LES ATTAQUES INFORMATIQUES UTILISANT DES TECHNIQUES

Télécharger le fichier pdf d’un mémoire de fin d’études

LES ATTAQUES INFORMATIQUES UTILISANT DES TECHNIQUES

Chevaux de Troie

La légende veut que les Grecs, n’arrivant pas à pénétrer dans les fortifications de la ville de Troie, aient l’idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège. Les Troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s’empressèrent d’en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l’accès au reste de l’armée
Les chevaux de Troie (« Trojan horse » ou « Trojans » en anglais) tirent leur nom de cette célèbre légende mythologique. Comme cette dernière, ils utilisent une ruse pour agir de façon invisible, le plus souvent en se greffant sur un programme anodin.
Ils font parties des grandes menaces que l’on peut rencontrer sur le web, parmi les virus et autres vers. Pourtant, contrairement à ceux-ci, les chevau x de Troie ne se reproduisent pas (en tout cas, ce n’est pas leur objectif premier). Ce sont à la b ase de simples programmes destinés à être exécutés à l’insu de l’utilisateur.

Définition

Un cheval de Troie est un programme informatique simulant de faire quelque chose, mais faisant tout autre chose à la place. A la façon du virus, l e cheval de Troie est un code caché dans un programme sain qui exécute des commandes sournoise,et qui généralement donne un accès à la machine sur laquelle il exécuté en ouvrant une porte dérobée (backdoor), le Trojan s’infiltre par la suite sur le disque dur pour y effectuer des actions néfastes une fois à l’intérieur, dès qu’on exécutera son fichier porteur. Un cheval de Troie est donc conçu pour espionner et infiltrer les systèmes. Ils sont furtifs et très difficiles à détecter, surtout tant que l’attaquent ne cherche pas à se manifester. Il est évidemment utilisé par les pirates (Hackers, Crackers, Script kiddyes….) pour prendre le contrôle d’un PC.

Principes

Le principe des chevaux de Troie étant d’ouvrir un port de votre machine pour permettre à un pirate d’en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d’infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d’accéder à votre machine part le port qu’il à ouvert.
Toutefois pour pouvoir s’infiltrer sur votre machine, le pirate doit généralement en connaître l’adresse IP. Ainsi :
· Soit vous avez une adresse IP fixe (cas d’une entreprise ou bien parfois de particuliers connecté par câble, …) auquel l’adresse IP peut être facilement récupérée
· Soit votre adresse IP est dynamique (affectée à chaque connexion), c’est le cas pour les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au hasard afin de déceler les adresses IP correspondant à des machines infectées.

Modes d’action

Leur mode opératoire est souvent le même; ils doivent tout d’abord être introduits dans le système cible le plus discrètement possible. Les moyens sont variés et exploitent le vaste éventail des failles de sécurité, du simple économiseur d’écranpiégé (envoyé par mail ou autre, du type cadeau.exe, snow.exe, etc, etc…) jusqu’à l’exploitation plus complexe d’un buffer overflow. Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à des exécutables. Ils modifient le système d’exploitation cible (sous Windows, la base des registres) pour pouvoir démarrer en même temps que la machineDe. plus, ils sont actifs en permanence (car un cheval de Troie est un véritable serveur, il reste à l’écoute des connections provenant de l’attaquant pour recevoir des instructions) mais ils restent furtifs et sont rarement détectables par l’utilisateur. Ainsi, un listing des tâches courantes ne fournira pas d’indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera tout ce qu’il y a de plus banal.

Objectif

Leur objectif est d’ouvrir une porte dérobée(« backdoor ») sur le système cible, permettant par la suite à l’attaquant de revenir à loisir épier, coll ecter des données, les corrompre, contrôler voir même détruire le système.

