Memoir MS

UN PEUPLE-UN BUT-UNE FOI GROUPE ECOLE SUPERIEUR DE DAKAR
République du Sénégal
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR DE LA RECHERCHE

ET DE L’INNOVATION
THEME : Audit de sécurité avec Kali Linux et études de

solutions contre les attaques de malware
MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU DIPLOME DE MASTER
Option : Réseaux, Systèmes et Sécurité
Présenté par : Sous la Direction de :

DIALLO Alpha Oumar M. AHMED Elkhalifa, Enseignant
Chercheur en Cryptologie, Géométrie
Algébrique et Application, Ingénieur
informaticien Consultant en Sécurité et
Audit Département de
Mathématiques et d’Informatique FST-
UCAD.
Année académique 2019-2020

THEME : Audit de sécurité avec Kali Linux et études de solutions contre les attaques de malware
Remerciement
C’est un labeur très agréable, mais bien exquis, d’adresser mes remerciements à tous ceux qui
m’ont aidé dans la réalisation de ce travail.
Je rends grâce à Dieu tout Puissant de m'avoir permis de mener à terme ce mini projet qui est
pour moi le point de départ d'une merveilleuse aventure, celle de la recherche, source de remise en
cause permanent et de perfectionnement perpétuelle.
Qu’il me soit permis d’exprimer en premier lieu ma gratitude à Mr Elkhalifa Ahmed docteur en
réseau système et sécurité, qui a accepté de m’encadrer et m’a fait profiter de son savoir et de ses
grandes expériences. Qu’ils trouvent, ici, le témoignage de ma reconnaissance et mes vifs
remerciements.
D’une Façon générale, je remercie l’ensemble des Professeurs de ESITEC (Groupe supdeco) qui
m’ont fait profiter de leurs savoirs et pour l’intérêt qu’ils m’ont porté tout au long de mon cursus.
Enfin, je tiens à exprimer mes affectueuses reconnaissances à toutes les personnes qui m’ont
encouragé particulièrement tout au long de cette période.
A
Dédicace
Je dédie ce modeste job a tout ce qui m’ont encouragé durant toute la période de réalisation de ce
travail.
En particulier :
 A celui qui sans leurs aides ne serais-je peut-être pas au Sénégal c’est à dire mon
père et ma mère « Djimé DIALLO et Oumou Kesso DIALLO ».
 A mes sœurs « Fatoumata Diaraye DIALLO et Bountourabi DIALLO » en
Guinée pour leurs amours et l'attention qu'elles ont toujours eu à mon égard.
 A mes chers frères « Sékou DIALLO et Moussa DIALLO »
Qu’il me soit permis aussi d’adresser une dédicace spéciale à mes amis du : Master 2 Réseaux
systèmes et sécurité pour leurs amours et l'attention qu'ils ont toujours eu à mon égard.
B
Abréviations
ATM – Mode de transfert asynchrone

AWS – Amazon Web Services
BSI Group – British Standards Institution Group
CEH – Certified Ethical Hacker
CEI – Commission électronique Internationale
CISA – Certified Information Systems Auditor
CISM – Certified Information Systems Manager
DDOS – Déni de Service Distribué
DNSSI – Directive Nationale de la sécurité des Systèmes d’Information
DOS – Déni de Service
EBIOS – Expression des besoins et Identification des Objectifs de sécurité
EFS – Encrypting File System
GRUB – Grand Unified Bootloader
IDS – Système de détection d’intrusion
IEC – International Electrotechnical Commission
IMSI – International Mobile Subscriber
IPS – Système de Prévention d’Intrusion
ISO – Organisation Internationale de normalisation
KRACK – Key Réinstallation Attacks
MEHARI – Méthode Harmonisée d’Analyse des risques
NAS – Network Attached Storage
NMS – Normes des Systèmes de Management
OCTAVE – Operationally Critical Threat, Asset, and Vulnerability Evaluation
P2P – Peer-to-Peer
PDCA – Plan Do Check Act
PSSI – Politique de Sécurité des Systèmes d’informations
RAM – Random Access Memory
SEO – Optimisation pour les moteurs de Recherche
SGSI – Système de Gestion de la Sécurité de l’Information
SI – Système de l’Information
SM – Système de Management
C
SMS – Short Message Service

SMSI – Système de Management de la sécurité de l’Information
SQL – Structured Query Language
SSID – Service Set Identifier
TIC – Technologies de l’Information et de la communication
USB – Universal Serial Bus
VPN – Réseau privé virtuel
WPA2 – WI-FI Protected Access
D
Liste des figures

Processus du système de management - Figure 1 .......................................................................... 8
smsi - Figure 2 .............................................................................................................................. 10
Cycle du smsi - Figure 3 ............................................................................................................... 11
Historique des normes liées à la sécurité de l’information - Figure 4 ......................................... 15
Les normes iso 2700x - Figure 5................................................................................................... 16
Cycle de vie d’un audit de sécurité - Figure 6 .............................................................................. 20
Type d’audit de sécurité - Figure 7............................................................................................... 20
Processus d’audit - Figure 8......................................................................................................... 21
Defense en profondeur (Figure 9) [14] ........................................................................................... 76
E
Liste des captures
Etat initial de l’infection par le ver code red - Capture 1 [7] ........................................................ 38
Infection par le ver code red 19h plus tard - Capture 2 [7]........................................................... 39
Détail d’un exploit - Capture 3 [14] ............................................................................................... 47
cameras avec un mot de passe faible - Capture 4[14] .................................................................... 50
Cameras compromise - Capture 5[14] ........................................................................................... 50
Attaques directes - Capture 6[15] ................................................................................................... 52
attaque par permutation - Capture 7[15] ....................................................................................... 53
Attaque distribuée - Capture 8[15] ................................................................................................. 54
Attaque de proximité Capture 9[16] ............................................................................................... 55
confirmation d’identité avec SMS - Capture 10[16] ....................................................................... 57
Interception du réseau avec imsi catcher - Capture 11 [16] .......................................................... 57
Outils whois en action - Capture 12[7] .......................................................................................... 59
Scanner de port nmap - Capture 13[7] .......................................................................................... 59
Attaque par déni de service - Capture 14[7] .................................................................................. 61
Attaque Déni de service - Capture 15[7] ....................................................................................... 62
Activation de DDOS -Capture 16[7] .............................................................................................. 62
Serveur- surcharge Capture 17[7] ................................................................................................. 63
Sauvegarde Locale et sur le cloud - Capture 18[7] ....................................................................... 69
Authentification a deux facteurs - Capture 19 [7] ......................................................................... 70
Caractères - Capture 20 ............................................................................................................... 71
Exemple IDS - Capture 21[7]......................................................................................................... 75
Résultat d’un balayage de port - Capture 22[7] ............................................................................ 79
attaque zombie - Capture 23[7] ..................................................................................................... 80
Architecture reseau LAN - Capture 24 ......................................................................................... 84
Interface routeur Wi-Fi - Capture 25 ........................................................................................... 84
Installation de lynis - Capture 26 ................................................................................................. 86
menu de l’outil lynis - Capture 27 ................................................................................................ 87
Lynis en cours Audit - Capture 28 ................................................................................................ 88
Résultat d’audit - Capture 29 ....................................................................................................... 89
Détail du scan de sécurité - Capture 30 ....................................................................................... 89
Fichier de sauvegarde d’audit - Capture 31................................................................................. 90
Rapport d’audit - Capture 32 ....................................................................................................... 90
Règle par défaut du pare-feu - Capture 33 ................................................................................... 91
adresse ip de la machine audite - Capture 34 .............................................................................. 91
adresse ip de l’hote - Capture 35 .................................................................................................. 92
Modification de la règle iptable - Capture 36 .............................................................................. 93
Tentative de ping du hôte - Capture 37 ........................................................................................ 93
Tentative d’accès à internet Capture 38 ....................................................................................... 94
autorisation du trafic entrant d’une connexion déjà établie - Capture 39 ................................... 94
Ping du hôte - Capture 40 ............................................................................................................. 95
F
Tentative d’accès a YouTube - Capture 41 ................................................................................... 96
Installation de clamav - Capture 42 ............................................................................................. 97
Analyse et detali du repertoire img - Capture 43 ......................................................................... 97
Résultat du deuxième audit - Capture 44 ...................................................................................... 98
Détail du dernier audit - Capture 45 ............................................................................................ 99
G
Sommaire
Remerciement ....................................................................................................................... A
Dédicace ............................................................................................................................... B
Abréviations .......................................................................................................................... C
Liste des figures .................................................................................................................... E
Liste des captures .................................................................................................................. F
Sommaire .............................................................................................................................. H
Introduction Générale ........................................................................................................... 0
Chapitre 1 : Cadre théorique ................................................................................................. 2
1.1. Introduction ................................................................................................................ 2
1.2. Présentation du sujet ................................................................................................... 2
Chapitre 2 : Cadre méthodologique ....................................................................................... 4
2.1. Délimitation du sujet ................................................................................................... 4
2.2. Difficultés rencontrées ................................................................................................ 4
Chapitre 1 : Etudes détaillées ................................................................................................ 6
1.1. Généralités .................................................................................................................. 6
1.2. Audit de sécurité informatique .................................................................................. 11
1.3. Notions de Vulnérabilités, Malwares ......................................................................... 27
Chapitre 2 : Attaques et solutions ........................................................................................ 49
Introduction : ...................................................................................................................... 49
2.1. Attaques :.................................................................................................................. 49
2.2. Solutions contre les attaques de malwares : ............................................................... 65
Chapitre 1 : Kali Linux et architecture réseau ..................................................................... 83
1.1. Kali Linux................................................................................................................. 83
1.2. Architecture réseau ................................................................................................... 83
Chapitre 2 : Auditer avec Kali Linux et Proposition d’une solution ...................................... 86
Introduction ........................................................................................................................ 86
1.1. Auditer un système avec Kali Linux ........................................................................... 86
1.2. Proposition d’une solution contre les attaques de malware ........................................ 91
H
Conclusion Générale ......................................................................................................... 100

