Beruflich Dokumente
Kultur Dokumente
Rapport d’exposé
Sujet :
- Moussiessi-mbéri Durrel
- Souleymane Diouf
1
Sommaire
Introduction :
1- vulnérabilités
3- contrôle de sécurité
5- risque
6- critère d’information
V -Recommandations
Conclusion : (Résumé)
Webographie :
2
Introduction
Mon système est il une cible potentielle ? Et pour qui ? Sur le réseau, sur les
matériels, par les personnes, sur les logiciels, sur les informations
Quelles sont les motivations de ces personnes qui ciblent mon système ?
Après avoir répondu à ces questions nous allons etudier un cas pratique
3
Partie 1
Les concepts de bases
4
-vulnérabilté :
Types de vulnérabilités
Parmi celles-ci on trouve des classifications par origine (intentionnelle ou non), par
moment de leur introduction (réalisation, installation, environnement), par faiblesse
technique, etc. Aucune ne se révèle universelle car bien souvent elle ne s’adapte
qu’à un seul type d’entité. Il est proposé ici de définir les différentes vulnérabilités en
se plaçant du point de vue de leur origine, celle-ci déterminant souvent des mesures
protectrices similaires, partant d’une même logique.
- les vulnérabilités de conception qui résultent d’un choix initial du concepteur (choix
d’une technologie par exemple) ; ces vulnérabilités ne peuvent pas être supprimées
sans remettre en cause l’entité elle-même ;
- les vulnérabilités liées aux conditions d’emploi des entités, qu’il s’agisse de leur
environnement ou de leur processus d’installation (mauvais paramétrage par
exemple) ; ces vulnérabilités peuvent être diminuées ou supprimées par des
opérations correctrices à la charge de la mise en oeuvre ;
- les vulnérabilités liées à l’usage des entités et qui peuvent être diminuées ou
supprimées par une action au niveau des utilisateurs, encore que d’autres mesures
permettent de les limiter.
Exemples : mot de passe faible, buffer overflow d’un service, susceptibilité au déni
de service.
5
logiciel, ou d’utilisateurs qui ont détecté le problème. Détecter une vulnérabilité ne
veut pas dire qu’elle soit exploitée, ni même exploitable, mais le risque existe.
NB : les vulnérabilités des systèmes d’information font partie des notions de base de
la sécurité informatique. Car le concept de vulnérabilité s’appliquent essentiellement
au système supposé sûr.
Une menace nait d’abord de la présence de bien et d’actif (bien ou actif :information
ou composant d’un système, qui possede une valeur ou un intérêt). Cette menace,
de par son existence engendre des craintes et des inquiétudes.
Types de menaces
-menace physique : menace qui pèse sur l’existence même et l’état physique du
système d’information.
6
particulier la programmation, les systèmes d'exploitation, les communications mais
aussi le matériel (routeurs, commutateurs, ordinateurs...). Selon Neumann et Parker,
nous pouvons classer les méfaits en trois niveaux pour la compétence requise :
Ces compétences sont souvent présentes dans un organisme et parfois à l'insu des
dirigeants qui connaissent mal les capacités de leur personnel. Cette
méconnaissance peut aussi expliquer le nombre d'attaques internes, les politiques
de sécurité étant inadaptées ou sous-estimant les agresseurs potentiels.
-contrôle de sécurité :
-attaques :
Parvenir à distinguer la motivation d’un attaquant, ainsi que son niveau de technicité
(expertise), permet de déterminer son potentiel d'attaque et ainsi de mieux la contrer.
7
Les motifs de l'agresseur sont nombreux et variés ; ils évoluent dans le temps. Il n'est
pas possible de dresser une liste exhaustive des motivations des criminels mais
quelques exemples permettront de saisir la personnalité de quelques-uns uns d'entre
eux. Les actes intentionnels, qui nous intéressent ici, comprennent : l'espionnage,
l'appât du gain, la fraude, le vol, le piratage, le défi intellectuel, la vengeance, le
chantage, l'extorsion de fonds.
Les origines que nous proposons sont celles de la Fiche d'Expression Rationnelle
des Objectifs de Sécurité [FEROS] que nous avons complété avec de nouveaux
éléments. Nous présentons ainsi la motivation stratégique, idéologique, terroriste,
cupide, ludique ou vengeur de la menace.
Étant hors du périmètre de ce document, cette liste devrait être complétée par celles
des actes non intentionnels mais qui constituent une menace pour le SI : la
négligence, la curiosité, l'ennui, la paresse, l'ignorance, l'incompétence, l'inattention...
Caractère stratégique
Pour une entreprise ou une société, la menace d'origine stratégique aura pour but
d'obtenir toute information sur les objectifs et le fonctionnement de celle-ci, pour
récupérer des clients prospectés, des procédés de fabrication, des résultats de
recherche et de développement et de porter atteinte à sa capacité de réaction. Elle
sera principalement le fait de concurrents.
8
Caractère idéologique
Les motivations idéologiques peuvent être les moteurs d'actes les plus extrêmes. Le
combat pour les idées est incessant.
