REPUBLIQUE DU SENEGAL

Un peuple – un but – une foi

Rapport d’exposé

Sujet :

Vulnérabilité des systèmes d’information:

Analyse des menaces, des attaques, des
risques

Réalisé par : Avec l’encadrement de :

- Mohamed ould hacen Mr. ANTOINE BIAMOU

- Moussiessi-mbéri Durrel
- Souleymane Diouf
1
 Sommaire
Introduction :

Partie 1 : Les concepts de base

1- vulnérabilités

2- menaces (Types de menaces)

3- contrôle de sécurité

4-attaques ( Types d’attaques et les principes des attaques les plus

répandues-)

5- risque

6- critère d’information

Partie 2 : Analyse des menaces, des attaques, des risques

I- Analyses des vulnérabilités(par les outils) :

II- Analyse des menaces

III-Analyses risques (par un modèle) :

IV-Conséquences de quelques cas de vulnérabilité, les attaques

V -Recommandations

Partie 3 : Quelque vulnérabilités publiés et étude de Cas pratiques :

I- Quelques vulnérabilités publier par CERT en 2010 :

II- Quelques études de Cas pratiques :

Conclusion : (Résumé)

Webographie :

2
 Introduction

Les systemes d’information sont des systèmes qui utilisent un ensemble de

ressources matériels ou logiciels ou humains pour assurer le traitements de
l’information , le stockage et la communication . La disponibilité permanente de
l’information est l’un des objets de la pérénité d’une entreprise. L’information peut
être aussi bien des données stratégiques que des données de tous les jours. Nous
disons donc qu’un système d’information est un ensemble qui inclut aussi bien
l’information elle-même que les systèmes et réseaux nécessaires à sa mise en
œuvre, assurant son stockage son traitement et sa communication.

Aujourd’hui avec les nouvelles technologies émergeant en permanence, l’ignorance

et l’arrogance des entreprises sur la nécessité de mettre en place un système
d’information sécurisé, le cout de la sécurité des systèmes d’informations, le
terrorisme, la criminalité, etc nous assistons à une explosion des incidents de
sécurité comme vol d’information, destruction de données top secret, sensible ou
juste classique,etc due à des exploitations des failles ou vulnérabilités des
systèmes d’information.

Pour assurer la continuété de l’activité d’une entreprise ou de toute autre organisme

doté de système d’information, il est important de le protéger. Mais avant de le
protéger il est primordial de se poser ces quelques questions sur les analyses des
failles :

Quelles sont les failles de mon système ?

Mon système est il une cible potentielle ? Et pour qui ? Sur le réseau, sur les
matériels, par les personnes, sur les logiciels, sur les informations

Pourquoi mon système est-il une cible ?

Quelles sont les motivations de ces personnes qui ciblent mon système ?

Quelles sont les menaces de mon système comment l’évaluer ?

Quelles sont les attaques

Quelles sont les risques ?

Quelles sont les conséquences des attaques

Quelles recommandations pour se protéger ?

Après avoir répondu à ces questions nous allons etudier un cas pratique

3
 Partie 1
Les concepts de bases

4
-vulnérabilté :

On appelle vulnérabilité (vulnerability en anglais), une faiblesse d’un composant qui

peut conduire à une violation de la politique de sécurité du système. En réalité elle
nuit au bon fonctionnement du système c-à-d à la disponibilité, à l’intégrité et à
confidentialité de l’information.Elle peut être exploitée intentionnellement par un
attaquant ou déclenchée accidentellement par un utilisateur normal.

Types de vulnérabilités

Parmi celles-ci on trouve des classifications par origine (intentionnelle ou non), par
moment de leur introduction (réalisation, installation, environnement), par faiblesse
technique, etc. Aucune ne se révèle universelle car bien souvent elle ne s’adapte
qu’à un seul type d’entité. Il est proposé ici de définir les différentes vulnérabilités en
se plaçant du point de vue de leur origine, celle-ci déterminant souvent des mesures
protectrices similaires, partant d’une même logique.

On distinguera donc les grands types de vulnérabilités suivants :

- les vulnérabilités de conception qui résultent d’un choix initial du concepteur (choix
d’une technologie par exemple) ; ces vulnérabilités ne peuvent pas être supprimées
sans remettre en cause l’entité elle-même ;

- les vulnérabilités de réalisation qui résultent des principes de fabrication (mauvais

codage par exemple) ; ces vulnérabilités peuvent être diminuées ou supprimées par
des opérations correctrices à la charge du réalisateur ;

- les vulnérabilités liées aux conditions d’emploi des entités, qu’il s’agisse de leur
environnement ou de leur processus d’installation (mauvais paramétrage par
exemple) ; ces vulnérabilités peuvent être diminuées ou supprimées par des
opérations correctrices à la charge de la mise en oeuvre ;

- les vulnérabilités liées à l’usage des entités et qui peuvent être diminuées ou
supprimées par une action au niveau des utilisateurs, encore que d’autres mesures
permettent de les limiter.

Exemples : mot de passe faible, buffer overflow d’un service, susceptibilité au déni
de service.

S’informer auprès des CERT

Les CERT (Computer Emergency Response Teams) centralisent, vérifient et publient

les alertes relatives à la sécurité des ordinateurs, et notamment les annonces de
vulnérabilités récemment découvertes. Les alertes peuvent émaner des auteurs du

5
logiciel, ou d’utilisateurs qui ont détecté le problème. Détecter une vulnérabilité ne
veut pas dire qu’elle soit exploitée, ni même exploitable, mais le risque existe.

NB : les vulnérabilités des systèmes d’information font partie des notions de base de
la sécurité informatique. Car le concept de vulnérabilité s’appliquent essentiellement
au système supposé sûr.

-menaces : objectif d’une attaque

On appelle menace (threat en anglais), une violation potentielle de la politique de

service à cause d’une attaque ou d’une action involontaire ou négligente qui
compromet la sécurité. Des sources de menaces sont donc des personnes
malintentionnées ou les utilisateurs normaux. Les sources de menaces peuvent être
internes ou externes au système.

Une menace nait d’abord de la présence de bien et d’actif (bien ou actif :information
ou composant d’un système, qui possede une valeur ou un intérêt). Cette menace,
de par son existence engendre des craintes et des inquiétudes.

C’est l’agent responsable du risque.

Types de menaces

On distingue quatre types de ménaces (ces menaces peuvent provenir de l’intérieur

du système (insider) ou de l’extérieur du système (outsider) et sont essentiellement
faites par des hommes):

-menace accidentelle :menace d’un dommage non intentionnel envers un système

d’information.

-menace intentionnelle ou délibérée : menace de modification non autorisée et

délibérée de l’état du système.

-menace passive : menace de divulgation non autorisée de l’information, sans que

l’état du système soit modifié.

-menace physique : menace qui pèse sur l’existence même et l’état physique du
système d’information.

Expertise : des compétences faibles, moyennes ou fortes

Le succès d'une attaque dépend en partie de la compétence et de l'entraînement de

son auteur. Le niveau de l'attaquant varie de l'expert au novice. Les domaines de
connaissances seront cependant presque toujours l'informatique en général et en

6
particulier la programmation, les systèmes d'exploitation, les communications mais
aussi le matériel (routeurs, commutateurs, ordinateurs...). Selon Neumann et Parker,
nous pouvons classer les méfaits en trois niveaux pour la compétence requise :

- compétence technique faible ou nulle pour dénaturer une information, observer,

fouiller physiquement, voler, abîmer un équipement, perturber un SI, entrer des
données fausses, se mettre de connivence avec un étranger à l'organisation...

- compétence technique moyenne pour balayer un SI et chercher des informations,

fouiller logiquement, inférer, faire des agrégats, surveille le trafic ou une activité,
écouter, faire fuir de l'information, se faire passer pour quelqu'un d'autre, rejouer une
transaction, abuser de ses droits, exploiter une trappe...

- compétence forte pour modifier le système, exploiter un cheval de Troie, fabriquer

une bombe logique, un ver ou un virus, réaliser une attaque asynchrone, modifier le
matériel, décrypter...

Ces compétences sont souvent présentes dans un organisme et parfois à l'insu des
dirigeants qui connaissent mal les capacités de leur personnel. Cette
méconnaissance peut aussi expliquer le nombre d'attaques internes, les politiques
de sécurité étant inadaptées ou sous-estimant les agresseurs potentiels.

Exemples : déni de service, vol de service, spam, écoute clandestine, redirection

d’appels, ignorance , catastrophe naturelle, etc.

-contrôle de sécurité :

On appelle contrôle de sécurité (en anglais security control), méthode de sécurisation

au niveau de gestion, d’organisation et mesures technique afin de protéger la
confidentialité, intégrité et la disponibilité du système et des informations.

Exemples : firewall, méthode d’authentification, désactivation d’un service.

-attaques :

On appelle attaque (en anglais attack ou exploit), Une ou plusieurs actions

coordonnées qui exploitent une vulnérabilité afin de réaliser une menace.

Motivation des attaques :

Parvenir à distinguer la motivation d’un attaquant, ainsi que son niveau de technicité
(expertise), permet de déterminer son potentiel d'attaque et ainsi de mieux la contrer.