Bibliographie .................................................................................................................... 101
I
Introduction Générale
L’utilisation d’ordinateurs est considérée comme essentiel à nos jours, des jeunes aux vieux, des
étudiants aux entreprises. Le nombre d’ordinateurs augmente rapidement chaque année. Cette
croissance rapide, chaque année, entraîne un problème de sécurité. La sécurité informatique est
vitale, car les adversaires cherchent toujours des opportunités et des vulnérabilités pour la remettre
en question. La sécurité n’est pas seulement la notion d’absence de danger, telle qu’elle est
communément conçue, mais est associée à la présence d’un adversaire. La présence d’un
adversaire qui cherche toujours à obtenir des informations personnelles sensibles et privées, à
menacer le système et à l’utiliser contre son usage légitime rend la sécurité informatique
primordiale.
Un audit de sécurité informatique est une approche qui permet de savoir le degré ou le niveau de
sécurité d’un système d’information et de mettre en ordre l’accès aux données de l’entreprise. Dans
un système d’information, l’audit de sécurité nous garantit la disponibilité du système
d’information (disponible à l’utilisable), l’intégrité des données et la confidentialité de
l’information.
Comment ses adversaires arrivent-ils à prendre le contrôle de nos ordinateurs, ordiphones, ou
encore nos tablettes, etc. ? Comment arrivent-ils à obtenir nos codes secrets ? C’est simple, ses
illicites passent par plusieurs types d’attaques pour arriver à leurs fins, nous verrons en aval tous
ces types d’attaques.
Notre travail s’articule autour de l’audit de sécurité avec Kali Linux et études de solutions contre
les attaques des malwares. L’audit se fera à travers une distribution Linux basée sur Debian appelé
Kali Linux, destinée au test de pénétration avancé et à l’audit de sécurité. Ce mémoire est scindé
en trois parties :
La première partie présente le cadre théorique et méthodologique de notre étude, la seconde partie
est axée sur l’étude détaillée et la troisième partie détaille de façon pratique la mise en œuvre d’un
audit suivie d’une proposition de solution.
Partie 1 : cadre théorique et

méthodologique
1
Chapitre 1 : Cadre théorique
1.1. Introduction
Un audit informatique permet de détecter les failles de sécurité d’un système d’information.
Quand il s’agit de sécuriser ses données, la sécurité informatique est incontournable, avec
l’évolution du cyberespace et les technologies, les entreprises ou les personnes voulant garder
secret ses données à l’égard des illicites sont tous dépendantes de la sécurité informatique.
1.2. Présentation du sujet

1.2.1. Problématique :
La progression de l’informatique multiplie de jour en jour les vulnérabilités ou les failles au niveau
des systèmes d’informations, puisque les données précieuses attirent les malveillants, qui
cherchent à se les procurer pour en tirer profit. La sécurité informatique est une problématique de
plus en plus importante, car les données sont lourdes, les systèmes d’information sont autant plus
connectés et externalisés (Cloud computing, réseaux internes portés par l’internet, etc.).
La croissance du grand réseau ou le réseau des réseaux appelé internet et l’interconnexion des
appareils sont tous des facteurs qui multiplient les risques informatiques au sein des organisations.
Que ça soit des risques internes (erreurs, anciens collaborateurs, etc.) ou externes (piratage,
espionnage…), la sécurité des informations est désormais un enjeu de taille dans le pilotage de
toute structure.
La question ici est de mettre en évidence la stratégie que l’organisme ou la personne préconise
pour pouvoir être à l’abri de ces menaces afin de protéger ses données.
1.2.2. Les objectifs

1.2.2.1. Objectif général
L’objectif général de ce document est de vous expliquer comment auditer un système avec Kali
Linux et comment mettre en place un système pour repousser les attaques de malwares.
1.2.2.2. Objectifs spécifiques

Dans le cadre de l’objectif spécifique, cette recherche qui est : l’audite de sécurité avec Kali Linux
et étude de solution contre les attaques de malware est de :
 Maitriser le cadre conceptuel et méthodologique de l’Audite de sécurité des systèmes
d’information ;
 Etudes des différents types de malwares ;
 Enumérer les différents types d’attaques de malware
 Prestation de l’audit de sécurité d’un système d’information ;
 Présenter des solutions ;
2
1.2.3. Pertinence du sujet :

Nous nous protégeons des malveillances en mettant en place des dispositifs de protections
(antivirus, pare-feu) contre les menaces qui existent sur la toile mondiale (les vers, les virus, les
ransomwares, les spywares, etc.). C’est un début pour protéger son système contre les menaces.
Mais comment être préparé face à tout type de menace ? Pour le savoir, le seul moyen est
d’apprécier l’efficacité de votre système de défense et donc de le tester.
Ces tests, appelés test d’intrusion, évaluent l’efficacité des protections en place, la pertinence de
vos systèmes de surveillance et d’alertes et indiquent si les mesures de sécurité instaurées au sein
de votre entreprise sont efficaces.
L’audit de sécurité informatique va permettre de réaliser un bilan de votre système d’information
(quels sont les matériels, logiciels que vous utilisez au sein de votre entreprise et les vulnérabilités)
et d’analyser si celui-ci est encore valable ou obsolète.
3
Chapitre 2 : Cadre méthodologique
2.1. Délimitation du sujet

Spécialiser en réseaux systèmes et sécurité de l’information, nous voilà aujourd’hui au terme de
notre cursus avec ce mémoire portant sur : « l’audit de sécurité avec Kali Linux et Étude de
solutions contre les attaques de malwares ».
2.2. Difficultés rencontrées

Les recherches qui nous ont menées à cette fin n’ont pas été une tâche facile, il nous a fallu de
l’abnégation et une très bonne concentration pour arriver à nos fins.
Au cours de ce travail, j’ai rencontré quelques difficultés comme la mise en place de mon système
Kali Linux qui m’a donné du fil à retordre. Nous avons eu des problèmes de mise à jour dans le
système Kali Linux qui était lié au fuseau horaire et au dépôt dans le fichier apt/source.list et les
recherches concernant les informations de sécurité informatiques, les recherches d’informations
liées aux malwares et les attaques de malware n’ont pas été non plus commode, mais avec de
l’effort, nous avons réussi à concocter quelques données pertinentes.
4
Partie 2 : Etudes détaillées
5
Chapitre 1 : Etudes détaillées
1.1. Généralités
1.1.1. Système d’information
a. Qu’est-ce qu’un système d’information ?
Un système d’Information (SI) est un ensemble de ressources (les processus, le personnel, la
technique, la technologie, les réseaux) qui vont permettre de gérer les informations et les échanges
de ces informations au sein d’une organisation.
Une organisation, que ça soit une administration, une petite ou une grande entreprise a donc un
système d’information plus ou moins complexe. Ce système d’information va gérer ses données
et ses processus qui sont dans la plupart des cas sensibles voir confidentiel pour l’entité.
b. En quoi consiste un système d’information ?
Un système d’information peut être similaire à un véhicule qui permet d’établir la communication
dans toute l’entreprise. Un système d’information permet :
 Collecter ;
 Stocker ;
 Traiter ;
 Communiquer les informations.
Le système d’information est le grand coordinateur des activités de l’entreprise et qui joue un rôle
crucial dans l’atteinte des objectifs fixés par cette dernière. Le SI se construit tout autour des
processus métier et ses interactions. Pas seulement autour des bases de données ou des logiciels
informatiques qui le constitue. Le SI doit être en accord avec la stratégie de l’entreprise.
1.1.2. Sécurité de l’information

a. Qu’est-ce que la sécurité de l'information ?
Avec l’avènement de nouvelles menaces, la sécurité informatique devient un facteur nécessaire
pour le bon déroulement de l'entreprise ou de l'organisme.
Les organisations possèdent certaines informations qui ne doivent être divulguées qu'à un certain
nombre de personnes ou qui ne doivent pas être modifiées ou qui doivent être encore disponibles
de manière transparente à l'utilisateur. Ces informations feront l'objet d'une attaque par ce que des
menaces existent et que le système abritant ces informations est vulnérable.
Selon la norme ISO 27001 (article 3.28) :
‘’ La sécurité de l’information est la protection de la confidentialité, de l’intégrité et la
disponibilité de l’information ‘’ [1].
En partant de cette définition, la sécurité de l'information est l’ensemble des moyens techniques,
organisationnels, juridiques, et humains mis en place pour faire face aux risques et failles
6
identifiés, afin d’assurer la confidentialité, l'intégrité, la disponibilité, et la Traçabilité de

l'information traitée :
 Confidentialité - L’information ne doit pas être divulguée à toute personne, entité ou
processus non autorisé. En clair, cela signifie que l’information n’est consultable que par
ceux qui ont le droit d’y accéder.
 Intégrité - Le caractère correct et complet des actifs doit être préservé. En clair, cela
signifie que l’information ne peut être modifiée que par ceux qui en ont le droit.
 Disponibilité - L’information doit être rendue accessible et utilisable sur demande par une
entité autorisée. Cela veut dire que l’information doit être disponible dans des conditions
convenues.
 Traçabilité (ou « Preuve ») – C’est la garantie que les accès et tentatives d'accès aux
éléments considérés sont tracés et que ces traces sont conservées et exploitables.
b. Pourquoi est-ce qu’on se protège ?

Nous nous protégeons, parce que on estime que la perte des informations provoquerait :
 Une perte financière - (exemple : destruction de fichiers client, récupération de
contrats par un concurrent)
 Une perte de l'image de marque - (exemple : piratage d'une banque, divulgation d'un
numéro de téléphone sur liste rouge)
 Une perte d'efficacité ou de production - (exemple : rendre indisponible un serveur de
fichiers sur lequel travaillent les collaborateurs)
c. Qu’est-ce qu’une politique de sécurité de l’information ?

Une politique de sécurité de l’information est un ensemble de document à suivre afin d’avoir un
niveau de sécurité satisfaisant.
C’est une prise de position et un engagement clair et ferme de protéger l’intégrité, la confidentialité
et la disponibilité de l’actif informationnel de l’entreprise.
La politique de sécurité de l’information vous permet de définir, réaliser, entretenir et améliorer la
sécurité de l’information au sein de votre entreprise. Elle vous permet aussi de protéger les
infrastructures et actifs critiques de votre entreprise.
1.1.3. Système de management

a. Qu’est-ce qu’un système de management ?
Selon l’organisation internationale de normalisation (ISO) :
‘’ Un système de management est l’ensemble des processus par lesquels un organisme gère les
éléments corrélés ou en interaction de ses activités afin d’atteindre ses objectifs ces objectifs
peuvent viser différents résultats à atteindre, notamment en ce qui concerne la qualité des produits
ou des services, l’efficacité opérationnelle, la performance environnementale, la santé et la sécurité
sur le lieu de travail et bien d’autres domaines ‘’ [2].
7
Le niveau de complexité du système dépendra du contexte spécifique de chaque organisme. Dans

certains organismes, en particulier, les petites entreprises, les directives claires d’un patron sachant
bien encadrer ses employés et leur expliquer ce qu’il attend de chacun d’eux pour contribuer aux
objectifs d’ensemble à atteindre, n’auront pas besoin de faire l’objet d’une documentation
extensive. Mais pour des domaines d’activité plus complexes opérant, par exemple, dans des
secteurs très réglementés, l’organisme devra peut-être établir une documentation extrêmement
détaillée et d’importants moyens de maîtrise afin de respecter ses obligations légales et de remplir
ses objectifs organisationnels.
Comment définir un système de management ? La norme ISO 9000 apporte une réponse à cette
question en définissant les principes de la qualité. Il est dit qu’un système de management est un
système permettant de :
 Etablir une politique ;
 Etablir des objectifs ;
 Atteindre ces objectifs.
Nous pouvons ainsi dire qu’un système de management (SM) est un ensemble de mesures
organisationnelles et techniques visant à atteindre un objectif et, une fois celui-ci atteint, à s’y
tenir, voire à le dépasser.
Mesures
techniques
Situation Objectif à
Actuelle Politique atteindre
Mesures
Organisationnelles
PROCESSUS DU SYSTEME DE MANAGEMENT - FIGURE 1
b. Quelles sont les normes du système de management ?

