Mise en place d'un crypto systeme pour la sécurité des donnée et la détection d'intrusion dans un supermarché

1.4. LES PRINCIPALES TECHNIQUES ET LES PLUS REPANDUES, QUI PERMETTENT D'EFFECTUER CES ATTAQUES.

1.4.1. Malveillance informatique

Parmi les multiples procédés d'attaque contre le système d'information, il y a de logiciels malveillants qui se répandent en général par le réseau, soit par accès direct à l'ordinateur attaqué, soit cachés dans un courriel ou sur un site Web attrayant, mais aussi éventuellement par l'intermédiaire d'une disquette, d'une clé USB ou d'un CD-Rom. La destination de ces logiciels est de s'installer sur l'ordinateur dont ils auront réussi à violer les protections pour y commettre des méfaits, et aussi pour se propager vers d'autres victimes.

1.4.2. Formes de malveillances

Longtemps les actes de malveillance informatique tels que ceux que nous venons de décrire furent le plus souvent le fait de jeunes gens motivés par la recherche de la renommée parmi leurs collègues pirates (le script kiddies).1(*) Les auteurs de logiciels malveillants sont souvent dotés de compétences techniques élevées, nécessaires pour détecter et exploiter des vulnérabilités souvent subtiles ; ils mettent ensuite leurs logiciels à la disposition de la communauté, et des pirates peu qualifiés peuvent facilement les utiliser. Il est donc faux que tous les pirates soient des experts de haut niveau, la plupart sont des ignorants qui se contentent de lancer sur le réseau des logiciels nuisibles écrits par d'autres. Cette malveillance « sportive » (et néanmoins criminelle) cède de plus en plus de terrain à une malveillance à but lucratif.

Voici quelques formes de malveillances  qui nuisent nos machines et données :

a. Les bombes e-mail :

Une bombe e-mail consiste par l'envoi d'un grand nombre de messages vers une boite aux lettres. Le but est de remplir la boite le plutôt possible. Ce genre d'attaque peut mener au refus de service.

b. TCP SYN Flooding  :

Quand un système client essaie d'établir une connexion TCP à un système fournissant un service (le serveur), le client et le serveur échangent une séquence de messages suivant le schéma ci-dessous :

Les abus viennent au moment où le serveur a renvoyé un accusé de réception du SYN (ACK-SYN) au client mais n'a pas reçu le « ACK » du client. C'est alors une connexion à demi-ouverte. Le serveur construit dans sa mémoire système une structure de données décrivant toutes les connexions courantes. Cette structure de données est de taille finie, ce qui veut dire qu'il peut se créer un dépassement de capacité en créant intentionnellement trop de connexions partiellement ouvertes.

L'ordinateur de l'agresseur envoie des messages SYN à la machine victime; ceux-ci paraissent provenir d'un ordinateur bien défini mais qui en fait, fait référence à un système client qui n'est pas capable de répondre au message SYN-ACK. Ce qui veut dire que le message ACK de confirmation finale ne sera jamais renvoyé au serveur victime.

Normalement, il y a un système de « time-out » (i.e. si le système attend un événement particulier, au bout d'un certain temps, il considère que cet événement n'apparaîtra plus et génère une erreur ou un message) associé à chaque connexion ouverte, donc les demi- connexions devraient expirer et le serveur victime ainsi récupérer de la place libre dans sa mémoire pour d'autres connexions. Toutefois, le système agresseur continue d'envoyer des paquets plus vite que le temps nécessaire au serveur pour faire expirer les demi-connexions.

La localisation de l'attaque est très complexe car les adresses contenues dans les paquets SYN envoyés sont très souvent falsifiées. Il n'y a donc pas de moyens pour déterminer sa véritable source. Internet faisant suivre les paquets grâce à l'adresse de destination, le seul moyen de s'affranchir de ces attaques est de valider la source d'un paquet en utilisant le filtrage.

c. Attaque par spoofing :

Le spoofing est une technique qui permet à une machine d'être authentifiée auprès d'une autre au moyen de paquets semblant émaner d'une adresse source approuvée.

c. 1. Spoofing IP ou Le vol de session (hijacking):

Le simple fait que la procédure d'authentification d'une adresse source soit imparfaite n'entraîne pas forcément une attaque par spoofing IP. Le processus de connexion nécessite d'avantage qu'une simple adresse IP. Il requiert un dialogue complet et soutenu entre les machines.

