Sécurité informatique

- Séance 2 -

Interv. SERNANE SOUFIANE

Chapitre 2 :

NOTIONS DE BASE DE LA
SÉCURITÉ DES SYSTÈMES
D’INFORMATION (SI)
 Partie 1 :
Dans cette partie , vous allez :
 Découvrir les notions de base de la
sécurité
 Identifier et classifier les attaques de
sécurité d’un système d’information
 PLAN :

1. Importance de la sécurité dans

les SI
2. Terminologie et définitions
3. Objectifs et propriétés de la
sécurité
 Importance de la sécurité dans les SI :

De nous jours, les organisations comptent

beaucoup sur l’utilisation des nouvelles
technologies afin d’acquérir une meilleur
efficacité et productivité dans l'exécution de

leurs tâches quotidiennes.

 Importance de la sécurité dans les SI :

En effet, l’utilisation des équipements informatiques

(tel que les ordinateurs, les supports de stockages,
etc.), des systèmes d’information (tel que les
systèmes d’information opérationnels, les systèmes
d’aide à la décision, les systèmes de gestion, etc.),
et du réseau Internet sont devenus primordiaux
dans la plupart de organisations.
 Importance de la sécurité dans les SI :

Cependant, les nouvelles technologies, plus

particulièrement Internet, exposent leurs
utilisateurs à plusieurs attaques de sécurité. En
plus des technologies (informatique, internet, et
ses services) qui évoluent en parallèle avec les
attaques de sécurité et leurs diversifications.
Importance de la sécurité dans les SI :
Importance de la sécurité dans les SI :
Importance de la sécurité dans les SI :
 Importance de la sécurité dans les SI :
- Un système d’information contient généralement
toutes les informations sensibles d’une entreprise, y
compris les informations relatives à son
fonctionnement, sa clientèle, ses produits, etc.
- Certaines attaques de sécurité visant les systèmes
d’information peuvent causer une suppression,
altération, falsification, ou diffusion des informations
sensibles dont elles effectuent leurs traitements. Ce
qui pourrait induire plusieurs risques graves à
l’entreprise tel que pertes financières, perte de la
confiance de sa clientèle, perte de son image de
marque, etc.
 Importance de la sécurité dans les SI :
- Par conséquent, la protection des systèmes
d’information contre les attaques de sécurité est
primordiale.
- La protection des systèmes d'information et leurs
résistances aux attaques de sécurité permet à leur
entreprise de :
+ Garantir la protection des informations sensibles ;
+ Assurer la continuité de ses activités et par
conséquent préserver la confiance de ses clients ;
+ Se protéger contre les risques potentiels.
 PLAN :

1. Importance de la sécurité dans

les SI
2. Terminologie et définitions
3. Objectifs et propriétés de la
sécurité
 Classification de la sécurité :
La sécurité fait référence à l’ensemble des outils,
méthodes, et/ou techniques permettant de protéger
des actifs contre des dommages potentiels et le
rendre sûr.
Différentes classes de sécurité peuvent être
distinguées :
* La sécurité de l’information : adresse la
protection des informations (ou des données) dans
tous les processus de traitement de l’information
contre les dommages potentiels tel que la
falsification, la suppression, ou la diffusion de
l’information aux entités non autorisés.
 Classification de la sécurité :

* La sécurité physique: se réfère

au contrôle de l'accès physique aux
ressources matérielles et/ou
logicielles et à leurs protections
contre les dommages physiques et
le vol, grâce à l'utilisation des outils
et/ou techniques de défense.
 Classification de la sécurité :

* La sécurité informatique: adresse la

protection d'un système informatique par
la prévention, la détection et la réduction
des conséquences des actions non
autorisées exécutées par les utilisateurs
(autorisés et/ou non autorisés). Elle
adresse également la protection de
l’information durant son traitement et
son stockage.
 Classification de la sécurité :