Enfin, il existe des courants de pensée qui mettent en avant le fait que l'information
doit être libre et ne peut en aucun cas être la propriété d'une personne, d'un groupe,
d'une organisation ou d'un État. Cette vision du monde est partagée par de
nombreux pirates.
Caractère politique
Caractère terroriste
Caractère cupide
9
- le premier se traduit par un gain pour l'attaquant ; ce gain peut être financier
(détournement de fonds), lié à un savoir-faire (vol de brevet, concurrence déloyale...),
ou de tout autre ordre ;
- le second occasionne une perte pour la victime qui se traduira par un gain pour
l'agresseur (parts de marché, accès au fichier des clients, à des propositions
commerciales...) ; ce peut être la destruction de son système ou de ses informations,
une perte de crédibilité ou de prestige (image de marque) vis-à-vis d'une tierce
personne, etc.
Il est difficile de caractériser, même succinctement, le profil type du fraudeur, tant les
applications susceptibles d'être attaquées sont multiples. Néanmoins, les statistiques
à ce sujet permettent de souligner que dans un grand nombre de cas, la menace a
été initiée et mise en oeuvre à l'intérieur même de l'organisme abritant le système et
a été le fait d'employés, dont les antécédents ne permettaient pas de supposer qu'ils
commettraient un forfait de ce type. Les victimes figurent en général parmi les
organismes qui détiennent l'argent : banques, compagnies d'assurances, etc.
Pour sa part, le concurrent déloyal est plus facile à identifier : il figure parmi les
concurrents, pour peu qu'ils soient parfaitement identifiés.
Nous ajouterons dans cette catégorie le crime organisé qui pourrait prendre de
l'importance dans un futur proche s'il s'avère qu'il est plus facile - moins coûteux et
moins risqué – de détourner les fonds de manière électronique qu'en pillant une
banque.
Caractère ludique
Caractère vengeur
La vengeance peut être la motivation de l'employé brimé, qui sent ses capacités peu
ou mal utilisées, qui vient d'être licencié ou qui sait qu'il va être. Il faut alors craindre
des actes destructeurs et souvent non corrélés avec leurs causes dans le temps.
10
Les résultats consécutifs à une vengeance se verront ou se comprendront parfois
bien après qu'ils aient été initiés.
Types d’attaques :
- les attaques simultanées par collusion ou par coordination sur une cible unique ;
dans le premier cas, il s’agit pour l’attaquant d’exploiter les résultats de nombreuses
s’attaques menées de manière coordonnée (par exemple, analyse de
cryptogrammes) ; dans le deuxième cas, il s’agit de coordonner une attaque utilisant
de très nombreux systèmes pour saturer la cible.
-Sabotage
Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou
une de ses composantes.
Rayonnements électromagnétiques
-Brouillage
Écoute passive
11
-Écoute
-Cryptanalyse
L'attaque d'un chiffre ne peut se faire que lorsqu'on a accès aux cryptogrammes qui
peuvent être interceptés lors d'une communication ou qui peuvent être pris sur un
support quelconque. Cette attaque nécessite en général d'excellentes connaissances
en mathématiques et une forte puissance de calcul, lorsqu’il s’agit d’algorithmes
éprouvés. Elle est principalement le fait de services de renseignement.
Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il s'agit
de données et encore plus de ressources informatiques. En effet une simple copie
suffit pour s'approprier une information. Cette opération n'est pas toujours facile à
déceler.
-Fraude physique
12
Elle peut consister à récupérer les informations oubliées ou non détruites par
l'adversaire ou le concurrent. L'attaquant portera une attention particulière aux
listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques
classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers
des organismes visés.
Vol de matériels
Le vol de matériels passe généralement par une infraction aux mesures de sécurité
protégeant la confidentialité des informations. Le vol de ressources est plus insidieux,
car il se peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à
la disponibilité des informations et des services.
Or, bien que dans la majorité des cas de vol la motivation première ne soit pas
l’exploitation du contenu, rien ne permet d’assurer le contraire.
- l’un consiste à effectuer une fouille systématique des poubelles ou plus simplement
le vol d’éditions oubliées sur les imprimantes partagées, accessibles dans les locaux
"publics" de l’organisme ;
Divulgation
-Chantage
Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que
de nombreuses données concernant la vie privée des personnes ou les activités
13
d'une organisation sont gardées sur des ordinateurs. Il est donc possible d'identifier
les besoins et les faiblesses des personnes et de les manipuler. Le chantage peut
aussi porter sur une menace de sabotage à l'encontre des installations d'une
organisation. Le chantage peut mettre en cause aussi bien la confidentialité,
l'intégrité, que la disponibilité des informations et des services.
-Canular (hoax)
Piégeage du logiciel
-Bombe
Une bombe est un programme en attente d'un événement spécifique déterminé par
le programmeur et qui se déclenche quand celui-ci se produit. Ce code malicieux
attend généralement une date particulière pour entrer en action. Les conséquences
peuvent être bénignes comme l'affichage d'un message, d'une image ou d'un logo
mais aussi dommageables, comme la destruction de données et plus rarement la
destruction du matériel. Les effets visuels et sonores sont fracassants.
