Вы находитесь на странице: 1из 89

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION
SECTEUR TERTIAIRE

MEDDAH NAIMA
Module sécurité des réseaux informatique

29/09/08 N.MEDDAH           OFPPTHH1                                     
Pourquoi y a­t­il des infections 
informatiques ?
L'argent motive sans conteste les créateurs de programmes malveillants. Ce n'était pas 
le cas des premiers créateurs de virus dans le milieu des années 80. À cette 
époque, c'était plutôt par défi, montrer qu'ils en étaient capables, ou par 
provocation tout simplement. Les infections se contentaient de se dupliquer 
d'elles­mêmes, d'afficher un message, et détruisaient parfois (rarement) des 
données.
De nos jours, ces programmes sont source de revenus et les moyens sont divers :

Attaque en masse (DDOS) à partir d'ordinateurs détournés, 
Envois de publicités mails à partir d'ordinateurs détournés (spam), 
Affichage de publicités (popup), 
Arnaques avec de faux logiciels de sécurité (rogues), 
Vol de données, de mots de passe, de numéros de série de logiciels... 
Redirection vers des sites frauduleux (phishing), 
Chantage (ransomware), 
Etc. 

29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment les infections sont arrivées dans le 
système ?
Dans la très grosse majorité des cas, c'est l'utilisateur lui­même 
qui invite sans le savoir ces compagnons indésirables par un 
excès de confiance. Simplement en exécutant des programmes 
téléchargés. En outre, certains sites volontairement mal conçu 
permettent d'exploit les failles, les vulnérabilités de votre 
ordinateur ou de vos logiciels.
Les principaux vecteurs d'infections seront traités dans les 
parties suivantes :
 Les cracks et les keygens
 Les faux codecs
 Les logiciels gratuits
 Les rogues, les faux logiciels de sécurité
 La navigation sur des sites à haut risque d'infections
 Les pièces jointes et les vers par messagerie instantanée
 Les hoax et le phishing, attention à ne pas vous faire abuser

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les acteurs
Les menaces
Les techniques
Les protections
Les logiciels
Le wifi

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les acteurs 
Les faux codecs 

Hackers

Hacktivistes

Crackers
Script­Kiddies

29/09/08 N.MEDDAH           OFPPTHH1                                     
L’origine du mot hacker remonte à l’arrivée du premier 
ordinateur au MIT (Massachusetts Institute of Technology, 
université américaine située à Cambridge) 
Cet ordinateur devient rapidement la proie d’étudiants 
passionnés qui vont pousser la machine à bout, la « bidouillant 
» dans les moindres détails, sans se soucier des protocoles 
d’utilisation de IBM pour une machine de plusieurs millions de 
dollars. A l’époque, on qualifia leurs travaux avec le terme 
hacking qui était le fait d’utiliser une machine ou une 
technologie à des fins qui n’étaient pas prévus (hacking 
signifie hachage, mais une meilleure traduction au niveau du 
sens serait bidouillage).

29/09/08 N.MEDDAH           OFPPTHH1                                     
Hackers suite

Aujourd’hui, le mot hacker désigne un grand 
spécialiste de l’informatique, que ce soit dans le 
domaine de la sécurité que celui de la 
programmation ou d’un quelconque autre 
domaine de l’informatique.
On distingue différentes catégories de hackers 
avec l'opposition classique "bien ­ mal", où 
plutôt "méchants ­ gentils":

29/09/08 N.MEDDAH           OFPPTHH1                                     
1. Le Hacker White 
Hats. (les "gentils")
Les white hats utilisent leurs savoirs et leurs 
connaissances au service de la société actuelle. Ils 
peuvent être consultants en sécurité, administrateurs 
réseaux, ou travailler au sein de la communauté open 
source. Certains d’entre eux sont d’ailleurs à l’origine 
de l’open source et de la philosophie qui en découle.
Devenir un hacker white hats c’est assimiler des 
connaissances et de l’expérience en participant aux 
projets de la communauté, afin d’être accepté par ses 
membres. Cela nécessite de l’investissement dans des 
projets open source, et d’adopter une certaine 
culture
29/09/08 N.MEDDAH           OFPPTHH1                                     
Le Hacker Black Hats. 
(Les "méchants")
Les black hats utilisent leurs connaissances pour défaire ou 
contourner, à but malveillant, les systèmes et les réseaux 
d’informations. Ils ont également leur propre communauté. On 
peut les qualifier de « pirates informatiques » dans le sens où 
leurs actions sont nuisibles.
Leurs cibles peuvent être n’importe quel réseau d’entreprise, 
des serveurs névralgiques d’Internet ou d'organisation comme 
la NASA, des sites de gouvernement... Ils sont aussi à 
l’origine d’un certain nombre de menaces tels que les virus, 
vers de terre... Leurs cibles sont alors n’importe quel 
ordinateur branché sur le web

29/09/08 N.MEDDAH           OFPPTHH1                                     
Le Hacker Grey 
Hats.

Les grey hats sont entre les deux : ils 
n’ont pas de buts nuisibles mais 
n’hésitent pas à pénétrer certains réseaux 
ou systèmes de façon illégale, ils 
cherchent plus l’exploit et la renommée.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Quelques Hackers 
célébres :
Kevin Mitnick: Hacker Black Hat à connaître!!!
John Carmack : programmeur de jeux reconnu et 
influent. Il a beaucoup contribué à l'avancée de la 3D 
dans le graphisme des jeux. En 1999, il est apparu 
dans le Time comme l'une des cinquante personnes les 
plus influentes dans le domaine de la technologie.
Dennis Ritchie : Pionnier de l'informatique moderne. 
Il est a l'origine du langage de programmation C et du 
systeme d'exploitation UNIX.
Linus Torvalds : fondateur du projet Linux en 1991.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Hacktivistes
Hacktivisme vient de la fusion des mots Hacker et activisme. 
L’hacktiviste est un hacker dont les objectifs sont politiques, et 
emploie ses connaissances en informatique pour diffuser et 
promulguer ses opinions. Ses actions les plus spectaculaires 
sont notamment le piratage de sites informatiques en altérant 
les données, en détournant des serveurs, en remplaçant des 
pages d’accueil afin de détourner la signification et 
l’engagement de ces sites.
Si l’hacktivisme est une nouvelle forme de protestation et bien 
souvent une manière de se faire entendre, cela reste une action 
totalement illégale, « hacktiviste » est donc évidemment un 
autre sens qu’on donne au « pirate informatique ».