La norme ISO établie les exigences ou des lignes directrices pour aider les organismes à gérer leurs
politiques et processus afin d’atteindre leurs objectifs spécifiques. Les normes de systèmes de
management (NMS) sont élaborées pour être applicables à tous les secteurs économiques, aux
8
différents types et tailles d’organisations et aux diverses conditions géographiques, culturelles et

sociales.
De nombreuses NSM ISO ont une structure unique, un corpus commun de termes et définitions
ainsi que des exigences communes.
 ISO 9001 :2015 - Systèmes de management de la qualité — Exigences
 ISO/IEC 27001 :2013 - Technologies de l'information — Techniques de sécurité —
Systèmes de management de la sécurité de l'information — Exigences
 ISO 14001 :2015 : Systèmes de management environnemental — Exigences et lignes
directrices pour son utilisation
c. Quels sont les apports des systèmes de management ?

Les éléments que nous venons de décrire donnent de bonnes raisons de penser que la mise en place
et l’exploitation d’un système de management n’est pas un projet facile à mener. Il faut commencer
par fixer des politiques, formaliser les procédures par écrit et mener à bien des audits réguliers.
Ces opérations sont loin d’être transparentes, souvent lourdes à implémenter, leur coût humain et
financier n’est pas négligeable. Dans ces conditions, il est légitime de se demander ce qui justifie
un tel investissement. Quels sont bénéfices concrets pouvons-nous en espérer ?
 Premier apport - l’adoption de bonnes pratiques
Les systèmes de management se basent sur des guides de bonnes pratiques dans le
domaine qui les concerne (qualité, sécurité, environnement, etc.). Ainsi, celui qui se
lance dans la mise en place d’un système de management est quasiment obligé
d’adopter ces bonnes pratiques.
 Deuxième apport - l’augmentation de la fiabilité
L’adoption de bonnes pratiques a pour conséquence directe, à court ou à moyen terme,
l’augmentation de la fiabilité. Ceci est principalement dû au fait que les systèmes de
management imposent la mise en place de mécanismes d’amélioration continue
favorisant la capitalisation sur les retours d’expérience.
 Troisième apport - la confiance
Nous touchons enfin à la raison d’avoir un système de management : il fournit la
confiance envers les parties prenantes. Qu’entendons-nous par parties prenantes ? Il
s’agit de toute personne, groupe ou instance envers laquelle l’entreprise doit rendre des
comptes (Par exemple : les actionnaires, les clients, les fournisseurs, les partenaires,
etc.).
En fait, nous oublions trop souvent que la confiance est le vecteur qui permet toute
relation entre un client et un fournisseur. Autant dire qu’il n’y aurait aucune activité
économique sans la confiance.
9
1.1.4. Système de management de la sécurité de l’information (SMSI)

a. Définition
 SM - Système de management
 SI - Sécurité de l’information
 SMSI - Système de management de la sécurité de l’information.
SMSI
SMSI - FIGURE 2
Le Système de Management de la Sécurité de l’Information (SMSI) désigne le système que

l’organisation met en place pour assurer la sécurité des données qu’elle traite.
b. Quel est l’objectif Principale du SMSI ?

Le système de management de la sécurité de l’information préserve, la confidentialité, l’intégrité et
la disponibilité de l’information en appliquant un processus de gestion des risques et donne
aux parties intéressées l’assurance que les risques sont gérés de manière adéquate.
c. Quels sont les fondements de la sécurité de l’information ?

 Disponibilité - Propriété d'être accessible et utilisable à la demande par une entité
valide ;
 Intégrité - Garantir que les données sont bien celles que l’on croit être ;
 Confidentialité - Propriété selon laquelle l'information n'est pas diffusée ni
divulguée à des personnes, des entités ou des processus non autorisés.
d. Comment mettre en place un système de management de la sécurité ?
La démarche repose sur le principe de PDCA (Plan-Do-Check-Act) ou roue de Deming :
 PLAN (Planifier) - Etablir le système de management
Selon la norme ISO 27001, il s’agit de :
 Définir la politique de sécurité et le périmètre du SMSI ;
 Apprécier les risques et mettre en place un plan de traitement de risque ;
 Choisir les mesures de sécurité adéquates pour maitriser les risques.
10
 DO (Déployer) - Mettre en œuvre et exploiter le système de management

C’est la mise en place des mesures évoquées dans la phase PLAN. Il s’agit de déployer la
sécurité de manière opérationnelle.
 CHECK (Contrôler) - Surveiller et réexaminer le système de management
C’est la mise place des moyens nécessaires pour mesurer la conformité des exigences de
sécurité.
 ACT (Agir) - Maintenir et améliorer le système de management
C’est la mise en place d’actions correctives, préventives ou d’amélioration pour réduire les
dysfonctionnements relevés.
Partie intéressée
Exigences et attentes en
matière de sécurité de
l’information.
Plan : Planification Do : Déployer
Partie intéressée
Sécurité de
l’information gérée
Act : Amélioration Check : Contrôler et

évaluation des performances.
CYCLE DU SMSI - FIGURE 3
1.2. Audit de sécurité informatique

1.2.1. Définition
a. Qu’est-ce qu’un audit de sécurité informatique ?
Un audit de sécurité est un aperçu à un instant T, qui permet de comparer l’état du SI à un
référentiel. Concrètement, l’audit de sécurité va vérifier la conformité par rapport à une base
documentaire, la politique de sécurité de la société, une base référentielle au niveau des procédures
de l’équipe informatique, des lois et des réglementations qui sont propres au domaine d’activité
d’une entreprise.
11
Une mission d'audit ne peut ainsi être réalisée que si l'on a défini auparavant un référentiel, c'est-
à-dire, un ensemble de règles organisationnelles, procédurales ou/et techniques de référence. Ce
référentiel permet au cours de l'audit d'évaluer le niveau de sécurité réel du " terrain " par rapport
à une cible.
Pour évaluer le niveau de conformité, ce référentiel doit être :
 Complet - il doit mesurer l'ensemble des caractéristiques, et ne pas se limiter seulement au
niveau technique (système, réseau, ou applicatif), il doit couvrir aussi les points
organisationnels ;
 Homogène - chaque caractéristique mesurée doit présenter un poids cohérent avec le tout
;
 Pragmatique - c'est-à-dire, aisé à quantifier (qualifier) et à contrôler. Ce dernier point est
souvent négligé. La mission d'audit consiste à mesurer le niveau d'application de ces règles
sur le système d'informations par rapport aux règles qui devraient être effectivement
appliquées selon les processus édictés. L'audit est avant tout un constat.
b. Quels sont les objectifs d’un audit de sécurité ?

Une mission d’audit vise différents objectifs. En effet nous pouvons énumérer à ce titre :
 Réagir à une attaque
 Avoir, une idée précise du niveau de sécurité et de maturité du système
d’information
 Tester la mise en place effective de PSSI, politique de sécurité du système
d’information
 Tester, l’intégration d’un nouvel équipement : lors de la mise en place d’un
nouveau composant dans un premier environnement de test ou d’homologation,
avant sa mise en œuvre effective en production.
 Evaluer, l’évolution de la sécurité sur la durée grâce à des audits menés de façon
périodiques.
c. Quelles sont les classifications des audits ?

Les audits peuvent être classifiés en trois catégories :
 Les audits internes - (appelés aussi audits de 1ère partie) sont réalisés pour les
organismes souhaitant que leur système d’information soit examiné par rapport à
des exigences de sécurité de système d’information. Ces audits sont établis par des
auditeurs internes ou externes à l’organisme.
 Les audits externes - (appelés aussi audits de 2ème partie) sont commandités par
des entités ayant un intérêt à l’égard de l’organisme audité, dans le but d’évaluer le
niveau de sécurité du système d’information de ce dernier. Ces audits sont établis
par des organismes d’audit externes.
12
 Les audits de certification - (appelés aussi audits de tierce partie) sont réalisés pour
les organismes qui souhaitent faire reconnaître que la sécurité de leur système
d’information est conforme aux exigences comme celles de l’ISO/CEI 27001. Ces
audits sont établis par des organismes externes généralement accrédités.
1.2.2. Méthodes et normes d’audit de sécurité des systèmes d’informations

Les concepts de méthode et de norme de sécurité portent souvent confusion. Nous allons tenter de
définir chacun de ces concepts.
1.2.2.1. L’ISO (Organisation Internationale de Normalisation)

L’histoire de l’ISO débute en 1946 lorsque les délégués de 25 pays, se réunirent à l'Institute of
Civil Engineers à Londres dans le but de créer une organisation mondiale ayant pour objectif de
normaliser les normes industrielles. L’ISO fut donc officiellement créée l’année suivante, en 1947.
L’ISO (organisation internationale de normalisation) est une organisation internationale non
gouvernementale, indépendante, composée de 165 organismes nationaux de normalisation. Par ses
membres, l’Organisation réunit des experts qui mettent en commun leurs connaissances pour
élaborer des Normes internationales d’application volontaire, fondées sur le consensus, pertinentes
pour le marché, soutenant l’innovation et apportant des solutions aux enjeux mondiaux.
L’ISO a publié plus de 22 500 Normes internationales et publications associées, couvrant la quasi-
totalité des secteurs, des technologies à la sécurité des denrées alimentaires, en passant par
l’agriculture et la santé.
1.2.2.2. Les Méthodes

Une méthode est une démarche, un processus ou un ensemble de principes qui permettent
d’appliquer une norme au système d’information de l’entreprise. La méthode sert aussi à faire un
audit qui permet de faire, par exemple, un état de la sécurité du système d’information.
Une méthode est souvent accompagnée d’outils afin d’appuyer son utilisation. Ils peuvent être
disponibles gratuitement auprès des organismes qui les ont produits. Par exemple, la méthode
MEHARI propose un outil (fichier Microsoft Excel), le fichier contient un ensemble de questions
et de scénarios. Cette base de connaissance permet de ressortir toutes les vulnérabilités du système
d’information et émet des recommandations pour y remédier. La plupart des méthodes sont
appliquées par des experts en gestion des risques (EBIOS, MEHARI, OCTAVE…).
1.2.2.3. Les Normes

D'après ISO, l’Organisation internationale de normalisation, la définition officielle de la norme est
la suivante :
‘’ Document établi par consensus et approuvé par un organisme reconnu, qui fournit, pour
des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques,
pour des activités ou leurs résultats garantissant un niveau d'ordre optimal dans un
contexte donné. [3] ‘’
13
Les entreprises se font certifier pour prouver qu’elles suivent les recommandations de la norme.
Pour être certifié, il faut, dans un premier temps acheter la norme. Les normes appliquées à la
sécurité des systèmes d’information sont généralement éditées par l’organisme ISO. Ensuite,
l’entreprise doit mettre en pratique les recommandations décrites dans la norme.
Généralement, une entreprise peut se faire certifier pour trois raisons :
 Pour une raison commerciale - Pour certaines entreprises, être certifiées par des
normes de qualité par exemple est un gage de qualité pour les clients et est donc un
atout commercial.
 Par obligation - En industrie aéronautique par exemple, les constructeurs exigent de
leurs sous-traitants qu’ils soient certifiés par certaines normes.
 Il y a aussi des entreprises - Les se certifient pour elles-mêmes, pour optimiser leur
processus en interne.
a. Historique des normes en matière de sécurité de l’information