-Virus
Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent
le corps humain, un virus est un programme malicieux capable de se reproduire et
qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose
de fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se
propager en se recopiant sur un programme et de se déclencher comme une bombe
logique quand un événement se produit.
-Ver
14
Un ver est un programme malicieux qui a la faculté de se déplacer à travers un
réseau qu'il cherche à perturber en le rendant indisponible. Cette technique de
propagation peut aussi être utilisée pour acquérir des informations par sondage.
Par exemple, le ver MS-SQL Slammer, qui le 25 janvier 2003 a provoqué une
augmentation du trafic Internet telle qu’elle a ralenti, voire bloqué de manière
perceptible, une partie des SI mondiaux.
Aujourd’hui ces deux derniers types d’attaque que sont les "Vers" et "Virus" se
rapprochent, tel qu’il devient difficile d’en faire une distinction nette.
- Code Red, apparu en août 2001, profitait d’une faille de certains serveurs web pour
se propager,
-Piégeage
De nombreuses failles sont présentes dans les logiciels commerciaux. Dès leurs
découvertes par des pirates, elles font l’objet pour la plupart de publication sur
l’Internet, accompagnée de la description des méthodes d’attaque à utiliser pour les
exploiter. Ainsi, l’attaquant n’a plus besoin de compétence particulière pour mener
des attaques parfois complexes. De plus, la "standardisation" des logiciels et le
nombre croissant de failles découvertes rend les organismes de plus en plus
vulnérables.
-Canal caché
Ce type d'attaque est de très haut niveau et fait appel à l'intelligence de l'attaquant. Il
permet de faire fuir des informations en violant la politique de sécurité. On peut
classer les canaux cachés en quatre catégories :
Ces attaques sont perpétrées dans le système ou les bases de données à plusieurs
niveaux de confidentialité.
-Cheval de Troie
Subterfuge employé par les Grecs pour prendre Troie, en informatique un cheval de
Troie est un programme ou un fichier qui comporte une fonctionnalité cachée connue
de l'attaquant seul. Elle lui permet de contourner des contrôles de sécurité en
vigueur. Cependant un cheval de Troie doit d'abord être installé et ceci n'est possible
que si les mesures de sécurité sont incomplètes, inefficaces ou si l'agresseur
bénéficie d'une complicité.
Un cheval de Troie doit être attirant (nom évocateur) pour être utilisé, posséder
l'apparence d'un authentique programme (un utilitaire par exemple) pour inspirer
confiance et enfin ne pas laisser de traces pour ne pas être détecté. La simulation de
terminal, dont le but est de s'emparer du mot de passer d'un utilisateur, est un cheval
de Troie.
En conséquence, identifier la présence d'un cheval de Troie n'est pas aisée et une
bonne connaissance du système et des applications installées est nécessaire.
Réseau de robots logiciels (bots) installés sur des machines aussi nombreuses que
possibles. Ces robots se connectent sur des serveurs IRC (Internet Relay Chat) au
travers desquels ils peuvent recevoir des instructions de mise en oeuvre de fonctions
non désirées (envoi de spam, vol d'informations, participation à des attaques de
saturation…).
Un logiciel espion est un logiciel malveillant qui infecte un ordinateur dans le but de
collecter et de transmettre à des tiers des informations de l'environnement sur lequel
il est installé sans que l'utilisateur n'en ait conscience.
-Perturbation
16
L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de
fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des
erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible.
-Saturation
-Pourriel (spam)
Un spam est un courrier électronique indésirable, contenant ou non une pièce jointe,
qui est transmis à une multitude de destinataires n’ayant sollicité aucune demande
de la part de l’émetteur. Utilisé pour promouvoir des services ou des produits
commerciaux, il est contribue à la pollution voir à la saturation des boîtes aux lettres
électroniques.
-Fouille
17
Si l'attaquant est quelque peu entraîné, il aura recours à une attaque plus subtile.
Pour s'emparer de certaines informations il va lire la mémoire, centrale ou
secondaire, ou les supports de données libérés par les autres utilisateurs. Une
parade efficace consiste à effacer physiquement toute portion de mémoire ou tout
support libéré. En contrepartie, les performances du SI seront moindres.
-Mystification
-Trappe
Une trappe est un point d'entrée dans une application généralement placé par un
développeur pour faciliter la mise au point des programmes. Les programmeurs
peuvent ainsi interrompre le déroulement normal de l'application, effectuer des tests
particuliers et modifier dynamiquement certains paramètres pour changer le
comportement original. Il arrive quelquefois que ces points d'entrée en soient pas
enlevés lors de la commercialisation des produits et qu'il soit possible de les utiliser
pour contourner les mesures de sécurité.
-Asynchronisme
-Souterrain
18
La technique du souterrain est un type d'attaque qui évite de s'attaquer directement à
une protection mais qui tente de s'en prendre à un élément qui la supporte. Une telle
attaque exploite une vulnérabilité d'un système qui existe à un niveau d'abstraction
plus bas que celui utilisé par le développeur pour concevoir et/ou tester sa
protection. Nous retrouvons ce type d'attaque dans le cas ou un détenu veut s'évader
de prison : il préférera creuser un souterrain dans la terre plutôt que tenter de percer
un mur d'enceinte en béton.