29/09/08 N.MEDDAH           OFPPTHH1                                     
Crackers 
Le cracker, ou déplombeur de logiciels, est spécialisé 
dans le cassage des protections des logiciels. Il 
possède de très bonnes connaissances en assembleur 
ainsi que des outils (désassembleur, débogueur… ) qui 
lui permette d’analyser le code d’un programme 
transmis au processeur. Cela lui permet de neutraliser 
ou contourner les mesures de protections d’un logiciel 
en créant un patch (ou crack), ou bien un « keygen » 
dans le cas de logiciels protégés par des clefs. Les 
motivations des crackers sont multiples : renommée, 
exploit, ou tout simplement par intérêts personnels.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Crackers suite

Crackers célébres :

DeVianCe : groupe de crackers.
MYTH : un autre groupe de crackers.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Script­Kiddies :
• Script­Kiddie est un terme péjoratif, il désigne 
des informaticiens néophytes qui utilisent des 
outils crées par les hackers ou les crackers. Ils 
sont nombreux et vantards mais ils représentent 
tout de même une menace de part leur nombre, 
leur incompétence, et leur obstination.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les menaces
Pourquoi y a­t­il des infections informatiques ?
Comment les infections sont arrivées dans le système ?
Les cracks et les keygens
Les faux codecs
Les logiciels gratuits
Les rogues, les faux logiciels de sécurité
La navigation sur des sites à haut risque d'infections
Les pièces jointes et les vers par messagerie instantanée
Les hoax et le phishing, attention à ne pas vous faire abuser
Menaces logiciels:
Virus Autres:
Les logiciels gratuits hoax
spam
Vers mailbombing
Spywares phishing
Hijackers
Troyens
Bombes logique
Comment se protéger des virus, vers, spywares ...?

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les faux codecs 
l'utilisateur est invité à exécuter un 
programme (malsain dans la réalité) pour 
laisser entrer l'infection dans le système.

Afin de visionner une séquence vidéo 
provenant des sites pornographiques ou 
parfois humoristiques, il vous est demandé 
d'installer un codec ou un ActiveX.

29/09/08 N.MEDDAH           OFPPTHH1                                     
L'installation du logiciel demandé 
semble se dérouler normalement. 
Mais c'est bien l'infection que 
l'utilisateur exécute sur son système. 
Et les effets indésirables ne tardent 
pas à apparaitre: 
fausses alertes de sécurité, 
modification du fond d'écran, 
détournement de la page d'accueil 
du navigateur... 
installation non désirée de faux 
logiciels de sécurité (rogue) 
proposant leurs services payants pour 
nettoyer l'infection. 

29/09/08 N.MEDDAH           OFPPTHH1                                     
modification du fond d'écran 

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les rogues, les faux logiciels de 
sécurité 
Le mot anglais rogue a pour signification escroc. Ce terme est aussi utilisé 
pour désigner un faux­logiciel de sécurité. Il en existe plusieurs 
catégories: anti­spyware, antivirus... Le but de ce faux logiciels est de 
pousser l'utilisateur à acheter une licence payante:
Soit via des publicités sur des sites WEB qui redirigent vers les sites qui 
fabriquent ces rogues.
Soit en installant des infections sur votre ordinateur : 
affichage de bulles d'alertes disant que votre ordinateur est infecté. 
modification de votre fond d'écran en disant que votre ordinateur est 
infecté. 
modification de la page de démarrage de votre ordinateur vers des sites 
affichant de fausses alertes de sécurité 

29/09/08 N.MEDDAH           OFPPTHH1                                     
A noter que les alertes sont en général en langue anglaise.
Chaque alerte propose de télécharger un de ces rogues. Une 
fois le scan (totalement mensonger) de l'ordinateur effectué 
par le programme, ce dernier affiche qu'il faut acheter la 
version commerciale pour nettoyer l'ordinateur.
Le but est donc de faire peur et forcer la main, via des alertes 
incessantes, d'acheter la version commerciale de ces boîtes 
vides.
Voici un exemple de bulles d'alertes :

29/09/08 N.MEDDAH           OFPPTHH1                                     
Le site Malekal.com propose une liste de rogues ici. 
Vous pouvez également consulter la crapthèque 
d'Assiste.
En Anglais, Spyware Warrior publie aussi une liste 
de rogues.
Un reflexe simple à adopter, c'est d'effectuer une 
recherche via Google avec le nom du logiciel.
En effet, les résultats permettent de vous orienter en 
vous indiquant si le logiciel recherché est nuisible ou 
pas 
29/09/08 N.MEDDAH           OFPPTHH1                                     
Virus 
Un virus est un programme qui se reproduit en s'insérant 
partiellement dans d'autres fichiers.
Qu'est­ce que je risque ?
Tant que le virus n'a pas été executé, vous ne risquez 
rien. Mais, lorsqu'il est activé, il peut vous rendre la vie 
dure. Tandis que certains virus vont tout simplement se 
manifester par l'apparition d'un message sur votre 
ordinateur, d'autres vont être dangereux. Par exemple, ils 
pourront supprimer des données, formater un disque dur. 
La majorité des virus se propagent par courrier 
électronique en pièce­jointe. Néanmoins, on peut classer 
les virus en plusieurs catégories :

29/09/08 N.MEDDAH           OFPPTHH1                                     
Types des virus
• Virus furtif
– Ces virus, comme leur nom l'indique, vont se camoufler de façon à ne pas être 
détecté par les antivirus.

• Virus polymorphe
– Ces virus, assez rare, ont la faculté de changer de signature de façon à berner 
les antivirus.

• Macros
– Ces virus sont écrits en VBA (Visual Basic Application) de la suite Microsoft 
Office. Ils sont très dangereux étant donné le nombre d'utilisateurs utilisant les 
fichiers tels que Word, Excel, ...

• Virus composite
– Ces virus sont tout simplement une combinaison des catégories mentionnées ci­
dessus.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Vers 

Un ver (en anglais worm) est un programme qui se propage 
d'ordinateur à ordinateur via un réseau comme l'Internet. Ainsi, 
contrairement à un virus, le vers n'a pas besoin d'un 
programme hôte pour assurer sa reproduction. Son poids est 
très léger, ce qui lui permet de se propager à une vitesse 
impressionante sur un réseau, et pouvant donc saturer ce 
dernier.
Qu'est­ce que je risque ?
Tant que le ver n'a pas été executé, vous ne risquez rien. Mais, 
lorsqu'il est activé, il peut vous rendre la vie dure. Ils vont 
pouvoir avoir des fonctionnalités malsaintes comme pour les
virus, mais ils vont aussi utiliser les ressources de votre réseau, 
pouvant amener ce dernier à saturation.
29/09/08 N.MEDDAH           OFPPTHH1                                     
Spywares 
Un spyware, ou logiciel espion, est un logiciel nuisible qui transmet à des 
tiers des informations contenues dans votre ordinateur. Les spywares sont 
souvent présents dans des gratuiciels (différents des logiciels libres), ou 
des partagiciels. En général les logiciels à code source libre comme 
Mozilla FireFox n'en contiennent aucun.

Qu'est ce que je risque?
La diffusion de données personnelles, qui sont ensuite utilisées par des 
entreprises de publicités. Par exemple, le spyware peut envoyer la liste des 
sites consultés ainsi que vos adresses mail, ce qui permet ensuite de cibler 
vos centres d'intérêts.
La présence d'un grand nombre de spyware sur un ordinateur provoque 
une diminution des performances. En effet ces logiciels étant lancé dès le 
démarrage, ils nécessitent des ressources systèmes (en mémoire et 
processeur).

29/09/08 N.MEDDAH           OFPPTHH1                                     
Hijacker 
Un Hijacker, ou pirate de navigateur, utilise les failles de 
sécurité d'internet explorer pour s'installer sur votre ordinateur. 
Ce genre de programme s'installe donc juste en surfant sur le 
net, souvent sur des sites "louches" (sites de piratage, de patch 
nocd pour jeux, de cracking, ou encore sites à caractére 
pornographique ...).