Fonctionnalités

Voici quelques exemples de fonctionnalités des chevaux de Troie :
· Accès Telnet : permet de lancer une application en mode texte « MS-DOS » ou « Invite commande » de façon invisible et de rédiger l’entrée/ sortie standard vers un port parti culier. L’attaquant n’a plus qu’à s’y connecter (vi a Telnet) pour communiquer directement avec l’application.
· Accès http avec un navigateur qui supporte le téléchargement et l’envoi de fichier : permet de créer un serveur web basique dont la racine estcelle du disque dur (défaut).Ainsi, un simple navigateur web permet de naviguer dans l’arborescence des fichiers, d’en télécharger et même d’en rajouter.
· Information sur le système distant
· Récupère tous les mots de passe : permet d’accéderaux fichiers mots de passe Windows (pwl et autres) et d’en afficher le contenu. A noter que les mots de passe utilisés pour des connections distantes, partager de documents, etc. sont également récupérés.
· Envoi de boite de dialogue (version Windows) avec réponse de l’utilisateur : permet de communiquer avec l’utilisateur.
· Télécharger / Envoyer / Supprimer / Créer des fichiers : permet d’accéder au système de fichiers dans sa totalité.
· Ouverture/Fermeture des fenêtres actives : permet d’interagir avec le système cible.
· Accès a la base de registre
· Augmenter / Diminuer le volume sonore
· Ajouter des plugins
· Démarrage d’application
· Jouer des fichiers. wave
· Afficher des images
· Ouvrir des documents
· Imprimer
· Fonction Keylogger : permet d’enregistrer toute frappe au clavier pour récupération et traitement ultérieur (mots de passe sur le web, mails, etc.….). Cette fonctionnalité existe également en version temps réel : affichage des frappes clavier en directe chez l’attaquant.
· Capture d’écran : permet de visualiser le poste de travail et les actions de l’utilisateur tout en économisant la bande passante (par rapport au streaming vidéo)
· Capture d’image si l’ordinateur est équipé d’une Webcam : opération basée sur l’utilisation détournée des librairies système (COM) qui supportent les webcams. Le résultat est complètement indétectable pour l’utilisateur.
· Capture du son si l’ordinateur / Serveur est équipéd’un microphone
· Eteindre l’ordinateur
· Redémarrer l’ordinateur
· Déconnecter l’ordinateur du réseau
· Dialogue avec l’utilisateur
· Ouverture /Fermeture du CD-ROM
· Inversion des boutons de la souris
· Envoyer l’utilisateur a une URL choisie
· Blocage du clavier

Espiogiciels (Spywares) 

A chaque connexion Internet, un utilisateur laisse derrière lui très grand nombre d’informations. Ces traces sont généralement intéressantes mais nosuffisantes à un public de professionnels ou d’espions cherchant à obtenir d’autres éléments que ces techniques laissés en standard .Les professionnels d’un secteur déterminé cherchent à connaître les habitudes de téléchargement de leurs clients, leurs modes de consommations, leurs centres d’intérêts, ou la périodicité de leurs achats par exemple. Les pirates ou espions seront, eux, plus intéresse par le contenu des machines connectées, la réception de ces informations, etc..
Pour faciliter la récolte de ce type de renseignements, il existe des« espiogiciels ».

Définition

Un espiogiciel est un programme chargé de recueilli des informations sur l’utilisateur de l’ordinateur sur lequel il est installé (on appelle donc parfois mouchard) a fin de les envoyer à la société qui le diffuse pour lui permettre de dresse le profil des internautes (profilage)
Ils se trouvent généralement dans le code d’un programme que l’utilisateur téléchargera innocemment sur Internet. Dans la plupart des cas, ces espiogiciels sont des « petits morceaux de codes parasite » (routines) intègres dans le code principal du programme .Dans un même programme, il peut y avoir plusieurs routines parasites différents, ayant chacune une fonction déterminée.

Objectif

L’objectif de l’espiogiciel est simple : récolter le maximum d’information possible sur un internaute .Les récoltes d’informations peuvent ainsi être :
· La traçabilité des URL des sites visités,
· Le traquage des mots –clés saisis dans les moteurs de recherche,
· L’analyse des achats réalisés via Internet,
· Voire les informations de paiement bancaire (numérode carte bleue / VISA) ou bien des informations personnelles

Les types des Spywares

On distingue généralement deux types de spywares:
· Les spywares internes (ou spywares intégrés) comportant directement des lignes de codes dédiées aux fonctions de collectes données.
· Les spywares externes, programmes de collectes autonomes installées.

Keyloggers

Définition

Keyloggers ou Enregistreurs de frappes sont des portion de codes très dangereux, ils ne sont pourtant pas répertoriés parmi les virus ,vers ,ouchevaux de Troie car n’ont pas pour objectif de modifier quoi que se soit dans la machine cible .Ces programmes ,très furtifs ,sont à l’affût de ce que vous tapez sur votre clavier ,notamment des identifiants et des mots de passe. Les Keylogger se connecte ensuite au Net et envoie les informations ainsi collectées au pirate, qui peut ainsi s’introduire dans votre système sans effort.

Objectif

L’objectif des Keylogger est d’enregistrer et de r estituer tout le travail qui a été réalisé par un utilisateur .Les touches enregistrées permettent efectivement de rétracter non seulement le travail courant ,mais aussi de récupérer tous les identifiants et mots de passes.
Certains Keyloggers sont capables d’enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire ed créer une vidéo retraçant toute activité de l’ordinateur!