Par exemple, un accès non autorisé qui correspond au vol des données
d’identification/authentification d’une personne afin de s’en arroger les droits ou en
contournant les contrôles d’accès (porte dérobée).
-Salami
L'établissement d'un lien entre un ensemble de données non sensibles permet, dans
certains cas, de déduire des données sensibles.
-Interception
L'interception est un accès avec modification des informations transmises sur les
voies de communication. Les quatre types d'interception sont :
- la destruction de messages,
- l'insertion de messages,
-Balayage (scanning)
Abus de droit
L’abus de droit est le fait d’un utilisateur à qui a été attribué des privilèges systèmes
et/ou applicatifs élevés et qui les utilise pour effectuer une opération malveillante. Par
exemple, un opérateur de sauvegarde n’ayant pas le besoin d’en connaître sur le
contenu à sauvegarder à la possibilité technique d’abuser de ses droits de lecture
pour fouiller les fichiers sauvegardés.
Usurpation de droit
Cette menace est le fait d'une personne qui se fait passer pour une autre en
usurpant son identité. Elle vise tout particulièrement l'informatique.
-Déguisement
Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire
passer pour quelqu'un d'autre et obtenir les privilèges ou les droits de celui dont on
usurpe l'identité.
Sans arriver à des solutions lourdes et coûteuses, le défenseur pourra combiner des
méthodes d'identification et d'authentification comme carte et mot de passe pour
renforcer sa sécurité.
-Rejeu
-Substitution
20
Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant des
terminaux distants. L'agresseur écoute une ligne et intercepte la demande de
déconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se
substituer à ce dernier et continuer une session normale sans que le système note
un changement d'utilisateur.
Un cas bien connu est celui des ordinateurs sur un réseau local qui ne sont déclarés
que par leur adresse réseaux. Un attaquant peut alors attendre qu'une machine soit
arrêtée pour se faire passer pour elle en usurpant l'adresse de la machine éteinte.
-Faufilement
Par analogie avec le faufilement physique où une personne non autorisée franchit un
contrôle d'accès en même temps qu'une personne autorisée, on dira qu'il y a
faufilement électronique quand, dans le cas où des terminaux ou des ordinateurs ne
peuvent être authentifiés par un SI, un attaquant se fait passer pour le propriétaire de
l'ordinateur ou du terminal.
Reniement d'actions
-risque
On appelle risque en anglais risk, paramètre qui quantifie le danger pour le bon
fonctionnement d’une entreprise. Il tient compte de la probabilité d’une attaque et de
son impact.
21
• Méthode MEHARI (méthode harmonisée d’analyse de risques). Développée par
le Clusif (Club de la sécurité des systèmes d’information français), cette méthode est
destinée spécifiquement aux petites et moyennes entreprises. Elle s’articule autour
de trois plans : le plan stratégique de sécurité, les plans opérationnels de sécurité et
le plan opérationnel d’entreprise.
par niveaux). Également développée par le Clusif, cette méthode est aussi destinée
spécifiquement aux petites et moyennes entreprises. Elle comporte quatre phases
distinctes : la préparation, l’audit des vulnérabilités, l’analyse de risques et le plan
d’action.
Développée par l’ISACA (Information Systems Audit and Control Association), cette
méthode est destinée aux managers, auditeurs et utilisateurs. Elle couvre quatre
domaines principaux : planification et organisation, acquisition et support, distribution
et support, surveillance.
-critère d’information :
• effectivité
• efficacité
• confidentialité
22
• intégrité
• disponibilité
• compliance
-composant du système :
• les logiciels
• les services
authentification, …)
-système d’information :
Applications métiers,
Infrastructure réseau,
Serveurs d'application,
Dispositifs de sécurité.
23
Partie 2 :
1- Caractérisation du
système
6- Recommandation
25
2 .1 – Caractérisation du système :
La première étape de l’audit répertorie les composants du réseau, les services
réalisés et les données gérées par les différents services. Elle documente aussi la
politique de sécurité en place.
Résultats
Les résultats de cette étape sont :
1. des diagrammes du réseau,
2. une liste des serveurs et dispositifs du réseau,
3. une liste des contrôles techniques (méthodes de sécurisation) en place,
4. la classification des exigences en sécurité des services et informations gérées,
5. une description de la politique de sécurité du réseau.
Ces informations pourront être utilisées pour définir l’envergure de l’audit, donc des
équipements, services et données à considérer.
Procédure
Cette étape utilise les sources d’informations suivantes :
• Diagrammes existants du réseau
• Documentation existante
• Interviews et inspection sur place
• Questionnaires
• Outils de scanning
Nous allons utiliser snort IDS pour ce scanning.
Résultats
26
Le résultat de cette étape est :
• Une liste des menaces à considérer. La liste indique les sources possibles
d’une menace et l’importance d’une protection contre chaque menace.
Procédure
Cette étape part de la liste complète des menaces liées à l’existant. En discussion
avec les responsables de la société, les sources de menaces les plus probables sont
identifiées. Ensuite, un niveau de protection requis est assigné à chaque menace ou
à chaque source de menace.