7
Les motifs de l'agresseur sont nombreux et variés ; ils évoluent dans le temps. Il n'est
pas possible de dresser une liste exhaustive des motivations des criminels mais
quelques exemples permettront de saisir la personnalité de quelques-uns uns d'entre
eux. Les actes intentionnels, qui nous intéressent ici, comprennent : l'espionnage,
l'appât du gain, la fraude, le vol, le piratage, le défi intellectuel, la vengeance, le
chantage, l'extorsion de fonds.

De la même façon, peuvent être observés des comportements déviants dus à

certaines pulsions incontrôlées ayant pour origine des états psychologiques
douloureux non traités (frustration, sentiment d’exclusion, sentiment d’abandon,
situation de divorce, dépendances à des drogues…).

L’exhaustivité ne peut être atteinte en raison également de l’évolution temporelle des

composantes de la menace. Pour un système gouvernemental par exemple la
menace change selon que l'on est en temps de paix, de crise ou de guerre. Les
effets de mode peuvent aussi influer momentanément sur la prédominance d'une
menace par rapport à une autre. Ajoutons que la menace est généralement
composite ce qui rend plus difficile sa détermination pour le défenseur.

Les origines que nous proposons sont celles de la Fiche d'Expression Rationnelle
des Objectifs de Sécurité [FEROS] que nous avons complété avec de nouveaux
éléments. Nous présentons ainsi la motivation stratégique, idéologique, terroriste,
cupide, ludique ou vengeur de la menace.

Étant hors du périmètre de ce document, cette liste devrait être complétée par celles
des actes non intentionnels mais qui constituent une menace pour le SI : la
négligence, la curiosité, l'ennui, la paresse, l'ignorance, l'incompétence, l'inattention...

la menace a généralement des motivations plurifactorielles (par exemple à la fois

pathologique, ludique et économique), ce qui rend plus complexe son repérage, son
analyse et son traitement par le défenseur.

Caractère stratégique

Pour un État, la menace stratégique s'intéresse par essence à toutes les

informations concernant le secret de Défense et la Sûreté de l'État, mais également
à celles appartenant au patrimoine national, qu'il soit d'ordre scientifique, technique,
industriel, économique ou diplomatique ; la menace stratégique, peut également
attenter à la disponibilité de systèmes d'information, dont le fonctionnement continu
est nécessaire au fonctionnement normal des institutions.

Pour une entreprise ou une société, la menace d'origine stratégique aura pour but
d'obtenir toute information sur les objectifs et le fonctionnement de celle-ci, pour
récupérer des clients prospectés, des procédés de fabrication, des résultats de
recherche et de développement et de porter atteinte à sa capacité de réaction. Elle
sera principalement le fait de concurrents.
8
Caractère idéologique

Les motivations idéologiques peuvent être les moteurs d'actes les plus extrêmes. Le
combat pour les idées est incessant.

D'autres idéologies, raciales ou religieuses, resurgissent à la faveur d'une situation

économique tendue. Cette menace peut s'appliquer aux nombreux fichiers
informatiques constitués dans le monde et comportant des informations à caractère
privé sur les individus.

Enfin, il existe des courants de pensée qui mettent en avant le fait que l'information
doit être libre et ne peut en aucun cas être la propriété d'une personne, d'un groupe,
d'une organisation ou d'un État. Cette vision du monde est partagée par de
nombreux pirates.

Caractère politique

La motivation politique consiste à créer un événement propre à alerter les médias

pour les focaliser sur un évènement grave, en espérant provoquer une prise de
conscience collective. Elle peut être proche du terrorisme.

Caractère terroriste

On définira la menace terroriste comme regroupant toutes les actions concourant à

déstabiliser l'ordre établi ; les actions entrant dans cette catégorie peuvent avoir un
caractère violent (destruction physique de systèmes) ou plus insidieux (intoxication et
désinformation par détournement ou manipulation d'informations, sensibles ou non,
perturbations engendrées dans un système et susceptibles de déclencher des
troubles sociaux présents à l'état latent…).

Mais leurs auteurs recherchent en général un résultat spectaculaire et les effets

médiatiques qui l'accompagnent. Ce mode d'action relève de la manipulation et peut
être l'une des expressions de la guerre psychologique.

Les groupes, susceptibles de commettre ce genre de forfaits, disposent

généralement de moyens financiers importants et de complicités au niveau
international, leur permettant d'envisager pratiquement tous types d'attaque sur un
système. Cette menace peut aussi être fomentée par un État qui veut mener une
action de déstabilisation.

Caractère cupide

Cette nouvelle forme de délinquance, engendrée par l'apparition des procédés de

traitement de l'information, et parfois dite en col blanc, peut avoir deux différents
buts, parfois concomitants :

9
- le premier se traduit par un gain pour l'attaquant ; ce gain peut être financier
(détournement de fonds), lié à un savoir-faire (vol de brevet, concurrence déloyale...),
ou de tout autre ordre ;

- le second occasionne une perte pour la victime qui se traduira par un gain pour
l'agresseur (parts de marché, accès au fichier des clients, à des propositions
commerciales...) ; ce peut être la destruction de son système ou de ses informations,
une perte de crédibilité ou de prestige (image de marque) vis-à-vis d'une tierce
personne, etc.

Il est difficile de caractériser, même succinctement, le profil type du fraudeur, tant les
applications susceptibles d'être attaquées sont multiples. Néanmoins, les statistiques
à ce sujet permettent de souligner que dans un grand nombre de cas, la menace a
été initiée et mise en oeuvre à l'intérieur même de l'organisme abritant le système et
a été le fait d'employés, dont les antécédents ne permettaient pas de supposer qu'ils
commettraient un forfait de ce type. Les victimes figurent en général parmi les
organismes qui détiennent l'argent : banques, compagnies d'assurances, etc.

Pour sa part, le concurrent déloyal est plus facile à identifier : il figure parmi les
concurrents, pour peu qu'ils soient parfaitement identifiés.

Nous ajouterons dans cette catégorie le crime organisé qui pourrait prendre de
l'importance dans un futur proche s'il s'avère qu'il est plus facile - moins coûteux et
moins risqué – de détourner les fonds de manière électronique qu'en pillant une
banque.

Caractère ludique

Les nouvelles techniques de traitement de l'information (micro-ordinateurs, modem,

minitel...) ont créé cette menace, qui procède d'avantage, dans l'esprit de ceux qui en
sont les auteurs, d'un jeu ou d'un loisir que d'un réel forfait (intrusion dans des
systèmes, développement de virus ou de vers informatiques...). Animés d'un désir de
s'amuser ou bien d'apprendre, ces auteurs possèdent généralement de bonnes
connaissances techniques.

Motivés par la recherche d'une prouesse technique valorisante destinée à démontrer

la fragilité du système plutôt que par souci de nuire, ils sont recrutés parmi les
personnes soucieuses de s'affirmer, et ses victimes dans les organismes à forte
notoriété sur le plan technique ou réputés inviolables.

Caractère vengeur

La vengeance peut être la motivation de l'employé brimé, qui sent ses capacités peu
ou mal utilisées, qui vient d'être licencié ou qui sait qu'il va être. Il faut alors craindre
des actes destructeurs et souvent non corrélés avec leurs causes dans le temps.

10
Les résultats consécutifs à une vengeance se verront ou se comprendront parfois
bien après qu'ils aient été initiés.

Types d’attaques :

Nous proposons dans ce chapitre une typologie des principales méthodes

d’attaques, néanmoins il faut envisager également les scénarios qui consistent à
cumuler plusieurs types d’attaque. Deux types d’attaques multiples peuvent être
menées :

- les attaques dont la conséquence permet d’obtenir des informations ou des

privilèges pour mener un autre type d’attaque ; c’est le cas par exemple de la
technique d’attaque par rebond, qui consiste à prendre le contrôle d’une machine du
réseau interne de l’organisme visé, de s’approprier ses privilèges pour attaquer
d’autres systèmes ;

- les attaques simultanées par collusion ou par coordination sur une cible unique ;
dans le premier cas, il s’agit pour l’attaquant d’exploiter les résultats de nombreuses
s’attaques menées de manière coordonnée (par exemple, analyse de
cryptogrammes) ; dans le deuxième cas, il s’agit de coordonner une attaque utilisant
de très nombreux systèmes pour saturer la cible.

Destruction de matériels ou de supports

-Sabotage

Plus fort que la perturbation, le sabotage a pour but de mettre hors service un SI ou
une de ses composantes.

Le sabotage porte atteinte à l'intégrité des informations mais surtout à la disponibilité

des services.

Rayonnements électromagnétiques

-Brouillage

Utilisée en télécommunication, cette technique rend le SI inopérant. C'est une

attaque de haut niveau, car elle nécessite des moyens importants, qui se détectent
facilement. Elle est surtout utilisée par les militaires en temps de crise ou de guerre.

Écoute passive
11
-Écoute

L'écoute consiste à se placer sur un réseau informatique ou de télécommunication et

à analyser et à sauvegarder les informations qui transitent. De nombreux appareils
du commerce facilitent les analyses et permettent notamment d'interpréter en temps
réel les trames qui circulent sur un réseau informatique.