Au cours des vingt dernières années les normes liées à la sécurité de l’information ont évolué ou
ont été remplacées. Ces changements rendent difficile une bonne compréhension du sujet. Un
rappel historique de l’évolution de ces normes permet de clarifier la situation normative en matière
de sécurité de l’information.
Au début des années 90, de grandes entreprises britanniques se concertent pour établir des mesures
visant à sécuriser leurs échanges commerciaux en ligne. Le résultat de cette collaboration servit de
référence en la matière pour d’autres entreprises qui souhaitaient mettre en œuvre ces mesures.
Cette initiative privée fut appuyée par le Département des Transports et de l’Industrie britannique
qui supervisa la rédaction au format du BSI (Bilan social individuel), d’une première version de
projet de norme de gestion de la sécurité de l’information.
En 1991, un projet de « best practices » code de bonnes pratiques, préconise la formalisation d’une
politique de sécurité de l’information. Cette politique de sécurité doit intégrer au minimum huit
points « stratégique et opérationnel » ainsi qu’une mise à jour régulière de la politique.
En 1995, BSI Group publie la norme BS7799 qui intègre dix chapitres réunissant plus de 100
mesures détaillées de sécurité de l’information, potentiellement applicables selon l’organisme
concerné.
En 1998, la norme BS7799 change de numérotation et devient la norme BS7799-1. Elle est
complétée par la norme BS7799-2 qui précise les exigences auxquelles doit répondre un organisme
pour mettre en place une politique de sécurité de l’information. Cette nouvelle norme est fondée
sur une approche de la maîtrise des risques et sur le principe du management de la sécurité de
l’information.
En 2000, la norme BS7799-1, devient la norme de référence internationale pour les organismes
souhaitant renforcer leur sécurité de l’information. Après avoir suivi un processus de concertation
au niveau international et quelques ajouts, l’ISO lui attribue un nouveau nom, ISO/IEC 17799 :
2000.
14
En 2002, BSI Group fait évoluer la norme BS7799-2 en s’inspirant des normes ISO 9001 :2000 et
ISO 14001 : 1996. La norme adopte définitivement une approche de management de la sécurité de
l’information.
En 2005, l’ISO/CEI adopte la norme BS7799-2 sous la référence ISO/CEI 27001 : 2005 en y
apportant quelques modifications pour se rapprocher le plus possible du principe de « système de
management » développé par les normes ISO 9001 et ISO14001. L’ISO/IEC 27001 : 2005 spécifie
les exigences pour la mise en place d’un SMSI (système de management de la sécurité de
l’information).
En 2007, dans un souci de clarification, l’ISO renomme la norme ISO/IEC 17799 :2005 en
changeant sa numérotation pour ISO/IEC 27002. La norme se greffe à la famille des normes
ISO/IEC 2700x toujours en développement.
Aujourd’hui les organismes disposent de deux normes qui se sont imposées comme référence des
SMSI, l’ISO/CEI 27001 :2005 qui décrit les exigences pour la mise en place d'un Système de
Management de la Sécurité de l’Information et l’ISO/CEI 27002 qui regroupe un ensemble de
bonnes pratiques « best practices » pour la gestion de la sécurité de l'information. Le figure ci-
après reprend cet historique.
2000 1998 1995 1991

ISO/CEI 17799: 2000 BS 7799-1 puis BS 7799-2 BS 7799 Best Practice
Précisions des exigences Normes sur les Mesures de 8 points stratégiques et
Sécurité de l’information opérationnels
Publié par la BSI
2002 2005 2007

BS 7799: 2000 ISO adopte BS 7799-2 ISO/CEI 27002
Approche SMSI sous la référence Remplace ISO/IEC 17799
ISO /CEI 27001 : 2005
HISTORIQUE DES NORMES LIEES A LA SECURITE DE L’INFORMATION - FIGURE 4
b. Les normes ISO 2700x

Aussi connue sous le nom de Famille des standards SMSI ou ISO 27000 comprend les normes de
sécurité de l'information publiées conjointement par l'Organisation internationale de normalisation
(ISO) et la Commission électrotechnique internationale (CEI, ou IEC en anglais).
15
La suite contient des recommandations des meilleures pratiques en management de la sécurité de

l'information, pour l'initialisation, l'implémentation ou le maintien de systèmes de management de
la sécurité de l’information (SMSI), ainsi qu'un nombre croissant de normes liées aux systèmes de
management de la sécurité de l'information.
 ISO/CEI 27000 - Systèmes de management de la sécurité de l'information -- Vue
d'ensemble et vocabulaire.
 ISO/CEI 27001 - Systèmes de management de la sécurité de l'information – Exigences.
 ISO/CEI 27002 - Code de bonne pratique pour le management de la sécurité de
l'information.
 ISO/CEI 27003 - Lignes directrices pour la mise en œuvre du système de management
de la sécurité de l'information.
 ISO/CEI 27004 - Management de la sécurité de l'information – Mesurage.
 ISO/CEI 27005 - Gestion des risques liés à la sécurité de l'information.
 ISO/CEI 27006 - Exigences pour les organismes procédant à l'audit et à la certification
des systèmes de management de la sécurité de l'information.
 ISO/CEI 27007 - Lignes directrices pour l'audit des systèmes de management de la
sécurité de l'information.
ISO/CEI 27007 ISO/IEC 27000

Lignes directives SMSI Vue ISO/CEI
pour l'audit des d'ensemble et
SMSI 27001 SMSI
vocabulaire Exigences
ISO/CEI 27006 exigences ISO/CEI 27002 Code de

pour les organismes bonne pratique pour le
procedant a l'audit et a management de la
ISO 2700X securite de
la certification des SMSI
l'information
ISO/CEI 27005 ISO/CEI 27003 Lignes

Gestion des risques directrices pour la
lies a la securite de ISO/CEI 27004 mise en oeuvre du
l'information Management de la SMSI
securite de
l'information Mesurable
LES NORMES ISO 2700X - FIGURE 5
 ISO/CEI 27001 - Systèmes de management de la sécurité de l'information – Exigences

L'ISO/CEI 27001 est la norme centrale de la famille ISO 2700x, c'est la norme d'exigences qui
définit les conditions pour mettre en œuvre et documenter un SMSI, publiée en octobre 2005 par
l'ISO.
16
Objectifs :
La norme ISO 27001 publiée en octobre 2005 succède à la norme BS 7799-2 de BSI (British
Standards Institution). Elle s’adresse à tous les types d’organismes (entreprises commerciales,
administrations, etc.). La norme ISO/CEI 27001 décrit les exigences pour la mise en place d'un
Système de Management de la Sécurité de l'Information.
Le SMSI est destiné à choisir les mesures de sécurité afin d'assurer la protection des biens sensibles
d'une entreprise sur un périmètre défini. C'est le modèle de qualité PDCA (Plan-Do-Check-Act)
qui est recommandé pour établir un SMSI afin d'assurer une amélioration continue de la sécurité
du système d'information.
La norme dicte également les exigences en matière de mesures de sécurité propres à chaque
organisme, c’est-à-dire que la mesure n’est pas la même d’un organisme à l’autre.
Les mesures doivent être adéquates et proportionnées à l’organisme pour ne pas être ni trop laxistes
ni trop sévères. La norme ISO 27001 intègre aussi le fait que la mise en place d’un SMSI et d’outils
de mesures de sécurité aient pour but de garantir la protection des actifs informationnels. L’objectif
est de protéger les informations de toute perte ou intrusion. Cela apportera la confiance des parties
prenantes.
L'ISO/CEI 27001 définit l'ensemble des contrôles à effectuer pour s'assurer de la pertinence du
SMSI, à l'exploiter et à le faire évoluer. Plus précisément, l'annexe A de la norme est composée
des 133 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées
dans 11 sections. Comme pour les normes ISO 9001 et ISO 14001, il est possible de se faire
certifier ISO 27001.
 ISO/CEI 27002 : Code de bonne pratique pour le management de la sécurité de
l'information
La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information,
publiée en 2005 par l'ISO, dont le titre en français est Code de bonnes pratiques pour le
management de la sécurité de l’information. L'ISO/CEI 27002 est un ensemble de 133 mesures
dites « best practices » (bonnes pratiques en français), destinées à être utilisées par tous ceux qui
sont responsables de la mise en place ou du maintien d'un Système de Management de la Sécurité
de l'Information.
La sécurité de l'information est définie au sein de la norme comme : « La préservation de la
confidentialité, de l'intégrité et de la disponibilité de l'information ». Cette norme n'a pas de
caractère obligatoire pour les entreprises. Son respect peut toutefois être mentionné dans un
contrat : un prestataire de services pourrait ainsi s'engager à respecter les pratiques normalisées
dans ses relations avec un client.
Objectifs :
ISO/IEC 27002 est plus qu’un code de pratique, qu’une véritable norme ou qu’une spécification
formelle telle que l’ISO/IEC 27001. Elle présente une série de contrôles (39 objectifs de contrôle)
17
qui suggèrent de tenir compte des risques de sécurité des informations relatives à la confidentialité,
l'intégrité et les aspects de disponibilité. Les entreprises qui adoptent l'ISO/CEI 27002 doivent
évaluer leurs propres risques de sécurité de l'information et appliquer les contrôles appropriés, en
utilisant la norme pour orienter l’entreprise.
La norme ISO 27002 n'est pas une norme au sens habituel du terme. En effet, ce n’est pas une
norme de nature technique, technologique ou orientée produit, ou une méthodologie d'évaluation
d'équipement telle que les critères communs CC/ISO 15408. Elle n’a pas de caractère d'obligation,
elle n’amène pas de certification, ce domaine étant couvert par la norme ISO/IEC 27001.
 ISO/CEI 27003 : Lignes directrices pour la mise en œuvre du système de management de la
sécurité de l'information
La norme ISO/CEI 27003 fournit une approche orientée processus pour la réussite de la mise en
œuvre d’un SMSI conformément à l’ISO 27001.
Objectif :
Le but de l'ISO / CEI 27003 est de fournir aide et les conseils à mettre en œuvre un Système de
Management de la Sécurité de l'Information. ISO / IEC 27003 guide la conception d'une norme
ISO / IEC 27001-SGSI conforme, conduisant à l'ouverture d'un SMSI (la mise en œuvre du projet).
Il décrit le processus du SMSI et la spécification de conception, du début jusqu'à la production des
plans d'exécution des projets, couvrant la préparation et la planification des activités préalables à
la mise en œuvre effective, et en prenant des éléments clés tels que :
 Approbation de la direction et l'autorisation définitive de procéder à l'exécution des projets
 Détermination de la portée et la définition des limites en termes de technologie de
l’information et de la communication (TIC) et les lieux physiques ;
 L'évaluation des risques sécurité de l'information et de la planification des traitements de
risque appropriés, le cas échéant en définissant des exigences de contrôle de sécurité de
l’information ;
 Conception du SMSI ;
 La planification du projet mise en œuvre.
 ISO/CEI 27004 : Management de la sécurité de l'information -- Mesurage