Résultats
Le résultat de cette étape est :
• une liste des contrôles et leurs effets (menaces prévenues)
• un protocole des résultats des tests qui indique si le contrôle fonctionne
correctement.
Dans la méthodologie NIST, cette étape est effectuée après l’identification des
vulnérabilités. Or, le test des vulnérabilités est une procédure qui demande
beaucoup de travail et qui peut interrompre le service normal du réseau. Elle doit
donc être limitée à un minimum. Le fait d’analyse les contrôles d’abord permet de
réduire le nombre de vulnérabilités à tester.
Procédure :
Cette étape se base sur la liste des contrôles en place, établie dans la première
étape de l’audit.
• Pour chaque contrôle, son effet est défini, donc les menaces prévenues par ce
Contrôle.
• L’efficacité du contrôle doit être évaluée, par l’évaluation de la configuration et
le test du contrôle.
27
2.4- Analyse des vulnérabilités :
Le but de cette étape est d’identifier toutes les vulnérabilités à considérer qui :
• pourraient être présentes dans le système
• qui ne sont pas couvertes par les contrôles en place.
Procédure :
• Pour chaque composant (dispositif, logiciel, protocole, fonctionnalité) du système :
-Partir d’une liste des vulnérabilités connues (utiliser NIST NVD, CVE)
- Sélectionner les vulnérabilités à évaluer
�Sur la base des composants du système.
�Sur la base des contrôles en place.
-Tester la présence des vulnérabilités
� Interview, questionnaires
� Scanning (nmap, Nessus, …)
�Tests de pénétration
Résultats
Les résultats de cette étape sont :
• Une liste qui indique, par composant du système, les vulnérabilités présentes et
non couvertes par les contrôles.
Les vulnérabilités listées doivent être quantifiés par des valeurs approximatives qui
tiennent compte de leurs conséquences éventuelles.
28
Cette étape vise à prioriser les dangers constatés en déterminante la probabilité
d’une attaque et son impact.
Procédure
Par une évaluation probabiliste, on met en relation :
• l’attractivité d’une menace pour un attaquant
• la possibilité d’une attaque, réalisée à travers une vulnérabilité.
Risque = Pa x (1 – Ei) x C
Pa = probabilité d’attaque.
Ei = efficacité de la contremesure
C = conséquence de la perte de la ressource considéré.
Ceci détermine la probabilité d’une attaque (valeurs 0 – 1).
La contremesure est évalué (valeurs 0 - 1).
29
Les risques sont évalué en tenant compte des conséquences possibles. Cette
quantification qui garde toujours un côté plus ou moins estimatif, est réalisée à partir
de séries statistique historiques.
Résultat
Le résultat de cette étape est :
• Une liste des menaces, priorisées (chiffrée) par leur risque.
2.7 Recommandations :
Le but de cette étape est de proposer des contrôles supplémentaires, des
procédures (pour augmenter l’efficacité des contrôles) qui permettent de réduire les
risques pour l’entreprise.
Résultat
Le résultat de cette étape est :
• Une recommandation de modification du système pour éliminer des
vulnérabilités.
• Une recommandation de procédures qui permettent d’augmenter l’efficacité
des contrôles déjà en places
• Une recommandation de contrôles supplémentaires pour couvrir certaines
vulnérabilités
Dans la majeure partie des cas le maillon faible est l'utilisateur lui-même ! En effet
c'est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une brèche dans
le système, en donnant des informations (mot de passe par exemple) au pirate
informatique ou en exécutant une pièce jointe. Ainsi, aucun dispositif de protection
ne peut protéger l'utilisateur contre les arnaques, seuls bon sens, raison et un peu
d'information sur les différentes pratiques peuvent lui éviter de tomber dans le piège
30
Recommandations :
Trappes : il s'agit d'une porte dérobée (en anglais backdoor) dissimulée dans
un logiciel, permettant un accès ultérieur à son concepteur.
Recommandations :
Bien connaitre les logiciels que nous installons et les surveiller, pour voir qu’ils ne
font pas des services inattendus.
Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer,
c'est la raison pour laquelle les pirates privilégient habituellement les attaques par
rebond (par opposition aux attaques directes), consistant à attaquer une machine par
l'intermédiaire d'une autre machine, afin de masquer les traces permettant de
remonter à lui (telle que son @ ip) et dans le but d'utiliser les ressources de la
machine servant de rebond.
Cela montre l'intérêt de protéger son réseau ou son ordinateur personnel, il est
possible de se retrouver « complice » d'une attaque et en cas de plainte de la
victime, la première personne interrogée sera le propriétaire de la machine ayant
servi de rebond.
-Veille technologique
31
Partie 3
Quelques vulnérabilités
publiées et étude de cas
pratique
32
I-Quelques vulnérabilités publiées
1 Risque
Déni de service à distance.
2 Systèmes affectés
Cisco PGW 2200 Softswitch.
Se référer au bulletin de l’éditeur pour connaître le détail des versions vulnérables.