Des protections physiques, pour les réseaux informatiques, ou le chiffrement

(COMSEC, INFOSEC), pour tous types de réseau, offrent une protection adéquate
pour faire face à ce type d'attaque.

-Interception de signaux compromettants

L'attaquant va tenter de récupérer un signal électromagnétique et de l'interpréter

pour en déduire des informations compréhensibles. L'interception peut porter sur des
signaux hyperfréquences ou hertziens, émis, rayonnés, ou conduits. L'agresseur se
mettra ainsi à la recherche des émissions satellites, et radio, mais aussi des signaux
parasites émis par les SI, principalement par les terminaux, les câbles et les
éléments conducteurs entourant les SI. Les techniques d'interception seront très
variées pour les différents cas évoqués.

Pour se protéger, le défenseur pourra sécuriser ses transmissions (TRANSEC) en

utilisant des appareils à saut de fréquence et diminuer le nombre et l'intensité des
signaux parasites compromettants de ses SI (utilisation de matériels dits TEMPEST).
Il devra en outre vérifier ses matériels pour éviter tout piégeage ou altération dans le
temps. Pour cela, il lui faut avoir l'assurance que ses matériels sont conformes à ce
qu'il en attend et vérifier que les procédures de maintenance ne viennent pas les
altérer.

-Cryptanalyse

L'attaque d'un chiffre ne peut se faire que lorsqu'on a accès aux cryptogrammes qui
peuvent être interceptés lors d'une communication ou qui peuvent être pris sur un
support quelconque. Cette attaque nécessite en général d'excellentes connaissances
en mathématiques et une forte puissance de calcul, lorsqu’il s’agit d’algorithmes
éprouvés. Elle est principalement le fait de services de renseignement.

Vol de supports ou de documents

Le vol, visible quand l'objet du délit est matériel, est difficile à détecter quand il s'agit
de données et encore plus de ressources informatiques. En effet une simple copie
suffit pour s'approprier une information. Cette opération n'est pas toujours facile à
déceler.

-Fraude physique
12
Elle peut consister à récupérer les informations oubliées ou non détruites par
l'adversaire ou le concurrent. L'attaquant portera une attention particulière aux
listages, aux supports physiques usagés (bandes magnétiques, disquettes, disques
classiques ou optiques...), et s'intéressera aux armoires, aux tiroirs et aux dossiers
des organismes visés.

Comme l'espionnage, la fraude physique va tenter d'enfreindre les mesures de

sécurité qui protègent la confidentialité des informations.

Vol de matériels

Le vol de matériels passe généralement par une infraction aux mesures de sécurité
protégeant la confidentialité des informations. Le vol de ressources est plus insidieux,
car il se peut qu'il soit réalisé sans porter atteinte à la confidentialité, à l'intégrité ou à
la disponibilité des informations et des services.

-Vol de micro-ordinateur portable

Le vol des micro-ordinateurs portables est aujourd’hui pratique courante. De plus,

l’utilisation croissante de ces micro-ordinateurs portables, souvent attribués à des
hauts responsables de l’organisme a pour conséquence que de plus en plus
d’informations sensibles se trouvent exposés sur ces machines attractives.

Or, bien que dans la majorité des cas de vol la motivation première ne soit pas
l’exploitation du contenu, rien ne permet d’assurer le contraire.

Récupération de supports recyclés ou mis au rebut

-Analyse de support mis au rebus

Les organismes sont la victime de deux types de scénarios fréquemment utilisés :

- l’un consiste à effectuer une fouille systématique des poubelles ou plus simplement
le vol d’éditions oubliées sur les imprimantes partagées, accessibles dans les locaux
"publics" de l’organisme ;

- l’autre exploite une lacune souvent présente dans la procédure de ré-attribution ou

d’envoi en maintenance des postes de travail. Il consiste simplement à analyser le
contenu des données stockées sur la machine par son précédent propriétaire.

Divulgation

-Chantage

Soutirer de l'argent à un organisme ou à une personne est d'autant plus tentant que
de nombreuses données concernant la vie privée des personnes ou les activités

13
d'une organisation sont gardées sur des ordinateurs. Il est donc possible d'identifier
les besoins et les faiblesses des personnes et de les manipuler. Le chantage peut
aussi porter sur une menace de sabotage à l'encontre des installations d'une
organisation. Le chantage peut mettre en cause aussi bien la confidentialité,
l'intégrité, que la disponibilité des informations et des services.

-Hameçonnage ou filoutage (phishing3)

Cette technique désigne l'obtention d'informations confidentielles (comme les mots

de passe ou d'autres informations privées), en se faisant passer auprès des victimes
pour quelqu'un digne de confiance ayant un besoin légitime de l'information
demandée. C'est une forme d'attaque informatique de type ingénierie sociale.

Informations sans garantie d’origine

-Canular (hoax)

Il est transmis par courrier électronique et annonce la propagation d’un virus

imaginaire dont les conséquences se trouvent être, en général, catastrophiques.
Bien qu’il soit difficile de considérer ce type d’évènement comme une réelle attaque,
elle contribue à la désinformation générale.

Piégeage du logiciel

-Bombe

Une bombe est un programme en attente d'un événement spécifique déterminé par
le programmeur et qui se déclenche quand celui-ci se produit. Ce code malicieux
attend généralement une date particulière pour entrer en action. Les conséquences
peuvent être bénignes comme l'affichage d'un message, d'une image ou d'un logo
mais aussi dommageables, comme la destruction de données et plus rarement la
destruction du matériel. Les effets visuels et sonores sont fracassants.

-Virus

Nommé ainsi parce qu'il possède de nombreuses similitudes avec ceux qui attaquent
le corps humain, un virus est un programme malicieux capable de se reproduire et
qui comporte des fonctions nuisibles pour le SI : on parle d'infection. Le virus dispose
de fonctions qui lui permettent de tester s'il a déjà contaminé un programme, de se
propager en se recopiant sur un programme et de se déclencher comme une bombe
logique quand un événement se produit.

Ses actions ont généralement comme conséquence la perte d'intégrité des

informations d'un SI et/ou une dégradation ou une interruption du service fourni.

-Ver

14
Un ver est un programme malicieux qui a la faculté de se déplacer à travers un
réseau qu'il cherche à perturber en le rendant indisponible. Cette technique de
propagation peut aussi être utilisée pour acquérir des informations par sondage.

Par exemple, le ver MS-SQL Slammer, qui le 25 janvier 2003 a provoqué une
augmentation du trafic Internet telle qu’elle a ralenti, voire bloqué de manière
perceptible, une partie des SI mondiaux.

Aujourd’hui ces deux derniers types d’attaque que sont les "Vers" et "Virus" se
rapprochent, tel qu’il devient difficile d’en faire une distinction nette.

Parmi les plus célèbres nous pouvons citer :

- Code Red, apparu en août 2001, profitait d’une faille de certains serveurs web pour
se propager,

- Nimda, apparu en septembre 2001, a utilisé plusieurs techniques de propagation

pour infecter les systèmes et en laissant derrière lui des portes dérobées sur ces
systèmes.

-Piégeage

L'agresseur tentera d'introduire des fonctions cachées, en principe en phase de

conception, de fabrication, de transport ou de maintenance, dans le SI. Seule une
évaluation de la sécurité du SI donnera au défenseur une certaine assurance.

-Exploitation d’un défaut (bug)

De nombreuses failles sont présentes dans les logiciels commerciaux. Dès leurs
découvertes par des pirates, elles font l’objet pour la plupart de publication sur
l’Internet, accompagnée de la description des méthodes d’attaque à utiliser pour les
exploiter. Ainsi, l’attaquant n’a plus besoin de compétence particulière pour mener
des attaques parfois complexes. De plus, la "standardisation" des logiciels et le
nombre croissant de failles découvertes rend les organismes de plus en plus
vulnérables.

-Canal caché

Ce type d'attaque est de très haut niveau et fait appel à l'intelligence de l'attaquant. Il
permet de faire fuir des informations en violant la politique de sécurité. On peut
classer les canaux cachés en quatre catégories :

- les canaux de stockage qui permettent de transférer de l'information par le biais

d'objets écrits en toute légalité par un processus et lus en toute légalité par un autre ;
15
- les canaux temporels qui permettent à un processus d'envoyer un message à un
autre en modulant l'utilisation de ses ressources système afin que les variations des
temps de réponse puissent être observées ;

- les canaux de raisonnement qui permettent à un processus de déduire de

l'information à laquelle il n'a pas normalement accès ;

- les canaux dits de "fabrication" qui permettent de créer de l'information en formant

des agrégats qui ne peuvent être obtenus directement.

Ces attaques sont perpétrées dans le système ou les bases de données à plusieurs
niveaux de confidentialité.

-Cheval de Troie

Subterfuge employé par les Grecs pour prendre Troie, en informatique un cheval de
Troie est un programme ou un fichier qui comporte une fonctionnalité cachée connue
de l'attaquant seul. Elle lui permet de contourner des contrôles de sécurité en
vigueur. Cependant un cheval de Troie doit d'abord être installé et ceci n'est possible
que si les mesures de sécurité sont incomplètes, inefficaces ou si l'agresseur
bénéficie d'une complicité.