* La sécurité des communications:

consiste à protéger :
- Les systèmes informatiques connectés
à un réseau de communication (tel que
le réseau internet).
- Les informations circulant dans un
réseau informatique contre les
dommages potentiels.
 Classification de la sécurité :
* La sécurité des opérationnelle: consiste à
protéger les opérations d’une organisation pour
empêcher les dommages potentiels visant les
informations sensibles échangés (ou traités ) durant
une opération.
La sécurité opérationnelle se réfère à la mise en
place des mesures de sécurité suite à un processus
de gestion de risques.
Un processus de gestion de risque analyse les
opérations d’une organisation du point de vue
pirate, pour identifier les risques de sécurité.
Classification de la sécurité :
 Actifs :
• Un actif se réfère à tout ce qui a de la
valeur pour une entité (une organisation ou
une personne) et qui nécessite donc d’être
protégé par des mesures de sécurité.
• Un actif peut être définit comme un bien,
ayant la forme d’une donnée, appareil, ou
composant, qui pourrait être consulté, utilisé,
divulgué, détruit et/ou volé de manière illicite
et entraîner une perte.
 Actifs :
• Différent types d’actifs peuvent être
distingués :
 Actifs :
• Différent types d’actifs peuvent être
distingués :
 Actifs :
• Différent types d’actifs peuvent être
distingués :
 Actifs :
• Différent types d’actifs peuvent être
distingués :
 Vulnérabilité, Menace et Attaque :
Vulnérabilité : La faiblesse d’un actif (ou d’une
ressource) l’expose à des menaces internes et
externes pouvant entraîner des défaillances ou des
violations.
Les faiblesses peuvent être inhérentes à la
conception, à la configuration, ou à la mise en
œuvre d’un actif. Les mauvaises pratiques lors de
l’utilisation d’un actif, tel que l’utilisation des mots de
passes faibles pour accéder à cet actif, peuvent être
aussi des sources de faiblesses.
 Vulnérabilité, Menace et Attaque :
Menace : Un potentiel de violation de la sécurité qui
pourrait exploiter une ou plusieurs
vulnérabilités d’un actif pour causer son
dysfonctionnement ou l’altération de l’information
qu’il l’endommager.
 Vulnérabilité, Menace et Attaque :
Attaque : Une action ou un évènement non
autorisée délibérée sur un actif pour causer
son dysfonctionnement ou l’altération de
l’information qu’il stocke.
 Acteur de menace, Victime, Risque et
Contre-mesures:
Acteur de menace (Agent de menace) : Une
entité qui exécute et réalise une action de
menace. Un agent de menace peut être :
+ Une personne ou groupe de personnes qui
sont souvent des employés de l’entreprise ou
des pirates ;
+ Un programme malveillant tel que les virus ;
+ La nature lorsque la menace réalisée est une
menace naturelle comme les tempêtes ou les
inondations.
 Acteur de menace, Victime, Risque et
Contre-mesures:

Victime:
Une La cible d’une attaque de sécurité.
Elle est généralement une entité (une
personne, groupe de personnes,
organisations) qui possède un ou un
ensemble d’actifs menacés par des
attaques de sécurité.
 Acteur de menace, Victime, Risque et
Contre-mesures:

Risque:
Une mesure qui évalue la combinaison du
niveau de la gravité des conséquences
de l’apparition d’une attaque de sécurité
et la probabilité d’occurrence associée.
 Acteur de menace, Victime, Risque et
Contre-mesures:
Mesures de sécurité (Contre-mesures) :
Les techniques, méthodes, et/ou outils
permettant la détection, la prévention ou
la récupération des attaques de sécurité.
Terminologie et relations :
Terminologie et relations :
Terminologie et relations :
Terminologie et relations :
Terminologie et relations :
 PLAN :

1. Importance de la sécurité dans

les SI
2. Terminologie et définitions
3. Objectifs et propriétés de la
sécurité
 Disponibilité, Intégrité, Confidentialité (DIC) :

Pour assurer la sécurité de l’information,

au moins les trois principaux objectives
de la sécurité (souvent appelés triade
DIC), que sont la disponibilité, l’intégrité
et la confidentialité, doivent être atteints.
La définition de ces trois objectives est
fournie par la suite :
 Disponibilité, Intégrité, Confidentialité (DIC) :

Disponibilité : exige qu’une ressource soit disponible et/ou

fonctionnelle lorsqu' une entité autorisée la demande ;
 Disponibilité, Intégrité, Confidentialité (DIC) :

Intégrité : exige que les actifs n’ont pas été modifié, détruit, falsifié,
ou perdu d’une manière non autorisée ou accidentelle ;
 Disponibilité, Intégrité, Confidentialité (DIC) :

Confidentialité : exige que les données ne soient pas divulguées aux

entités à moins qu'elles n'aient été autorisées à accéder et à
connaitre ces données.
 Liste exhaustive des objectives de sécurité :

