Tรฉlรฉcharger le fichier pdf d’un mรฉmoire de fin d’รฉtudes
LES ATTAQUES INFORMATIQUES UTILISANT DES TECHNIQUES
Chevaux de Troie
La lรฉgende veut que les Grecs, nโarrivant pas ร pรฉnรฉtrer dans les fortifications de la ville de Troie, aient lโidรฉe de donner en cadeau un รฉnorme cheval de bois en offrande ร la ville en abandonnant le siรจge. Les Troyens (peuple de la ville de Troie), apprรฉciรจrent cette offrande ร priori inoffensive et la ramenรจrent dans les murs de la ville. Cependant le cheval รฉtait rempli de soldats cachรฉs qui sโempressรจrent dโen sortir ร la tombรฉe de la nuit, alors que la ville entiรจre รฉtait endormie, pour ouvrir les portes de la citรฉ et en donner lโaccรจs au reste de lโarmรฉe
Les chevaux de Troie (ยซ Trojan horse ยป ou ยซ Trojans ยป en anglais) tirent leur nom de cette cรฉlรจbre lรฉgende mythologique. Comme cette derniรจre, ils utilisent une ruse pour agir de faรงon invisible, le plus souvent en se greffant sur un programme anodin.
Ils font parties des grandes menaces que lโon peut rencontrer sur le web, parmi les virus et autres vers. Pourtant, contrairement ร ceux-ci, les chevau x de Troie ne se reproduisent pas (en tout cas, ce nโest pas leur objectif premier). Ce sont ร la b ase de simples programmes destinรฉs ร รชtre exรฉcutรฉs ร lโinsu de lโutilisateur.
Dรฉfinition
Un cheval de Troie est un programme informatique simulant de faire quelque chose, mais faisant tout autre chose ร la place. A la faรงon du virus, l e cheval de Troie est un code cachรฉ dans un programme sain qui exรฉcute des commandes sournoise,et qui gรฉnรฉralement donne un accรจs ร la machine sur laquelle il exรฉcutรฉ en ouvrant une porte dรฉrobรฉe (backdoor), le Trojan sโinfiltre par la suite sur le disque dur pour y effectuer des actions nรฉfastes une fois ร lโintรฉrieur, dรจs quโon exรฉcutera son fichier porteur. Un cheval de Troie est donc conรงu pour espionner et infiltrer les systรจmes. Ils sont furtifs et trรจs difficiles ร dรฉtecter, surtout tant que lโattaquent ne cherche pas ร se manifester. Il est รฉvidemment utilisรฉ par les pirates (Hackers, Crackers, Script kiddyesโฆ.) pour prendre le contrรดle dโun PC.
Principes
Le principe des chevaux de Troie รฉtant dโouvrir un port de votre machine pour permettre ร un pirate dโen prendre le contrรดle (par exemple voler des donnรฉes personnelles stockรฉes sur le disque), le but du pirate est dans un premier temps dโinfecter votre machine en vous faisant ouvrir un fichier infectรฉ contenant le troyen et dans un second temps dโaccรฉder ร votre machine part le port quโil ร ouvert.
Toutefois pour pouvoir s’infiltrer sur votre machine, le pirate doit gรฉnรฉralement en connaรฎtre l’adresse IP. Ainsi :
ยท Soit vous avez une adresse IP fixe (cas d’une entreprise ou bien parfois de particuliers connectรฉ par cรขble, …) auquel l’adresse IP peut รชtre facilement rรฉcupรฉrรฉe
ยท Soit votre adresse IP est dynamique (affectรฉe ร chaque connexion), c’est le cas pour les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de dรฉceler les adresses IP correspondant ร des machines infectรฉes.
Modes dโaction
Leur mode opรฉratoire est souvent le mรชme; ils doivent tout d’abord รชtre introduits dans le systรจme cible le plus discrรจtement possible. Les moyens sont variรฉs et exploitent le vaste รฉventail des failles de sรฉcuritรฉ, du simple รฉconomiseur d’รฉcranpiรฉgรฉ (envoyรฉ par mail ou autre, du type cadeau.exe, snow.exe, etc, etc…) jusqu’ร l’exploitation plus complexe d’un buffer overflow. Aprรจs leur introduction dans le systรจme, ils se cachent dans des rรฉpertoires systรจme ou se lient ร des exรฉcutables. Ils modifient le systรจme d’exploitation cible (sous Windows, la base des registres) pour pouvoir dรฉmarrer en mรชme temps que la machineDe. plus, ils sont actifs en permanence (car un cheval de Troie est un vรฉritable serveur, il reste ร l’รฉcoute des connections provenant de l’attaquant pour recevoir des instructions) mais ils restent furtifs et sont rarement dรฉtectables par l’utilisateur. Ainsi, un listing des tรขches courantes ne fournira pas d’indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera tout ce qu’il y a de plus banal.