Un cheval de Troie doit être attirant (nom évocateur) pour être utilisé, posséder
l'apparence d'un authentique programme (un utilitaire par exemple) pour inspirer
confiance et enfin ne pas laisser de traces pour ne pas être détecté. La simulation de
terminal, dont le but est de s'emparer du mot de passer d'un utilisateur, est un cheval
de Troie.

En conséquence, identifier la présence d'un cheval de Troie n'est pas aisée et une
bonne connaissance du système et des applications installées est nécessaire.

-Réseau de robots logiciels (botnet)

Réseau de robots logiciels (bots) installés sur des machines aussi nombreuses que
possibles. Ces robots se connectent sur des serveurs IRC (Internet Relay Chat) au
travers desquels ils peuvent recevoir des instructions de mise en oeuvre de fonctions
non désirées (envoi de spam, vol d'informations, participation à des attaques de
saturation…).

-Logiciel espion (spyware)4

Un logiciel espion est un logiciel malveillant qui infecte un ordinateur dans le but de
collecter et de transmettre à des tiers des informations de l'environnement sur lequel
il est installé sans que l'utilisateur n'en ait conscience.

Saturation du système informatique

-Perturbation
16
L'agresseur va essayer de fausser le comportement du SI ou de l'empêcher de
fonctionner en le saturant, en modifiant ses temps de réponse ou en provoquant des
erreurs. L'agresseur veut désorganiser, affaiblir ou ralentir le système cible.

La perturbation va influer sur la disponibilité et l'intégrité des services et des

informations d'un SI.

-Saturation

Cette attaque contre la disponibilité consiste à remplir une zone de stockage ou un

canal de communication jusqu'à ce que l'on ne puisse plus l'utiliser. Il en résultera un
déni de service.

-Pourriel (spam)

Un spam est un courrier électronique indésirable, contenant ou non une pièce jointe,
qui est transmis à une multitude de destinataires n’ayant sollicité aucune demande
de la part de l’émetteur. Utilisé pour promouvoir des services ou des produits
commerciaux, il est contribue à la pollution voir à la saturation des boîtes aux lettres
électroniques.

Utilisation illicite des matériels

-Détournement d’utilisation normale

L’attaque consiste à exploiter un défaut particulier d’implémentation. De nombreuses

attaques ont ainsi été menées en utilisant la technique du Buffer Overflow. La
technique consiste à exploiter une erreur de programmation de manière à faire
exécuter à distance à la machine victime un code malveillant.

Cette technique est complexe et demande une forte compétence technique.

Néanmoins, de nombreux outils sont disponibles sur l’Internet et permettent sans
connaissance particulière de lancer de manière automatique ce type d’attaque.

-Fouille

La fouille informatique, par analogie avec la fouille physique, consiste à étudier

méthodiquement l'ensemble des fichiers et des variables d'un SI pour un retirer des
données de valeur. Cette recherche systématique d'informations est en général
grandement facilitée par la mauvaise gestion des protections classiques qu'il est
possible d'attribuer à un fichier. Quand on se déplace dans les divers répertoires d'un
système informatique, il est courant de constater que des fichiers et des répertoires
ont des protections insuffisantes contre des agresseurs potentiels, uniquement par
manque de connaissance, dû le plus souvent à l'insuffisance de formation, de
l'utilisateur. Ainsi, est-il bien utile de donner un droit de lecture à ses fichiers pour
l'ensemble des utilisateurs du système ?

17
Si l'attaquant est quelque peu entraîné, il aura recours à une attaque plus subtile.
Pour s'emparer de certaines informations il va lire la mémoire, centrale ou
secondaire, ou les supports de données libérés par les autres utilisateurs. Une
parade efficace consiste à effacer physiquement toute portion de mémoire ou tout
support libéré. En contrepartie, les performances du SI seront moindres.

-Mystification

Dans ce cas, l'attaquant va simuler le comportement d'une machine pour tromper un

utilisateur légitime et s'empare de son nom et de son mot de passe. Un exemple type
est la simulation de terminal et le comportement d'une machine pour tromper un
utilisateur légitime et s'emparer de son nom et de son mot de passe.

Un protocole d'authentification de la machine de destination permettra à un utilisateur

d'être sûr de son interlocuteur.

-Trappe

Une trappe est un point d'entrée dans une application généralement placé par un
développeur pour faciliter la mise au point des programmes. Les programmeurs
peuvent ainsi interrompre le déroulement normal de l'application, effectuer des tests
particuliers et modifier dynamiquement certains paramètres pour changer le
comportement original. Il arrive quelquefois que ces points d'entrée en soient pas
enlevés lors de la commercialisation des produits et qu'il soit possible de les utiliser
pour contourner les mesures de sécurité.

Un exemple connu est celui de l'exploitation du mode debug du programme sendmail

utilisé par Robert T. Morris lors de son attaque par un ver sur Internet.

-Asynchronisme

Ce type d'attaque évoluée exploite le fonctionnement asynchrone de certaines

parties ou commandes du système d'exploitation. Les requêtes concernant de
nombreux périphériques sont mises en file dans l'ordre des priorités puis traitées
séquentiellement. Des tâches sont ainsi endormies puis réveillées lorsque les
requêtes sont satisfaites. A chaque fois qu'une tâche ou qu'un processus est ainsi
endormi, son contexte d'exécution est sauvegardé pour être restitué en l'état lors du
réveil. En outre de nombreux processus s'exercent sur les périodes très longues.
Pour éviter de perdre le bénéfice des calculs effectués depuis le début de
l'application en cas de panne, il est nécessaire de définir des points de reprise sur
incident. Les sauvegardes de contexte contiennent donc des informations propres à
l'état du système et un attaquant averti peut les modifier afin de contourner les
mesures de sécurité.

-Souterrain

18
La technique du souterrain est un type d'attaque qui évite de s'attaquer directement à
une protection mais qui tente de s'en prendre à un élément qui la supporte. Une telle
attaque exploite une vulnérabilité d'un système qui existe à un niveau d'abstraction
plus bas que celui utilisé par le développeur pour concevoir et/ou tester sa
protection. Nous retrouvons ce type d'attaque dans le cas ou un détenu veut s'évader
de prison : il préférera creuser un souterrain dans la terre plutôt que tenter de percer
un mur d'enceinte en béton.

Par exemple, un accès non autorisé qui correspond au vol des données
d’identification/authentification d’une personne afin de s’en arroger les droits ou en
contournant les contrôles d’accès (porte dérobée).

-Salami

La technique du salami permet à un attaquant de retirer des informations parcellaires

d'un SI afin de les rassembler progressivement et de les augmenter de façon
imperceptible. Cette technique est utilisée par de nombreux fraudeurs pour détourner
subrepticement des sommes d'argent soit en s'appropriant de faibles sommes sur de
nombreux comptes, soit en faisant transiter d'importantes valeurs sur des périodes
courtes mais sur des comptes rémunérés leur appartenant.

-Inférence sur les données

L'établissement d'un lien entre un ensemble de données non sensibles permet, dans
certains cas, de déduire des données sensibles.

Altération des données

-Interception

L'interception est un accès avec modification des informations transmises sur les
voies de communication. Les quatre types d'interception sont :

- la destruction de messages,

- la modification de messages (modification de l'information; réagencement de

l'information à l'intérieur des messages ou réagencement de la suite des messages),

- l'insertion de messages,

- refus de service (décalage dans le temps d'un message).

-Balayage (scanning)

Le balayage consiste à envoyer au SI un ensemble d'informations de natures

diverses afin de déterminer celles qui suscitent une réponse positive. L'attaquant
pourra aisément automatiser cette tâche et déduire par exemple les services
fonctionnant sur les machines, le type dudit système et pourquoi pas le nom de
19
certains utilisateurs ainsi que leur mot de passe. Cette technique est analogue à
celle qui consiste à balayer une gamme de fréquences pour trouver un signal
porteur.

Abus de droit

L’abus de droit est le fait d’un utilisateur à qui a été attribué des privilèges systèmes
et/ou applicatifs élevés et qui les utilise pour effectuer une opération malveillante. Par
exemple, un opérateur de sauvegarde n’ayant pas le besoin d’en connaître sur le
contenu à sauvegarder à la possibilité technique d’abuser de ses droits de lecture
pour fouiller les fichiers sauvegardés.

Usurpation de droit

-Les accès illégitimes

Cette menace est le fait d'une personne qui se fait passer pour une autre en
usurpant son identité. Elle vise tout particulièrement l'informatique.

Les accès illégitimes portent atteinte à la confidentialité des informations.

-Déguisement

Forme d'accès illégitime, il s'agit d'une attaque informatique qui consiste à se faire
passer pour quelqu'un d'autre et obtenir les privilèges ou les droits de celui dont on
usurpe l'identité.

Un utilisateur est caractérisé par ce qu'il est, (empreintes, digitales ou palmaires,

rétiniennes, vocales, ou toute autre identifiant biométrique), ce qu'il possède (un
badge, une carte magnétique, à puce, un jeton, un bracelet...) et ce qu'il sait (un mot
de passe, sa date de naissance, le prénom de ses parents...). Pour se faire passer
pour lui, un agresseur doit donc s'emparer d'un ou plusieurs éléments propres à
l'utilisateur. Si le contrôle d'accès au SI se fait par mot de passe, l'attaquant tentera
de le lire quand l'utilisateur le rentrera au clavier ou quand il le transmettra par le
réseau. Si le contrôle d'accès se fait avec une carte à puce, l'attaquant cherchera à
en dérober ou en reproduire une.