Une liste exhaustive d'objectifs relatifs à

la sécurité de l’information comprend, en
plus des objectives DIC, les éléments
suivants :
+ Authenticité : exige d'être authentique
et de pouvoir être vérifié, et digne de
confiance.
 Liste exhaustive des objectives de sécurité :

Une liste exhaustive d'objectifs relatifs à

la sécurité de l’information comprend, en
plus des objectives DIC, les éléments
suivants :
+ Contrôle d'accès: exige que l'accès à
un actif ou une ressource soit contrôlée
pour assurer que l’accès n’est possible
que pour les entités autorisées ;
 Liste exhaustive des objectives de sécurité :

+ Non-répudiation : exige que les entités

participantes à un évènement ou
exécutant une action (tel que l’échange
des messages , l’exécution des
transactions, etc.) ne peuvent pas nier
leur participation à cet évènement, ou
l’exécution de cette action,
respectivement.
 Liste exhaustive des objectives de sécurité :

+ Traçabilité : exige de suivre les

actions exécutées par une entité
durant son accès à un actif et de
journaliser des informations
décrivant les actions exécutées
 Partie 2 :
Dans cette partie , vous allez :
 Classifier les attaques de sécurité et les
hackers
 Présenter les attaques internes et les
attaques externes
 Mettre l’accent sur le besoin de
l’identification des
 vulnérabilités
 PLAN :
1. Classification des attaques et des hackers
2. Attaques internes
3. Attaques externes
4. Besoin d’identification des vulnérabilités
 Classification des pirates :

Différents types de pirates peuvent être

distingués selon leurs niveau d’expertises
et/ou leurs intentions, lors de l’exécution des
attaques :
 Classification des pirates :

+ Les White hat hackers (les pirates chapeau

blanc) : ce sont souvent des experts en sécurité qui
explorent en profondeur les systèmes d’information,
afin de découvrir les vulnérabilités des ses
systèmes et de les reporter aux responsables afin
de les améliorer.
 Classification des pirates :

+ Les Black hat hackers (les pirates chapeau

noir) : ce sont des pirates, qui ont des mauvaises
intentions et dont la principale motivation est de
nuire aux systèmes d’information visés.
 Classification des pirates :

+ Les Crackers : ce sont des pirates dont la

principale motivation est de surmonter les outils de
protections des logiciels payant, grâce à des
programmes logiciels (appelés souvent crack)
développés.
 Classification des pirates :

+ Les script-kiddies : ce sont souvent des pirates

non experts en sécurité qui réalisent leurs attaques
de sécurité avec des outils et des logiciels existants.
 Classification des pirates :

+ Hacktivistes : ce sont des pirates dont la

motivation principale est idéologique. Ils recourent
généralement à l’attaque par déni de service.
Anonymous est un exemples de Hacktivistes
 Classification des attaques :

Les attaques de sécurité peuvent être classées en

fonction de la propriété de sécurité visée. Quatre
catégories d’attaques peuvent être distinguées :
l’interruption, l’interception, la modification et la
fabrication.
 Classification des attaques :

Un actif est détruit devient indisponible.

C’est une attaque qui vise la

disponibilité.
 Classification des attaques :

Un intrus (une entité non autorisée)

accède à un actif.

C’est une attaque qui vise la

confidentialité.
 Classification des attaques :

Un intrus (une entité non autorisée)

insère un faux objet un actif.

C’est une attaque qui vise

l’authenticité.
 Classification des attaques :

Un intrus (une entité non autorisée) non

autorisé accède à un actif et le modifie.

C’est une attaque qui vise

l’intégrité.
 Classification des attaques :
Un autre moyen de classification d’attaque de sécurité, qui a
été utilisée à la fois dans X.800 et RFC 2828, classifie les
attaques de sécurité en fonction de leurs effets sur les
ressources visées. Dans cette classification, deux classes
d’attaques de sécurité sont distinguées :

+ les attaques passives

+ les attaques actives.

 Classification des attaques :
Les attaques passives :

Dans ce type d'attaque, l'objectif de l'intrus est de collecter

des informations concernant les ressources et les actifs sans
réaliser aucune modification affectant l’information ou la
ressource visée.

Deux types d'attaques passives peuvent être distinguées,

qui sont :

+ La lecture du contenu des messages

+ l’analyse du Traffic.
 Classification des attaques :

+ La lecture du contenu des messages

Ce type d’attaque est possible lorsque le contenu des

messages échangés entre deux entités est un texte en claire
(c.à.d., un texte non chiffré).

