Types de pirates informatiques

Télécharger le fichier pdf d’un mémoire de fin d’études

Couche réseau

La couche réseau traite de tout ce qui concerne l’identification, l’interconnexion des différents sous-réseaux entre eux, l’adressage, le routage, le contrôle de flux, la détection et les corrections d’erreurs dans le réseau, non résolues par la couche liaison de donnée pour préparer le travail de la couche transport.
L’unité d’information de la couche réseau est le paquet.
Exemple : technique de commutation des données.

Couche transport

C’est la couche que les programmeurs d’applications touchent. Toutes celles avant sont peu utiles lors de la programmation d’une application, mais très utile pour développer un système d’exploitation.
La couche transport permet de choisir, en fonction des contraintes de communication, la meilleure façon d’envoyer une information et assure que les messages des utilisateurs connectés au réseau parviennent correctement à leur destinataire : fiabilité du transport des données. La fourniture d’un service fiable la permet d’assurer la détection et la correction des erreurs, ainsi que le contrôle du flux d’informations. Cette couche effectue le réassemblage du message à la réception du message.
Elle a aussi comme rôle de choisir le protocole de transmission et de préparer l’envoi des données. Elle spécifie le numéro de port utilisé par l’application émettrice ainsi que le numéro de port de l’application réceptrice.
L’unité d’information de la couche transport est le segment.
Exemple : fragmentation.

Couche session

On l’appelle aussi couche charnière, couche intermédiaire. C’est la première couche orienté traitement. Elle est la responsable de l’initialisation de la session, de sa gestion et de sa fermeture. Elle permet aussi la gestion du dialogue et décide le mode de transmission qui peut être half duplex, full duplex ou simplex. Cette couche fournit des services à la couche présentation. Cette couche fournit aux entités de la couche présentation les moyens d’organiser et de synchroniser les dialogues et les échanges de données : elle joue le rôle de transmettre les informations de programme en programme.
Exemple : connexion FTP (File Transfer Protocol).

Couche présentation

La couche présentation s’occupe de tout ce qui a trait à la présentation. Elle définit la représentation des informations du point de vu syntaxique pour être compréhensible à l’interlocuteur. Elle assure aussi la conversion, la compression et décompression, le cryptage et décryptage des données.
Exemple : cryptage.

Couche application

Cette couche fournit les services utilisables par les applications installés dans le réseau. C’est l’application lancé par l’utilisateur (logiciel) qui l’utilise.
Exemple : les navigateurs.
Chaque couche fournit à la couche supérieure un service. La couche de niveau N :
 Utilise les services de la couche N-1.
 Fournit un service à la couche N+1.
Les 3 premières couches appelés couches basses sont des couches orientés communication ou transmission. Les 4 dernières couches appelés couches hautes sont des couches orientés traitement.

Méthodologies d’intrusion des pirates

Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le réseau, il en mesure de préparer son intrusion. Pour s’introduire dans le réseau, le pirate a besoin d’accéder à des comptes valides sur les machines qu’il a recensées. Pour ce faire, plusieurs méthodes sont utilisées par les pirates :
 Le social engineering ou l’ingénierie sociale : contacte directe avec les utilisateurs du réseau afin de leur soutirer des informations.
 La consultation de l’annuaire ou des services de messagerie ou de partages des fichiers permettant de trouver des noms d’utilisateurs valides.
 Les attaques par force brute ou force brute cracking qui consiste à essayer de façon automatique différents mots de passe sur une liste de compte.
 L’exploitation des vulnérabilités des commandes R* de Berkeley.

Types de pirates informatiques

De par la nature même de l’Internet, il est extrêmement difficile d’identifier les caractéristiques sociodémographiques des internautes et encore plus, les pirates qui s’y cachent. Les recherches s’entendent cependant sur quelques caractéristiques communes à une grande proportion de pirates. D’autres chercheurs se basent sur les capacités techniques des pirates plutôt que sur leurs motivations pour les distinguer. Ils identifient quatre groupes différents soit :
 les pirates aînés, non criminalisés, qui s’intéressent à la technologie avant tout et qui estiment que toute information devrait être gratuite
 les scripts kiddies qui utilisent des logiciels automatisés pour mener à terme des attaques sans avoir les connaissances nécessaires pour comprendre ce qu’ils font ni créer d’autres outils.
 les criminels professionnels qui se dédient à temps complet au piratage, en font un moyen de subsistance et sont embauchés par les gouvernements, les compagnies et le crime organisé .
 les programmeurs qui produisent le code malicieux utilisé par les autres groupes pour pirater. Cette typologie différencie les amateurs (script kiddies) des professionnels (pirates aînés, professionnels et programmeurs).

