fichiers, en uploader, en effacer, rcuprer les mots de passes, excuts des key-loggers, jouer avec la souris, cran ... de l'utilisateur, et beaucoup d'autre choses encore. Ces programmes visent principalement les systmes Microsoft En 2000, le programme Love Bug tait inclu dans un courriel. Si ce dernier tait ouvert, le message se transfrait l'ensemble des contacts de l'outil de messagerie. Ensuite il effaait des fichiers lis au dmarrage de Windows, tlcharger un autre cheval de Troie rcuprant les mots de passe ... Bien que ces programmes ne sont destins qu' des systme Microsoft, il en existe certains qui visent des systmes Linux. Pour pallier ces types d'attaques, les dveloppeurs de nos chres distribution mettent disposition des sommes de contrle ou des signatures dePretty Good Privacy PGP aux paquets qu'ils mettent en tlchargmenent. Pour Pretty Good Privacy reportez vous ici.

Ensuite il est ncessaire de vrifier rgulirement les services l'coute sur votre systme. Plus d'infos.

4.1.2. Porte drobe

La porte drobe est une partie de code ajoute un programme afin d'obtenir un accs non autoris au systme hte. Prenons le cas d'un programme, qui une fois excut, envoie une adresse des informatiosn relatives l'utilisateur. Ici il est peu probable que l'utilisateur vrifie l'intgrit du programme qu'il utilise. Vous pouvez consulter le howtotripwire ici. Il est trs frquent que les dveloppeurs intgrent des portes drobes dans leur programme, limites la plupart du temps au programme luimme, mais qui pourrait facilement corrompre le systme hte. La seule faon de vrifier la prsence de telles failles est la vrification fastidieuse du code source des programmes (et sites internet). Pour les utilisateurs Debian (pour les autres aussi surement) nos chrs dveloppeurs nous ont mis un outil permettant la vrification des signatures MD5. Par exemple, nous utiliserons le programme debsums pour vrifier si le programme apt , n'est pas corrompu. $ sudo ap-get install debsums $ sudo debsums -s apt $ En jouant avec les options il est possible de contrler les fichiers de configuration ... Consulter le manuel pour plus d'informations.

4.1.3. Htes de confiance

Sous Linux, il est possible de spcifier des htes de confiance depuis des fichiers. Il s'agit ici de spcifier des login et machines depuis lesquelles des personnes se connectent. Lors de la demande d'accs d'une personne rfrence convenablement depuis ces fichiers, cette personne est alors autorise excuter certaines commandes, rgulirement appeles commandes en "r" pour remote command, sur le

systme distant sans spcifier de mot de passe. Ces commandes peuvent par exemple tre rlogin , rsh , rcp , rexec ... On comprend rapidement les failles de scurit que peuvent engendres ce type de solution. Les fichiers ncessaires pour cette configuration sont /etc/hosts.equiv et ~/.rhosts . La plupart des administrateurs dsactivent ce service et donne la possibilit d'accder certaines commandes par un accs scuris ssh. Avec ssh, il est galement possible de spcifier une authentification par cl publique / prive, l'aide d'une passphrase par dfaut, mais il est possible (et dconseill la plupart du temps) de ne pas en spcifier. L'utilisateur lors de la demande de connexion au serveur sshsera automatiquement authentifi. Ce fonctionnement est plutt simple mettre en oeuvre. La premire tape consiste en la gnration de la paire de cls. Ensuite l'aide d'un fichier local dans le rpertoire de l'uilisateur pour les environnements Linux, par exemple ~/.ssh/id_rsa , on spcifie notre cl prive. Sur le serveur, il suffit alors de configurer par le fichier /etc/ssh/sshd_config la possibilit de s'authentifier par cl publique / prive. Il ne reste plus qu' spcifier dans le rpertoire personnel de l'utilisateur sur le serveur dans un fichier ~/.ssh/autorized_keys sa cl publique. Pour une configuration complte de cette solution, reportez-vous ici : Authentification SSH par cl publique.

4.1.4. Dpassement de tampon

Un dpassement de tampon se produit lorsqu'un programme conu pour lire des donnes dpasse sa limite de mmoire alloue. Un dpassement de tampon peut provoquer la lecture (ou autre action) de donnes que le programme n'est pas cens lire (ou autre action). Plus d'informations sur Wikipdia. Pour pallier ce type d'attaques, nous utilisons des solutions de dtection d'intrusion.

4.1.5. Scanning / Sniffing

Le scanning de rseau consiste tester certains ports d'une adresse ou plage d'adresse afin de trouver les services qu'hbergent ces machines. Le sniffing est l'interception massive de donnes qui transitent sur un rseau.

4.1.6. Spoofing
Le spoofing consiste usurper l'identit d'un utilisateur. Il peut se manifester sous la forme d'un courrier lectronique, sur le systme destinataire, provenir d'un utilisateur connu, ou plus dangereux sous la forme de paquets de donnes ressemblant des paquets provenants d'une machine de confiance. Pour pallier ce type d'attaque, il est possible de spcifier au noyau Linux la vrification des adresses sources. Pour cela il est nessaire de d'acitver par le fichier /etc/sysctl.conf le paramtre net/ipv4/conf/all/rp_filter=1. Cela a pour effet de vrifier au niveau du kernel linux, d'un mcanisme de validation de paquet permettant de dtecter qu'un paquet arrivant sur votre serveur est lgitime ou pas.