Dans ce type d’attaque, l’intrus peut collecter et lire des

messages (ou écouter une communication vocale) échangés
entre deux entités
 Classification des attaques :

Exemple :
 Classification des attaques :

+ Analyse de trafic :

ce type d’attaque est exécuté lorsque le contenu des messages

échangés est masqué (souvent en utilisant le cryptage). En fait,
même en implémentant des mesures permettant de masquer le
contenu des messages, l’intrus reste en mesure de collecter les
messages, d’observer et d’analyser leurs structures, leurs motifs
et/ou la fréquence des échanges. Le résultat de l’analyse lui
permet de deviner la nature de la communication et d’exécuter
d’autres attaques de sécurité plus sophistiquées.
 Classification des attaques :

Exemple :
 Classification des attaques :

Les attaques passives sont difficiles à détecter, puisqu’elles

n’induisent aucune altération des données. Cependant, ce
type d’attaques pourrait être empêché au moyen du
cryptage. Par conséquent, le traitement des attaques
passives doit être basé sur la prévention plutôt que sur la
détection.
 Classification des attaques :

+ les attaques actives:

Dans ce type d’attaque, l’objectif de l’intrus est de modifier les

ressources et/ou d’affecter leur fonctionnement. Cela consiste
souvent à une modification du flux de données ou à la création
d'un faux flux. Quatre catégories d’attaques actives peuvent être
distinguées : ** Mascarade

** Rejeu

** Modification des messages

** Déni de service
 Classification des attaques :

** Mascarade :

Cette attaque se réalise lorsqu’une entité fait

semblant d’être une entité différente. Malgré le fait
que le message reçu par le destinataire ait été
envoyé par l’intrus, le destinataire croit que
l’expéditeur est à l’origine du message.
 Classification des attaques :

Exemple :
 Classification des attaques :

** Rejeu :
L’attaque de rejeu consiste à capturer une unité de données
(ou un trafic de données) et la retransmet ensuite, sans
effectuer aucune modification, pour réaliser un effet non
autorisé. L’intrus exécute une attaque passive et capture le
message envoyé par l’expéditeur au destinataire. Par la
suite, l’intrus renvoie le message capturé. L’exécution d’une
attaque pourrait faire croire au destinataire que ce message
est envoyé par l’expéditeur.
 Classification des attaques :

Exemple :
 Classification des attaques :

** Modification des messages :

pour réaliser cette attaque, l’intrus modifie une partie d'un
message capturé, ou retarde ou réorganise un ensemble de
messages qui ont été capturés pendant une session

légitime, pour produire un effet non autorisé.

 Classification des attaques :

Exemple :
 Classification des attaques :

** Déni de service :
c’est une attaque qui pourrait se présenter sous
plusieurs formes. Son objectif principal est
d’empêcher ou d’entraver l’exécution des services
visées. Exemples de formes d’attaques de déni de
services :
 Classification des attaques :

** Déni de service :
+ La suppression de tous les messages dirigés vers une destination
particulière.

+ la surcharge d’une destination particulière avec des faux messages

pour dégrader ses performances et l’empêcher de répondre aux
messages légitimes.

+ l’interruption de l’ensemble du réseau (en le désactivant, le

surchargeant, ou en provoquant une interférence) pour empêcher la
réception des messages envoyés par des entités autorisées.
 Classification des attaques :

Exemple :
 Classification des attaques :
Un autre moyen de classification des attaques de
sécurité se base sur le périmètre et l’entité
responsable de l’exécution de l’attaque de sécurité
par rapport au périmètre de l’organisation. Dans
cette classification, deux classes d’attaques de
sécurité peuvent être distinguées :

++ les attaques internes

++ les attaques externes.

 Classification des attaques :

++ les attaques internes

Ce type d’attaque est exécutée ou bien par

une entité interne à l’organisation ou par une
entité étroitement liée à cette organisation via
un accès direct ou indirect à ses actifs afin de
les endommager.
 Classification des attaques :
- Les entités internes à une organisation sont souvent ses
employés qui peuvent avoir des intentions malicieuses ou
qui négligent les bonnes pratiques et les mesures adéquates
de la sécurité.

- Les entités liées à l’organisation peuvent être des clients,

des prestataires, des partenaires, des collaborateurs, etc...