Les techniques d’attaques

Les attaques des systèmes informatiques sont de plus en plus automatisées par les pirates. Elles sont basées sur trois principes : l’attaque directe, l’attaque indirecte par rebond et l’attaque indirecte par réponse.

Qu’est-ce qu’une attaque ?

Une attaque est n’importe quelle action qui compromet la sécurité des informations.

Attaque directe

Le pirate attaque directement sa victime à partir de son ordinateur. Les programmes de cracking qu’ils utilisent ne sont que faiblement paramétrables, et un grand nombre de ces logiciels envoient directement les paquets à la machine cible. Ceux qui l’ont utilisé se sont fait prendre par les responsables de sécurité du site piraté parce ils ont oublié d’effacer leurs traces.

Déni de service (denial of service)

Le but d’une telle attaque n’est pas de dérober des informations sur une machine distante, mais de paralyser un service ou un réseau complet. Les utilisateurs ne peuvent plus accéder aux ressources. Par exemple, le ping flood ou l’envoi massif de courrier électronique pour saturer une boîte aux lettres.
La meilleure parade est le pare-feu ou la répartition des serveurs sur un réseau sécurisé.

Ecoute du réseau (sniffing)

Il existe des logiciels qui permettent d’intercepter des informations qui transitent sur un réseau local, en retranscrivant les trames dans un format plus lisible (Network packet sniffing). C’est l’une des raisons qui font que la topologie en étoile autour d’un hub n’est pas la plus sécurisée, puisque les trames qui sont émises sur le réseau local peuvent être interceptées. De plus, l’utilisateur n’a aucun moyen de savoir qu’un pirate a mis son réseau en écoute. L’utilisation d’un commutateur réduit les possibilités d’écoute.
La meilleure parade est l’utilisation de mot de passe difficile à pirater (avec des signes de ponctuation), de carte à puce ou de calculette à mot de passe.

Intrusion

Dans un système informatique, l’intrusion est une attaque et a pour but la réalisation d’une menace. Les conséquences peuvent être catastrophiques. Le principal moyen pour prévenir les intrusions est le coupe-feu (firewall). Il est efficace contre les fréquentes attaques de pirates amateurs, mais d’une efficacité toute relative contre des pirates bien informés et expérimentés.

Usurpation d’identité (Spoofing)

En utilisant les moyens usuels (téléphone, email…) et en usurpant une identité, un pirate cherche à obtenir des renseignements confidentiels auprès du personnel de l’entreprise en vue d’une intrusion future. Seule une formation du personnel permet de se protéger de cette attaque.

Cheval de Troie (Trojan Horse)

Un cheval de Troie est un type de logiciel malveillant et qui est souvent confondu avec les virus. C’est un logiciel en apparence légitime, mais qui contient une fonctionnalité malveillante. Il est d’une apparence inoffensive. Son rôle est de faire entrer le parasite sur l’ordinateur et de l’y installer à l’insu de l’utilisateur. Il prend aussi parfois l’apparence d’un logiciel existant, légitime et parfois réputé, mais qui aura été modifié pour y dissimuler un parasite.
La mesure de protection face aux attaques est d’utiliser un antivirus régulièrement mis à jour. Un nettoyeur de troyens peut aussi s’avérer utile.

Comment se protéger ?

Heureusement, il existe des logiciels et méthodes permettant de mettre en place une politique de sécurité et ainsi éviter certaines attaques : protection par mot de passe, désactivation des services non exploités, antivirus, pare-feu, filtrages des adresses MAC.
Un antivirus est un logiciel qui a pour but de détecter et de supprimer les virus d’un système informatique. Pour y arriver, l’antivirus dispose de plusieurs techniques comme la recherche par la signature qui consiste à analyser l’ensemble de la mémoire de stockage (disque dur), ou l’analyse heuristique qui consiste à simuler le comportement des logiciels, ou encore l’analyse du comportement qui consiste à surveiller les logiciels actifs.

Le pare-feu ou firewall

Un pare-feu est un système permettant de séparer un réseau interne d’un réseau externe (Internet). C’est en réalité l’élément qui permet de distinguer la partie privée du réseau de la partie publique comme Internet. Il permet de filtrer les communications dans les deux sens et ainsi de protéger le réseau privé d’éventuelles attaques provenant d’Internet, et peut également contrôler certaines actions effectuées de l’intérieur du réseau privé.