Modes d’action

Ils sont installés directement par le pirate sur la machine visée, si l’ordinateur n’a pas de connexion Internet permettant une installation à di stance via un cheval de Troie. En général, les  Keylogger se lancent directement au démarrage dela machine hôte. Une fois le Keylogger lancé, il enregistre au fur et à mesure tout ce qui est réalisé. Dans la plupart des cas ,si la machine cible est pourvue d’une connexion Internet ,un fichier ,le Keylogger enverra discrètement ,à une adresse mail ou à un serveur Internet ,un fichier , généralement crypté,contenant tous les renseignements collectés .

Les Keyloggers logiciels et matériel

Les Keyloggers peuvent être soit logiciels soient matériels. Dans le premier cas il s’agit d’un processus furtif (ou bien portant un nom ressemblant fortement au nom d’un processus système), écrivant les informations captées dans un fichier aché!
Les Keyloggers peuvent également être matériel : s’agitil alors d’un dispositif (câble) intercalé entre la prise clavier de l’ordinateur et le clavier

Virus 

En 1983, le chercheur Fred Cohen définissait un virus informatique ainsi « un programme qui peut contaminer un autre programme en le modifiant pour inclure une copie de lui-même », en d’autres mots, tous les virus se reproduisent d’eux-mêmes. ourP bien jouer le jeu, la plupart des virus tentent d’échapper aux détections, soit en utilisandes méthodes d’encryptage ou en effectuant de légères mutations chaque fois qu’ils se reproduisent.
Un virus informatique partage bien des traits communs avec son homologue biologique. Comme lui, il ne peut survivre par lui-même : il doit s’associer intimement avec un objet du système afin d’en faire son vecteur, et le détourner pour assure sa reproduction et, donc, sa survie. Actuellement, plusieurs virus ont une charge utile, c’est-à-dire un ensemble d’instructions conçu pour perturber le cours normal du traitement informatique. La charge utile peut déclencher n’importe quoi, d’un message clignotant inoffensif jusqu’à la réécriture complète de la table d’allocation des fichiers, ce qui implique que vous perdez toutes les données de votre disque dur. Les virus utilisent souvent l’horloge interne de votre ordinateur pour déclencher la charge utile à une date particulière, les vendredis 13 et les anniversaires célèbres sont populaires

Principes de fonctionnement

Mécanisme de réplication

Ce mécanisme permet au virus de se répliquer. Il ya plusieurs méthodes pour y arriver :
· soit en infectant davantage de fichiers
· soit en utilisant un service réseau pour infecter d’autres ordinateurs 4.1.2 Charge utile
La charge utile est le coeur même du virus, c’est lle qui contient sa capacité de nuisance réelle. Elle peut être l’une de celles-ci :
· Affichage d’un message,
· Altérations mineures de fichiers,
· Destruction du contenu d’un disque dur,
· Détérioration lente du contenu des fichiers avec ousans possibilité de restauration,
· Vol ou diffusion d’informations confidentielles.

Déclencheur

Le déclencheur peut être réglé pour :
· Une action immédiate
· Une action ponctuelle (un jour particulier)
· Une action répétitive (à chaque démarrage du système)

Mécanisme de protection

Compression

La compression est faite pour limiter la taille du code du virus, pour offrir un plus petit motif pour les anti-virus et pour ne pas attirer l’attention par des pertes de taille de disque.

Polymorphisme

Le polymorphisme permet de limiter la reconnaissance du code par les scanners anti-virus.

Furtivité

Il s’agit ici de rendre plus difficile la détectionpar l’anti-virus en détournant tous les appels au disque.