Le point commun des deux types d’entités cités

précédemment est qu’ils peuvent bénéficier d’un accès
direct ou indirect aux ressources de l’organisation victime.
 Classification des attaques :

++ les attaques externes

Ce type d’attaque est exécuté par une entité externe à

l’organisation (c.à.d., qui ne dispose d’aucun lien avec
cette organisation). Cependant, pour mener des
attaques de sécurité, cette entité externe exploite les
failles des réseaux de communication (tel que internet)
et/ou celles des systèmes informatiques mis en place
dans l’organisation.
 PLAN :
1. Classification des attaques et des hackers
2. Attaques internes
3. Attaques externes
4. Besoin d’identification des vulnérabilités
Attaques internes : Statistiques
Attaques internes : Statistiques
Attaques internes : Statistiques
 Attaques internes : Classification

Les attaques internes peuvent être classifiées

selon le type d’employés qui sont à l’origine
des attaques internes. Ci-dessous une figure
qui présente quatre types d’employés
pouvant être la cause principale de
l’apparition d’une attaque interne dans une
organisation.
 Attaques internes : Classification
Employé inconscient : c’est un employé qui a souvent un accès
privilégié aux données sensibles (c.à.d., des données commerciales
précieuses) de l’entreprise et qui ne reconnaît pas la valeur de ces
données, ne comprend pas l'importance de la sécurité, et souvent
n’applique pas les bonnes pratiques de la sécurité.
 Attaques internes : Classification
Employé négligent : c’est un employé qui n’a pas été formé et ne
connaît pas les menaces de sécurité potentielles ou qui contourne
simplement les mécanismes de sécurité pour des raisons d’efficacité
dans le travail .Ce type d’employé est généralement le type d’employé le
plus vulnérable à l'ingénierie sociale.
 Attaques internes : Classification
Employé malveillant : c’est un employé qui vole intentionnellement
des données des l’entreprise, les détruit ou les publie pour se venger
(par exemple, un employé qui supprime les données de l’entreprise
avant de quitter son poste actuel).
 Attaques internes : Classification

Employé professionnel : c’est un employé qui qui a un

bon niveau d’expertise dans d’employé exploite les
vulnérabilités de l'entreprise et revend des informations
privées à des concurrents.
 Exemple d’attaque interne : Ingénierie
Sociale et Hameçonnage

L’attaque d’ingénierie sociale (Social

engineering, en anglais) est parmi les attaques
internes qui visent à tromper ou à manipuler les
employés de l’entreprise pour les amener à
enfreindre les procédures de sécurité mises en
place.
 Exemple d’attaque interne : Ingénierie
Sociale et Hameçonnage

Le principe de l’attaque de l’ingénierie sociale

consiste à :

• Induire les employés à partager leurs informations

confidentielles ;

• Installer des logiciels malveillants (malwares) dans

les ordinateurs des employés ou même le système
de l’information de l’entreprise.
Exemple d’attaque interne : Ingénierie
Sociale et Hameçonnage
 Exemple d’attaque interne : attaque du
Ransomware

L’attaque du ransomware est parmi les attaques

internes les plus répandus actuellement. Selon le
rapport de l’AN SSI publié en mars 2021, il y a eu

une augmentation de 255% des alertes de

signalement d’attaque par rançongiciel en un an.
 Exemple d’attaque interne : attaque du
Ransomware

L’attaque du ransomware se base sur l’utilisation des

rançongiciels (appelés souvent ransomwares) qui
sont des logiciels malveillants (malwares) qui
prennent en otage les données de l’entreprise au
profit d’un pirate.
 Exemple d’attaque interne : attaque du
Ransomware

Le principe de l’attaque du ransomware, comme consiste à cacher

dans un lien (ou une pièce jointe), envoyé via un spam, un malware.
Ce dernier s’installe dans l’ordinateur de la victime et se connecte à
un serveur « Command & Control » qui permet à l’attaquant de
contrôler l’ordinateur victime. Ensuite, l’attaquant envoie des
instructions au malware pour chiffrer tous les fichiers stockés dans
un ordinateur victime. Il envoie ensuite une notification de rançon à
la victime et déchiffre les fichiers infectés uniquement après la
réception de la somme d’argent demandée.
Exemple d’attaque interne : attaque du
Ransomware
 PLAN :
1. Classification des attaques et des hackers
2. Attaques internes
3. Attaques externes
4. Besoin d’identification des vulnérabilités
 Attaques externes : Classification

les attaques externes sont des attaques exécutées par des

entités n’ayant aucun contact avec l’organisation victime
 Attaques externes sur le réseau local :

