Insécurité du système d'information - Définition
La liste des auteurs de cet article est disponible ici.
Liste des risques
Attention, les risques évoluant jour après jour, cette liste n'est pas exhaustive.
Programmes malveillants
Un logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants :
- Le virus : programme se dupliquant sur d'autres ordinateurs ;
- Le ver (worm en anglais) : exploite les ressources d'un ordinateur afin d'assurer sa reproduction ;
- Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ;
- Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur ;
- La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système informatique, à distance ;
- Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ;
- L'enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier ;
- L'exploit : programme permettant d'exploiter une faille de sécurité d'un logiciel ;
- Le rootkit : ensemble de logiciels permettant généralement d'obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans les journaux système.
Techniques d'attaque par messagerie
En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci :
- Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires
- L'hameçonnage (phishing en anglais) : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles
- Le canular informatique (hoax en anglais) : un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).
Attaques sur le réseau
Voici les principales techniques d'attaques sur le réseau :
- Le sniffing : technique permettant de récupérer toutes les informations transitant sur un réseau (on utilise pour cela un logiciel sniffer). Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications, et pour identifier les machines qui communiquent sur le réseau.
- La mystification (en anglais spoofing) : technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles, que l'on ne pourrait pas avoir autrement.
- Le déni de service (en anglais denial of service) : technique visant à générer des arrêts de service, et ainsi d’empêcher le bon fonctionnement d’un système.
Et d'autres techniques plus subtiles :
- Hijacking
- Attaque de l'homme du milieu (MITM)
- Fragments attacks
- Tiny Fragments
- Fragment Overlapping
- TCP Session Hijacking
Attaques sur les mots de passe
Les attaques sur les mots de passe peuvent consister à faire de nombreux essais jusqu’à trouver le bon mot de passe.
Dans ce cadre, notons les deux méthodes suivantes:
- L'attaque par dictionnaire : le mot testé est pris dans une liste prédéfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin, etc.). Ces listes sont généralement dans toutes les langues les plus utilisées, contiennent des mots existants, ou des diminutifs (comme par exemple “powa” pour “power”, ou “G0d” pour “god”).
- L'attaque par force brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution (par exemple de “aaaaaa” jusqu'à “ZZZZZZ” pour un mot de passe composé strictement de six caractères alphabétiques).
Cartographie du réseau
Reconnaissance passive
La première démarche pour cartographier un réseau est d'utiliser un ensemble de techniques non intrusives (qui ne pourront pas être détectée) :
- Utilisation de ressources publiques : le Web, Usenet
- Les outils réseau : Whois, nslookup
Cette démarche permet d'obtenir des informations sur la cible, diffusées publiquement, mais pouvant être confidentielles (diffusées généralement par erreur ou insouciance).
Reconnaissance semi-active
Bien que non intrusives, les techniques suivantes deviennent détectables par la cible, notamment à l'aide d'un système de détection d'intrusion :
- ping, traceroute et utilisation des propriétés du protocole ICMP
- Balayage de port (port scan en anglais) via Nmap ou AutoScan-Network
- Prise d'empreinte TCP/IP (TCP/IP fingerprinting en anglais)
Ces techniques permettent généralement de recenser et d'identifier une grande partie des éléments du réseau cible.
Reconnaissance active
Ici, on passe dans les techniques réellement intrusives, donc clairement détectables, mais ne représentant pas un risque immédiat pour la cible :
- Utilisation des propriétés des protocoles SNMP, SMB, RPC.
- Détection automatisée de vulnérabilités : Nessus
Techniques d'intrusion système
- Connexion à une ressource partagée
- Attaque par force brute
- Attaque par débordement de tampon
- Accès à un interpréteur de commandes interactif
- Élévation des privilèges
- Installation d'un rootkit
- Effacement des traces
Autres types d'attaques
On peut noter qu'il existe d'autres types d'attaques, souvent moins connues car nécessitant des compétences très pointues :
- Le cassage de logiciel (Cracking en version anglaise) : cette technique a pour but la modification d'un programme pour déjouer sa protection (en général pour permettre une utilisation complète, ou à durée illimitée).
- La cryptanalyse
- La rétro-ingénierie
- Stacks Overflows et Heap Overflows (dépassement de tampon), écriture de shellcode
- Exploitation des « format bugs »
- Snarfing
- Détournement et utilisation de données WEB : Cookie, CSS, CGI, vulnérabilités concernant les langages PHP, ASP, SQL, etc.
Et il en existe d'autres ne nécessitant aucune compétence ou presque :
- Messenger Spam : envoi de pourriels directement sur l'adresse IP et ouverture d'une fenêtre intruse (pop-up en version anglaise) ; cette attaque est gênante mais généralement peu nuisible et nécessite un système Microsoft Windows possédant le programme messenger installé (à ne pas confondre avec le logiciel exploitant MSN) et un accès au réseau local (si la cible est derrière un routeur NAT celle-ci ne pourra pas être atteinte).
Technique d'évasion
Ces techniques permettent, par différentes méthodes, de cacher au système de détection (généralement un IDS) les informations nécessaires à la détection d'une attaque (ARP poisoning, spoofing, modifications des règles de l'IDS).