Qu'est ce que je risque
Une fois installé, le hijacker peut se comporter comme un 
spyware et envoyer des informations sur le net, mais une 
grande partie des Hijackers modifie simplement des 
caractéristiques de votre système: par exemple en changeant la 
page de démarrage d'internet explorer, votre fond d'écran...
29/09/08 N.MEDDAH           OFPPTHH1                                     
Troyens 
Un troyen (en anglais trojan horse) tire son nom du mythe du cheval de 
Troie. Ce programme a une apparence saine, souvent même attirante, mais 
lorsqu'il est exécuté, il effectue, discrètement ou pas, des actions 
supplémentaires. Ces actions peuvent être de toute forme, comme 
l'installation d'une backdoor par exemple.Qu'est­ce que je risque ?
Après avoir exécuté le troyen, on peut tout craindre. Un attaquant pourra 
rentrer sur votre système si le troyen a installé une backdoor. Ces 
dernières années ont vu l'arrivée d'un nouveau type de troyens, très à la 
mode aujourd'hui. Ce troyen se compose d'un programme client et d'un 
autre serveur. Le pirate envoie le serveur à la victime. Lorsque celle­ci a 
exécuté le programme, le pirate, à l'aide du programme client, pourra 
contrôler l'ordinateur cible. Souvent même, ce genre de programme offre 
au pirate plus de fonctionnalités que l'utilisateur en possède lui­même sur 
son ordinateur.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Troyens 2
Backdoor
Une backdoor (en français, une porte dérobée) est un 
moyen laissé par une personne malveillante pour 
revenir dans un système. Par exemple, un pirate, après 
avoir pénétré une machine peut se créer un compte 
secret. Ainsi, il pourra revenir la prochaine fois 
facilement. Une backdoor a de multiples raisons 
d'exister, comme l'espionnage ou pour lancer des 
attaques à partir de cette machine et ainsi vous faire 
porter le chapeau.
29/09/08 N.MEDDAH           OFPPTHH1                                     
Bombes logiques 
Une bombe logique est un troyen qui, une fois 
exécutée, produira ses effets à un moment précis. Par 
exemple, la bombe logique Tchernobyl s'est activée le 
26 avril 1999 (jour du 13ème anniversaire de la 
catastrophe nucléaire en Bulgarie), mais la bombe peut 
également attendre une combinaison de touches bien 
précise de la part de l'utilisateur pour se déclencher ou 
attendre qu'un fichier s'exécute. Le choix des 
programmeurs quant à son déclenchement est sans 
limite.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment se protéger des virus, vers, 
spywares ...?
Il n'y a pas de solutions miracles, mais voici quelques conseils qui vous 
permettront de vous prémunir de ces menaces:
• Avoir un antivirus, et le mettre à jour régulièrement.
• Avoir un parefeue t le configurer correctement.
• Avoir un antispyware, et scanner son ordinateur régulierement
• Ne pas ouvrir une pièce­jointe d'une personne inconnue.
• Si vous connaissez la personne, passez la pièce­jointe au scanner, puisqu'il 
peut s'agir d'un virus qui se propage ou d'une personne tiers usurpant son 
identité.
• Se renseigner sur la présence de spywares dans les logiciels que vous 
installés.
• Utiliser un naviguateur moins ciblé par des attaques et ayant moins de 
faille de sécurité, comme Mozilla Firefox.
• Etre vigilant lorsque vous surfez sur internet, notamment vis à vis du 
contenu du site

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les hoax et le phishing, attention à 
ne pas vous faire abuser
• Nous sommes tous confrontés à des Hoax: Ce sont des 
canulars qui circulent sur le net et qui sont véhiculés par 
mails. Vos proches souhaitent vous faire partager une 
information qu'ils jugent importante alors qu'en fait, ce n'est 
qu'un leurre destiné à engorger le réseau Internet. Ce sont le 
plus souvent de fausses alertes de virus ou, ce qui est bien plus 
pervers, de fausses chaînes de solidarités.
Tous mails se terminant par des phrases du type « envoyez ce 
mail à tous vos contacts pour ... » demandant à propager 
l'information est certainement un hoax, vérifier la véracité du 
contenu du mail
Le site hoaxbuster.com mène une véritable lutte contre ces 
fausses informations. Vous pouvez utiliser leur formulaire de 
recherche pour y vérifier le "scoop" que vous venez de 
recevoir. 
29/09/08 N.MEDDAH           OFPPTHH1                                     

Hoax 
Un hoax (canular) est un courrier électronique contenant une fausse information. Si certains 
sont inoffensifs, d'autres peuvent être dangereux. Voici les différents types de hoaxs qui 
existent :
• les faux virus (viroax)
– C'est la forme la plus dangereuse des hoaxes. En effet, le mail va tenter de vous convaincre de 
réaliser une action apparement bonne pour votre pc, mais qui ne l'est pas du tout. Surtout, ne faites 
pas ce que dit le mail, ignorez­le !
voir un exemple

• les chaînes de solidarité
– C'est le grand classique et certainement le plus envoyé par mail. Le mail vous demande de faire 
suivre le mail à tous vos contacts pour avoir plus de chance dans la vie par exemple.
voir un exemple

• les fausses informations
– Ce genre de hoaxes vous donne une information censée et importante dans le but que la victime 
envoie ce message à toutes ses connaissances.
voir un exemple

• les arnaques
– Ce genre de hoaxes essaie de vous convaincre que vous pouvez vous enrichir facilement en faisant 
ce qu'ils disent.
voir un exemple
– Souvent les hoaxes incitent les utilisateurs à faire suivre le courrier à tous leurs contacts. 

29/09/08 N.MEDDAH           OFPPTHH1                                     
Qu'est­ce que je risque ?
• Un hoax, par définition, n'est pas dangereux pour un 
ordinateur, à condition tout de même, de ne pas faire 
bêtement ce que dit le mail, notamment pour les
viroax. Mais l'hoax encombre inutilement les réseaux, 
encombre les boîtes aux lettres, etc. Aussi ne faut­il 
pas faire suivre ce genre de courrier.
Le site hoaxbuster recense tous les hoaxes 
identifiés sur le net. Allez­y faire un tour si vous avez 
un doute quant à la crédibilité d'un courrier 
électronique.
29/09/08 N.MEDDAH           OFPPTHH1                                     
• Depuis quelques années, les pirates du web s'attaquent à une nouvelle 
forme d'escroquerie en masse via le phishing: Ils spamment des milliers 
d'internautes avec des messages dans le but de leur voler des 
informations bancaires. Leur procédé est très astucieux: ils envoient un 
mail avec un lien vers un site qui ressemble "presque" parfaitement au 
portail de votre banque. "Presque" car l'adresse n'est pas la même et 
jamais une banque ne vous demanderait des informations confidentielles 
en ligne. L'internaute trop confiant enverra ainsi des informations 
bancaires à ces pirates et le résultat ne se fera pas attendre: les pirates n'ont 
plus qu'à se servir de ces informations pour ponctionner de l'argent sur 
son compte en banque.