Le modèle OSI (Open Systems Interconnection) est un

modèle en couche qui a été conçu afin de permettre à ses
différentes couches de fonctionner séparément les unes
des autres. Ce qui fait que même si l’une des couches est
piratée, les communications seront compromises sans
que les autres couches ne soient conscientes de
l’apparition de l’intrusion. Par conséquent, il faut veiller à
la sécurité des différents protocoles des couches réseau.
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
 Attaques externes sur le réseau local :

En réseau, la couche liaison de données

(niveau 2) peut être un maillon faible en
terme de sécurité. Il est donc nécessaire
de renforcer la sécurité à ce niveau
 Attaques externes sur le réseau local :

ARP (Address Resolution Protocol) :

qui est un protocole de la couche 2 permettant de mapper

une adresse de couche réseau (adresse IP) à une
adresse physique (adresse Media Access Control,

MAC) d’une machine donnée.

 Attaques externes sur le réseau local :

Fonctionnement du Protocole ARP :

1. Une requête ARP est diffusée lorsqu'une machine "A" veut

identifier l'adresse MAC d'une adresse IP donnée.

2. Uniquement l'hôte "B" ayant cette adresse IP répond avec

un message de réponse ARP unicast intégrant son adresse
MAC .

3. L'hôte "A" apprend l'adresse MAC de B et l'écrit dans son

cache ARP.
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
Attaques externes sur le réseau local :
 Attaques externes sur le réseau local :

Faiblesse du Protocole ARP :

ARP est un protocole sans état qui n'implémente pas le

concept d’établissement de session.

En effet, la cache ARP est mis à jour chaque fois qu'une

réponse ARP est reçue, même si la machine hôte n’a pas
envoyé une requête ARP.

ARP n’implémente aucun mécanisme d'authentification et par

conséquent les intrus peuvent usurper les informations IP et
MAC dans les paquets ARP pour mener certaines attaques.
 Attaque d'usurpation (ARP spoofing
attack) :

Les étapes de l’exécution de l’attaque ARP spoofing

sont les suivantes :

1. Le pirate envoie une réponse ARP contrefaite.

2. Il envoie également une réponse ARP falsifiée.

3. Par conséquent, l'hôte de l'attaquant est insérée

entre le chemin de communication des hôtes.
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
Attaque d'usurpation (ARP spoofing
attack) :
 Attaque par inondation d'adresses
MAC (MAC Flooding Attack):

Principe de la mémoire adressable par le contenu d’un

commutateur :

Chaque commutateur Ethernet (Switch, en anglais)

possède une mémoire adressable par le contenu,
souvent appelé une table CAM (Content-Addressable

Memory), qui lui permet de stocker les adresses MAC

des hôtes, les numéros de port et d'autres
informations, et qui possède une taille fixe.
 Attaque par inondation d'adresses
MAC (MAC Flooding Attack):

Principe de la mémoire adressable par le contenu d’un

commutateur :

Un commutateur remplit sa table CAM en liant les

adresses MAC des paquets reçues et les port de
réception des paquets.
Attaque par inondation d'adresses
MAC (MAC Flooding Attack):
 Attaque par inondation d'adresses
MAC (MAC Flooding Attack):

La vulnérabilité exploitée par le pirate pour qu’il

puisse réussir son attaque, est le fait que la table
CAM d’un commutateur ait une taille fixe. Dès qu’elle
sera pleine, le commutateur passe en mode
concentrateur et diffuse le trafic dont son adresse
MAC ne figure pas dans la table CAM.
 Attaque par inondation d'adresses
MAC (MAC Flooding Attack):

Étapes de l’exécution de l'attaque par inondation MAC :

1.Le pirate inonde le commutateur à l'aide des paquets ARP
falsifiés qui contiennent des adresses MAC sources différentes ;

2.Les fausses adresses MAC sont ajoutées à la table CAM ;

3.La table CAM se remplit et le commutateur diffuse le trafic, qui

n'a pas d'entrée dans la table CAM, vers tous les ports ;

4. Le pirate est maintenant capable de recevoir toutes les trames

qui n'étaient destinées qu'à un hôte spécifique.
Attaque par inondation d'adresses
MAC (MAC Flooding Attack):
 Attaque du vol de port (Port Stealing):

Une deuxième attaque de sécurité qui exploite les

vulnérabilités liées au remplissage de la table CAM
d’un commutateur est l’attaque du vol d’un port
commutateur.