3 Résumé
De multiples vulnérabilités dans Cisco PGW 2200 Softswitch permettent de réaliser
un déni de service à distance.
4 Description
De multiples vulnérabilités ont été découvertes dans la gestion des messages
Session Initiation Protocol (SIP)
et Media Gateway Control Protocol (MGCP) par Cisco PGW 2200 Softswitch.
L’exploitation de ces vulnérabilités
permet de réaliser un déni de service à distance.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf.
section Documentation).
1- Risque
Elévation de privilèges.
2- Systèmes affectés
Remarque : les versions 64-bit des systèmes d’exploitations de Microsoft ne sont pas
affectés par cette vulnérabilité.
– Microsoft Windows 2000 Service Pack 4 ;
– Microsoft XP Service Pack 2 et Windows XP Service Pack 3 ;
– Microsoft Server 2003 Service Pack 2 ;
– Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2 ;
– Microsoft Server 2008 ;
– Windows 7.
4- Description
Une vulnérabilité dans le sous-système MS-DOS (ntvdm.exe) et affectant
potentiellement toutes les versions 32 bits de Microsoft Windows, permet à un
utilisateur local d’élever ses privilèges au moyen d’un exécutable spécialement
construit.
Le savoir-faire nécessaire pour exploiter cette vulnérabilité est d’ores et déjà
disponible sur l’Internet.
33
5- Contournement provisoire
Le CERTA recommande de désactiver l’accès au sous-systèmes MS-DOS en
modifiant les stratégies de groupes.
L’application de ce contournement provisoire peut avoir des effets de bords
indésirable. En effet, certaines applications présentes nativement sur un système
Microsoft Windows fonctionnent au moyen de l’accès au sous-système MS-DOS.
Pour ne citer qu’un exemple, l’exécutable COMMAND.COM ne pourra donc plus
fonctionner suite à l’application de ce contournement provisoire. Naturellement, tous
les scripts faisant appel à des programmes nécessitant l’accès au sous-système MS-
DOS ne seront plus opérationnels.
La désactivation du sous-système MS-DOS sous Microsoft Windows peut s’effectuer
par les étapes suivantes :
– dans l’outil de configuration des stratégies de groupe, gpedit.msc ;
– sélectionner Modèles d’administration puis Composants Windows et enfin
Compatibilité des applications ;
– choisir l’élément Empêcher l’accès aux applications 16-bit ;
– cocher l’option Activer dans les propriétés de l’élément.
Ce contournement peut également être appliqué par la modification ou la création de
valeurs dans la base de registre du système :
– avec l’éditeur de la base de registre (regedit.exe) ;
– sélectionner la clé suivante :
\HKEY_LOCAL_MACHINE}\SOFTWARE\Policies\Microsoft\Windows ;
– créer la clé AppCompat si celle-ci n’existe pas ;
– sélectionner cette nouvelle clé et créer une valeur VDMDisallowed avec le type
DWORD ;
– mettre à 1 la donnée de la valeur précédente ; ou encore :
– sélectionner la clé :
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW ;
– si la valeur DisallowedPolicyDefault n’existe pas, la créer avec le type DWORD ;
– modifier la donnée de la valeur DisallowedPolicyDefault en la mettant à 1.
Microsoft a publié un guide pour désactiver l’accès au sous-système MS-DOS (cf.
section Documentation).
6- Solution
Le bulletin de sécurité MS010-015 de Microsoft corrige le problème. Se référer au
bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section
Documentation).
2 Systèmes affectés
– Microsoft Internet Explorer 6 ;
– Microsoft Internet Explorer 7 ;
– Microsoft Internet Explorer 8.
3 Résumé
Une vulnérabilité dans Microsoft Internet Explorer permet à une personne
malintentionnée d’exécuter
du code arbitraire à distance.
34
4 Description
Une vulnérabilité due à une référence à un pointeur non valide permet à une
personne malintentionnée d’exécuter
du code arbitraire à distance. Des exploitations limitées de cette vulnérabilité ont déjà
été constatées.
Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI –
CERTA
51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr
75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : certa-svp@certa.ssi.gouv.fr
Le CERTA rappelle que les vulnérabilités d’Internet Explorer sont exploitables au
moyen de documents
Microsoft Office (cf. bulletin d’actualité CERTA-2009-ACT-012).
5 Contournement provisoire
Un correctif de sécurité est disponible depuis le 21 janvier 2010, se référer à l’avis
CERTA-2010-AVI-025.
Dans l’attente d’un correctif de l’éditeur, le CERTA recommande l’utilisation d’un
navigateur alternatif.
Le CERTA rappelle également qu’il est fortement conseillé de naviguer sur l’Internet
avec un compte utilisateur
aux droits limités et la désactivation de l’interprétation de code dynamique
(JavaScript, ActiveX, . . . ). De plus,
l’activation du DEP (Data Execution Prevention) peut limiter l’impact de cette
vulnérabilité.
Des contournements permettent d’empêcher l’exploitation de la vulnérabilité via des
documents Microsoft Office.
