S curit informatique Ethical Hacking

S curit informatique Ethical Hacking

Sécurité informatique Ethical Hacking Apprendre l’attaque pour mieux se défendre ACISSI Manon AGÉ Sébastien BAUDRU Robert CROCFER Franck EBEL Jérôme HENNECART Sébastien LASSON David PUCHE Résumé Ce livre sur la sécurité informatique (et le ethical hacking) s’adresse à tout informaticien sensibilisé au concept de la sécurité informatique mais novice en la matière. Il a pour objectif d’initier le lecteur aux techniques des attaq défendre.

Après une or 247 définition précise de objectifs, les auteurs les moyens de comment se kers et de leurs gie d’une attaque et repérer les failles par lesquelles s’ins rer dans un système. Le chapitre sur le Social Engineering, ou manipulation sociale, illustre pourquoi les failles humaines représentent plus de 60% des attaques réussies. Les failles physiques, qui permettent un accès direct aux ordinateurs visés ainsi que les failles réseaux et Wi-Fl sont présentées et illustrées avec à chaque fois des propositions de contre-mesures.

La sécurité sur le web est également présentée et les failles courantes identifiées à l’aide d’outils qui peuvent facilement être mis en place par le lecteur sur ses propres systèmes. L’objectif est toujours d’identifier les failles ossibles pour ensuite mettre en place la stratégie de protection adaptée. Enfin, pour mission de rendre la sécurité informatique

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
accessible à tous : « apprendre rattaque pour mieux se défendre » est leur adage. Hackers blancs dans l’âme, ils ouvrent au lecteur les portes de la connaissance underground.

L’auteur ACISSI (Audit, Conseil, Installation et Sécurisation des Systèmes d’Information) est une association à but non lucratif qui forme et conseille sur les enjeux de la sécurité informatique. Les auteurs de ce livre sont bien sûr membres actifs de l’association, chacun détenteur d’une spécialité : Marion Agé : Développeuse web et multimedia depuis 2007. Responsable de la traduction francophone officielle Gentoo/l_inux. Pigiste pou la presse spécialisée en sécurité informatique.

Sébastien Baudru : Formateur et conseiller en sécurité informatique, formateur sur Linux (certifié RHCE : RedHat Certified Enginer) et en programmation. Cofondateur de la société DRASTIC (prestations de services en sécurité informatique). Pigiste pour la presse spécialisée en sécurité informatique. Robert Crocfer : Ingénieur d’études RF et Administrateur réseaux à l’Université de Valenciennes. Les faiblesses physiques et éseaux sont ses domaines de compétences dans la sécurité informatique. Pigiste pour la presse spécialisée en sécurité informatique.

Franck Ebel : Ancien chef de département de l’IUT informatique de l’Université de Valenciennes, responsable de la licence professionnelle CDAISI (Collaborateur pour la Défense et l’Anti-lntrusion des Systèmes Informatiques), ensei nant en informatique. Certifié oscp (Offensive Pigiste pour la presse spécialisée en sécurité informatique. Jérôme Hennecart : Ancien chef de département Mesures physiques de l’IUT de Valenciennes, enseignant, formateur en écurité informatique. Le Web et ses faiblesses constituent sa spécialisation. Pigiste pour la presse spécialisée en sécurité informatique.

Sébastien Lasson : étudiant en Ingénieurie informatique, développeur d’applications Web 2. 0, formateur. Démonte et analyse tous les systèmes d’exploitation et sa spécialité est l’étude de ces systèmes. David Puche : Diplômé d’un master TNSID de l’Université de Valenciennes, développeur expérimenté, cofondateur de la société DRASTIC. Auteur des outils utilisés par ACISSI pour les audits. La sécurité applicative et système est son domaine. Ce livre numérique a été conçu et est diffusé dans le respect des droits d’auteur.

Toutes les marques citées ont été déposées par leur éditeur respectif. La loi du 11 Mars 1957 n’autorisant aux termes des alinéas 2 et 3 de l’article 41, d’une part, que les « copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective », et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration, « toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de Fauteur ou de ses yants droit ou ayant cause, est illicite » (alinéa 1er de l’article 40).

Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. copyright Editions ENI @ ENI Editions – All rigths ar lina Présentation 1. L’information est partout À l’heure du « tout disponible partout tout de suite », le transport d es données en dehors du domicile d’un partlculier ou d’une entreprise est une réalité qui mérite que l’on s’interroge sur la sécurité des transmissions pour ne pas compromettre un système d’information.