La règle est donc simple: Ne jamais fournir d'informations confidentielles 
même si c'est votre banque qui en fait la demande. Les organismes 
bancaires connaissent suffisamment ces questions de sécurité bancaire 
pour ne pas faire ce genre de choses. 
Voici deux captures de phishing provenant de banques françaises, comme 
vous pouvez le constater le mail semble réaliste, n'importe quel prétexte 
est utilisé pour vous demander des informations..

29/09/08 N.MEDDAH           OFPPTHH1                                     
29/09/08 N.MEDDAH           OFPPTHH1                                     
29/09/08 N.MEDDAH           OFPPTHH1                                     
Spam 
Le spamming (ou encore pourriel, courrier rebut) consiste 
à envoyer des messages appelés "spam" à une ou 
plusieurs personnes. Ces spams sont souvent d'ordre 
publicitaire. Tous les points suivant sont considérés 
comme du spamming.

Envoyer un même mail, une ou plusieurs fois à une ou 
plusieurs personnes en faisant de la publicité.
Poster un ou plusieurs messages dans un forum qui n'a 
rien à voir avec le thème.
Faire apparaître un message publicitaire lorsque l'on 
navigue sur un site.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Risque & prévention 
Qu'est­ce que je risque ?
Bien sûr, vous ne risquez rien. Ce n'est pas du tout dangereux. 
Mais ce n'est vraiment pas agréable de recevoir du spam dans 
sa boîte aux lettres. Cela fait perdre du temps, sans compter les 
risques d'effacer un mauvais message en se trompant de 
message.
Comment s'en protéger ?
Activer les options de filtrage de votre messagerie.
Si cela ne suffit pas, installer un logiciel anti­spam.

Vous pouvez aussi changer de logiciel de messagerie et 
adopter Mozilla Thunderbird qui élimine les spams 
intelligement.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Mailbombing
Le mailbombing s'apparente un peu au spamming puisqu'il a pour but de 
provoquer une gêne pour la victime. Mais cette fois, le but n'est pas le 
même, il s'agit de saturer la boîte aux lettres électronique de la victime en 
envoyant plusieurs mails, des milliers par exemple.
Qu'est­ce que je risque ?
En étant victime de mailbombing, vous risquez de perdre votre boîte. Pire 
encore serait que les mails soient infectés par des virus. Ainsi, la victime 
ne peut plus se servir de sa boîte.
Comment s'en protéger ?
Le mieux est d'avoir une deuxième adresse mail. Ainsi vous ne 
communiquez votre adresse personnelle qu'aux personnes de confiance. 
Ainsi, vous limitez les risques de mailbombing sur l'adresse à laquelle 
vous tenez.
Il existe des utilitaires permettant d'éviter les mailbombers comme
eremove.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Phishing
Le phishing, très à la mode aujourd'hui, consiste à 
soutirer des informations confidentielles (comme les 
codes bancaires, ...) auprès des clients par 
usurpation d'identité.
Qu'est­ce que je risque ?
Lorsque par exemple, vous allez sur un site de e­
commerce pour achater en ligne, le site va vous 
demander votre nom, le numéro de la carte bleue, la 
date d'expiration. Ainsi, si un scammer (arnaqueur) 
reçoit ces informations, il pourra payer en ligne en 
utilisant votre compte.
29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment font­ils ?
Ils peuvent créer un site de e­commerce avec la réplique conforme d'un 
vrai. Il suffit alors aux scamers de vous faire arriver sur leur site. Ainsi, 
vous pensez être sur le bon site, et vous donnez vos informations 
bancaires. Ils auront ainsi votre nom, votre code et la date d'expiration.
Les scamers peuvent aussi vous envoyer un mail en vous demandant des 
informations confidentielles. Bien sûr, ils usurpent l'identité de votre 
banque, pour vous mettre dans la confiance.
Comment s'en protéger ?
Ecrivez­vous même l'URL daccès au service lorsqu'il s'agit de faire des 
achats en ligne et non en cliquant sur un lien. En effet, rien ne vous 
garantit que l'URL que vous voyez soit celle du site sur lequel vous êtes 
réellement.
Méfiez­vous des courriels provenant de votre banque. En effet, il est rare 
qu'ils vous demandent des informations confidentielles. En cas de doute, il 
est mieux de leur téléphoner.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les techniques 
La navigation sur des sites à haut risque d'infections
Les pièces jointes et les vers par messagerie instantanée
Denial of Service
Sniffing
Scanning
Social Engineering
Cracking
Spoofing
Man in the middle
Hijacking
Buffer OverFlow

29/09/08 N.MEDDAH           OFPPTHH1                                     
La navigation sur des sites à haut risque 
d'infections
• Les failles de sécurités permettent d'infecter votre ordinateur 
automatiquement et à votre insu.
A l'heure actuelle, les failles sur les navigateurs WEB sont très 
exploitées, ces failles permettent via la consultation d'un site 
WEB malicieux d'infecter votre ordinateur de manière 
automatique. Le seul rempart si votre navigateur WEB est 
vulnérable reste votre antivirus, ces infections sont très 
souvent mises à jour afin de s'assurer que les antivirus ne 
puissent pas suivre la cadence.
Les chances d'infections si votre navigateur WEB est 
vulnérable restent très élevées.
Certains sites WEB sont hackés afin d'y déposer le code 
malicieux permettant l'infection, d'autres sites (notamment 
pornographiques) sont payés par les auteurs de malwares (ce 
sont des formes de sponsors) pour y ajouter le code malicieux.
29/09/08 N.MEDDAH           OFPPTHH1                                     
Pour être infecté via un site WEB, il faut donc 
remplir les conditions suivantes : 
avoir un navigateur WEB vulnérable (donc pas 
à jour). 
surfer avec les droits administrateurs 
consulter un site WEB avec du contenu 
malicieux 
antivirus qui laisse passer l'infection. 

29/09/08 N.MEDDAH           OFPPTHH1                                     
Le projet honeynet.org a effectué une étude sur 
ce type d'infection, il en ressort le tableau suivant :

29/09/08 N.MEDDAH           OFPPTHH1                                     
Cette étude montre que les trois premiers sites WEB vecteurs de malwares 
exploitants des failles de sécurité ont un contenu pour adultes, warez (cracks, 
issus de liens de Spam, téléchargements illégaux, ).
Les habitudes de surfs sont alors très importantes, on comprend très bien qu'un 
internaute qui va sur des sites pour adultes ou qui télécharge des cracks a 
beaucoup plus de chances de se faire infecter qu'un internaute qui va sur des sites 
de musiques ou lire les actualités en ligne!
Les mauvaises habitudes de surf sont un vecteur important d'infection.
Il convient ensuite de maintenir son système à jour, éviter d'utiliser le compte 
administrateur etc. Tout ceci est abordé plus longuement dans la seconde partie.