4.1.7. Dni de service (DOS)

Dans une attaque DOS, l'attaquant tente d'obtenir une ressource ou accs en saturant un hte de requtes. Le service tant satur, il n'est plus en mesure de contrler l'ensemble des requtes, et peut laisser ouvert des failles de scurit, qui en fonctionnement normal seraient bloques. Il est impossible de se protger 100% de ce type d'attaques. Cependant, en filtrant efficacement au niveau firewall et routage les paquets entrants et en configurant soigneusement les services particulirement sensible ce type d'attaques (HTTP, SMTP, FTP ...) en limitant les dlais d'attente et le nombre de paquets issus d'une mme adresse, il est possible de restreindre ce type d'attaque.

4.1.8. Cassage de mots de passe

Casser un mot de passe signifie acqurir un mot de passe valide d'un autre utilisateur. La plupart des attaques de ce type s'effectue par dictionnaire. Plus d'infos. C'est pourquoi l'utilisation de mot de passe complexe, minimum 8 caractres, incluant des chiffres et lettres possdant une casse diffrente et des caractres spciaux, permet de limiter efficacement ce type d'attaque. Un renouvellement des mots de passe rgulirement en fonction des services mis disposition est galement une solution primordiale. Imposer les mots de passe aux utilisateurs est galement une solution idale. Une solution intgre dans les distributions *NIX et le fait de cacher les mots de passe. Cette technique dplace les chanes de hachage du fichier /etc/passwd dans le fichier /etc/shadow , ce dernier n'tant lisible et modifiable que par le super-utilisateur root. Cette solution permet galement la mise en place de certaines fonctionnalits comme la dure de vie d'un mot de passe. Pour plus d'infos, utiliser l'outil permettant le changement des informations dexpiration du mot de passe dun utilisateur chage et consulter son manuel.

4.1.9. Attaques sociales

Appel galement social engineering, ce type d'attaque est ralis par une personne ayant accs physiquement aux locaux d'une entreprise ou plus souvent par tlphone. L'ide ici est de se faire passer par exemple par un prestataire, un administrateur systme ou rseau d'une filiale ... et de tenter de rcuprer des informations critiques comme un mot de passe par exemple. La meilleur manire de lutter contre ce type d'attaque consiste la mise en place d'une politique et une sensibilisation des utilisateurs.

4.1.10. Attaques physiques

L'attaque physique est l'intrusion physique dans la salle serveur par exemple. Elle permet le vol de disque dur, serveurs ou autres lments

actifs. Une fois les matriels rcuprs, le pirate peut aisment rcuprer les donnes portant un intrt. Deux solutions ici sont videntes, l'une plus coteuse que l'autre. La scurisation des locaux par contrle d'accs permet la mise en place d'une solution idale. Elle permet de limiter l'accs certaines personnes dans le temps, et bnficie galement une traabilit efficace des diffrents passages. Le souci ici est la perte ou vol de cl, donc il est ncessaire de vrifier au pralable si le systme permet rapidement la rvocation d'une cl. Une autre solution est le chiffrement des donnes. Cette dernire n'empchera pas le vol mais conservera (du moins temporairement) la confidentialit des donnes.

4.2. RSSH
est un shell restreint qui s'utilise avec OpenSSH limitant l'utilisation des commandes scp et sftp . Son utilit rside dans le fait qu'il permet de restreindre l'utilisation d'OpenSSH aux commandes lies RDist , rsync , et des cvs . RDist est un programme open source qui permet de maintenir des copies d'arborescences identiques entre plusieurs machines. Il prserve les droits et dates de chaque fichier, s'il en a la possibilit.
RSSH

Par exemple, si un administrateur rseau possde un serveur accessible distance par des utilisateurs afin d'alimenter des fichiers et dossiers par scp , sans leur permettre l'accs au shell.

Attention
Il est important de possder la version rssh v2.3.2 , car cette dernire corrige un bug qui permettait d'accorder un utilisateur, possdant un accs shell sur l'hte, d'acqurir les droits root. (plus d'infos).
4.3. Les rootkits
Rsum

Un rootkit est un programme permettant une personne malveillante de s'approprier et maintenir un accs frauduleux un systme informatique. Le pr-requis du rootkit est une machine dj compromise. Source : Cours / liens web (cf ?)

4.3.1. Tripwire 4.3.1.1. Introduction

Tripwire est un outil permettant de crer une base de donnes des

fichiers d'une arborescence sur une machine. Il va permettre de comparer un tat pralablement sauvegard avec un tat l'instant t. Cette base de donnes permet donc de dtecter une ventuelle intrusion et si tel est le cas, nous montrer les fichiers modifis.

4.3.1.2. Fonctionnement
Tripwire peut fonctionner de quatre manires diffrentes :

Initialization Mode : mode utilis pour initialiser la base

de donnes.

Checking Mode : mode de surveillance, vrifiant l'intgrit de la

base de donnes, gnrant un rapport d'erreur ou de modification. Updating Mode : met jour la database sans la rgnrer compltement. Interactive Mode : demande l'administrateur de valider les diffrences et rgnre une nouvelle database de rfrence, et permet d'intrroger la base.

4.3.1.3. Configuration
Les fichiers utiliss par Tripwire sont :

/etc/tripwire/twcfg.txt : donne les paramtres globaux

de l'application.

/etc/tripwire/twpol.txt : contient les rgles de contrle

appliquer.

L'utilisation de tripwire :

tripwire --init

permet l'initialisation de la base.

tripwire --check

permet le contrle de la base.

tripwire --update

permet une mise jour de la base de donnes aprs modification ou ajouts de fichiers.