Que ce soit à l’échelle d’une entreprise, d’une multinationale ou à plus petite échelle, la sécurité d’un système d’information prend plus ou moins d’importance selon la valeur q ue l’on confère à ces données. Avec le développement d’Internet, chacun a accès au réseau où d e plus en plus dlnformations circulent. De plus en plus, les entreprises communiquent et diffusent via ce media, que ce soit dans leurs liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les relations entre les emplo yes euxmemes.

Nous sommes face non seulement à une augmentation de a quantité, mais aussi et surtout de l’importance des données. L’ensemble formé par tout le réseau d’utilisateurs de ce système d’information se doit d’être connu pour être sûr. Les ressources qui y circulent doivent absolument être protégées et p our cela, la maîtrise du système d’information est indispensable. Chaque acteur du système a un rôle à respecter, q ui doit être défini scrupuleusement. 2.

Connaître le système d’information pour le protéger Le système d’information définit l’ensemble des données et des ressources matérielles et logicielles de l’entreprise. Ce système permet de stocker et de faire circuler les ressources qu’il contient. Il représente également le réseau d’acteurs qui interviennent dans celuici, qui échangent les donnée s, y accèdent et les utilisent. Ce système rep Ce système représente la valeur de rentreprise, il est essentiel de le protéger. Le compromettre revient ? compromettre l’entreprise.

Il convient donc d’assurer sa sécurité en permanence, et surtout d ans des conditions d’attaque, d’espionnage ou de défaillance. Il faut s’assurer que les ressources servent uniquement dans le cadre prévu, par les personnes ccréditées et surtout pas dans un autre but Le risque encouru par un système est lié de manière étroite à la menace et à la vulnérabilité qui le touchent, mais également aux contremesures mises en œ uvre. La menace qui plane sur un système englobe les types d’actions menées dans le but de nuire à ce système (attaque, espionnage, vol d’informations… . La vulnérabilité représente les failles, les brèches dans le système, tout ce qui expose le système à la menace . manque de sauvegardes, de robustesse, une architecture défailla Enfin les contremesures sont les actions mises en œ vre pour prévenir la menace, une fois qu’elle est mesurée, ce qui passe d’abord par une prise de conscience. La menace qui plane sur un système est un fait : plus l’entreprise possède des informations importantes, plus elle y sera soumise.

Cependant, elle peut directement impacter le niveau de sécurité de son système en s’efforçant de mettre en place des contremesures, c’estàdire en s’attachant à la protection de son système, qui ne doit jamais être négligée. Ce sont en effet, ces contremesures qui vont diviser le risque d’attaque et la compromission des La sécurité engendre généralement I ‘attaque et la compromission des La sécurité engendre généralement le déploiement de moyens te chniques, mais également et surtout, de solutions de prévention, qui doivent absolument prendre en compte la formation et la sensibilisation de tous les acteurs du système.

Des règles et des bonnes pratiques doivent être mises e n place pour ne pas créer de brèche humaine. Ce sont les actifs d’une entreprise qui possèdent son capital intellectuel. Ce capital, forgé par son organisation, son économie ou encore sa valeur, représente un patrimoine d’inform ations à protéger. 3. Identifier la menace our mettre en place une politique de sécurité, il faut d’abord co mmencer par identifier la menace, le risque potentiel. Il faut connaître son ennemi, ses motivations et prévoir la façon dont il procède pour s’en protéger et limiter les risques d’intrusion.

La sécurité d’un système repose sur cinq grands principes L’intégrité des données : il faut garantir à chaque instant que les d onnées qui circulent sont bien celles que @ ENI Éditions – All rigths reserved – Jonifar lina 2 l’on croit, qu’il n’y a pas eu d’altération (volontaire ou non) au cours de la communication. L’intégrité des onnées doit valider l’intégralité des données, leur précision, l’aut henticité et la validité. possédant la clé de compréhension.

La disponibilité : il faut s’assurer du bon fonctionnement du système, de l’accès à un service et aux ressources à n’importe quel moment. La disponibilité d’un équipe ment se mesure en divisant la durée durant laquelle cet équipement est opérationnel par la durée durant laqu elle il aurait dû être opérationnel. La nonrépudiation des données : une transaction ne peut être nié e par aucun des correspondants. La non répudiation de l’origine et de la réception des données prouve qu les données ont bien été reçues.