Objectif
Leur objectif est dโouvrir une porte dรฉrobรฉe(ยซ backdoor ยป) sur le systรจme cible, permettant par la suite ร lโattaquant de revenir ร loisir รฉpier, coll ecter des donnรฉes, les corrompre, contrรดler voir mรชme dรฉtruire le systรจme.
Fonctionnalitรฉs
Voici quelques exemples de fonctionnalitรฉs des chevaux de Troie :
ยท Accรจs Telnet : permet de lancer une application en mode texte ยซ MS-DOS ยป ou ยซ Invite commande ยป de faรงon invisible et de rรฉdiger lโentrรฉe/ sortie standard vers un port parti culier. Lโattaquant nโa plus quโร sโy connecter (vi a Telnet) pour communiquer directement avec lโapplication.
ยท Accรจs http avec un navigateur qui supporte le tรฉlรฉchargement et lโenvoi de fichier : permet de crรฉer un serveur web basique dont la racine estcelle du disque dur (dรฉfaut).Ainsi, un simple navigateur web permet de naviguer dans lโarborescence des fichiers, dโen tรฉlรฉcharger et mรชme dโen rajouter.
ยท Information sur le systรจme distant
ยท Rรฉcupรจre tous les mots de passe : permet dโaccรฉderaux fichiers mots de passe Windows (pwl et autres) et dโen afficher le contenu. A noter que les mots de passe utilisรฉs pour des connections distantes, partager de documents, etc. sont รฉgalement rรฉcupรฉrรฉs.
ยท Envoi de boite de dialogue (version Windows) avec rรฉponse de lโutilisateur : permet de communiquer avec lโutilisateur.
ยท Tรฉlรฉcharger / Envoyer / Supprimer / Crรฉer des fichiers : permet dโaccรฉder au systรจme de fichiers dans sa totalitรฉ.
ยท Ouverture/Fermeture des fenรชtres actives : permet dโinteragir avec le systรจme cible.
ยท Accรจs a la base de registre
ยท Augmenter / Diminuer le volume sonore
ยท Ajouter des plugins
ยท Dรฉmarrage dโapplication
ยท Jouer des fichiers. wave
ยท Afficher des images
ยท Ouvrir des documents
ยท Imprimer
ยท Fonction Keylogger : permet dโenregistrer toute frappe au clavier pour rรฉcupรฉration et traitement ultรฉrieur (mots de passe sur le web, mails, etc.โฆ.). Cette fonctionnalitรฉ existe รฉgalement en version temps rรฉel : affichage des frappes clavier en directe chez lโattaquant.
ยท Capture dโรฉcran : permet de visualiser le poste de travail et les actions de lโutilisateur tout en รฉconomisant la bande passante (par rapport au streaming vidรฉo)
ยท Capture dโimage si lโordinateur est รฉquipรฉ dโune Webcam : opรฉration basรฉe sur lโutilisation dรฉtournรฉe des librairies systรจme (COM) qui supportent les webcams. Le rรฉsultat est complรจtement indรฉtectable pour lโutilisateur.
ยท Capture du son si lโordinateur / Serveur est รฉquipรฉdโun microphone
ยท Eteindre lโordinateur
ยท Redรฉmarrer lโordinateur
ยท Dรฉconnecter lโordinateur du rรฉseau
ยท Dialogue avec lโutilisateur
ยท Ouverture /Fermeture du CD-ROM
ยท Inversion des boutons de la souris
ยท Envoyer lโutilisateur a une URL choisie
ยท Blocage du clavier
Espiogiciels (Spywares)ย
A chaque connexion Internet, un utilisateur laisse derriรจre lui trรจs grand nombre dโinformations. Ces traces sont gรฉnรฉralement intรฉressantes mais nosuffisantes ร un public de professionnels ou dโespions cherchant ร obtenir dโautres รฉlรฉments que ces techniques laissรฉs en standard .Les professionnels dโun secteur dรฉterminรฉ cherchent ร connaรฎtre les habitudes de tรฉlรฉchargement de leurs clients, leurs modes de consommations, leurs centres dโintรฉrรชts, ou la pรฉriodicitรฉ de leurs achats par exemple. Les pirates ou espions seront, eux, plus intรฉresse par le contenu des machines connectรฉes, la rรฉception de ces informations, etc..
Pour faciliter la rรฉcolte de ce type de renseignements, il existe desยซ espiogiciels ยป.