Plus d'informations sur les failles de sécurités :

Exploitation des failles Web : du problème à la solution 
Exploits sur les sites WEB 
Know Your Enemy: Malicious Web Servers 

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les pièces jointes et les vers par 
messagerie instantanée
Comme beaucoup de gens, vous 
recevez peut­être plusieurs 
emails dont vous ne connaissez 
pas le destinataire qui vous 
incite à cliquer sur un lien ou à 
ouvrir une pièce jointe. La règle 
est plutôt simple : si vous ne 
connaissez pas le destinataire, 
supprimez le message. Même si 
le message paraît venir de 
Microsoft ou de votre meilleur 
ami, vous devez faire attention, 
car l'adresse peut très bien avoir 
été falsifiée ou votre meilleur 
ami peut être très bien infecté 
sans le savoir.

29/09/08 N.MEDDAH           OFPPTHH1                                     
• Ce qui est bien, c'est que la 
plupart des internautes ont 
compris qu'il ne fallait pas 
ouvrir des pièces jointes 
venant d'un inconnu. 
Malheureusement, la 
méthode d'infection a 
évolué et il n'est pas rare de 
voir des vers par 
messagerie instantanée 
(comme MSN). Ces vers 
utilisent une méthode plutôt 
ingénieuse en se propageant 
par le biais de vos propres 
contacts et en vous incitant 
à cliquer sur un lien ou à 
ouvrir une pièce jointe. Le 
mieux est encore de ne pas 
cliquer bêtement.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Denial of Service
Une attaque par déni de service (en 
anglais Denial of Service, DoS) est 
une attaque qui a pour but de mettre 
hors jeu le système qui est visée. 
Ainsi, la victime se voit dans 
l'incapacité d'accéder à son réseau. 
Ce type d'attaque peut aussi bien 
être utilisé contre un serveur 
d'entreprise qu'un particulier relié à 
internet. Tous les systèmes 
d'exploitations sont également 
touchés : Windows, Linux, Unix, 
...
29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment s'en protéger ?

Etre à jour dans les correctifs logiciels 
(patch).
http://windowsupdate.microsoft.com
http://www.securityfocus.com

29/09/08 N.MEDDAH           OFPPTHH1                                     
Sniffing
Le reniflage (en anglais Sniffing) est une technique qui 
consiste à analyser le trafic réseau. Lorsque deux ordinateurs 
communiquent entre eux, il y a un échange d'informations 
(trafic). Mais, il est toujours possible qu'une personne 
malveillante récupère ce trafic. Elle peut alors l'analyser et y 
trouver des informations sensibles.
Exemple : Soit une entreprise possédant 100 ordinateurs reliés 
entre eux grâce à un hub. Maintenant, si un pirate écoute le 
trafic réseau entre 8h et 10h (heure de connection du 
personnel), il pourra lire tous les noms d'utilisateurs ainsi que 
leur mot de passe.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment s'en protéger ?
Utiliser de préférence un switch (commutateur) 
plutôt qu'un hub.
Utiliser des protocoles chiffrés pour les 
informations sensibles comme les mots de 
passe.
Utiliser un détecteur de sniffer.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Scanning 
Le scanning consiste à balayer tous les ports sur une 
machine en utilisant un outil appelé scanner. Le scanner 
envoie des paquets sur plusieurs ports de la machine. En 
fonction de leurs reactions, le scanner va en déduire si les 
ports sont ouverts. C'est un outil très utile pour les hackers. 
Cela leur permet de connaitre les points faibles d'une 
machine et ainsi de savoir par où ils peuvent attaquer. 
D'autant plus que les scanners ont évolué. Aujourd'hui, ils 
peuvent déterminer le système d'exploitation et les 
applications associées aux ports.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment s'en protéger ?
Scanner sa machine pour connaitre les ports 
ouverts
Surveiller les ports ouverts avec un firewall
et fermer ceux qui ne sont pas utiles
Utiliser un IDS (détecteur d'intrusion) ou 
mieux un IPS (prévention d'intrusion)

29/09/08 N.MEDDAH           OFPPTHH1                                     
Social Engineering
Le social engineering est l'art de 
manipuler les personnes. Il s'agit 
ainsi d'une technique permettant 
d'obtenir des informations d'une 
personne, qu'elle ne devrait pas 
donner en temps normal, en lui 
donnant des bonnes raisons de le 
faire. Cette technique peut se faire 
par téléphone, par courrier 
électronique, par lettre écrite, ... 
Cette attaque est souvent sous 
estimée puisqu'elle n'est pas 
d'ordre informatique. Pourtant, une 
attaque par social engineering bien 
menée peut se réveler très efficace. 
Elle n'est donc pas à prendre à la 
légère.
29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment s'en protéger ?
 Avoir du bon sens pour flairer l'arnaque
 Se méfier des personnes que l'on ne connaît 
pas

29/09/08 N.MEDDAH           OFPPTHH1                                     
Cracking
Le crackage des mots de passe consiste à deviner le mot de passe de la victime. Malheureusement, 
beaucoup d'utilisateurs mal avertis de cette technique mettent des mots de passe évidents comme leur 
propre prénom ou ceux de leurs enfants. Ainsi, si un pirate, qui a espionné sa victime auparavant, teste 
quelques mots de passe comme le prénom des enfants de la victime, il aura accés a l'ordinateur. D'où 
l'utilité de mettre des bons mots de passe. Mais même les mots de passe les plus robustes peuvent etre 
trouvés à l'aide de logiciels spécifiques appelés craqueur (John the ripper, L0phtCrack pour Windows).
Comment ça marche ?
Les craqueurs de mots de passe s'appliquent souvent à un fichier contenant le nom des utilisateurs ainsi 
que leur mot de passe encrypté. Ces fichiers sont nécessaires pour permettre l'authentification sur un 
système. L'encryptage des mots de passe s'effectue à l'aide d'une fonction de hachage. Les fonctions de 
hachage sont des fonctions univoques, c'est­à­dire qu'il est impossible de les inverser pour décrypter un 
mot de passe encrypté. Une autre particularité importante des fonctions de hachage est que deux mots de 
passe différents auront forcément un hachage différent. Ainsi, il est impossible de décrypter un mot de 
passe encrypté. En revanche, il est possible d'encrypter un mot au moyen de cette fonction et de comparer 
le résultat avec le mot de passe encrypté. S'il y a correspondance, on a deviné le mot de passe. Mais, il est 
fastidieux d'encrypter des milliers de mots pour trouver les mots de passe. C'est là qu'intervient l'utilité 
d'un craqueur.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Ces logiciels peuvent tester des mots de passe selon trois méthodes :
attaque par dictionnaire :
le logiciel teste tous les mots de passe stockés dans un fichier texte.
Cette méthode est redoutable car en plus de sa rapidité, elle aboutit 
généralement puisque les mots de passe des utilisateurs lambda sont souvent 
des mots existants.