Sans arriver à des solutions lourdes et coûteuses, le défenseur pourra combiner des
méthodes d'identification et d'authentification comme carte et mot de passe pour
renforcer sa sécurité.

-Rejeu

Le rejeu et une variante du déguisement qui permet à un attaquant de pénétrer dans

un SI en envoyant une séquence de connexion effectuée par un utilisateur légitime et
préalablement enregistrée à son insu.

-Substitution
20
Ce type d'attaque est réalisable sur un réseau ou sur un SI comportant des
terminaux distants. L'agresseur écoute une ligne et intercepte la demande de
déconnexion d'un utilisateur travaillant sur une machine distante. Il peut alors se
substituer à ce dernier et continuer une session normale sans que le système note
un changement d'utilisateur.

Un cas bien connu est celui des ordinateurs sur un réseau local qui ne sont déclarés
que par leur adresse réseaux. Un attaquant peut alors attendre qu'une machine soit
arrêtée pour se faire passer pour elle en usurpant l'adresse de la machine éteinte.

Les techniques et outils de détection d'intrusion pourront contribuer à identifier ce

type d'attaque.

-Faufilement

Par analogie avec le faufilement physique où une personne non autorisée franchit un
contrôle d'accès en même temps qu'une personne autorisée, on dira qu'il y a
faufilement électronique quand, dans le cas où des terminaux ou des ordinateurs ne
peuvent être authentifiés par un SI, un attaquant se fait passer pour le propriétaire de
l'ordinateur ou du terminal.

Reniement d'actions

Le reniement (plus usuellement la répudiation) correspond pour une entité impliquée

par exemple dans le cadre d'un échange d'informations, au fait de nier avoir participé
à tout ou partie de la communication, de nier avoir reçu ou émis un message ou
document déterminé, ou au fait de prétendre avoir émis ou reçu un message ou un
document différent. Cette menace s'applique à de nombreuses actions réalisées sur
les SI.

-risque

On appelle risque en anglais risk, paramètre qui quantifie le danger pour le bon
fonctionnement d’une entreprise. Il tient compte de la probabilité d’une attaque et de
son impact.

Méthodes d’évaluation qualitative de la sécurité

De nombreuses méthodes d’évaluation qualitative de la sécurité ont vu le jour pour

permettre de bâtir des plans de sécurité efficaces. Elles sont souvent génériques,
afin de prendre en compte les aspects techniques et organisationnels. Rappelons
qu’une méthode qualitative permet d’analyser des données qui ne sont pas chiffrées
et qui sont généralement disponibles sous forme de textes.

Parmi les méthodes connues, retenons principalement les suivantes :

21
• Méthode MEHARI (méthode harmonisée d’analyse de risques). Développée par
le Clusif (Club de la sécurité des systèmes d’information français), cette méthode est
destinée spécifiquement aux petites et moyennes entreprises. Elle s’articule autour
de trois plans : le plan stratégique de sécurité, les plans opérationnels de sécurité et
le plan opérationnel d’entreprise.

• Méthode MARION (méthodologie d’analyse de risques informatiques orientée

par niveaux). Également développée par le Clusif, cette méthode est aussi destinée
spécifiquement aux petites et moyennes entreprises. Elle comporte quatre phases
distinctes : la préparation, l’audit des vulnérabilités, l’analyse de risques et le plan
d’action.

• Méthode EBIOS (expression des besoins et identification des objectifs de

sécurité).

Développée par la DCSSI (Direction centrale de la sécurité des systèmes

d’information), cette méthode est destinée à un large panel allant d’une grande
administration aux petites et moyennes entreprises. Elle comporte quatre étapes :
l’étude du contexte, l’expression des besoins de sécurité, l’étude des risques et
l’identification des besoins de sécurité.

• Méthode COBIT (Control OBjectives for Information and related Technology).

Développée par l’ISACA (Information Systems Audit and Control Association), cette
méthode est destinée aux managers, auditeurs et utilisateurs. Elle couvre quatre
domaines principaux : planification et organisation, acquisition et support, distribution
et support, surveillance.

• Méthode OCTAVE (Operationally Critical Threat, Asset, and Vulnerability

Evaluation).

Développée par l’Université de Carnegie-Mellon, cette méthode est destinée aux

grandes entreprises. Elle est articulée autour de trois phases : délimitation du niveau
organisationnel, identification des vulnérabilités, développement d’un plan de
sécurité. Cette méthode s’appuie volontairement sur les ressources internes de
l’entreprise plutôt que sur des auditeurs externes.

-critère d’information :

On appelle critère d’information en anglais information criteria, dimensions de

sécurité, définies par CobiT :

• effectivité

• efficacité

• confidentialité
22
• intégrité

• disponibilité

• compliance

• « Reliability » (si les informations sont appropriées

pour le but visé)

-composant du système :

On appelle composant du système en anglais system component tout élément du

système d’information que l’on doit protéger par exemple :

• le matériel (serveurs, dispositifs de réseau)

• les logiciels

• les services

• les contrôles (méthodes de sécurisation,

authentification, …)

• les données gérées.

-système d’information :

Très concrètement le périmètre du terme Système d'Information peut être très

différent d'une organisation à une autre et peut recouvrir selon les cas tout ou partie
des éléments suivants :

 Bases de données de l'entreprise,

 Progiciel de gestion intégré (ERP),

 Outil de gestion de la relation client (Customer Relationship Management),

 Outil de gestion de la chaîne logistique (SCM - Supply Chain Management),

 Applications métiers,

 Infrastructure réseau,

 Serveurs de données et systèmes de stockage,

 Serveurs d'application,

 Dispositifs de sécurité.
23
 Partie 2 :

Analyse des risques, des

menaces, des attaques
24
 L’analyse marque la prise de conscience et la volonté de mettre en œuvre une
politique de sécurité. La gestion de la sécurité des SI s’inscrit dans le cadre de la
gestion de projet, et connait un standard basé sur une approche systémique tenant
compte des interrelations entre différents éléments constitutifs (les données, leurs
supports et les utilisateurs) d’un environnement homogène et vivant (l’entreprise).
Cet approche systémique qui connait différents modèle tel que EBIOS est développé
suivant une procédure générale, illustré dans la figure suivante :

1- Caractérisation du
système

2- Analyse des menaces

3_ Analyse des contrôles

4- Analyse des Vulnérabilité

5- Analyse des risques

6- Recommandation

25
2 .1 – Caractérisation du système :
La première étape de l’audit répertorie les composants du réseau, les services
réalisés et les données gérées par les différents services. Elle documente aussi la
politique de sécurité en place.

Résultats
Les résultats de cette étape sont :
1. des diagrammes du réseau,
2. une liste des serveurs et dispositifs du réseau,
3. une liste des contrôles techniques (méthodes de sécurisation) en place,
4. la classification des exigences en sécurité des services et informations gérées,
5. une description de la politique de sécurité du réseau.
Ces informations pourront être utilisées pour définir l’envergure de l’audit, donc des
équipements, services et données à considérer.

Procédure
Cette étape utilise les sources d’informations suivantes :
• Diagrammes existants du réseau
• Documentation existante
• Interviews et inspection sur place
• Questionnaires
• Outils de scanning
Nous allons utiliser snort IDS pour ce scanning.

2.2 Analyse des menaces :

Cette étape permet de déterminer les menaces à considérer dans les phases
suivantes et d’identifier les sources de menaces.
Une menace est une violation potentielle de la politique de service à cause d’une
attaque ou d’une action involontaire ou négligente qui compromet la sécurité. Des
sources de menaces sont donc des personnes malintentionnées ou les utilisateurs
normaux. Les sources de menaces peuvent être internes ou externes au réseau.

Résultats
26
Le résultat de cette étape est :
• Une liste des menaces à considérer. La liste indique les sources possibles
d’une menace et l’importance d’une protection contre chaque menace.

Procédure
Cette étape part de la liste complète des menaces liées à l’existant. En discussion
avec les responsables de la société, les sources de menaces les plus probables sont
identifiées. Ensuite, un niveau de protection requis est assigné à chaque menace ou
à chaque source de menace.

2.3- Analyse des contrôles :

Le but de cette étape est d’analyser les mécanismes de sécurité en place dans le
système. Les contrôles en place ont été documenté dans la première phase de
l’audit, la caractérisation du système.

Résultats
Le résultat de cette étape est :
• une liste des contrôles et leurs effets (menaces prévenues)
• un protocole des résultats des tests qui indique si le contrôle fonctionne
correctement.
Dans la méthodologie NIST, cette étape est effectuée après l’identification des
vulnérabilités. Or, le test des vulnérabilités est une procédure qui demande
beaucoup de travail et qui peut interrompre le service normal du réseau. Elle doit
donc être limitée à un minimum. Le fait d’analyse les contrôles d’abord permet de
réduire le nombre de vulnérabilités à tester.
Procédure :
Cette étape se base sur la liste des contrôles en place, établie dans la première
étape de l’audit.
• Pour chaque contrôle, son effet est défini, donc les menaces prévenues par ce
Contrôle.
• L’efficacité du contrôle doit être évaluée, par l’évaluation de la configuration et
le test du contrôle.