ISO / CEI 27004 couvre les mesures de management de sécurité de l'information, généralement
connu comme les mesures de sécurité. Élaborée par l’ISO et la Commission électrotechnique
internationale (CEI). Son nom complet est la technologie de l'information - Techniques de sécurité
- Management de la sécurité de l'information -- Mesurage.
Objectifs :
Le but de la norme ISO / IEC 27004 est d'aider les organisations à mesurer, rapporter et donc
d'améliorer systématiquement l'efficacité de leurs systèmes de gestion de sécurité de l'information
(SGSI).
18
La norme est destinée à aider les organisations à mesurer, rendre compte et donc d'améliorer
systématiquement l'efficacité de leurs systèmes de gestion de l'information de sécurité.
 ISO/CEI 27005 : Gestion des risques liés à la sécurité de l'information
C’est la première norme de gestion des risques de la Sécurité des Systèmes d'Information.
Cette norme est un standard international qui décrit le Système de Management des risques liés à
la Sécurité de l'information. Certains expliquent que cette norme est en fait une méthode quasi-
applicable en se servant des annexes et en les adaptant à leur contexte.
Objectifs :
La norme ISO 27005 explique en détail comment conduire l'appréciation des risques et le
traitement des risques, dans le cadre de la sécurité de l'information. La norme ISO 27005 propose
une méthodologie de gestion des risques en matière d'information dans l'entreprise conforme à la
norme ISO/CEI 27001. La nouvelle norme a donc pour but d’aider à mettre en œuvre l’ISO/CEI
27001, la norme relative aux systèmes de management de la sécurité de l’information (SMSI), qui
est fondée sur une approche de gestion du risque. Néanmoins, la norme ISO 27005 peut être utilisée
de manière autonome dans différentes situations.
La norme ISO 27005 applique à la gestion de risques le cycle d'amélioration continue PDCA (Plan,
Do, Check, Act) utilisé dans toutes les normes de systèmes de management.
 ISO/CEI 27006 : Exigences pour les organismes procédant à l'audit et à la certification des
systèmes de management de la sécurité de l'information
ISO/CEI 27006 est un standard de sécurité de l'information publié conjointement par l'ISO et la
CEI, afin de fixer les exigences pour les organismes réalisant l'audit et la certification de SMSI.
Objectifs :
Son objet est de fournir les prérequis pour les organismes d'audit et de certification à la norme ISO
27001 pour les Systèmes de Management de la Sécurité de l'Information. Cette norme a été remise
à jour en 2011 et porte la référence ISO/IEC 27006.
 ISO/CEI 27007 : Lignes directrices pour l'audit des systèmes de management de la sécurité
de l'information
Cette norme fournit les lignes directrices pour les audits des systèmes de management de la sécurité
de l'information, ainsi que des conseils sur la compétence des auditeurs des SMSI. Elle inclue aussi
les lignes directrices contenues dans la norme ISO 19011.
1.2.3. Cycle de vie d’un audit de sécurité

Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un cycle de vie qui
est schématisé à l’aide de la figure suivante :
19
CYCLE DE VIE D’UN AUDIT DE SECURITE - FIGURE 6
L’audit de sécurité informatique se présente essentiellement suivant trois parties comme présente
le schéma :
• L'audit organisationnel et Physique

• L'audit Technique de sécurité
• Test d'intrusions(Audit intrusif)
TYPE D’AUDIT DE SECURITE - FIGURE 7
1.2.4. Bonnes pratiques de l’audit de sécurité du SI

Précédemment, nous avons cité les principales étapes de l’audit de sécurité des systèmes
d’information. Sur ce, il existe une phase aussi pertinente, qui est la phase de préparation.
La figure ci-dessous illustre cela :
20
Charte d'audit
Préparation de l'audit
Audit organisationnel et Physique
Audit technique
Test d'intrusion
Clôture d'audit
PROCESSUS D’AUDIT - FIGURE 8
1.2.4.1. La Charte d’audit

Avant de procéder à une mission audit, une charte d'audit doit être réalisée, elle a pour objet de
définir la fonction de l'audit, les limites et modalités de ses interventions, ses responsabilités ainsi
que les principes régissant les relations entre les auditeurs et les audités. Elle fixe également les
qualités professionnelles et morales requises des auditeurs.
1.2.4.2. Préparation de l’audit

La phase préparatoire constitue une phase importante pour la réalisation de l’audit. En
l’occurrence, c’est au cours de cette phase que se dessinent les grands axes qui devront être suivis
lors de l’audit sur terrain. Elle se manifeste par des rencontres entre auditeurs et responsables de
l’organisme à auditer. Au cours de ces entretiens, les espérances des responsables vis-à-vis de
l’audit devront être exprimées. Aussi, le planning de réalisation de la mission de l’audit doit être
fixé.
Les personnes qui seront amenées à répondre au questionnaire concernant l’audit organisationnel
doivent être également identifiées. L’auditeur (ou les auditeurs) pourra également solliciter les
résultats des précédents audits. Cette phase sera suivie par l’audit organisationnel et physique.
1.2.4.3. Audit organisationnel et Physique

L’audit organisationnel et physique permet de faire un état des lieux complet de la sécurité du SI
et d’en identifier les dysfonctionnements et les risques potentiels. Il permet ainsi de couvrir
l’ensemble du SI de l’organisme et de détecter les carences liées aux différents processus de
21
gestion et d’organisation de la sécurité. Durant cet audit, les éléments suivants peuvent être abordés
[3] :
 Politiques de sécurité de l’information - Cette section met l’accent sur la nécessité de la

mise en place, et révision régulière d’une politique de sécurité de l’information.
 Organisation de la sécurité de l’information - Cette section définit un cadre de gestion et
d’approbation de la politique de sécurité, et traite les aspects contractuels liés à la
sécurisation des accès au système d’information par les tiers.
 Sécurité des ressources humaines - Cette section donne des recommandations pour
réduire le risque d’erreur ou de fraude favorisant la formation et la sensibilisation des
utilisateurs sur les menaces affectant la sécurité de l’information, ainsi que les
comportements à adopter pour protéger l’information.
 Gestion des actifs - Cette section décrit la nécessité d’inventorier et de classifier les actifs
informationnels de l’organisme, dans le but d’identifier les besoins et le niveau de
protection adapté à ces actifs.
 Contrôle d’accès - Cette section définit les mesures pour gérer et contrôler les accès à
l’information afin d’assurer la protection des systèmes en réseau. Elle couvre également la
sécurité de l’information lors de l’utilisation d’appareils mobiles.
 Cryptographie - Cette section traite les mesures visant à protéger la confidentialité et
l’intégrité de l’information par des moyens cryptographiques.
 Sécurité physique et environnementale - Cette section définit les mesures pour protéger
les lieux et les locaux de l’organisme contre les accès non autorisés, et pour minimiser les
dommages causés par les menaces environnementales. Elle traite également la sécurité des
matériels afin de réduire les menaces liées aux risques de vol, et de fuites d’information.
 Sécurité liée à l’exploitation - Cette section définit les mesures permettant d’assurer une
exploitation correcte et sécurisée des moyens de traitement de l’information (protection
contre les logiciels malveillants, maîtrise des logiciels en exploitation, et gestion des
vulnérabilités techniques).
 Sécurité des communications - Cette section définit les mesures d’une part, pour assurer
la protection des informations sur les réseaux et la protection de l’infrastructure sur laquelle
ils s’appuient, et d’autre part, pour maintenir la sécurité des informations et des logiciels
échangés au sein de l’organisme et avec une entité extérieure.
 Acquisition, développement et maintenance des systèmes d’information - Cette section
traite les spécifications requises pour assurer la sécurité des systèmes d’information tout
au long de leur cycle de vie. • Relations avec les fournisseurs : Cette section définit les
mesures permettant de gérer les prestations de service assurées par des tiers.
 Gestion des incidents liés à la sécurité de l’information - Cette section met l’accent sur la
nécessité de la mise en place des procédures pour la détection et le traitement des incidents
de sécurité.
 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité - Cette
section décrit les mesures pour mettre en œuvre un plan de continuité de l’activité qui vise
22
à minimiser les impacts causés par les catastrophes naturelles et les pannes matérielles sur
l’organisme, afin d’assurer une reprise dans les meilleurs délais.
 Conformité - Cette section traite le respect des réglementations et des obligations légales,
ainsi que la conformité des procédures et des mesures de sécurité mises en place avec la
politique et les normes de sécurité.
L’audit organisationnel et physique permet de procéder à la vérification de la conformité et de la
pertinence des mesures déployées par rapport à la politique de sécurité de l’organisme, à un
référentiel, à une norme ou à des procédures. D’une manière générale, il convient de définir les
référentiels de sécurité à respecter lors de l’audit en tenant compte des exigences et des attentes
des responsables de l’organisme audité. Cependant, les administrations, les organismes publics et
les infrastructures d’importance vitale doivent s’assurer à minima de la conformité de leur système
d’information.
Pour mener à bien cette phase, une analyse de risques doit être menée. Il convient de choisir la
méthode la plus adaptée au contexte selon les besoins de l’organisme ou suivre une démarche
personnalisée et simplifiée.
L’audit organisationnel et physique est considéré comme étant un audit de premier niveau, il ne
s’agit pas d’une analyse technique profonde, mais plutôt d’un exercice de questions/réponses. En
effet, cette phase repose sur l’utilisation de questionnaires adaptés au contexte de l’organisme
audité, des interviews, ainsi que sur l’analyse des ressources et des documents fournis.
1.2.4.4. Audit Technique

L’audit technique de sécurité est une évaluation qui permet d’analyser en profondeur le système
d’information (systèmes, applications, composants et équipements actifs de l’infrastructure réseau,
réseaux d’accès internes, réseaux d’interconnexion, etc.) pour identifier les vulnérabilités
techniques éventuelles. [3]
« Il est recommandé de faire l’audit organisationnel avant l’audit technique afin
d’identifier les points critiques du système d’information nécessitant une étude
exhaustive. »
Ses activités suivantes peuvent être réalisées lors d’un audit technique :
a. Audit des vulnérabilités d’infrastructure et système