Cela se fait par le biais de certificats numériques grâce à une clé privée. L’authentification : elle limite l’accès aux perso nnes autorisées. Il faut s’assurer de l’identité dun utilisateur avant l’échange de données. On mesure la sécurité d’un système entier à la sécurité du maillon le plus faible. Ainsi, si tout un système est sécurisé techniquement mais que le facteur humain, souvent mis en cause , est défaillant, c’est toute la sécurité du système qui est remise en cause. Dans un contexte global, la sécurité doit être assurée . niveau utilisateur, les acteurs doivent comprendre l’importance de leur position. au niveau des technologles utilisées, elles doivent être sûres et ne pas présenter de failles. 4. Instaurer de bonnes pratiques de sécurité Cependant, la sécurité ne doit pas être une gêne au quotidien, elle ne doit pas perturber l’utilisateur et doit permettre à quiconque d’utiliser le système en toute confiance. Il faut donc établir une politique de sécurité, et pour cela il faut commencer par identifier les besoins en terme de sécurité, réfléchir et définir les risques ainsi que les consequences.

Un particulier n’aura pas les mêmes attentes qu’une entreprise, il faut donc évaluer l’importance des données. Des règles et des procédures doivent ensuite être mises en place pour les différents services. un administrateur se doit de faire de la surveillance passive et acti Ve. Il doit connaître les vulnérabilités matérielles ou logicielles qui pourraient toucher le système qu’il gère, se tenir inf ormé des failles décelées.

Enfin, puisqu’aucun système n’est infaillible, il ne faut pas oublier de définir la politique à appliquer en cas de menace, de détection de vulnérabilité : que faire, qui contacter ? . Auditer son système Enfin, il est bon d’auditer un système pour connaître son niveau d e sécurité réel. pour cela, on réalise un test d’intrusion, mené soit par le responsa ble de la sécurité informatique du réseau, soit par un professionnel de la sécurité informatique, un hacker professionnel. Cela se fait bien sûr en accord avec l’entreprise.

Il s’agit donc de tenter une intrusion du système, on dit qu’il s’agit d’un audit de vulnérabilité. Dans ce cas, la personne réalisant le test doit expliciter les actions à mener et obtenir une autorisation signée. Cette autorisation oit bien sûr être donnée par une personne qul signée. Cette autorisation doit bien sûr être donnée par une personne qui y est habilitée, un Responsable de la Sécurité des Systèmes d’Information (RSSI). En interne, seul le RSSI ou le responsable de la sécurité de l’entrep rise peut faire ce test. 2- @ ENI Editions – All rigths reserved – Jonifar lina De plus, il est conseillé de prévenir le moins de monde possible d ans rentreprise lors d’audits de sécurité afin de ne pas fausser le contexte. Rappelons que dans la réalité, la majorité des intrusions système se font le weekend. ENI Editions – All rigths reserved – Jonifar lina 4 -3- Une nouvelle éthique de travail 1 . La connaissance avant toute chose Quand on parle de sécurité informatique, on ne peut ignorer le monde underground, celui des hackers et autres pirates du Web.

Ils sont fortement médiatisés, généralement à tort et l’objet de nombreuses confusions. Nous allons donc d’abord définir brièvement les différents profils que l’on retrouve sous ce terme mal employé de « pirate » Tout d’abord, la définition du terme hacker, qui est assez large. À l’ origine, « hacker » est un mot an lais ui veut dire « bricoleur » ou encore « bid ormatique, ce terme est xquelles ils ne sont pas censés avoir accès. Mais la communauté des hackers va également audelà de la connaissance technique. ?tre un hacker correspond davantage à un état d’esprit plus qu’au fait de programmer. Ainsi, les hackers sont généralement des personnes cultivées qui connaissent à la fois l’historique de leur statut, les grands acteurs du mouvement, qui se tiennent informés de tout c e qui s’apparente à leur domaine et qui ont soif de connaissance. Il convient cependant de remettre à plat les définitions habituelle s que l’on donne des hackers pour corriger quelques ravers portés par les médias de masse, et de distinguer les différ ents types de cette grande famille. . Les hackers « black hats », les chapeaux noirs Généralement, ces hackers ne respectent pas la loi, ils pénètrent par effraction dans les systèmes dans un intérêt qui n’est pas celui des propriétaires du réseau. L’intérêt y est pers onnel, généralement financier, en tout cas le but est nuisible à la personne (physique ou morale) visée. Ces hackers sont d’ailleurs plus généralement appelés des cracker Les crackers ayant une nette attirance pour ce côté obscur sont p r exemple les créateurs de virus, de chevaux de Troie ou de logiciels espions.

Lorsque cela est fait dans le but de nuire à une organisation ou ? des individus, on parle aussi de terrorisme ou de cyberterrorisme. Il n’est pas rare que les black hats changent de bord et se fassent embaucher par de grandes sociétés. En effet, la connalssance de ces passionnés est telle qu’elle peut aider une en treprise dont les données sont sensibles à mettre en place la sécurité. Cependant la communauté des black hats est assez large et possède des convictions, des a inions et PAGF ID OF