27
2.4- Analyse des vulnérabilités :

Il existe de nombreux outils qui peuvent faciliter la découverte de vulnérabilités sur

un système information, certains permettant leur suppression. Mais, bien que ces
outils puissent fournir à un auditeur une bonne vision d'ensemble des vulnérabilités
potentiellement présentes, ils ne peuvent pas remplacer le jugement humain. Se
reposer uniquement sur des scanners automatiques de vulnérabilité rapportera de
nombreux faux positifs et une vue limitée des problèmes présents dans le système.

Le but de cette étape est d’identifier toutes les vulnérabilités à considérer qui :
• pourraient être présentes dans le système
• qui ne sont pas couvertes par les contrôles en place.

Procédure :
• Pour chaque composant (dispositif, logiciel, protocole, fonctionnalité) du système :
-Partir d’une liste des vulnérabilités connues (utiliser NIST NVD, CVE)
- Sélectionner les vulnérabilités à évaluer
�Sur la base des composants du système.
�Sur la base des contrôles en place.
-Tester la présence des vulnérabilités
� Interview, questionnaires
� Scanning (nmap, Nessus, …)
�Tests de pénétration

Résultats
Les résultats de cette étape sont :
• Une liste qui indique, par composant du système, les vulnérabilités présentes et
non couvertes par les contrôles.
Les vulnérabilités listées doivent être quantifiés par des valeurs approximatives qui
tiennent compte de leurs conséquences éventuelles.

2.5- Analyse des risques :

28
Cette étape vise à prioriser les dangers constatés en déterminante la probabilité
d’une attaque et son impact.
Procédure
Par une évaluation probabiliste, on met en relation :
• l’attractivité d’une menace pour un attaquant
• la possibilité d’une attaque, réalisée à travers une vulnérabilité.
Risque = Pa x (1 – Ei) x C
Pa = probabilité d’attaque.
Ei = efficacité de la contremesure
C = conséquence de la perte de la ressource considéré.
Ceci détermine la probabilité d’une attaque (valeurs 0 – 1).
La contremesure est évalué (valeurs 0 - 1).

Cependant on trouve d’autre modèle d’évaluation du risque :( multiplication de la

probabilité avec l’impact).

L’impact d’une menace réalisée est évalué (valeurs 1 – 64).

29
Les risques sont évalué en tenant compte des conséquences possibles. Cette
quantification qui garde toujours un côté plus ou moins estimatif, est réalisée à partir
de séries statistique historiques.
Résultat
Le résultat de cette étape est :
• Une liste des menaces, priorisées (chiffrée) par leur risque.

2.7 Recommandations :
Le but de cette étape est de proposer des contrôles supplémentaires, des
procédures (pour augmenter l’efficacité des contrôles) qui permettent de réduire les
risques pour l’entreprise.
Résultat
Le résultat de cette étape est :
• Une recommandation de modification du système pour éliminer des
vulnérabilités.
• Une recommandation de procédures qui permettent d’augmenter l’efficacité
des contrôles déjà en places
• Une recommandation de contrôles supplémentaires pour couvrir certaines
vulnérabilités

IV-Conséquences de quelques cas de vulnérabilité et Recommandations :

Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à

une attaque.

Vulnérabilités liées aux utilisateurs : (Ingénierie sociale )

Dans la majeure partie des cas le maillon faible est l'utilisateur lui-même ! En effet
c'est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une brèche dans
le système, en donnant des informations (mot de passe par exemple) au pirate
informatique ou en exécutant une pièce jointe. Ainsi, aucun dispositif de protection
ne peut protéger l'utilisateur contre les arnaques, seuls bon sens, raison et un peu
d'information sur les différentes pratiques peuvent lui éviter de tomber dans le piège
30
Recommandations :

Sensibilisation et formation des utilisateurs.

 Trappes : il s'agit d'une porte dérobée (en anglais backdoor) dissimulée dans
un logiciel, permettant un accès ultérieur à son concepteur.

Recommandations :

Bien connaitre les logiciels que nous installons et les surveiller, pour voir qu’ils ne
font pas des services inattendus.

Vulnérabilités liées aux utilisateurs : (Attaque par rebond)

Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer,
c'est la raison pour laquelle les pirates privilégient habituellement les attaques par
rebond (par opposition aux attaques directes), consistant à attaquer une machine par
l'intermédiaire d'une autre machine, afin de masquer les traces permettant de
remonter à lui (telle que son @ ip) et dans le but d'utiliser les ressources de la
machine servant de rebond.

Cela montre l'intérêt de protéger son réseau ou son ordinateur personnel, il est
possible de se retrouver « complice » d'une attaque et en cas de plainte de la
victime, la première personne interrogée sera le propriétaire de la machine ayant
servi de rebond.

De façon générale, les recommandations à l’audite de sécurité sont :

-Veille technologique

31
 Partie 3

Quelques vulnérabilités
publiées et étude de cas
pratique

32
I-Quelques vulnérabilités publiées

Multiples vulnérabilités dans Cisco PGW Softswitch

1 Risque
Déni de service à distance.
2 Systèmes affectés
Cisco PGW 2200 Softswitch.
Se référer au bulletin de l’éditeur pour connaître le détail des versions vulnérables.
3 Résumé
De multiples vulnérabilités dans Cisco PGW 2200 Softswitch permettent de réaliser
un déni de service à distance.
4 Description
De multiples vulnérabilités ont été découvertes dans la gestion des messages
Session Initiation Protocol (SIP)
et Media Gateway Control Protocol (MGCP) par Cisco PGW 2200 Softswitch.
L’exploitation de ces vulnérabilités
permet de réaliser un déni de service à distance.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf.
section Documentation).

Vulnérabilité dans le sous-système MS-DOS de MicrosoftWindows

1- Risque

Elévation de privilèges.

2- Systèmes affectés

Remarque : les versions 64-bit des systèmes d’exploitations de Microsoft ne sont pas
affectés par cette vulnérabilité.
– Microsoft Windows 2000 Service Pack 4 ;
– Microsoft XP Service Pack 2 et Windows XP Service Pack 3 ;
– Microsoft Server 2003 Service Pack 2 ;
– Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2 ;
– Microsoft Server 2008 ;
– Windows 7.

4- Description
Une vulnérabilité dans le sous-système MS-DOS (ntvdm.exe) et affectant
potentiellement toutes les versions 32 bits de Microsoft Windows, permet à un
utilisateur local d’élever ses privilèges au moyen d’un exécutable spécialement
construit.
Le savoir-faire nécessaire pour exploiter cette vulnérabilité est d’ores et déjà
disponible sur l’Internet.
33
 5- Contournement provisoire
Le CERTA recommande de désactiver l’accès au sous-systèmes MS-DOS en
modifiant les stratégies de groupes.
L’application de ce contournement provisoire peut avoir des effets de bords
indésirable. En effet, certaines applications présentes nativement sur un système
Microsoft Windows fonctionnent au moyen de l’accès au sous-système MS-DOS.
Pour ne citer qu’un exemple, l’exécutable COMMAND.COM ne pourra donc plus
fonctionner suite à l’application de ce contournement provisoire. Naturellement, tous
les scripts faisant appel à des programmes nécessitant l’accès au sous-système MS-
DOS ne seront plus opérationnels.
La désactivation du sous-système MS-DOS sous Microsoft Windows peut s’effectuer
par les étapes suivantes :
– dans l’outil de configuration des stratégies de groupe, gpedit.msc ;
– sélectionner Modèles d’administration puis Composants Windows et enfin
Compatibilité des applications ;
– choisir l’élément Empêcher l’accès aux applications 16-bit ;
– cocher l’option Activer dans les propriétés de l’élément.
Ce contournement peut également être appliqué par la modification ou la création de
valeurs dans la base de registre du système :
– avec l’éditeur de la base de registre (regedit.exe) ;
– sélectionner la clé suivante :
\HKEY_LOCAL_MACHINE}\SOFTWARE\Policies\Microsoft\Windows ;
– créer la clé AppCompat si celle-ci n’existe pas ;
– sélectionner cette nouvelle clé et créer une valeur VDMDisallowed avec le type
DWORD ;
– mettre à 1 la donnée de la valeur précédente ; ou encore :
– sélectionner la clé :
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW ;
– si la valeur DisallowedPolicyDefault n’existe pas, la créer avec le type DWORD ;
– modifier la donnée de la valeur DisallowedPolicyDefault en la mettant à 1.
Microsoft a publié un guide pour désactiver l’accès au sous-système MS-DOS (cf.
section Documentation).

6- Solution
Le bulletin de sécurité MS010-015 de Microsoft corrige le problème. Se référer au
bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section
Documentation).