Dรฉfinition
Un espiogiciel est un programme chargรฉ de recueilli des informations sur lโutilisateur de lโordinateur sur lequel il est installรฉ (on appelle donc parfois mouchard) a fin de les envoyer ร la sociรฉtรฉ qui le diffuse pour lui permettre de dresse le profil des internautes (profilage)
Ils se trouvent gรฉnรฉralement dans le code dโun programme que lโutilisateur tรฉlรฉchargera innocemment sur Internet. Dans la plupart des cas, ces espiogiciels sont des ยซ petits morceaux de codes parasite ยป (routines) intรจgres dans le code principal du programme .Dans un mรชme programme, il peut y avoir plusieurs routines parasites diffรฉrents, ayant chacune une fonction dรฉterminรฉe.
Objectif
Lโobjectif de lโespiogiciel est simple : rรฉcolter le maximum dโinformation possible sur un internaute .Les rรฉcoltes dโinformations peuvent ainsi รชtre :
ยท La traรงabilitรฉ des URL des sites visitรฉs,
ยท Le traquage des mots โclรฉs saisis dans les moteurs de recherche,
ยท Lโanalyse des achats rรฉalisรฉs via Internet,
ยท Voire les informations de paiement bancaire (numรฉrode carte bleue / VISA) ou bien des informations personnelles
Les types des Spywares
On distingue gรฉnรฉralement deux types de spywares:
ยท Les spywares internes (ou spywares intรฉgrรฉs) comportant directement des lignes de codes dรฉdiรฉes aux fonctions de collectes donnรฉes.
ยท Les spywares externes, programmes de collectes autonomes installรฉes.
Keyloggers
Dรฉfinition
Keyloggers ou Enregistreurs de frappes sont des portion de codes trรจs dangereux, ils ne sont pourtant pas rรฉpertoriรฉs parmi les virus ,vers ,ouchevaux de Troie car nโont pas pour objectif de modifier quoi que se soit dans la machine cible .Ces programmes ,trรจs furtifs ,sont ร lโaffรปt de ce que vous tapez sur votre clavier ,notamment des identifiants et des mots de passe. Les Keylogger se connecte ensuite au Net et envoie les informations ainsi collectรฉes au pirate, qui peut ainsi sโintroduire dans votre systรจme sans effort.
Objectif
Lโobjectif des Keylogger est dโenregistrer et de r estituer tout le travail qui a รฉtรฉ rรฉalisรฉ par un utilisateur .Les touches enregistrรฉes permettent efectivement de rรฉtracter non seulement le travail courant ,mais aussi de rรฉcupรฉrer tous les identifiants et mots de passes.
Certains Keyloggers sont capables dโenregistrer les URL visitรฉes, les courriers รฉlectroniques consultรฉs ou envoyรฉs, les fichiers ouverts, voire ed crรฉer une vidรฉo retraรงant toute activitรฉ de lโordinateur!
Modes dโaction
Ils sont installรฉs directement par le pirate sur la machine visรฉe, si lโordinateur nโa pas de connexion Internet permettant une installation ร di stance via un cheval de Troie. En gรฉnรฉral, lesย Keylogger se lancent directement au dรฉmarrage dela machine hรดte. Une fois le Keylogger lancรฉ, il enregistre au fur et ร mesure tout ce qui est rรฉalisรฉ. Dans la plupart des cas ,si la machine cible est pourvue dโune connexion Internet ,un fichier ,le Keylogger enverra discrรจtement ,ร une adresse mail ou ร un serveur Internet ,un fichier , gรฉnรฉralement cryptรฉ,contenant tous les renseignements collectรฉs .
Les Keyloggers logiciels et matรฉriel
Les Keyloggers peuvent รชtre soit logiciels soient matรฉriels. Dans le premier cas il sโagit dโun processus furtif (ou bien portant un nom ressemblant fortement au nom dโun processus systรจme), รฉcrivant les informations captรฉes dans un fichier achรฉ!
Les Keyloggers peuvent รฉgalement รชtre matรฉriel : sโagitil alors dโun dispositif (cรขble) intercalรฉ entre la prise clavier de lโordinateur et le clavier
Virusย
En 1983, le chercheur Fred Cohen dรฉfinissait un virus informatique ainsi ยซ un programme qui peut contaminer un autre programme en le modifiant pour inclure une copie de lui-mรชme ยป, en d’autres mots, tous les virus se reproduisent d’eux-mรชmes. ourP bien jouer le jeu, la plupart des virus tentent d’รฉchapper aux dรฉtections, soit en utilisandes mรฉthodes d’encryptage ou en effectuant de lรฉgรจres mutations chaque fois qu’ils se reproduisent.