Filtrage par nom de domaine

Le filtrage par nom de domaine consiste à interdire l’accès et les connexions aux serveurs identifiés par le nom de domaine incriminé.
Efficacité : La facilité de contournement est existante : un tel blocage n’empêche aucunement l’accès au site par les adresses IP directement. De plus, changer de nom de domaine est une opération rapide et quasi triviale. Les moyens de communication du nouveau nom sont ensuite nombreux (réseaux sociaux, tchat, forums spécialisés…).
Le risque de sous-blocage est existant : un tel blocage n’empêche aucunement l’accès au site par d’autres noms de domaine.
Le risque de sur-blocage est important : plusieurs milliers de sites Web pourraient être bloqués en même temps que le site visé, par exemple le seul blocage de ‘wordpress.com’ entrainerait le blocage des centaines de milliers de blogs.
On peut conclure que le filtrage d’un site Web par nom de domaine du site n’est que faiblement efficace.

Filtrage par URL

Le filtrage par URL (Uniform Resource Locator) consiste à inspecter les requêtes http (HyperText Transfer Protocol) et de filtrer toutes les requêtes vers l’URL incriminée.
L’utilisation d’un proxy par lequel transiteraient toutes les requêtes HTTP permettrait de faciliter un tel filtrage.
La facilité de contournement est existante : le filtrage par URL ne peut notamment s’appliquer aux sites auxquels on accède en HTTPS (HyperText Transfer Protocol Secured) à moins de casser la sécurité du protocole de chiffrement SSL (Secure Socket Layer).
Le risque de sous-blocage est important : il sera difficile de référencer l’intégralité des URL à filtrer.
Le risque de sur-blocage est minime.
On peut conclure que le filtrage d’un site Web par URL est relativement efficace.

Filtrage simple de paquets

Un système pare-feu fonctionne sur le principe du filtrage simple de paquets en anglais « stateless packet filtering ». Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure. Ainsi, les paquets de données échangées entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :
 adresse IP de la machine émettrice .
 adresse IP de la machine réceptrice .
 type de paquet (TCP, UDP, …) .
 numéro de port (un port est un numéro associé à un service ou une application réseau).
Les adresses IP contenues dans les paquets permettent d’identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.

Filtrage dynamique

Le filtrage simple de paquets ne s’attache qu’à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d’assurer le bon déroulement des échanges. D’autre part, de nombreux services, le FTP (File Transport Protocol) par exemple, initient une connexion sur un port statique, mais ouvrent dynamiquement un port afin d’établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour y remédier, le système de filtrage dynamique de paquets est basé sur l’inspection des couches 3 et 4 du modèle OSI, permettant d’effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est « stateful inspection ».

Un dispositif pare-feu de type « stateful inspection » est ainsi capable d’assurer un suivi des échanges, c’est-à-dire de tenir compte de l’état des anciens paquets pour appliquer les règles de filtrage. De cette manière, à partir du moment où une machine autorisée initie une connexion à une machine située de l’autre côté du pare-feu; l’ensemble des paquets transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de l’exploitation des failles applicatives, liées aux vulnérabilités des applications. Or ces vulnérabilités représentent la part la plus importante des risques en termes de sécurité.