Vulnérabilité dans Microsoft Internet Explorer

2 Systèmes affectés
– Microsoft Internet Explorer 6 ;
– Microsoft Internet Explorer 7 ;
– Microsoft Internet Explorer 8.

3 Résumé
Une vulnérabilité dans Microsoft Internet Explorer permet à une personne
malintentionnée d’exécuter
du code arbitraire à distance.
34
4 Description
Une vulnérabilité due à une référence à un pointeur non valide permet à une
personne malintentionnée d’exécuter
du code arbitraire à distance. Des exploitations limitées de cette vulnérabilité ont déjà
été constatées.
Secrétariat général de la défense et de la sécurité nationale – ANSSI – COSSI –
CERTA
51, bd de La Tour-Maubourg Tél.: 01 71 75 84 50 Web: http://www.certa.ssi.gouv.fr
75700 Paris 07 SP Fax: 01 71 75 84 70 Mél : certa-svp@certa.ssi.gouv.fr
Le CERTA rappelle que les vulnérabilités d’Internet Explorer sont exploitables au
moyen de documents
Microsoft Office (cf. bulletin d’actualité CERTA-2009-ACT-012).
5 Contournement provisoire
Un correctif de sécurité est disponible depuis le 21 janvier 2010, se référer à l’avis
CERTA-2010-AVI-025.
Dans l’attente d’un correctif de l’éditeur, le CERTA recommande l’utilisation d’un
navigateur alternatif.
Le CERTA rappelle également qu’il est fortement conseillé de naviguer sur l’Internet
avec un compte utilisateur
aux droits limités et la désactivation de l’interprétation de code dynamique
(JavaScript, ActiveX, . . . ). De plus,
l’activation du DEP (Data Execution Prevention) peut limiter l’impact de cette
vulnérabilité.
Des contournements permettent d’empêcher l’exploitation de la vulnérabilité via des
documents Microsoft Office.
Dans Office 2007, il faut désactiver totalement la prise en compte des ActiveX dans
les documents : dans le menu principal, sélectionner « Options Word » , « Centre de
gestion de la confidentialité » , « Paramètres du Centre de gestion de la
confidentialité » , « Paramètres ActiveX » , et enfin l’option « Désactiver tous les
contrôles sans notification. »
Dans Office 2003, il n’est pas possible de désactiver la prise en compte des ActiveX.
Toutefois, la désactivation de la prise en compte des fichiers de type XML permet de
limiter l’exploitation de la vulnérabilité pour les scénarios d’exploitation découverts
jusqu’à présent. Ceci se fait en modifiant la clé de registre suivante :
HKCU\Software\Policies\Microsoft\Office\11.0\Word\Security\FileOpenBlock et en
affectant 1 à la valeur (de type DWORD) XmlFiles. Il faut faire de même pour les
autres applications. Microsoft Office (remplacer Word par Excel, Powerpoint, etc.).
Ce contournement pour Office 2003 peut avoir des effets de bord et doit donc être
utilisé avec précaution.
6- Solution
Le bulletin de sécurité MS010-002 de Microsoft corrige le problème. Se référer à ce
bulletin pour l’obtention des correctifs (cf. section Documentation).

Quelques failles de BIND

1 Risque

 Accès distant avec les privilèges du super-utilisateur.

35
  Divulgation d'informations système (variables d'environnement).
 Déni de service induisant un déni de service pour les autres protocoles
internet (messagerie, serveur et navigation web, ...).

Les précédentes failles de BIND (12 avis du CERT/CC depuis 1997) ont
systématiquement donné lieu à des exploitations massives et prolongées.

2 Systèmes affectés
Majorité des systèmes Unix, systèmes Windows NT utilisant BIND.

3 Résumé
Quatre vulnérabilités majeures ont été découvertes dans le code du serveur DNS
BIND, développé par l'Internet Software Consortium (ISC), permettant à un utilisateur
distant de prendre le contrôle de la machine hôte.

Il existe une interrogation DNS permettant de connaître la version de BIND tournant

à une adresse IP donnée, et donc, pour un utilisateur hostile, de conclure sur la
vulnérabilité à exploiter.

4 Description

 Il existe un débordement de pile dans la fonction TSIG (authentification de

transaction par clef secrète partagée - RFC 2845) qui permet à un utilisateur
distant mal intentionné d'exécuter du code sur la machine serveur et par
conséquent d'obtenir les privilèges du super-utilisateur ou un déni de service
(versions 8.x.x).
 De plus il y a deux débordements de pile supplémentaires dans l'interface
avec la journalisation système ayant les mêmes conséquences que
précédemment (versions 4.x.x).
 La dernière vulnérabilité permet à un utilisateur distant de lire la pile du
programme permettant éventuellement de lire des variables d'environnement
ou du programme. Ces informations peuvent aider au développement
d'exploits concernant les trois débordements de pile précédents (versions
4.x.x et 8.x.x).

5 Contournement provisoire
Il n'existe pas de contournement provisoire, le DNS étant indispensable au
fonctionnement d'internet, il est nécessaire de procéder aux mises à jour.

6 Solution
Mettre à jour le serveur BIND :

 Branche 4.x.x (n'est plus activement maintenue) : évoluer vers la version 4.9.8
 ftp://ftp.isc.org/isc/bind/src/DEPRECATED/4.9.8/bind-498-REL.tar.gz
 Branche 8.x.x : évoluer vers la version 8.2.3
 ftp://ftp.isc.org/isc/bind/src/8.2.3/bind-src.tar.gz

36
Nota : il existe une nouvelle branche de développement visant à implémenter le
DNSSEC, dont la dernière version est la 9.1, mais elle est loin d'avoir toutes
fonctionnalités de la branche 8.x.x. Son installation n'est pas recommandée.

Correctifs de certains vendeurs (liste non exhaustive)

Caldera Linux

 OpenLinux 2.3, archive RPM sous :

 ftp://calderasystems.com/pub/updates/OpenLinux/2.3/current/RPMS/
 eServer 2.3.1, archive RPM sous :
 ftp://calderasystems.com/pub/updates/eServer/2.3/current/RPMS/
 eDesktop 2.4, archive RPM sous :
 ftp://calderasystems.com/pub/updates/eDesktop/2.4/current/RPMS/

Mandrake Linux
Suivre les directives depuis la page suivante pour les versions 6.0, 6.1, 7.0, 7.1, 7.2
et Corporate Server 1.0.1 :

http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-017.php3

Trustix
http://www.trustix.net/pub/Trustix/updates

Debian
Les paquetages pour la version 2.2 sont disponibles selon l'architecture sous :

http://security.debian.org/dists/stable/updates/main/

TurboLinux
http://www.turbolinux.com/pipermail/tl-security-announce/2001-February/000034.html

SuSE Linux
http://www.suse.com/de/support/security/2001_03_bind8_txt.txt

Nombreuses failles du noyau Linux

1 Risque

 Exécution de code arbitraire à distance ;

 élévation de privilèges ;
 déni de service ;
 atteinte à la confidentialité des données.

37
2 Systèmes affectés
Tout système d'exploitation utilisant un noyau Linux.

3 Résumé
Plusieurs vulnérabilités, décrites ci-dessous, affectent les noyaux Linux des séries
2.4 et/ou 2.6.

4 Description

4.1 Vulnérabilité du système de fichiers Samba

Références CVE CAN-2004-0883 et CAN-2004-0949.

Il est possible, pour un utilisateur mal intentionné contrôlant un serveur Samba, de

provoquer un déni de service sur la station cliente sous Linux. Il n'est pas établit que
l'exécution de code arbitraire à distance ou localement soit impossible.

4.2 Déni de service local sur les «sockets» Unix

Référence CVE-CAN-2004-1016.

Un utilisateur local mal intentionné peut transmettre des données volontairement mal
formées qui seront mal interprétées et bloqueront le noyau.

4.3 Atteinte à la confidentialité des variables d'environnement

Référence CVE CAN-2004-1058.

Les variables d'environnement peuvent être utilisées pour passer des informations
sensibles à un processus. C'est pourquoi leur consultation à travers le pseudo-
système de fichier proc est restreinte. Cependant leur contenu est parfois visible
dans la ligne de commande donc la lecture est plus permissive.

4.4 Exécution locale de code arbitraire avec les «sockets» Unix

Références CVE-CAN-2004-1068 et CVE-CAN-2004-1069.

Des conditions de concurrence peuvent être utilisées pour :

 modifier une portion arbitraire de la mémoire du noyau et ainsi élever les

privilèges d'un utilisateur local (CVE-CAN-2004-1068) ;
 provoquer un déni de service (CVE-CAN-2004-1069).

4.5 Déni de service local avec un exécutable «a.out»

Référence CVE-CAN-2004-1074.

«a.out» est l'ancien format des exécutables sous Linux. Il a depuis été remplacé par
le format ELF. Cependant la compatibilité avec ce format est souvent incluse dans le

38
noyau. L'exécution d'un binaire de ce type, volontairement mal formé, peut provoquer
un déni de service du noyau.

4.6 Mauvaise gestion du protocole IGMP

Références CVE-CAN-2004-1137.

IGMP («Internet Group Management») est un protocole IP utilisé pour offrir des
communications «multicast». Il est en particulier utilisé par des applications de
videoconférence ou de gestion dynamique du routage.

Il est possible pour un utilisateur local mal intentionné d'exécuter un programme qui
provoquera un déni de service voire une elévation de privilèges.

Par ailleurs, si une application écoute sur une «socket multicast», il est possible,
sous certaines conditions, de bloquer l'exécution du noyau.