L’objectif de l’audit des vulnérabilités infrastructure et système est de réaliser les tests permettant
de ressortir les faiblesses et les failles techniques sur les systèmes, les applications et les
équipements réseaux. Il permet ainsi de proposer un plan de remédiation avec des actions
correctives. L’audit des vulnérabilités se déroule en deux phases :
 Phase de découverte des vulnérabilités : cette phase consiste à effectuer des tests
automatisés à l’aide d’outils spécifiques qui s’appuient en général sur une base de
failles connues (scanners des vulnérabilités systèmes, scanners des vulnérabilités
23
applicatives et web, etc.) pour détecter les éventuelles vulnérabilités du système

d’information.
 Phase d’analyse des vulnérabilités : cette phase consiste à analyser les vulnérabilités
identifiées lors de la première phase afin de proposer les actions de remédiation en
cohérence avec les pratiques et les exigences de sécurité adoptées au sein de
l’organisme audité.
b. Audit d’architecture
L’audit d’architecture consiste en la vérification de la conformité des pratiques de sécurité relatives
au choix, au positionnement et à la mise en œuvre des dispositifs matériel et logiciels déployés
dans un système d’information à l’état de l’art et aux exigences et règles internes de l’auditer.
L’audit peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.
c. Audit de configuration
L’audit de configuration a pour vocation de vérifier la mise en œuvre des pratiques de sécurité
conforme à l’état de l’art et aux exigences et règles internes de l’auditer en matière de configuration
des dispositifs matériels et logiciels déployés dans un système d’information. Ces dispositifs
peuvent notamment être des équipements réseau, des systèmes d'exploitation (serveur ou poste de
travail), des applications ou des produits de sécurité.
d. Audit applicatif
L’audit de performance applicative est un audit qui vise à mesurer les performances d’une
application, par la mesure et l’analyse d’indicateurs de performance.
Lorsqu’une application rencontre des problèmes de performance, dont il s’agit d’un problème
de gestion des ressources ou de robustesse du système, cela se caractérise généralement par des
symptômes tels que :
 Des temps de réponse allongés, de quelques secondes à une dizaine de secondes, voire
au-delà.
 Un crash de l’application nécessitant un redémarrage.
Réalisé par anticipation, avant la mise en production, ou de façon corrective, après la mise en
production, l’audit de performance applicative permet de diagnostiquer l’origine des problèmes,
de proposer des correctifs et de maîtriser le bon dimensionnement de l’infrastructure concernée.
1.2.4.5. Tests d’intrusion

Les tests d’intrusions reposent sur l’exploitation des failles ou vulnérabilités identifiées afin de
mesurer l’impact réel sur la sécurité du système d’information de l’organisme audité. Ces tests
simulent des scénarios d’attaques préparées à l’avance dans des conditions réelles. L’objectif est
de vérifier et tester la résistance du système d’information aux attaques informatiques provenant
de l’intérieur et de l’extérieur du réseau de l’organisme [3].
 Les tests d’intrusion internes - permettent d’évaluer l’impact d’un acte malveillant mené
de l’intérieur du réseau de l’organisme audité.
24
 Les tests d’intrusion externes - permettent d’évaluer la capacité d’un attaquant externe à
pénétrer le réseau interne de l’organisme audité ;
Généralement, ces tests s’effectuent selon les étapes suivantes :
 Reconnaissance du périmètre à auditer ;
 Recherche des vulnérabilités ;
 Mise en œuvre des attaques (exploits) ;
 Mesure de l’impact ;
 Proposition de recommandations et correctifs.
Les tests d’intrusion peuvent être conduits selon plusieurs approches :

 Approche en boite noir - Le testeur ne dispose d’aucune connaissance préalable de
l’environnement avant l’attaque ;
 Approche en boite grise - le testeur dispose de connaissances partielles de l’environnement
à auditer ;
 Approche en boite blanche : le testeur dispose de toutes les informations qui lui permettent
d’examiner l’architecture complète et non pas juste la surface d’attaque directement
visible.
« Afin d’éviter des conséquences liées aux éventuels dysfonctionnements sur un
environnement de production, il est préférable de réaliser les tests d’intrusion qui
peuvent causer l’arrêt du système ou l’altération des données critiques sur un
environnement de test ou préproduction. »
1.2.4.6. Clôture d’audit

À la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger un rapport de
synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des défaillances enregistrées.
Autant, est-il important de déceler un mal, autant, il est également important d’y proposer des
solutions. Ainsi, l’auditeur est également invité à donner ses recommandations, afin d’apporter des
solutions aux défauts qu’il aura constatés [3].
Ces recommandations doivent tenir compte de l’audit organisationnel et physique, ainsi que celui
du technique et intrusif.
1.2.5. Exigences relatives aux auditeurs

Afin de réussir sa mission d’audit, le prestataire doit mettre à contribution des auditeurs compétents
dans les domaines de la sécurité des systèmes d’information. Ces auditeurs sont la clé du succès
de cette mission, ils doivent répondre à certaines exigences et avoir les qualités et les compétences
nécessaires pour réaliser l’audit. Les auditeurs doivent maîtriser la méthodologie de l’audit, les
normes et les techniques relatives à la sécurité des systèmes d’information [3].
25
a. Qualités personnelles
 L’auditeur doit avoir les qualités personnelles décrites au chapitre 7.2 de la norme
19011, à savoir [4] :
 Intégrité (justice, honnêteté, sincérité, discrétion) ;
 Ouverture d’esprit (capable d’envisager des idées ou points de vue alternatifs)
;
 Diplomatie (ayant le tact nécessaire pour aborder et discuter des sujets sensibles
pour l’organisme audité) ;
 Sens de l’observation (en observation active et permanente de l’environnement
audité) ;
 Perspicacité (capable de comprendre facilement les différentes situations et
tirer les bonnes conclusions) ;
 Polyvalence (capable de s’adapter aux différents environnement et situations) ;
 Ténacité (pour atteindre les objectifs de l’audit) ;
 Sens de l’initiative et de prise de décisions ;
 Autonomie.
 L’auditeur doit être doté de qualités pédagogiques afin de communiquer ses
recommandations de manière compréhensible aux différentes parties auditées ;
 L’auditeur doit être doté de qualité rédactionnelle et de synthèse ;
 L’auditeur doit pouvoir adapter son discours et exposer ses recommandations selon le
public visé (équipes techniques, top management, équipes métier, etc.).
b. Compétences
Afin de mener à bien leurs missions d’audit, les auditeurs doivent couvrir un ensemble de
compétences relatives aux audits de manière générale (détaillées dans la norme ISO 19011), ainsi
que des compétences spécifiques aux audits de sécurité SI, à savoir [5] :
 Les principes, procédures et méthodes de l’audit : pour veiller à ce que l’audit soit
mener de façon cohérente est systématique. L’auditeur doit donc être capable de :
 Appliquer, les principes, les procédures, les méthodes d’audit appropriés à sa
mission ;
 Planifier et organiser les tâches et les différentes étapes de l’audit de façon
efficace et efficiente ;
 Respecter les délais ;
 Avoir le sens des priorités ;
 Collecter les informations nécessaires pour établir les constats via des
interviews méthodiques, l’observation de l’environnement audité, ainsi que les
documents fournis par l’organisme audité ;
 Maîtriser, les techniques d’échantillonnage, celles-ci permettent la mise en
œuvre des procédures de l’audit sur une sélection pertinente d’éléments à
auditer (personnes, serveurs, postes de travail, etc.). Cependant, cette méthode
26
comporte des risques que l’auditeur doit maitriser (le risque que la conclusion
à laquelle aboutit l’auditeur sur la base d’un échantillon puisse être différente
de la conclusion à laquelle il serait parvenu si l’ensemble des éléments avaient
été soumis à l’audit) ;
 Vérifier, les informations recueillies, la pertinence et la validité des preuves ;
 Effectuer, une étude de risques qui pèsent sur la viabilité de l’audit ;
 Assurer, la confidentialité et la sécurité des informations et des documents
recueillis ;
 Communiquer efficacement à l’écrit comme à l’oral.
 L’auditeur doit maîtriser les réglementations applicables aux activités d’audit en
tenant compte de l’activité de l’audité et du type d’audit à effectuer ;
 L’auditeur doit maîtriser les réglementations et les normes applicables aux audits de
sécurité du système d’information ainsi que les règles de sécurité qui constituent la
DNSSI ;
 L’auditeur doit disposer idéalement des certifications (en particulier certification
ISO/CEI 27001, CISA, CISM, CEH, Etc.) et il doit justifier d’une expérience d’audit
dans le domaine ;
 L’auditeur doit avoir des compétences dans au moins une des activités de l’audit, il
doit cependant être sensibilisé par rapport aux autres activités ;
 L’auditeur doit s’assurer du maintien à jour de ses compétences via un cursus de
formation continue et de veille technologique ;
 Le responsable de l’équipe d’audit doit avoir des compétences en gestion d’équipe.
1.2.6. Conclusion
L’audit de sécurité informatique est une démarche collaborative visant l’exhaustivité. Elle est
moins réaliste qu’un test, mais permet en contrepartie de passer méthodiquement en revue tout le
réseau et chacun de ses composants en détail.
1.3. Notions de Vulnérabilités, Malwares

1.3.1. Vulnérabilités :
a. Qu’est-ce qu’une vulnérabilité ?
Les vulnérabilités de sécurité sont les failles ou faiblesses d’un système. Quand les malveillants
ont connaissance d’une vulnérabilité, ils tentent directement de l’exploiter. Un exploit est le
programme utilisé pour exploiter une vulnérabilité connue. L’utilisation d’un exploit contre une
vulnérabilité est considérée comme une attaque. L’objectif de l’attaque est d’obtenir l’accès à un
système, aux données hébergées ou à une ressource spécifique. Une vulnérabilité peut concerner
la partie matérielle ou logicielle.
 Vulnérabilités des logiciels - Les vulnérabilités des logiciels sont généralement introduites
par des erreurs dans le système d’exploitation ou dans le code d’application. Malgré les
27
efforts des entreprises pour détecter et corriger les vulnérabilités des logiciels, il est
fréquent que de nouvelles vulnérabilités se présentent. Microsoft, Apple et d’autres
producteurs de système d’exploitation ou d’application sortent des correctifs et des mises
à jour quasiment tous les jours. Des applications comme les navigateurs, les applications
mobiles et les serveurs Web sont souvent mis à jour. L’objectif des mises à jour logicielles
est de rester à jour et d’éviter l’exploitation des vulnérabilités.
 Vulnérabilités du matériel : Les vulnérabilités sont souvent causées par des défauts de
conception du matériel. La mémoire RAM, par exemple, est essentiellement composée de
condensateurs installés étroitement les uns près des autres. Il a été découvert qu’à cause de
la proximité, les modifications continues appliquées à l’un des condensateurs pouvaient
affecter les condensateurs environnants. Sur la base de ce défaut de conception, un exploit
appelé Rowhammer a été créé. En réécrivant à plusieurs reprises la mémoire dans les
mêmes adresses, l’exploit de Rowhammer permet de récupérer des données à partir des
cellules de mémoire d’une adresse à proximité, même si les cellules sont protégées.
b. Quelles sont les catégories de vulnérabilités ?