Le principe d’une telle attaque consiste à voler le port

des commutateurs d’un hôte victime afin de recevoir
le trafic envoyé à l’hôte victime.
 Attaque du vol de port (Port Stealing)

Étapes de l’exécution de l'attaque du vol de port :

1. Le pirate inonde le commutateur avec des paquets ARP
falsifiés qui incluent comme :

• Adresse MAC source celle de l'hôte victime ;

• Adresse MAC de destination celle du pirate.

2. le commutateur mappe l’adresse MAC de l'hôte victime sur le

port du pirate;

3. Lorsqu’un hôte C envoie un paquet à l'hôte victime B, le

commutateur le transfère sur le port du pirate;
 Attaque du vol de port (Port Stealing)

Étapes de l’exécution de l'attaque du vol de port :

4. Lors de la réception d’un message qui est destiné à la machine
victime , le pirate l’enregistre dans une mémoire tampon et envoie
une requête ARP pour demander l'adresse IP de l’hôte victime.

5.lorsque l’hôte victime répond à la requête ARP reçu, le

commutateur remappe l’adresse MAC de la victime à son port réel

6. le pirate transmet le message envoyé qui a été mis en mémoire

tampon à l'hôte victime;
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
Attaque du vol de port (Port Stealing)
 Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)

Aperçu du protocole DHCP :

DHCP est un protocole de la couche réseau (niveau

3) qui permet l'attribution dynamique des adresses IP
aux machines, grâce à un serveur DHCP. L’attribution
dynamique se déroule comme suit :
 Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)

- Le client DHCP envoie une requête dans laquelle il demande des

informations (tel que l’adresse IP, la passerelle par défaut, etc.) à un
serveur DHCP ;

- À la réception d'une requête valide, le serveur attribue à ce client

une adresse IP et d'autres paramètres de configuration IP.

Le protocole DHCP est vulnérable à deux attaques

de sécurité qui sont : DHCP Starvation (attaque par
épuisement de ressources) et DHCP spoofing
(attaque d’usurpation).
 Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)

Principe de l’attaque DHCP Starvation :

Pour réaliser cette attaque, le pirate épuise les

adresses IP disponibles dans le serveur DHCP, en lui
envoyant un grand nombre de requêtes avec des
adresse MAC falsifiés.

Cela induit la production d’un déni de service. En

effet, le serveur DHCP ne peut plus attribuer des
adresses IP aux hôtes légitimes.
Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)
 Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)

Principe de l’attaque DHCP Spoofing :

Il déploie un serveur DHCP malveillant pour fournir des adresses IP

aux client et attend la réception des requêtes DHCP
 Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)

Principe de l’attaque DHCP Spoofing :

À la réception d’une requête DHCP, le pirate envoie une réponse

DHCP falsifiée à ce client, avant que la réponse DHCP autorisée
puisse lui parvenir. La fausse réponse DHCP inclue souvent
l’adresse IP du pirate comme passerelle par défaut du client ;
 Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)

Principe de l’attaque DHCP Spoofing :

À la réception de la première réponse DHCP (qui est celle du pirate),

le client considère l’adresse IP du pirate comme sa passerelle par
défaut. Par conséquent, tout le trafic qu’il envoie passe par le pirate.
 Attaques ciblant le protocole DHCP
(Dynamic Host Configuration Protocol)

Principe de l’attaque DHCP Spoofing :

Le pirate peut intercepter tous les paquets et choisir entre répondre

à la passerelle réelle ou les supprimer.
 Attaques externes sur le réseau
Internet

Parmi les attaques externes les plus courantes qui

s'exécutent via le réseau Internet, nous citons les
attaques de déni de service (Denial of Service
attacks, en anglais et son abréviation est DoS).

Le résultat d’une attaque de déni de service est une

interruption des services.
 Attaques externes sur le réseau
Internet

• L’envoi d’un volume de trafic très important. En fait, une ressource

(tel qu’un réseau, un serveur ou même une application) sera épuisée
(c.à.d., ne peut plus fournir les services attendues) à la réception
d’un large volume de messages ou données dans une courte
période ;

• L’envoi d’un ensemble de paquets formatés de manière

malveillante. En effet, un paquet malveillant peut inclure des
malwares ou des requêtes malveillantes qui visent à bloquer le
fonctionnement de la ressource ciblée (réseau, serveur, ou
application).
 Attaques externes sur le réseau
Internet

• L’exécution d’une attaque de déni de service peut être

réalisée sous plusieurs formes, tel que le SYN flood , le ping of
death, etc.