Les étapes qu'un pirate doit accomplir sont :

ü Identifier les cibles.

ü Immobiliser l'hôte.

ü Contrefaire l'adresse de l'hôte.

ü Se connecter à la cible en se faisant passer pour l'hôte.

ü Deviner le numéro de séquence exact demandé par la cible.

Avoir l'adresse IP de la cible est relativement simple, mais pas pour deviner le bon numéro de séquence correct. Pour cela le pirate doit contacter la cible pour demander une connexion, la cible répond en envoyant des paquets avec des numéros de séquence que le pirate doit étudier plus tard pour déterminer l'algorithme utilisé à leur génération.

Pour éviter que la machine de confiance ne puisse répondre au serveur lorsque celui-ci répond aux datagrammes falsifiés, il est important d'invalider la machine de confiance. Ceci est généralement effectué par le biais de TCP SYN flooding (connexions en masse).

Une fois que la procédure de connexion et d'authentification sont accomplies, le pirate doit créer une faille qui lui permettra de compromettre le système sans avoir à reproduire l'attaque par spoofing une autre fois, en écrivant par exemple dans le fichier qui est chargé de définir le type de connexions à accepter.

c. 2. Spoofing ARP :

Le spoofing ARP est une technique qui modifie le cache ARP.

Le cache ARP contient une association entre les adresses matérielles des machines et les adresses IP. L'objectif du pirate est de conserver son adresse matérielle, mais d'utiliser l'adresse IP d'un hôte approuvé. Ces informations sont simultanément envoyées vers la cible et vers le cache. A partir de cet instant, les paquets de la cible sont routés vers l'adresse matérielle du pirate.

c. 3. Spoofing DNS :

Dans ce cas le pirate cherche à compromettre le serveur de noms et modifie les tables de correspondances noms d'hôte - adresses IP. Ces modifications sont reportées dans les bases de données de traduction du serveur DNS. Ainsi lorsqu'un client émet une requête, il reçoit une adresse IP fictive, celle d'une machine totalement sous le contrôle du pirate.

d. Chevaux de Troie ou trojans:

Un cheval de troie est un programme ou un code non autorisé, placé dans un programme sain, soit par ajout ou par modification du code existant. Il peut se cacher dans n'importe qu'elle application ou système d'exploitation. Ce code intrus exécute des fonctions indésirables sous couvert de fonctions connues et nécessaires.

Ce code peut parfois s'apparenter à une autre catégorie de dispositif nuisible, les virus, qui peuvent se dissimuler dans des programmes normalement utiles.

Le principe de l'attaque par "Trojans" est d'entrer sur le système de la victime par le biais d'un logiciel qu'il aurait volontairement exécuté. Cette attaque est rendue possible par l'intermédiaire d'un code parasite ajouté dans le logiciel à son insu. Un fichier exécutable reçu par E-mail peut tout à fait contenir un cheval de Troie. En effet, le trojans est un logiciel de très petite taille (quelques lignes de code seulement) qui est dissimulé au sein d'un autre programme (c'est l'hôte) qu'on utilise.

En lançant ce dernier, on active par la même occasion, le trojans caché qui ouvre alors une ou plusieurs portes virtuelles (ports) sur la machine cible. Il permet ainsi au hacker de s'introduire avec grande facilité sur le système à notre insu : le cheval de troie devient alors autonome, même si on quitte le programme qui lui a permis de s'activer.

e. Les virus :

e. 1. Définition :

Les virus sont les programmes destructeurs les plus dangereux. Ils sont capables de détruire des données, ils peuvent même invalider une machine.

Ce sont des programmes qui s'attachent aux fichiers situés sur la machine cible, y ajoutant son code initial. Cette procédure est appelée « Infection ».

Lorsqu'un fichier est infecté, il devient porteur, ainsi il peut infecter d'autres fichiers. A travers ce processus qui s'appelle « reproduction », les virus peuvent se propager sur un disque dur, infectant ainsi le système tout entier.

La plupart des virus fonctionnent de la même manière que les programmes résidants (TSR, Terminâtes and Stay Résident). Ils sont constamment en alerte et surveillent les activités sur le système. Lorsqu'une activité correspond à un certain critère, comme le lancement d'un fichier exécutable, le virus entre en action, s'attachant au programme actif.

e. 2. Différents types de virus :

Certains virus sont plus difficiles à détecter que d'autres, car ils peuvent avoir des techniques pour ne pas être enrayés.

* ¹ www.sécuritéinformatique.com