Table des matières

CONTEXTE ET INTRODUCTION
CHAPITRE 1: GENERALITES SUR LA SECURITE DES INFORMATIONS ET DES RESEAUX
1 Les ressources sensibles
1.1 Les ressources humaines
1.2 Les ressources logicielles
1.3 Les Ressources physiques et matérielles
1.3.1 Les locaux
1.3.2 Les voies d’accès
1.4 Les données
1.4.1 La disponibilité
1.4.2 Le secret
1.4.3 L’intégrité
1.5 La réputation
2 Risques et vulnérabilités liés aux réseaux
2.1 Les vulnérabilités techniques
2.1.1 Vulnérabilité du service TCP/IP
2.1.2 Vulnérabilité des données
2.1.3 Les vulnérabilités dues à l’absence de politique de sécurité.
2.1.4 Les vulnérabilités liées aux erreurs de configuration
CHAPITRE 2: LES ATTAQUES INFORMATIQUES UTILISANT DES TECHNIQUES
1 Chevaux de Troie
1.1 Définition
1.2 Principes
1.3 Modes d’action
1.4 Objectif
1.5 Fonctionnalités
2 Espiogiciels (Spywares)
2.1 Définition
2.2 Objectif
2.3 Les types des Spywares
3 Keyloggers
3.1 Définition
3.2 Objectif
3.3 Modes d’action
3.4 Les Keyloggers logiciels et matériel
4 Virus
4.1 Principes de fonctionnement
4.1.1 Mécanisme de réplication
4.1.2 Charge utile
4.1.3 Déclencheur
4.2 Mécanisme de protection
4.2.1 Compression
4.2.2 Polymorphisme
4.2.3 Furtivité
4.2.4 Multiples phases
4.3 Caractéristiques
4.3.1 La résidence
4.3.2 La cryptographie
4.3.3 Le métamorphisme
4.4 Les catégories de virus
4.4.1 Virus de Zone d’amorce
4.4.2 Virus DOS
4.4.3 Virus Windows
4.4.4 Virus macintosh
4.4.5 Virus Macro
4.4.6 Virus Polymorphe
4.4.7 Virus Furtif
4.4.8 Virus Multi cibles
4.4.9 Virus résidents
4.4.10 Virus de fichiers exécutables
4.4.11 Virus compagnons
4.4.12 Virus défensifs
4.4.13 Virus mailers et mass-mailers
5 Vers (Worm)
5.1 Définition
5.2 Buts
5.3 Mode de propagation
5.4 Mode de fonctionnements
6 Spam
6.1 Définition
6.2 Buts
6.3 Effets du Spam
7 Mail-bombing
7.1 Définition
7.2 Objectif
8 Déni de service (Denial of Service)
8.1 Définition
8.2 Buts
8.3 Mode et techniques d’attaques
CHAPITRE 3: LES AUTRES FORMES DE MENACE
1 Ingénierie Sociale (Social Engineering)
1.1 Le social engineering par téléphone
1.2 Le social engineering par lettre
1.3 Le social engineering par internet
1.4 Le social engineering « in situ »
2 Le Reverse Social Engineering (RSE)
3 Phising
4 Loteries
5 Hoax ou faux virus
6 Scam
7 Les intrusions systèmes
7.1 Les intrusions directes
7.2 Les attaques « man in the middle. »
7.2.1 Le Hijacking
7.2.2 Le TCP-SYN flooding
7.2.3 Le spoofing IP
7.2.4 Les intrusions indirectes par rebond
7.3 L’observation du réseau.
7.3.1 L’examen des paquets (sniffing)
7.3.2 Le détournement de session
CHAPITRE 4: LES CONTRES MESURES
1 Réduire l’accès au réseau par l’utilisation d’un firewall
2 Installer et mettre à jour régulièrement un logiciel d’antivirus
2.1 Automatisation
2.2 Vérification
3 Surveiller les flux d’informations
4 Contrôler les documents provenant de l’extérieur
5 Définir une politique de sécurité interne
5.1 Nécessité d’authentification et d’identification
5.1.1 Mots de passe
5.1.2 Biométrie
6 Crypter les données
7 Sécuriser les données
7.1 Accès physique
7.1.1 Serveur
7.1.2 Réseau
7.1.3 Poste de travail
7.2 Postes distants
7.2.1 VPN
8 Sauvegarder les données
9 Analyser les journaux d’activité
10 Tester les intrusions
CHAPITRE 5: CONCEPTION ET SIMULATION DE QUELQUES MENACES INFORMATIQUES EN RESEAUX (TROJAN, KEYLOGGER, SCANNEUR DE PORT)
1 Les ressources utilisées pour la conception de l’application
1.1 Les ressources logicielles
1.1.1 Le langage C++
1.1.2 Le langage Assembleur
1.1.3 Le Système d’exploitation Microsoft® Windows® XP
1.2 Les ressources matérielles
2 L’application serveur
2.1 Présentation
2.2 Caractéristiques techniques de l’application serveur
3 L’application cliente
3.1 Présentation
3.2 Configuration de la connexion
3.3 Fonction Keylogger
3.4 Fonction déni de service
3.5 Le scanneur de port ou scanneur de sécurité
3.6 Fonction Cheval de Troie
3.7 Le menu aide
3.7.1 Le manuel d’utilisation ou rubrique d’aide
3.7.2 La boîte à propos
CONCLUSION GENERALE
ANNEXES
1 Vocabulaires
1.1 Code malveillant
1.2 Communication client-serveur
1.3 Connexions distantes
1.4 Failles
1.5 Internet Protocol (IP)
1.6 Ports TCP
1.7 Système d’exploitation
1.8 Transmission Control Protocol (TCP)
BIBLIOGRAPHIE
RENSEIGNEMENTS
RESUME

Télécharger le rapport complet