• En plus, une attaque de DoS peut être menée par une seule
machine ou simultanément par plusieurs machines et dans ce
cas elle est appelée DoS distribué

(Distributed DoS en anglais, et son abréviation est DDoS).

 DoS distribué:

La déni de service
distribué (DDoS) est
une attaque qui vise
à saturer une
ressource (serveur,
application, site web
etc.) pour la mettre
hors-service à l’aide
des botnets.
 DoS distribué:
Botnet est un réseau de
machines zombies (machines
infectées) contrôlées par

des pirates, sans que

leurs propriétaires en
soient conscients.

Ces machines sont souvent

appelées des esclaves
puisqu’elles reçoivent les

commandes des pirates et les

exécutent pour cibler une
victime précise.
 DoS distribué:
Le scénario :

le pirate utilise des serveurs

relais (qui sont considérés
comme des maitres) pour
diffuser une commande
spécifique à l’ensemble des
machines

esclaves.
 DoS distribué:
Le scénario :

À la réception de cette
commande, toutes les
machines esclaves (qui sont à
l’ordre de milliers ou millions
de machines), réagissent et
envoient des paquets
volumineux, falsifiés, ou autres
selon le type de l’attaque
DDoS.
 SYN Flood attaque:

Principe d’une connexion TCP : Avant de

commencer l’échange de données, l’émetteur
(client) et le récepteur (Serveur) sont tenus
d’établir une "connexion".
 SYN Flood attaque:
1. Le client envoie un segment TCP SYN au serveur ;
 SYN Flood attaque:
2-Le serveur reçoit SYN et répond par sagement SYN-ACK ;
 SYN Flood attaque:
3. Le client reçoit SYNACK du serveur et répond par ACK
qui peut contenir des données.
 SYN Flood attaque:
Principe de l’attaque SYN flood :

Pour réaliser ce type d’attaque, le

pirate prend la position du client et
envoi un volume très important
des requêtes SYN à la victime.
Pour ne pas être épuisé avec les
réponse un SYN/ACK, les
requêtes envoyées par le pirate
incluent généralement de fausses
adresses source (c.à.d., adresses
différentes à celle du pirate).
 SYN Flood attaque:
Principe de l’attaque SYN flood :

La victime attend le ACK du client

qui n’arrive jamais. Par
conséquent, les ressources de la
victime peuvent être épuisées par
le traitement du large volume des
requêtes SYN reçues et l’attente
des ACK.
 Quiz:
1. Quiz sur les notions de base de la sécurité
informatique
 QUIZ :

Question 1 : Quelle est la propriété de

sécurité qui garantie qu'un actif est
accessible uniquement aux entités
autorisées ?
❑ La confidentialité
❑ L’intégrité
❑ La disponibilité
❑ L’authenticité
 QUIZ :

Question 1 : Quelle est la propriété de

sécurité qui garantie qu'un actif est
accessible uniquement aux entités
autorisées ?
❑
X La confidentialité

❑ L’intégrité
❑ La disponibilité
❑ L’authenticité
 QUIZ :

Question 2 : Quelle est la propriété de

sécurité qui consiste à assurer qu’un
actif devra répondre aux demandes
des entités autorisées ?
❑ La confidentialité
❑ L’intégrité
❑ La disponibilité
❑ L’authenticité
 QUIZ :

Question 2 : Quelle est la propriété de

sécurité qui consiste à assurer qu’un
actif devra répondre aux demandes
des entités autorisées ?
❑ La confidentialité
❑ L’intégrité
❑X La disponibilité

❑ L’authenticité
 QUIZ :

Question 3 : Un agent de menace peut

être :
❑ Un employé
❑ Un logiciel malveillant
❑ Un pirate
❑Toutes les réponses sont
correctes
 QUIZ :

Question 3 : Un agent de menace peut

être :
❑ Un employé
❑ Un logiciel malveillant
❑ Un pirate
❑X Toutes les réponses sont
correctes
 QUIZ :

Question 4 : Toutes les informations

sensibles d’une organisation (tel que
chiffre d’affaires, clientèle, produits,
etc.) peuvent être considérées comme
actif ?
❑ Vrai
❑ Faux
 QUIZ :

Question 4 : Toutes les informations

sensibles d’une organisation (tel que
chiffre d’affaires, clientèle, produits,
etc.) peuvent être considérées comme
actif ?
❑
X Vrai

❑ Faux