attaque hybride :
le logiciel teste tous les mots de passe stockés dans un fichier texte et y ajoute 
des combinaisons. Par exemple, thomas01. Cette méthode est redoutable 
également puisque beaucoup de personnes mettent des chiffres apres leur 
mot de passe pensant bien faire.
attaque brute­force :
le logiciel teste toutes les combinaisons possibles. Ainsi ce genre d'attaque 
aboutit à chaque fois. Heureusement, tester toutes les combinaisons prends 
beaucoup de temps. D'où l'utilité de changer de mots de passe régulièrement.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Le fichier contenant les mots de passes encriptés est donc à 
protéger. Chaque système d'exploitation à sa méthode. 
Expliquons les méthodes employées par Windows NT, et 
Unix.
Windows NT
Ce fichier s'appelle la base SAM. Ce fichier est vérouillé par le noyau 
dès son démarrage. Ainsi, un utilisateur ne peut pas copier le fichier, 
ni le lire. Mais, il existe des méthodes permettant de se le procurer.
Unix
Ce fichier est en fait séparer en deux fichiers shadow et passwd. Le 
fichier passwd contient les noms d'utilisateurs accessible par tout le 
monde, et le fichier shadow contenant les mots de passe, accessible 
uniquement par root.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment s'en protéger
• Choisir un mot de passe robuste et ne pas l'écrire sur un 
support(papiers, ...) puisque rien n'empêche un pirate de fouiller les 
poubelles par exemple.Un mot de passe robuste doit satisfaire à 
plusieurs critères :
– plus de 8 caractères
– utiliser la casse (majuscule/minuscule)
– utiliser des chiffres

Une bonne méthode consiste à apprendre par coeur une phrase et 
à prendre les premieres lettres du mot.

• Changer régulièrement de mot de passe pour éviter que ce dernier 
ne soit trouvé par un tel outil.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Spoofing
• L'usurpation (en anglais spoofing) consiste à se faire passer pour 
quelqu'un d'autre. Il y a beaucoup d'utilité pour un pirate d'usurper une 
identité. Voici quelques exemples d'usurpations, mais ce ne sont pas les 
seules :
• Usurpation de l'adresse IP
– Une adresse IP correspond en gros à l'adresse postale d'un ordinateur. Ainsi, en 
changeant d'adresse IP, on peut se faire passer pour un autre ordinateur et 
obtenir des informations sensibles qui ne nous sont pas destinées.
• Usurpation de l'adresse e­mail
– Lors de la réception d'un courrier électronique, nous pouvons lire l'adresse de 
l'expéditeur. Mais, il est possible de changer l'adresse. Ainsi, un pirate peut vous 
envoyer un mail en usurpant l'adresse de votre supérieur.
• Usurpation WEB
– Ceci est le principe du phishing

Généralement, quand on parle d'usurpation ou de spoofing, on parle de l'usurpation 
de l'adresse IP. 

29/09/08 N.MEDDAH           OFPPTHH1                                     
• Comment s'en protéger ?
• On ne peut pas empêcher quelqu'un 
d'usurper une identité. En revanche, il faut 
à tout prix être sûr de l'identité de la 
machine avec laquelle on dialogue.
Utiliser des protocoles sécurisés
c omme ssh qui empêche le spoofing.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Man in the Middle
• Man in the Middle signifie l'homme du 
milieu. Cette attaque a pour but de 
s'insérer entre deux ordinateurs qui 
communiquent. Soient deux ordinateurs A 
et B voulant dialoguer. Maintenant, si un 
pirate décide de se faire passer pour 
l'ordinateur A auprès de B et de B auprès 
de A, ainsi, toute communication vers A ou 
B passera par le pirate, l'homme du 
milieu.
29/09/08 N.MEDDAH           OFPPTHH1                                     
• Quels sont les risques ?
• Le pirate peut donc intercepter tout le trafic, à savoir les 
informations sensibles comme les mots de passe. Mais, 
pire encore, le pirate peut modifier le trafic avant de le 
renvoyer vers l'autre ordinateur.
Ainsi, si vous voulez commander un livre sur internet à 10 
euros, et que le pirate change votre commande, vous 
pouvez très vite vous retrouver à dépenser des milliers 
d'euros.
• Comment s'en protéger ?
• Sur Internet, n'achetez que sur des sites sécurisés.Les 
sites sécurisés commencent par "https" au lieu de 
"http". Il y a également un cadenas en bas de votre 
navigateur.
• Sur un réseau, utilisez des protocoles sécurisés.
29/09/08 N.MEDDAH           OFPPTHH1                                     
Hijacking
• Un pirate peut craquer (cible) le mot de passe de la 
session. Mais si vous choisissez un mot de passe robuste, 
cela lui prendra beaucoup de temps. Alors pourquoi ne 
pas attendre que la victime se connecte sur la session et 
prendre sa place ? Ainsi, le pirate contourne le processus 
d'authentification. Et justement, il le fait, c'est le principe 
du détournement de session (en anglais hijacking). 
Ensuite, s'il veut pouvoir dialoguer avec le serveur, il doit 
mettre hors­jeu la victime. Pour cela, il peut lui lancer une 
attaque par déni de service (cible). Mais, il peut aussi se 
mettre en écoute et enregistrer tout le trafic en espérant 
recueillir des informations sensibles comme des mots de 
passe.
29/09/08 N.MEDDAH           OFPPTHH1                                     
• Quels sont les risques ?
• Si le pirate possède des informations sensibles comme un 
nom d'utilisateur et son mot de passe, il pourra alors 
revenir sur le système lorsqu'il le souhaitera a l'aide 
d'une backdoor. Pire encore, si la machine possède des 
liens d'approbation, l'attaquant en bénéficiera. Et il sera 
dur d'identifier que le système est compromis puisqu'il 
utilise le compte d'une personne autorisée. D'où 
l'importance de détecter cette attaque.
• Comment s'en protéger ?
• S'assurer que la communication est sécurisée

29/09/08 N.MEDDAH           OFPPTHH1                                     
Buffer OverFlow
• Un débordement de tampon (en anglais Buffer 
OverFlow ou BoF) est une attaque tres utilisée 
des pirates. Cela consiste à utiliser un 
programme résidant sur votre machine en lui 
envoyant plus de données qu'il n'est censé en 
recevoir afin que ce dernier exécute un code 
arbitraire. Il n'est pas rare qu'un programme 
accepte des données en paramètre. Ainsi, si le 
programme ne vérifie pas la longueur de la 
chaîne passée en paramètre, une personne 
malintentionnée peut compromettre la machine 
en entrant une donnée beaucoup trop grande.

29/09/08 N.MEDDAH           OFPPTHH1                                     
• Comment ça marche ?
• Les données entrées par l'utilisateur sont stockées temporairement dans une zone 
de la mémoire appelée tampon (en anglais buffer). Prenons l'exemple d'un logiciel 
qui demande votre prénom. En admettant que le programme prévoit dix caractères 
pour ce dernier et que l'utilisateur en mette vingt. Il y aura débordement de tampons 
puisque les dix derniers caractères ne seront pas stockés dans la bonne variable 
mais dans le tampon pouvant provoquer un crash de la machine. Mais, un pirate 
exploite cette faille malignement et parvient à se procurer d'un accés à la machine 
avec des droits identiques à celle du logiciel. Pour comprendre comment exploiter 
cette faille, visiter l'article de référence en matière de débordement de tampon :
Smashing the stack for fun and profitpar Alephone, Phrack 49.