Table des matières

INTRODUCTION GENERALE
1.1 Introduction
1.2 Présentation générale des réseaux
1.2.1 Réseau Télécom
1.2.2 Réseau Internet
1.3 Topologie
1.3.1 Définitions
1.3.2 Topologie en bus
1.3.3 Topologie en étoile
1.3.4 Topologie en anneau
1.3.5 Topologie maillé
1.4 Classification réseau
1.4.1 Personal Area Network (PAN)
1.4.2 Local Area Network (LAN)
1.4.3 Metropolitan Area Network (MAN)
1.4.4 Wide Area Network (WAN)
1.5 Adressage par classe
1.5.1 Quelques définitions
1.5.2 Classe A
1.5.3 Classe B
1.5.4 Classe C
1.5.5 Classe D
1.5.6 Classe E
1.6 Modèle OSI
1.6.1 Couche physique
1.6.2 Couche liaison de données
1.6.3 Couche réseau
1.6.4 Couche transport
1.6.5 Couche session
1.6.6 Couche présentation
1.6.7 Couche application
1.7 Architecture TCP/IP
1.7.1 Couche accès réseau
1.7.2 Couche Internet
1.7.3 Couche transport
1.7.3.1 Protocole TCP
1.7.3.2 Protocole UDP
1.7.4 Couche application
1.8 Les équipements réseaux
1.8.1 Câble Ethernet
1.8.2 Carte réseau
1.8.3 Commutateur
1.8.4 Concentrateur
1.8.5 Routeur
1.8.6 Répéteur
1.8.7 Pont
1.8.8 Transceiver
1.9 Conclusion
2.1 Introduction
2.2 Le piratage informatique
2.2.1 Les pirates informatiques
2.2.2 Méthodologies d’intrusion des pirates
2.2.3 Types de pirates informatiques
2.2.4 Les techniques d’attaques
2.2.4.1 Qu’est-ce qu’une attaque ?
2.2.4.2 Attaque directe
2.2.4.3 Attaque indirecte par rebond
2.2.4.4 Attaque indirecte par réponse
2.2.5 Les outils
2.3 La sécurité informatique
2.3.1 Objectif de la sécurité informatique
2.3.2 Failles de sécurité
2.3.2.1 Virus
2.3.2.2 Déni de service (denial of service)
2.3.2.3 Ecoute du réseau (sniffing)
2.3.2.4 Intrusion
2.3.2.5 Usurpation d’identité (Spoofing)
2.3.2.6 Cheval de Troie (Trojan Horse)
2.3.3 Comment se protéger ?
2.4 Le pare-feu ou firewall
2.4.1 Les deux principaux types de firewall
2.4.1.1 Firewall IP Filter ou Chokes
2.4.1.2 Gates
2.4.2 Fonctionnement d’un système firewall
2.4.3 Les limites du firewall
2.5 PROXY
2.6 Filtrages
2.6.1 Quelques définitions
2.6.2 Différence entre blocage et filtrage
2.6.3 Efficacité d’un filtrage
2.6.4 Filtrage site web
2.6.4.1 Filtrage par IP
2.6.4.2 Filtrage par nom de domaine
2.6.4.3 Filtrage par URL
2.6.5 Filtrage simple de paquets
2.6.6 Filtrage dynamique
2.6.7 Filtrage applicatif
2.6.8 Filtrage des adresses MAC
2.6.8.1 Avantage du filtrage des adresses MAC
2.6.8.2 Inconvénients du filtrage des adresses MAC
2.7 La cryptographie
2.7.1 Historique
2.7.2 Définitions
2.7.3 Principaux systèmes de chiffrement
2.7.3.1 Systèmes classiques
2.7.3.2 Systèmes modernes
2.7.3.3 Systèmes de chiffrement quantique
2.8 Conclusion
3.1 Introduction
3.2 Présentation des logiciels
3.2.1 Oracle VM VirtualBox
3.2.2 PuTTY
3.2.3 WinSCP
3.2.4 Navigateur web
3.3 IPCOP
3.4 Etapes de l’installation d’IPCOP
3.5 Description d’IPCOP
3.5.1 Boutons de gestion de la communication
3.5.2 Les onglets
3.5.3 Accès à distance via un accès Telnet sur SSH
3.5.4 Accès à distance via un navigateur
3.6 Configurations
3.6.1 Les add-on (plug-ins)
3.6.2 Installation des add-on
3.6.3 Configuration du proxy
3.6.3.1 Serveurs mandataires disponibles avec dispositif de filtrage intégré
3.6.3.2 Le logiciel SquidGuard
3.6.4 Configuration du filtre
3.6.5 Configuration du BOT
3.6.5.1 Ajout des services d’accès à IPCOP
3.6.5.2 Ajout des nouvelles règles
3.6.6 Activation de Snort (détection d’intrusion)
3.7 Résultats
3.7.1 Filtrage des adresses MAC
3.7.2 BOT
3.7.3 Authentification Proxy
3.7.4 Détection d’intrusion
3.8 Conclusion
CONCLUSION GENERALE
ANNEXE 1
ANNEXE 1 : RESEAU SANS FIL
ANNEXE 2
ANNEXE 2 : TELNET, SSL, SSH et IPSEC
ANNEXE 3
ANNEXE 3 : COMMANDE LINUX
ANNEXE 4
ANNEXE 4 : ARBORESCENCE DE LINUX
BIBLIOGRAPHIE

Télécharger le rapport complet