Dans Office 2007, il faut désactiver totalement la prise en compte des ActiveX dans
les documents : dans le menu principal, sélectionner « Options Word » , « Centre de
gestion de la confidentialité » , « Paramètres du Centre de gestion de la
confidentialité » , « Paramètres ActiveX » , et enfin l’option « Désactiver tous les
contrôles sans notification. »
Dans Office 2003, il n’est pas possible de désactiver la prise en compte des ActiveX.
Toutefois, la désactivation de la prise en compte des fichiers de type XML permet de
limiter l’exploitation de la vulnérabilité pour les scénarios d’exploitation découverts
jusqu’à présent. Ceci se fait en modifiant la clé de registre suivante :
HKCU\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock et en
affectant 1 à la valeur (de type DWORD) XmlFiles. Il faut faire de même pour les
autres applications. Microsoft Office (remplacer Word par Excel, Powerpoint, etc.).
Ce contournement pour Office 2003 peut avoir des effets de bord et doit donc être
utilisé avec précaution.
6- Solution
Le bulletin de sécurité MS010-002 de Microsoft corrige le problème. Se référer à ce
bulletin pour l’obtention des correctifs (cf. section Documentation).
1 Risque
Les précédentes failles de BIND (12 avis du CERT/CC depuis 1997) ont
systématiquement donné lieu à des exploitations massives et prolongées.
2 Systèmes affectés
Majorité des systèmes Unix, systèmes Windows NT utilisant BIND.
3 Résumé
Quatre vulnérabilités majeures ont été découvertes dans le code du serveur DNS
BIND, développé par l'Internet Software Consortium (ISC), permettant à un utilisateur
distant de prendre le contrôle de la machine hôte.
4 Description
5 Contournement provisoire
Il n'existe pas de contournement provisoire, le DNS étant indispensable au
fonctionnement d'internet, il est nécessaire de procéder aux mises à jour.
6 Solution
Mettre à jour le serveur BIND :
Branche 4.x.x (n'est plus activement maintenue) : évoluer vers la version 4.9.8
ftp://ftp.isc.org/isc/bind/src/DEPRECATED/4.9.8/bind-498-REL.tar.gz
Branche 8.x.x : évoluer vers la version 8.2.3
ftp://ftp.isc.org/isc/bind/src/8.2.3/bind-src.tar.gz
36
Nota : il existe une nouvelle branche de développement visant à implémenter le
DNSSEC, dont la dernière version est la 9.1, mais elle est loin d'avoir toutes
fonctionnalités de la branche 8.x.x. Son installation n'est pas recommandée.
Caldera Linux
Mandrake Linux
Suivre les directives depuis la page suivante pour les versions 6.0, 6.1, 7.0, 7.1, 7.2
et Corporate Server 1.0.1 :
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-017.php3
Trustix
http://www.trustix.net/pub/Trustix/updates
Debian
Les paquetages pour la version 2.2 sont disponibles selon l'architecture sous :
http://security.debian.org/dists/stable/updates/main/
TurboLinux
http://www.turbolinux.com/pipermail/tl-security-announce/2001-February/000034.html
SuSE Linux
http://www.suse.com/de/support/security/2001_03_bind8_txt.txt
1 Risque
37
2 Systèmes affectés
Tout système d'exploitation utilisant un noyau Linux.
3 Résumé
Plusieurs vulnérabilités, décrites ci-dessous, affectent les noyaux Linux des séries
2.4 et/ou 2.6.
4 Description
Un utilisateur local mal intentionné peut transmettre des données volontairement mal
formées qui seront mal interprétées et bloqueront le noyau.
Les variables d'environnement peuvent être utilisées pour passer des informations
sensibles à un processus. C'est pourquoi leur consultation à travers le pseudo-
système de fichier proc est restreinte. Cependant leur contenu est parfois visible
dans la ligne de commande donc la lecture est plus permissive.
«a.out» est l'ancien format des exécutables sous Linux. Il a depuis été remplacé par
le format ELF. Cependant la compatibilité avec ce format est souvent incluse dans le
38
noyau. L'exécution d'un binaire de ce type, volontairement mal formé, peut provoquer
un déni de service du noyau.
IGMP («Internet Group Management») est un protocole IP utilisé pour offrir des
communications «multicast». Il est en particulier utilisé par des applications de
videoconférence ou de gestion dynamique du routage.
Il est possible pour un utilisateur local mal intentionné d'exécuter un programme qui
provoquera un déni de service voire une elévation de privilèges.
Par ailleurs, si une application écoute sur une «socket multicast», il est possible,
sous certaines conditions, de bloquer l'exécution du noyau.
4.8 Déni de service local dans la gestion des options IP et des terminaux
virtuels
Deux fonctions du noyau gérant mal les débordements d'entier ont été identifiées.
Elles peuvent être détournées pour provoquer un déni de service du noyau par un
utilisateur local exécutant du code malicieux.
4.9 Débordement de mémoire dans la gestion des appels systèmes 32 bits sur
plates-formes x86-64
Référence CVE-CAN-2004-1144.
La vulnérabilité est présente dans le noyau 2.4 uniquement et pour les plates-formes
x86-64.