Un virus informatique partage bien des traits communs avec son homologue biologique. Comme lui, il ne peut survivre par lui-mรชme : il doit s’associer intimement avec un objet du systรจme afin d’en faire son vecteur, et le dรฉtourner pour assure sa reproduction et, donc, sa survie. Actuellement, plusieurs virus ont une charge utile, c’est-ร -dire un ensemble d’instructions conรงu pour perturber le cours normal du traitement informatique. La charge utile peut dรฉclencher n’importe quoi, d’un message clignotant inoffensif jusqu’ร la rรฉรฉcriture complรจte de la table d’allocation des fichiers, ce qui implique que vous perdez toutes les donnรฉes de votre disque dur. Les virus utilisent souvent l’horloge interne de votre ordinateur pour dรฉclencher la charge utile ร une date particuliรจre, les vendredis 13 et les anniversaires cรฉlรจbres sont populaires
Principes de fonctionnement
Mรฉcanisme de rรฉplication
Ce mรฉcanisme permet au virus de se rรฉpliquer. Il ya plusieurs mรฉthodes pour y arriver :
ยท soit en infectant davantage de fichiers
ยท soit en utilisant un service rรฉseau pour infecter d’autres ordinateurs 4.1.2 Charge utile
La charge utile est le coeur mรชme du virus, c’est lle qui contient sa capacitรฉ de nuisance rรฉelle. Elle peut รชtre l’une de celles-ci :
ยท Affichage d’un message,
ยท Altรฉrations mineures de fichiers,
ยท Destruction du contenu d’un disque dur,
ยท Dรฉtรฉrioration lente du contenu des fichiers avec ousans possibilitรฉ de restauration,
ยท Vol ou diffusion d’informations confidentielles.
Dรฉclencheur
Le dรฉclencheur peut รชtre rรฉglรฉ pour :
ยท Une action immรฉdiate
ยท Une action ponctuelle (un jour particulier)
ยท Une action rรฉpรฉtitive (ร chaque dรฉmarrage du systรจme)
Mรฉcanisme de protection
Compression
La compression est faite pour limiter la taille du code du virus, pour offrir un plus petit motif pour les anti-virus et pour ne pas attirer l’attention par des pertes de taille de disque.
Polymorphisme
Le polymorphisme permet de limiter la reconnaissance du code par les scanners anti-virus.
Furtivitรฉ
Il s’agit ici de rendre plus difficile la dรฉtectionpar l’anti-virus en dรฉtournant tous les appels au disque.