• Comment s'en protéger ?
• Malheureusement, vous ne pouvez pas y faire grand chose. En effet, le principe de 
cette attaque est différent des autres, dans le sens où ce n'est pas la protection de 
l'ordinateur qui vous protégera d'un débordement de tampon puisqu'elle utilise le 
manque de rigueur de la part des programmeurs de logiciels en raison du manque de 
temps.
• Tenez vous au courant concernant les failles des logiciels et télécharger les patchs 
appropriéshttp://www.securityfocus.com

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les protections 
 FireWall
 Antivirus
 Antispyware
 Détecteur d'intrusions
 Cryptage

29/09/08 N.MEDDAH           OFPPTHH1                                     
FireWall
Un pare­feu (en anglais FireWall) est un système permettant de 
séparer un réseau interne d'un réseau externe (souvent 
l'internet). Il permet de filtrer les communications dans les 
deux sens et ainsi protéger le réseau interne des éventuelles 
menaces provenant de l'extérieur. En effet, pour pénétrer un 
réseau, un pirate dispose de plusieurs techniques. Mais, la 
plupart consiste à envoyer des paquets sur le réseau et 
exploiter les failles. Le rôle du firewall est de ne laisser passer 
que les paquets non suspects; les paquets suspects étant 
éliminés.
Les pare­feux logiciels permettent aussi d'analyser le 
comportement des logiciels sur votre ordinateur, et permettent 
d'empêcher tel programme d'accéder à internet, ou au contraire 
d'autoriser tel autre. 

29/09/08 N.MEDDAH           OFPPTHH1                                     
Quel choix adopter ?
Il existe deux solutions de firewall :
FireWall "hard"
FireWall "soft (logiciel)"
Ces solutions dépendent de ce que vous voulez 
protéger, pour un accès personnel à internet la 
meilleure solution est de choisir un firewall 
soft. Vous pouvez opter, par exemple, pour
Zone Alarme, ou pour .

29/09/08 N.MEDDAH           OFPPTHH1                                     
Antivirus

Un antivirus est un logiciel qui a pour but de 
détecter et de supprimer les virus d'un système 
informatique.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Comment fonctionne­t­il?
Afin de mener à bien sa mission, l'antivirus utilise différentes méthodes :
Recherche par la signature :
Cette méthode consiste à analyser le disque dur à la recherche de la signature du virus. La signature 
est un morceau de code du virus qui permet de l'identifier. L'antivirus compare les données du 
disque dur avec sa base de données. Celle­ci doit donc être régulièrement mise à jour pour pouvoir 
détecter les virus les plus récents. Cette méthode est la plus utilisée.

L'analyse heuristique :
Cette méthode consiste à simuler le comportement de logiciels présents sur votre ordinateur. Cela 
permet à l'antivirus de repérer des logiciels susceptibles d'avoir un comportement agressif. Cette 
méthode ne nécessite pas de mise à jour (à moins qu'une version plus récente du logiciel soit 
disponible). Cette méthode peut provoquer des fausses alertes.

L'analyse du comportement :
Cette méthode consiste à surveiller en permanence le comportement des logiciels actifs, ainsi que les 
fichiers crées ou modifiés. Cette méthode ne doit jamais être utilisée seule car l'antivirus intervient 
après que le mal soit fait. Elle est cependant recommandée pour tous les ordinateurs connectés à 
internet.

Un antivirus bien configuré utilise une combinaison de ces méthodes pour protéger un 
ordinateur des virus.
Lorsque l'antivirus a détecté un virus, il offre trois possibilités à l'utilisateur:

29/09/08 N.MEDDAH           OFPPTHH1                                     
Réparer le fichier :
Dans certain cas, l'antivirus peut réparer un fichier infecté. Cela va dépendre 
du fichier infecté, du comportement du virus ou encore de la façon dont le 
virus se duplique. Généralement l'antivirus va tenter de réparer le fichier 
avant de faire quoi que ce soit d'autre.

2. Supprimer le fichier :
Si l'antivirus n'est pas capable de réparer le fichier, il peut le supprimer. 
Choisissez cette option uniquement si le fichier n'est pas important, sinon (ou 
si vous ne savez pas) préférez la mise en quarantaine.

3. La mise en quarantaine :
L'antivirus place le fichier dans un dossier protégé et isolé par l'antivirus. 
Cela permet à l'antivirus d'attendre qu'une méthode soit diffusée pour réparer 
des fichiers infectés par tel ou tel virus. En général l'antivirus tente de réparer 
les fichiers mis en quarantaine après chaque mise à jour.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Anti­spyware
Un Anti­spyware est un logiciel qui permet de rechercher et de supprimer 
les spywares présents sur un ordinateur.
Comment fonctionne t­il ?
Un spyware étant toujours actif, l'anti­spyware va comparer l'ensemble des 
processus actifs du système avec une base de données qu'il faut donc 
mettre à jour régulièrement.
Quelques anti­spyware :
Il est conseillé d'utiliser plusieurs logiciels anti­spyware, un seul ne 
détectant pas la totalité des spywares. Voici quelques anti­spywares 
gratuits :
spybot search & destroy
Ad­aware
Spyware Blaster
Hijackthis

29/09/08 N.MEDDAH           OFPPTHH1                                     
Le cas de Hijackthis 
Hijackthis est un anti­spyware et un anti­hijacker gratuit, 
reconnu et très efficace, cependant son utilisation comporte un 
risque puisque hijackthis scanne le système et renvoie les 
résultats sous forme d'un log, ce log comporte un certain 
nombre d'informations vitales de votre système, et hijackthis 
vous permet de les supprimer. Une mauvaise utilisation peut 
donc endommager irrémédiablement votre système !
Il est donc conseillé d'utiliser hijackthis en dernier recours, si 
toutes les autres méthodes de protections n'ont rien donné. Il 
faut alors scanner votre système grâce à hijackthis, puis 
analyser les résultats pour enfin supprimer les éléments 
néfastes. Voir ici pour un tutorial sur l'analyse du log 
d'hijackthis, voici également un exemple de log. Certains 
sites, comme celui­ci proposent également un analyseur du 
log en ligne. En cas de doute, postez votre log sur les forums 
de discussions sur ce sujet, il y aura toujours quelqu'un pour 
vous aider.
29/09/08 N.MEDDAH           OFPPTHH1                                     
Détecteur d'intrusions
• Un détecteur d'intrusions (en anglais Instrusive Detection System) est un 
système capable de détecter une tentative d'intrusion sur votre système. Il 
stoppe la majeure partie des attaques recensées. Aussi est­il important de 
le mettre à jour régulièrement. L'IDS écoute le trafic réseau et analyse les 
paquets pour prévenir des actions suspectes et les arrêter. Les IDS actuels 
reconnaissent les signaux d'intrusions suivants :

Déni de Services
Backdoor
chevaux de troie
attaque par débordement de tampons...