La majorité des vulnérabilités de sécurité de logiciels fonds partie des catégories suivantes :
 Débordement de tampon - Cette vulnérabilité se produit lorsque les données sont écrites
au-delà des limites d'un tampon. Les tampons sont des zones de mémoire affectées à une
application. En modifiant les données au-delà des limites d'une mémoire tampon,
l'application accède à la mémoire allouée à d'autres processus. Cela peut provoquer une
panne du système, une compromission des données ou permettre une élévation des
privilèges.
 Entrée non validée - Les programmes interagissent fréquemment avec l’entrée de données.
Ces données entrant dans le programme pourraient avoir un contenu malveillant, conçu
pour détraquer les activités du programme. Considérons un programme qui reçoit une
image à traiter. Un utilisateur malveillant pourrait concevoir un fichier image avec des
dimensions d’image non valides. Les dimensions trafiquées de manière malveillante
peuvent forcer le programme à répartir les tampons de tailles incorrectes et imprévues.
 Situation de concurrence - Cette vulnérabilité se produit lorsque la sortie d’un événement
dépend de sorties commandées ou planifiées. Une situation de concurrence devient une
source de vulnérabilité lorsque les événements nécessaires commandés ou planifiés ne se
produisent pas dans l’ordre correct ou en temps voulu.
 Failles dans les mesures de sécurité - Les données système et les données sensibles sont
protégées grâce à des techniques comme l’authentification, l’autorisation et le chiffrement.
Les développeurs ne doivent pas tenter de créer leurs propres algorithmes de sécurité, car
cela pourrait introduire des vulnérabilités. Il est fortement conseillé aux développeurs
d’utiliser les bibliothèques de sécurité déjà créées, testées et vérifiées.
28
 Problèmes de contrôle d’accès - Le contrôle d’accès est le processus de contrôle des

affectations, de la gestion de l’accès physique à l’équipement dictant l’accès d’une
personne à une ressource, notamment un fichier, et ce qu’il peut réaliser avec ce fichier,
comme lire ou modifier celui-ci. De nombreuses vulnérabilités de sécurité sont créés par
l’utilisation inappropriée des contrôles d’accès.
 Presque l’ensemble des contrôles d’accès et les pratiques de sécurité peuvent être
surmontés si l’agresseur dispose d’un accès physique à l’équipement cible. Par exemple,
même en définissant les autorisations d’un fichier, le système d’exploitation ne peut
empêcher une personne de contourner le système d’exploitation et la lecture directe des
données sur le disque. Pour protéger la machine et les données qu’elle contient, l’accès
physique doit être limité et les techniques de chiffrement doivent servir à protéger les
données d’un vol ou d’une corruption.
1.3.2. Malwares
1.3.2.1. Définition :
Un malware ou menace ou encore logiciel malveillant est un programme conçu dans le but de
nuire à un système d’information.
Les malwares sont agressifs, intrusifs et cherchent toujours à endommager ou s’étendre de manière
abusive dans un système d’information dans le but de l’infecter, de l’affaiblir, de dérober des
informations ou de prendre possession du système.
1.3.2.2. Les symptômes d’un malware

Les malwares se révèlent par des comportements inhabituels varies. Quel que soit le type de
malware infectant votre système, voici quelques formes communes des symptômes :
 Des bugs inattendus - Si vous avez déjà connaissance de cela, donc vous savez à quel
point il est affolant de voir votre système se planter et que votre écran se transforme
régulièrement en cet inquiétant écran bleu. C’est une alerte, quelque chose cloche
vraiment. Si cela vous arrive, lancez immédiatement une analyse complète de votre
système afin de détecter une quelconque infection.
 Votre système est lent - Si aucune de vos applications n’est en cours d’exécution et que
vous constatez qu’il est lent, sûrement votre système est infecté par un malware.
 Perte d’espace de stockage - C’est probablement lié à un malware envahissant qui se
cache sur votre disque dur.
 Disque dur anormalement actif - Dans le même contexte, si vous constatez une
activité anormale de votre disque dur lorsque votre ordinateur est arrêté, considérez
cela comme le signal alarmant d’une infection potentielle.
 Des fenêtres étranges - Si des fenêtres étranges s’ouvrent lors du processus de
démarrage, en particuliers celles qui vous alarment de l’impossibilité d’accéder à
différents programmes, quelque chose cloche.
29
 D’étranges avertissement - Si des boites de dialogue suspectes s’ouvrent lorsque votre

système fonctionne en vous alertant que plusieurs programmes ou fichiers n’ont pas pu
ouvrir, c’est également mauvais signe.
 Mauvais fonctionnement de vos programmes - Si vos programmes disparaissent, sont
corrompus ou commencent à s’ouvrir sans avoir été lancé, et/ou que vous recevez une
notification indiquant qu’un programme essaie d’accéder à Internet sans votre
commande, c’est un signal très alarmant indiquant que vous êtes victimes d’un
malware.
 L’activité de votre réseau sans fil - Si votre routeur clignote constamment en vous
indiquant un haut niveau d’activité de votre réseau alors qu’aucun autre programme
important n’est ouvert et que vous n’êtes pas en train d’accéder à tout un tas de données
Internet, c’est que quelque chose ne tourne pas rond.
 Les ressources de votre système - Si vous remarquer l’utilisation des ressources votre
système anormalement élevé et le ventilateur de votre machine commence à tourner à
plein régime, cela indique que les activités du malware utilisent les ressources de votre
système en arrière-plan.
 La page d’accueil de votre ordinateur change sans votre autorisation - De la même
manière, les liens sur lesquels vous cliquez vous dirigent vers des destinations
indésirables. Cela signifie généralement que vous avez cliqué sur un pop-up de
« félicitations » qui a téléchargé des logiciels indésirables. De la même façon, votre
navigateur peut fortement ralentir.
 Des barres d'outils, extensions ou plug-ins apparaissent soudainement dans votre
navigateur.
 Les e-mails inconstants - Si vos e-mails ne sont pas envoyés ou que vos contacts vous
disent qu’ils reçoivent des e-mails étranges de votre part alors que vous ne leurs en
avez même pas envoyé, c’est une réelle indication que votre système a été corrompu
(ou que l’on vous a dérobé votre mot de passe de boite mail).
 Adresse IP blacklistée - Si vous recevez une notification vous indiquant que votre
adresse IP a été blacklistéé, vous pouvez être certain que votre PC n’est pas entre de
bonne-mains, il y a de très grandes chances que votre ordinateur ait été compromis et
qu’il participe à l’heure actuelle à l’élaboration de botnet.
 Une désactivation inattendue de votre antivirus - Un grand nombre de programmes
malware sont conçus pour désactiver les suites antivirus qui seraient potentiellement
amènes de les éradiquer, donc, si votre système anti-virus se désactive soudainement,
c’est le signe d’un problème bien plus important.
 D’une manière générale, pour savoir si votre système est infecté, il faut réaliser une
analyse complète du système à l’aide d’un antivirus. Si vous n’avez pas d’anti-virus,
ou que vous pensez qu’il est compromis, vous pouvez télécharger une version d’essai
gratuitement, ce qui vous permettra de vérifier l’état de votre système.
30
1.3.2.3. Les modes d’infections des malwares

L’infection des malwares se fait par diverses façons. En priorité, on trouve les deux modes
d'infection les plus fréquents que les malwares utilisent pour accéder à votre système :
 Internet ;
 Messagerie.
De façons générale, à chaque fois que vous êtes en ligne.

Les malwares peuvent pénétrer dans votre ordinateur quand :
 Vous consultez des sites piratés ;
 Cliquez sur des démonstrations de jeux ;
 Téléchargez des fichiers de musique infectés ;
 Installez de nouvelles barres d'outils provenant d'un fournisseur inconnu,
 Configurez un logiciel depuis une source non sûr ;
 Ouvrez une pièce jointe d'e-mail malveillant ;
 Télécharger depuis Internet sur un appareil qui n'est pas équipé d'une solution de
sécurité anti-malwares de qualité.
Les logiciels malveillants peuvent se cacher dans des applications en apparence légitimes,
notamment lorsqu'elles sont téléchargées depuis des sites web incertains. Il est important de bien
lire les messages d'avertissement lors de l'installation des logiciels, en particulier si ces installations
demandent à accéder à votre messagerie ou à vos informations personnelles.
« Les attaques de malwares ne fonctionneraient pas sans l’élément le plus important : vous. »
En effet, il vaut mieux se limiter aux sources fiables pour les téléchargements d’applications,
logiciel, etc. En un mot, il existe tout un monde d'individus malveillants, qui vous appâtent avec
des leurres contaminés en vous proposant un accélérateur Internet, un nouveau gestionnaire de
téléchargement, un nettoyeur de disque dur ou un nouveau service de recherche sur Internet. Même
si vous installez quelque chose qui provient d'une source sûre, si vous ne faites pas attention à la
requête qui vous demande l'autorisation d'installer d'autres logiciels groupés en même temps, vous
pourriez vous retrouver avec un logiciel que vous ne voulez pas. Ce logiciel supplémentaire est
souvent présenté comme un composant nécessaire, mais généralement, il ne l'est pas.
Une autre variante de malware est une sorte d'ingénierie sociale. Cette arnaque a touché les
utilisateurs de téléphones portables en exploitant les failles d'une option de paiement
comptant fréquemment utilisée. Les utilisateurs consultaient des sites mobiles, déclenchant
involontairement des boutons invisibles qui les facturaient via leurs numéros de téléphone
portable, facturant directement les réseaux des victimes, qui répercutaient le coût sur leur facture.
Pour être tout à fait honnêtes, nous devons également mentionner un scénario d'infection par un
malware qui n'est absolument pas de votre fait. Il est, en effet, possible que le simple fait de visiter
31
un site web malveillant et de consulter une page ou une bannière publicitaire infectée entraîne
un téléchargement intempestif.
Ceci étant dit, si vous n'êtes pas équipé d'un programme de sécurité adapté, l'infection par un
malware et ses conséquences sont quand même de votre faute.
1.3.2.4. Les types de malwares

Les malwares, ou programmes malveillants, représentent tout code pouvant être utilisé pour
voler des données, contourner les contrôles d’accès ou pour nuire à un système ou le
compromettre. Voici quelques types communs de malware :
A. Adware :
a. Qu’est-ce qu’un adware ?
Un adware ou publiciel est un logiciel malveillant conçu pour afficher des publicités intempestives
sur votre écran, en générale sur des navigateurs web. Les adwares adoptent le plus souvent des
méthodes détournées, se faisant passer pour des programmes légitimes ou se collant sur d'autres
programmes pour s'installer sur votre PC, tablette ou appareil mobile à votre insu.
Une fois introduit dans votre appareil, un adware peut exécuter toutes sortes de tâches indésirables.
Le logiciel peut avoir été conçu pour analyser votre localisation ainsi que les sites Internet que
vous consultez afin de vous soumettre des publicités pertinentes en fonction des types de biens ou
services que ces sites proposent. À l'inverse des autres malwares, les adwares sont plus embêtants
que nuisibles pour votre cybersécurité, mais si leurs auteurs vendent les informations concernant
votre navigateur et vos habitudes de navigation à des tiers, ils peuvent alors concevoir de nouvelles
publicités ciblant vos habitudes de navigation. Google Chrome, Firefox... Peu importe le
navigateur que vous utilisez, car ils sont tous concernés.
Voici quelques signes révélateurs d'un système infecté par des adwares :
 Des publicités apparaissent à des endroits incongrus ;
 La page d’accueil de votre navigateur a été modifier mystérieusement sans votre
autorisation ;
 Des pages web que vous visitez régulièrement ne s’affiche pas correctement ;
 Des liens de sites web vous renvoient vers des sites inattendus ;
 Votre navigateur web est incroyablement lent ;
 Des barres d'outils, extensions ou plug-ins apparaissent soudainement dans votre
navigateur ;
 Votre ordinateur commence à installer des logiciels indésirables de façon automatique ;
 Votre navigateur plante.
b. Quels les modes d’infections des adwares ?