|
Table des matiรจres
CONTEXTE ET INTRODUCTION
CHAPITRE 1: GENERALITES SUR LA SECURITE DES INFORMATIONS ET DES RESEAUX
1 Les ressources sensibles
1.1 Les ressources humaines
1.2 Les ressources logicielles
1.3 Les Ressources physiques et matรฉrielles
1.3.1 Les locaux
1.3.2 Les voies dโaccรจs
1.4 Les donnรฉes
1.4.1 La disponibilitรฉ
1.4.2 Le secret
1.4.3 Lโintรฉgritรฉ
1.5 La rรฉputation
2 Risques et vulnรฉrabilitรฉs liรฉs aux rรฉseaux
2.1 Les vulnรฉrabilitรฉs techniques
2.1.1 Vulnรฉrabilitรฉ du service TCP/IP
2.1.2 Vulnรฉrabilitรฉ des donnรฉes
2.1.3 Les vulnรฉrabilitรฉs dues ร l’absence de politique de sรฉcuritรฉ.
2.1.4 Les vulnรฉrabilitรฉs liรฉes aux erreurs de configuration
CHAPITRE 2: LES ATTAQUES INFORMATIQUES UTILISANT DES TECHNIQUES
1 Chevaux de Troie
1.1 Dรฉfinition
1.2 Principes
1.3 Modes dโaction
1.4 Objectif
1.5 Fonctionnalitรฉs
2 Espiogiciels (Spywares)
2.1 Dรฉfinition
2.2 Objectif
2.3 Les types des Spywares
3 Keyloggers
3.1 Dรฉfinition
3.2 Objectif
3.3 Modes dโaction
3.4 Les Keyloggers logiciels et matรฉriel
4 Virus
4.1 Principes de fonctionnement
4.1.1 Mรฉcanisme de rรฉplication
4.1.2 Charge utile
4.1.3 Dรฉclencheur
4.2 Mรฉcanisme de protection
4.2.1 Compression
4.2.2 Polymorphisme
4.2.3 Furtivitรฉ
4.2.4 Multiples phases
4.3 Caractรฉristiques
4.3.1 La rรฉsidence
4.3.2 La cryptographie
4.3.3 Le mรฉtamorphisme
4.4 Les catรฉgories de virus
4.4.1 Virus de Zone dโamorce
4.4.2 Virus DOS
4.4.3 Virus Windows
4.4.4 Virus macintosh
4.4.5 Virus Macro
4.4.6 Virus Polymorphe
4.4.7 Virus Furtif
4.4.8 Virus Multi cibles
4.4.9 Virus rรฉsidents
4.4.10 Virus de fichiers exรฉcutables
4.4.11 Virus compagnons
4.4.12 Virus dรฉfensifs
4.4.13 Virus mailers et mass-mailers
5 Vers (Worm)
5.1 Dรฉfinition
5.2 Buts
5.3 Mode de propagation
5.4 Mode de fonctionnements
6 Spam
6.1 Dรฉfinition
6.2 Buts
6.3 Effets du Spam
7 Mail-bombing
7.1 Dรฉfinition
7.2 Objectif
8 Dรฉni de service (Denial of Service)
8.1 Dรฉfinition
8.2 Buts
8.3 Mode et techniques dโattaques
CHAPITRE 3: LES AUTRES FORMES DE MENACE
1 Ingรฉnierie Sociale (Social Engineering)
1.1 Le social engineering par tรฉlรฉphone
1.2 Le social engineering par lettre
1.3 Le social engineering par internet
1.4 Le social engineering ยซ in situ ยป
2 Le Reverse Social Engineering (RSE)
3 Phising
4 Loteries
5 Hoax ou faux virus
6 Scam
7 Les intrusions systรจmes
7.1 Les intrusions directes
7.2 Les attaques ยซ man in the middle. ยป
7.2.1 Le Hijacking
7.2.2 Le TCP-SYN flooding
7.2.3 Le spoofing IP
7.2.4 Les intrusions indirectes par rebond
7.3 Lโobservation du rรฉseau.
7.3.1 Lโexamen des paquets (sniffing)
7.3.2 Le dรฉtournement de session
CHAPITRE 4: LES CONTRES MESURES
1 Rรฉduire l’accรจs au rรฉseau par lโutilisation dโun firewall
2 Installer et mettre ร jour rรฉguliรจrement un logiciel dโantivirus
2.1 Automatisation
2.2 Vรฉrification
3 Surveiller les flux dโinformations
4 Contrรดler les documents provenant de lโextรฉrieur
5 Dรฉfinir une politique de sรฉcuritรฉ interne
5.1 Nรฉcessitรฉ d’authentification et dโidentification
5.1.1 Mots de passe
5.1.2 Biomรฉtrie
6 Crypter les donnรฉes
7 Sรฉcuriser les donnรฉes
7.1 Accรจs physique
7.1.1 Serveur
7.1.2 Rรฉseau
7.1.3 Poste de travail
7.2 Postes distants
7.2.1 VPN
8 Sauvegarder les donnรฉes
9 Analyser les journaux dโactivitรฉ
10 Tester les intrusions
CHAPITRE 5: CONCEPTION ET SIMULATION DE QUELQUES MENACES INFORMATIQUES EN RESEAUX (TROJAN, KEYLOGGER, SCANNEUR DE PORT)
1 Les ressources utilisรฉes pour la conception de l’application
1.1 Les ressources logicielles
1.1.1 Le langage C++
1.1.2 Le langage Assembleur
1.1.3 Le Systรจme dโexploitation Microsoftยฎ Windowsยฎ XP
1.2 Les ressources matรฉrielles
2 Lโapplication serveur
2.1 Prรฉsentation
2.2 Caractรฉristiques techniques de lโapplication serveur
3 Lโapplication cliente
3.1 Prรฉsentation
3.2 Configuration de la connexion
3.3 Fonction Keylogger
3.4 Fonction dรฉni de service
3.5 Le scanneur de port ou scanneur de sรฉcuritรฉ
3.6 Fonction Cheval de Troie
3.7 Le menu aide
3.7.1 Le manuel dโutilisation ou rubrique dโaide
3.7.2 La boรฎte ร propos
CONCLUSION GENERALE
ANNEXES
1 Vocabulaires
1.1 Code malveillant
1.2 Communication client-serveur
1.3 Connexions distantes
1.4 Failles
1.5 Internet Protocol (IP)
1.6 Ports TCP
1.7 Systรจme dโexploitation
1.8 Transmission Control Protocol (TCP)
BIBLIOGRAPHIE
RENSEIGNEMENTS
RESUME
Tรฉlรฉcharger le rapport complet