L'IDS est un élément essentiel pour un réseau sécurisé. Il existe encore 
beaucoup de choix. Vous pouvez, par exemple, opter pour : RealSecure 
Sensord e Internet Security Systems.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Cryptage
Internet est un réseau non sécurisé. Et il est tellement 
grand, qu'il est inimaginable de le sécuriser. Ainsi, dès 
que l'on souhaite envoyer des informations 
confidentielles à une autre personne, il faut crypter le 
message. Il existe deux grands types de chiffrement :
le chiffrement à clé privée (dit aussi symétrique)
– Le chiffrement à clé privée consiste à utiliser la même clé 
pour crypter et décrypter le message.
Les personnes voulant communiquer et eux­seules doivent 
posséder la clé pour pouvoir crypter et décrypter les 
messages. Dès lors se pose le problème de l'échange de la 
clé.
Exemple : DES
29/09/08 N.MEDDAH           OFPPTHH1                                     
• le chiffrement à clé publique (dit aussi asymétrique)
– Le chiffrement à clé publique consiste en l'utilisation d'une 
clé différente pour crypter ou décrypter. Le propriétaire de 
la clé privée donne la clé publique à tout le monde et garde 
l'autre clé. Ainsi, on peut lui envoyer des messages chiffrés 
avec la clé publique mais personne peut le décrypter à part 
le propriétaire à l'aide de sa clé privée. Avec ce chiffrement, 
le problème de l'échange de clé ne se pose plus. Mais, la 
communication ne peut se faire que dans un sens, il faudrait 
alors deux autres clés pour dialoguer dans l'autre sens.
Exemple : RSA

29/09/08 N.MEDDAH           OFPPTHH1                                     
Pour pouvoir dialoguer sur un réseau, on utilise des protocoles de 
communication.
Qu'est­ce qu'un protocole de communication ?
     Un protocole est une méthode standardisée permettant la 
communication entre deux processus. Ainsi, si les processus se 
trouvent sur deux ordinateurs différents et que la méthode n'est 
pas sécurisée, une personne malintentionnée pourra tout voir 
en clair. Il est donc important de choisir des protocoles 
sécurisés.
Quels protocoles choisir ?
     Tout dépend de la communication que vous voulez 
entreprendre. Si cette dernière n'est absolument pas 
confidentielle, autant choisir un protocole non sécurisé, 
d'autant plus que la rapidité ne sera pas la même.
telnet
rlogin
rcp
rsh
29/09/08 N.MEDDAH           OFPPTHH1                                     
• Lors d'envois d'informations confidentielles, il est 
impératif de choisir un protocole sécurisé. Le nom des 
protocoles sécurisés commencent souvent par un "s" 
comme Secure (sécurisé).
• stelnet
• slogin
• scp
• ssh
• Au protocole d'origine, on a rajouté la couche SSL 
(Secure Sockets Layers). Cette couche garantit 
l'identité de la personne avec qui on parle, et garantit 
également que les informations seront cryptées entre 
l'expéditeur et le destinataire. Ainsi, un pirate ne 
pourra plus avoir recours au sniffing et auspoofing

29/09/08 N.MEDDAH           OFPPTHH1                                     
Les logiciels 
•  Nessus (utilitaire de sécurité)

• Ethereal (sniffer, analyseur de protocole)

• Cain

29/09/08 N.MEDDAH           OFPPTHH1                                     
Avant propos 
Dans la section "Les techniques", vous avez vu les méthodes de 
piratage informatique, comme le cracking ou le spoofing. 
Ces méthodes sont réalisées grâce à des logiciels spécialisés. 
Vous verrez dans cette page quelques un de ces logiciels, ainsi 
que d'autres utilitaires utiles.
Il n'est pas exposé dans cette page les logiciels de protections, 
que vous trouverez dans la section protections.

Attention : L'utilisation des logiciels présentés ici peut être 
considérée comme du piratage s'ils sont utilisés dans des 
réseaux autre que le vôtre, et donc passible de sanctions 
judiciaires. Vous pouvez cependant les essayer au sein de 
votre réseau local. 

29/09/08 N.MEDDAH           OFPPTHH1                                     
Nessus
Nessus est un outil de sécurité permettant de scanner une machine. Il permet 
aussi de tester différentes attaques pour savoir cette machine est 
vulnérable.
Nessus se compose d'une partie serveur (qui contient une base de données 
regroupant différents types de vulnérabilités) et une partie client. 
L'utilisateur se connecte sur le serveur grâce au client et après 
authentification, il ordonne au serveur de procéder aux tests. Le client 
reçoit ensuite les résultats.
Nessus est disponible sous Linux, Windows, Mac... et il est gratuit.
Comment l'obtenir ?
Consultez les ite web:http://www.nessus.org/nessus/ 
de nessus. Vous y trouverez également la documentation et les instructions 
d'installations.

29/09/08 N.MEDDAH           OFPPTHH1                                     
Ethereal 
Ethereal est un sniffer et un analyseur de protocoles, il analyse 
tous les packets qui circulent sur le réseau et leur contenu.
Ethereal est un logiciel très utilisé pour l'enseignement des 
protocoles réseaux, ou pour détecter des comportements 
anormaux du réseau (intrusions extérieures...). Ethereal est 
disponible sous Linux et Windows et il est gratuit.
Comment l'obtenir ?
Il suffit d'aller sur le site officiel (en anglais).
Il existe également un grand nombre de tutoriaux et de sites 
consacrés à Ethereal sur le net (voyez ça avec votre moteur de 
recherche préféré).

29/09/08 N.MEDDAH           OFPPTHH1                                     
Cain
Cain est un logiciel "tout en un": il permet le sniffing, le scanning, le
cracking, le spoofing... C'est donc un logiciel qui permet de voir les 
mots de passe qui passent sur le réseau local.
Pour cela Cain sniffe le réseau (voir sniffing), ce qui vous permet ensuite 
de faire du spoofinge t d'analyser le flux entre deux ordinateurs en 
utilisant la technique du "Man in the Middle", cela fait Cain trie les 
informations qui passe et peut détecter l'envoi d'un mot de passe par 
exemple.
Si le mot de passe détecté est crypté, Cain intégre un cracker (voir
cracking) qui va tenter de le décripter.
Cain est un logiciel très intéressant à utiliser puisqu'il permet de se 
familiariser avec les possibilités des réseaux informatiques.
Cain est disponible uniquement sur Windows.

• Comment l'obtenir ?
Il suffit d'aller sur le site officiel:http://www.oxid.it/cain.html 
(en anglais).
29/09/08 N.MEDDAH           OFPPTHH1                                     
Conclusion
Internet est un média de plus en plus démocratisé, le nombre d'internautes 
grandissant, il s'avère être une mine d'or pour des groupes sans scrupules qui 
s'enrichissent sur le dos des internautes.
Les pièges et menaces sont maintenant omniprésents, si une bonne protection est 
recommandée, une attitude sensée fera la différence. Il conviendra d'éviter: 
l'utilisation de cracks, il existe des logiciels libres qui évitent de prendre des 
risques et de se mettre dans l'illégalité en piratant. 
le surf sur les sites pornographiques. 
l'installation de tout logiciel/plugin sans une recherche sur sa provenance et ses 
effets indesirables. 
les logiciels proposés via des publicités contenues sur les sites WEB. 
les logiciels dit gratuits (une recherche Google sur le nom du logiciel permet 
d'avoir des renseignements sur les effets indésirables). 
l'exécution des fichiers reçus depuis MSN ou par email. Même si l'antivirus ne 
détecte rien. 
Si vous avez un doute sur un fichier, VirusTotal permet de le scanner avec 
plusieurs antivirus.

29/09/08 N.MEDDAH           OFPPTHH1                                     
bibliographie

29/09/08 N.MEDDAH           OFPPTHH1                                     

Оценить