4.7 Débordements de tampon dans le code des AMD 64 bits

Référence CVE-CAN-2004-1151.

4.8 Déni de service local dans la gestion des options IP et des terminaux
virtuels
Deux fonctions du noyau gérant mal les débordements d'entier ont été identifiées.
Elles peuvent être détournées pour provoquer un déni de service du noyau par un
utilisateur local exécutant du code malicieux.

4.9 Débordement de mémoire dans la gestion des appels systèmes 32 bits sur
plates-formes x86-64
Référence CVE-CAN-2004-1144.

La vulnérabilité est présente dans le noyau 2.4 uniquement et pour les plates-formes
x86-64.

La version 2.4.29-pre3 corrige cette vulnérabilité.

4.10 Déni de service local avec un exécutable «elf» pour les noyaux 2.4.x
Référence CVE-CAN-2004-1234.

«elf» est le format des exécutables sous Linux. Au moyen d'un fichier habilement
constitué, un utilisateur mal intentionné peut provoquer un déni de service par arrêt
brutal du système.

La version 2.4.28-rc4 corrige cette vulnérabilité.

5 Solution
Les noyaux «vanilla» jusqu'aux versions 2.6.9 et 2.4.28 sont vulnérables à au moins
l'une des failles décrites ci-dessus ; utiliser une version en développement ou se
39
référer aux bulletins de sécurité des éditeurs pour l'obtention des correctifs (cf.
section Documentation).

6 Documentation

6.1 Sources du noyau Linux

http://www.kernel.org

6.2 Vulnérabilité du système de fichiers Samba

 Références CVE CAN-2004-0883 et CAN-2004-0949 :

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0883
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0949
 Bulletin de sécurité eMatters du 17 novembre 2004 :
 http://security.e-matters.de/advisories/142004.html
 Bulletin de sécurité Secunia SA13232 du 18 novembre 2004 :
 http://secunia.com/advisories/13232/

6.3 Déni de service local sur les «sockets» Unix

 Référence CVE-CAN-2004-1016 :
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1016
 Bulletin de sécurité Isec Security Research du 14 décembre 2004 :
 http://isec.pl/vulnerabilities/isec-0019-scm.txt
 Bulletin de sécurité Secunia SA13469 du 15 décembre 2004 :
 http://secunia.com/advisories/13469/

6.4 Atteinte à la confidentialité des variables d'environnement

 Référence CVE CAN-2004-1058 :

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1058

6.5 Exécution locale de code arbitraire avec les «sockets» Unix

 Références CVE-CAN-2004-1068 et CVE-CAN-2004-1069 :

 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1068
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1069
 Bulletin de sécurité Secunia SA13232 du 18 novembre 2004 :
 http://secunia.com/advisories/13232/

6.6 Déni de service local avec un exécutable «a.out»

 Référence CVE-CAN-2004-1074 :
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1074

6.7 Mauvaise gestion du protocole IGMP

 Références CVE-CAN-2004-1137 :

40
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1137
 Bulletin de sécurité Isec Security Research du 14 décembre 2004 :
 http://isec.pl/vulnerabilities/isec-0018-igmp.txt
 Bulletin de sécurité Secunia SA13469 du 15 décembre 2004 :
 http://secunia.com/advisories/13469/

6.8 Débordements de tampon dans le code des AMD 64 bits

 Référence CVE-CAN-2004-1151 :
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1151
 Bulletin de sécurité Secunia SA13410 du 09 décembre 2004 :
 http://secunia.com/advisories/13410/

6.9 Déni de service local dans la gestion des options IP et des terminaux
virtuels

 Bulletin de sécurité #72 du Georgi Guninski :

 http://www.guninski.com/where_do_you_want_billg_to_go_today_2.html
 Bulletin de sécurité Secunia SA13493 du 17 décembre 2004 :
 http://secunia.com/advisories/13493/

6.10 Débordement de mémoire dans la gestion des appels systèmes 32 bits sur
plates-formes x86-64

 Référence CVE-CAN-2004-1144 :
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1144
 Message "[PATCH] [CAN-2004-1144] Fix int 0x80 hole in 2.4 x86-64 linux
kernels" :
 http://www.ussg.iu.edu/hypermail/linux/kernel/0412.2/1364.html

6.11 Déni de service local avec un exécutable «elf»

 Référence CVE-CAN-2004-1234 :
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1234
 Correctifs inclus dans la version 2.4.28-rc4 du noyau :
 http://www.kernel.org/pub/linux/kernel/v2.4/Changelog-2.4.28

6.12 Bulletin de sécurité des éditeurs

 Bulletin de sécurité RedHat RHSA-2004:549 du 02 décembre 2004 (CAN-

2004-0883, CAN-2004-949 et CAN-2004-1068) :
 http://rhn.redhat.com/errata/RHSA-2004-549.html
 Bulletin de sécurité SUSE SuSE-SA:2004:042 du 01 décembre 2004 (CAN-
2004-0883, CAN-2004-949 et CAN-2004-1074) :
 http://www.novell.com/linux/security/advisories/2004_42_kernel.html
 Bulletin de sécurité SUSE SuSE-SA:2004:044 du 21 décembre 2004 (CAN-
2004-1016, CAN-2004-1068, CAN-2004-1137 et CAN-2004-1151) :
 http://www.novell.com/linux/security/advisories/2004_44_kernel.html

41
  Bulletin de sécurité SUSE SuSE-SA:2004:046 du 22 décembre 2004 (CAN-
2004-1144) :
 http://www.novell.com/linux/security/advisories/2004_46_kernel.html
 Bulletin de sécurité RedHat RHSA-2004:689 du 23 décembre 2004 : (CAN-
2004-0565, CAN-2004-1016, CAN-2004-1017, CAN-2004-1037, CAN-2004-
1144 et CAN-2004-1234) :
 http://rhn.redhat.com/errata/RHSA-2004-689.html
 Bulletin de sécurité Avaya ASA-2005-006 (CAN-2004-0883, CAN-2004-0949,
CAN-2004-1016, CAN-2004-1017, CAN-2004-1068, CAN-2004-1137, CAN-
2004-1234) :
 http://support.avaya.com/elmodocs2/security/ASA-2005-006_RHSA-2004-
549RHSA-2004-505RHSA-2004-689.pdf
 Bulletin de sécurité RedHat RHSA-2005:043 du 18 janvier 2005 (CAN-2004-
1016) :
 http://rhn.redhat.com/errata/RHSA-2005-043.html

2-Etude d’un cas pratique

Quantifier le risque de:

Exercice 1 :

– La présence d’une faille sur les serveurs Web Microsoft IIS permettant de lire tout

fichier sur le serveur

– La perte complète de l’accès Internet après un déni de service.

Exercice 2 :

Pour les entités suivantes:

– Une entreprise A fournissant des composant électroniques, et disposant d’un site

Web hébergé chez un prestataire. Ce site Web contient en accès restreint aux clients
(identifiés par mots de passe), le catalogue de la société.

– Une entreprise B de gestion de fonds de pension, ayant un serveur Web

contenant quelques pages statiques, et utilisant Internet pour la consultation

des informations financières ainsi que les passages d’ordres.

42
Exercice 3 :

Identifier le plus grand nombre de risques liés à la liaison Internet pour un fabricant
de produits de luxe. Identifier le plus grand nombre de risques liés à Internet pour
une société d’armement. Les données confidentielles sont supposées situées sur un
réseau complètement séparé

Conclusion : (Résumé )
économique, par son approche transversale et collective, se présente
comme une opportunité pour la mise en œuvre d’un concept de sécurité
globale au sein de l’entreprise. : La sécurité en entreprise est
généralement abordée selon des approches spécialisées, où la sécurité
des systèmes d’information apparaît comme une composante majeure
dédiée aux informaticiens. Toutefois, la problématique de sécurité est
complexe et mérite selon nous d’être envisagée de manière systémique et
globale, approche que nous qualifions d’holistique. Il s’agit en effet de
traiter un ensemble de problèmes plus ou moins interactifs dont la
résolution passe par une mise en synergie des compétences. L’enjeu est
avant tout culturel, il procède d’un changement de paradigme : la
sécurité n’est plus un objet finalisé réservé au spécialiste de
l’entreprise, elle doit être envisagée dans une optique globale,
permanente et universelle par l’ensemble du personnel. De ce point de
vue, l’intelligence.

Abstract :
The security of the firm is generally considered as a job for specialists, so
that SIS appears as a major element dedicated to computer engineers.
Nevertheless, we expect that security is complex and it must be
considered as a holistic problem, as far as it is a systemic and global
concept. The issue should be a cultural change of paradigm: security is
no longer a final object for specialists but a global, permanent and

43
universal philosophy for everybody inside the firm. From this point of view,
competitive intelligence, as a transversal and collective approach, appears
to be one of the best way to integrate a global security concept into the
firm.

Références webographiques :

www.wikipedia.com

www.certa.ssi.gouv.fr/ Centre d'Expertise Gouvernemental de Réponse et de

Traitement des Attaques informatiques.

Autres références :

Tableaux de bord de la sécurité réseaux, Eyrolles.

Publication du guide N°650/DISSI/SCSSI "La menace et les attaques informatiques"

44