4.10 Déni de service local avec un exécutable «elf» pour les noyaux 2.4.x
Référence CVE-CAN-2004-1234.
«elf» est le format des exécutables sous Linux. Au moyen d'un fichier habilement
constitué, un utilisateur mal intentionné peut provoquer un déni de service par arrêt
brutal du système.
5 Solution
Les noyaux «vanilla» jusqu'aux versions 2.6.9 et 2.4.28 sont vulnérables à au moins
l'une des failles décrites ci-dessus ; utiliser une version en développement ou se
39
référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf.
section Documentation).
6 Documentation
Référence CVE-CAN-2004-1016 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1016
Bulletin de sécurité Isec Security Research du 14 décembre 2004 :
http://isec.pl/vulnerabilities/isec-0019-scm.txt
Bulletin de sécurité Secunia SA13469 du 15 décembre 2004 :
http://secunia.com/advisories/13469/
Référence CVE-CAN-2004-1074 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1074
Références CVE-CAN-2004-1137 :
40
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1137
Bulletin de sécurité Isec Security Research du 14 décembre 2004 :
http://isec.pl/vulnerabilities/isec-0018-igmp.txt
Bulletin de sécurité Secunia SA13469 du 15 décembre 2004 :
http://secunia.com/advisories/13469/
Référence CVE-CAN-2004-1151 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1151
Bulletin de sécurité Secunia SA13410 du 09 décembre 2004 :
http://secunia.com/advisories/13410/
6.9 Déni de service local dans la gestion des options IP et des terminaux
virtuels
6.10 Débordement de mémoire dans la gestion des appels systèmes 32 bits sur
plates-formes x86-64
Référence CVE-CAN-2004-1144 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1144
Message "[PATCH] [CAN-2004-1144] Fix int 0x80 hole in 2.4 x86-64 linux
kernels" :
http://www.ussg.iu.edu/hypermail/linux/kernel/0412.2/1364.html
Référence CVE-CAN-2004-1234 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1234
Correctifs inclus dans la version 2.4.28-rc4 du noyau :
http://www.kernel.org/pub/linux/kernel/v2.4/Changelog-2.4.28
41
Bulletin de sécurité SUSE SuSE-SA:2004:046 du 22 décembre 2004 (CAN-
2004-1144) :
http://www.novell.com/linux/security/advisories/2004_46_kernel.html
Bulletin de sécurité RedHat RHSA-2004:689 du 23 décembre 2004 : (CAN-
2004-0565, CAN-2004-1016, CAN-2004-1017, CAN-2004-1037, CAN-2004-
1144 et CAN-2004-1234) :
http://rhn.redhat.com/errata/RHSA-2004-689.html
Bulletin de sécurité Avaya ASA-2005-006 (CAN-2004-0883, CAN-2004-0949,
CAN-2004-1016, CAN-2004-1017, CAN-2004-1068, CAN-2004-1137, CAN-
2004-1234) :
http://support.avaya.com/elmodocs2/security/ASA-2005-006_RHSA-2004-
549RHSA-2004-505RHSA-2004-689.pdf
Bulletin de sécurité RedHat RHSA-2005:043 du 18 janvier 2005 (CAN-2004-
1016) :
http://rhn.redhat.com/errata/RHSA-2005-043.html
Exercice 1 :
– La présence d’une faille sur les serveurs Web Microsoft IIS permettant de lire tout
Exercice 2 :
Identifier le plus grand nombre de risques liés à la liaison Internet pour un fabricant
de produits de luxe. Identifier le plus grand nombre de risques liés à Internet pour
une société d’armement. Les données confidentielles sont supposées situées sur un
réseau complètement séparé
Conclusion : (Résumé )
économique, par son approche transversale et collective, se présente
comme une opportunité pour la mise en œuvre d’un concept de sécurité
globale au sein de l’entreprise. : La sécurité en entreprise est
généralement abordée selon des approches spécialisées, où la sécurité
des systèmes d’information apparaît comme une composante majeure
dédiée aux informaticiens. Toutefois, la problématique de sécurité est
complexe et mérite selon nous d’être envisagée de manière systémique et
globale, approche que nous qualifions d’holistique. Il s’agit en effet de
traiter un ensemble de problèmes plus ou moins interactifs dont la
résolution passe par une mise en synergie des compétences. L’enjeu est
avant tout culturel, il procède d’un changement de paradigme : la
sécurité n’est plus un objet finalisé réservé au spécialiste de
l’entreprise, elle doit être envisagée dans une optique globale,
permanente et universelle par l’ensemble du personnel. De ce point de
vue, l’intelligence.
Abstract :
The security of the firm is generally considered as a job for specialists, so
that SIS appears as a major element dedicated to computer engineers.
Nevertheless, we expect that security is complex and it must be
considered as a holistic problem, as far as it is a systemic and global
concept. The issue should be a cultural change of paradigm: security is
no longer a final object for specialists but a global, permanent and
43
universal philosophy for everybody inside the firm. From this point of view,
competitive intelligence, as a transversal and collective approach, appears
to be one of the best way to integrate a global security concept into the
firm.
Références webographiques :
www.wikipedia.com
Autres références :
44