Les adwares peuvent s'infiltrer insidieusement dans votre système de deux manières.
32
 Première méthode - Vous téléchargez un programme (généralement un logiciel gratuit

ou un shareware) qui installe discrètement un adware à votre insu et sans votre
permission suite à un accord entre l'auteur du programme et le fournisseur d'adware.
Pourquoi ? Parce que les revenus générés par la publicité permettent la mise à
disposition gratuite du programme (mais des logiciels payants de sources douteuses
peuvent aussi contenir des adwares). L'adware commence alors son manège et
l'utilisateur comprend que la gratuité a un prix.
 La deuxième méthode - Vous consultez un site web qui peut s'agir d'un site web de
confiance ou pas. Peu importe, ce site web peut être infecté par un adware, qui va
exploiter une faille dans le navigateur de l'utilisateur pour procéder à un téléchargement
intempestif. Après avoir pris sa place dans votre système, l'adware commence à
collecter vos informations, à vous renvoyer vers des sites web malveillants et à afficher
encore plus de publicités intempestives dans votre navigateur.
c. Quels sont les types d’adwares ?

Il existe plusieurs de programmes de publiciel susceptible d’affecté votre ordinateur de manières
différentes. On peut citer parmi les plus courants :
 Fireball : Le Fireball a déjà infecté 250 millions de postes de travail dans le monde,
le logiciel malveillant, d'origine chinoise, s'est déjà attaqué à 20% des réseaux
d'entreprise d'après Check Point Software. Le Fireball est un logiciel malveillant qui
agit comme un navigateur pirate, mais peut être transformé en un programme de
téléchargement de malwares. Le Fireball est capable d'exécuter n'importe quel code sur
les machines victimes, ce qui entraîne une large gamme d'actions, allant du vol
d'informations d'identification à l'ajout de logiciels malveillants supplémentaires. Le
Fireball dispose de deux fonctionnalités principales à savoir :
La première, une capacité à faire tourner du code sur les systèmes permettant de
télécharger d'autres malwares ou fichiers indésirables.
La seconde, de manipuler le navigateur web des systèmes cibles pour installer des
plugins générateurs plus encore, il manipule les navigateurs des victimes et modifie les
moteurs de recherche par défaut et les pages d'accueil. Ces faux moteurs incluent un
traqueur de pixels utilisé pour collecter les informations privées.
 Skinner - Le Skinner est un adware tout nouveau, il a été intégré dans une application
qui fournit des fonctionnalités liées au jeu. L'application a été téléchargée par plus de
10 000 utilisateurs et a réussi à se cacher sur Google Play pendant plus de deux
mois. Skinner suit l'emplacement et les actions de l'utilisateur, et peut exécuter du code
à partir de son serveur de commande et de contrôle sans l'autorisation de l'utilisateur
[6]
.
33
 Appearch - Appearch fonctionne comme un pirate de navigateur, le plus souvent il

s’associe à un autre programme gratuit et insère d’important publicités dans le
navigateur qu’il rend presque impossible la navigation.
 DollarRevenue - Etant inactif depuis un moment, DollarRevenue est un adware très
intéressent. Il procède à une installation de barre d’outils sur le navigateur de la victime
pour suivre les recherches réalisées et peut facilement afficher aussi des publicités
trompeuses sous forme de fenêtres pop-up.
 Gator - Gator est un adware associé à des logiciels gratuits tels que Go!Zilla, il
remplaçait les publicités des sites web par les siennes. Donc les visiteurs d’un site web
cliquaient sur une publicité et tous les profits étaient reversés directement à Gator et
non au créateur du contenu.
 DeskAd - DeskAd est un logiciel indésirable qui affiche des publicités trompeuses sur
votre navigateur et de rediriger votre trafic vers des sites web douteuses. Contrairement
aux autres adwares, DeskAd démarre d’une manière très discrète et prend
progressivement et radicalement le contrôle de votre navigateur. C’est pourquoi il n’est
pas facile à détecter jusqu’à ce que le problème devienne grave, il faudrait une
réinstallation du système pour remédier au problème.
B. Spyware :
a. Qu’est-ce qu’un spyware ?
Un logiciel espion ou spyware est un malware qui se dissimule sur votre appareil, qui enregistre
vos informations sensibles dans une intention malveillante telle que des coordonnées bancaires,
les frappes du clavier, la webcam, le micro, etc.
Le plus souvent les spywares s'installent sur votre système sans que vous ne le sachiez et sans
votre permission. Sans le savoir, vous avez peut-être autorisé l'installation d'un spyware en validant
les conditions générales d'un programme en apparence légitime ou venant d’une source sûre, sans
prendre la peine de lire les conditions d’installation. Mais peu importe la technique d'invasion des
spywares, ils s'exécutent discrètement en arrière-plan, collectent des informations ou surveillent
vos activités afin de déclencher des activités malveillantes liées à votre ordinateur et la façon dont
vous l'utilisez. Ces activités incluent notamment l'enregistrement de vos saisies, de vos identifiants,
de vos adresses e-mail personnelles, de données de formulaires Web, d'informations concernant
l'utilisation d'Internet et d'autres informations personnelles telles que des numéros de cartes de
crédit, ainsi que des captures d'écran.
b. Quels sont les modes d’infection d’un spyware ?

Les logiciels espions peuvent infecter votre appareille de diverses façons à savoir :
 Les failles de sécurité - Cliquer sur un lien ou une pièce jointe inconnus dans un e-
mail, peut facilement lancer une pièce jointe exécutable ou rediriger vers une
plateforme qui télécharge et exécute un programme. Il est même possible que le simple
fait de visiter un site Web malveillant entraîne un téléchargement intempestif.
34
 Cliquer aussi sur une fenêtre trompeuse peut également déclencher une infection. De
même que le partage de logiciels ou de documents avec des amis peut transmettre
furtivement un spyware caché, par exemple, via des programmes exécutables, des
fichiers musicaux et des documents. Il suffit simplement d'un clic malchanceux.
 Le marketing trompeur - Les auteurs de spywares aiment présenter leurs programmes
comme des outils utiles. Il peut s'agir d'un accélérateur Internet, d'un nouveau
gestionnaire de téléchargements, d'un nettoyeur de disque dur ou d'un service de
recherche Web alternatif. Attention à ce type d'appâts, car leur installation peut
entraîner une infection involontaire par spyware. Et même si vous désinstallez l'outil
utile à l'origine de l'infection, le spyware reste toujours sur votre appareil et continue à
fonctionner.
 Les packs de logiciels - Nous aimons tous des logiciels gratuits (freeware, shareware),
il faut faire attention même si ses programmes (plugin ou extension) sont légaux ils
peuvent contenir des suppléments indésirables s’ils sont issus des sources pas sures.
 Drivers : En plus de leurs intentions malveillantes, les chevaux de trois, les vers, les
portes dérobées transmettent aussi des spywares.
c. Quels sont les types de spyware ?

La manœuvre d’un spyware dépend des intentions de ses auteurs, voici quelques formes de
spyware les plus connus :
 Les chipeurs de mot de passe sont des programmes créés pour capturer les mots de
passe sur les appareils. Ces captures sont sauvegardées à un emplacement voulu de
l’auteur sur l’appareil ou sont transmises à un serveur distant.
 Les chevaux de trois bancaires sont des applications conçues pour récupérer des
identifiants auprès des institutions financières. Ils profitent des failles de sécurité des
navigateurs pour modifier les pages Web, modifier le contenu des transactions ou
insérer des transactions supplémentaires de façon totalement invisible pour l'utilisateur
et l'application Web hôte. Les chevaux de Troie bancaires peuvent cibler diverses
institutions financières, notamment les banques, les sociétés de courtage, les portails
financiers en ligne ou les porte-monnaie électroniques.
 Les voleurs d’informations sont des applications qui analysent les appareils et
recherchent diverses informations, notamment des noms d'utilisateur, des mots de
passe, des adresses e-mail, l'historique du navigateur, des fichiers journaux, des
informations système, des documents, des feuilles de calcul ou d'autres fichiers
multimédias. Comme les chevaux de Troie bancaires, les voleurs d'informations
peuvent exploiter les failles de sécurité des navigateurs pour collecter des informations
personnelles sur des services et forums en ligne, puis transmettre les informations à un
serveur distant ou les stocker localement sur votre appareil.
 Les keyloggers ou enregistreurs de frappe sont des programmes crées pour capturer
l'activité de l'ordinateur, notamment les frappes, les sites Web visités, l'historique de
35
recherche, les discussions par e-mail, les conversations par chat et les identifiants
systèmes. Généralement, ils effectuent des captures d'écran de la fenêtre en cours, à
intervalles programmés. Les enregistreurs de frappe peuvent également collecter des
fonctionnalités permettant la capture et la transmission furtives d'images et de fichiers
audio/vidéo depuis n'importe quel dispositif connecté. Ils peuvent même permettre aux
pirates de collecter des documents imprimés sur des imprimantes connectées, qui
peuvent ensuite être transmises à un serveur distant ou stockés localement pour être
récupérés.
C. Virus :
a. Qu’est-ce qu’un virus ?
Un virus est un code exécutable malveillant attaché à d’autres fichiers exécutables, souvent des
programmes légitimes. La plupart des virus nécessitent une activation de la part de l’utilisateur
final et peuvent s’activer à une heure ou une date spécifique.
Les virus peuvent être inoffensifs et afficher simplement une image, ou ils peuvent être
destructeurs, comme ceux qui modifient ou suppriment des données. Les virus peuvent être
également programmés pour muter afin d’éviter la détection. La plupart des virus sont
actuellement propagés par les lecteurs USB, les disques optiques, les partages réseau ou par e-
mail. Un virus peut voler vos données telles que des mots de passe, pirater vos comptes de réseaux
sociaux ou vos comptes bancaires en ligne, et même effacer toutes vos données.
De façons bref, un virus est un programme malveillant qui s’attache à un autre pour modifier ou
altérer son fonctionnement.
b. Quels sont les modes d’infection d’un virus ?

Il existe de nombreuses façons de s’infecter par un virus à savoir :
 La messagerie - L’infection par messagerie est l’un des moyens de propagation les plus
utilisée. On peut s’infecter en ouvrant une pièce jointe venant d’une source pas
certaines ou en ouvrant un e-mail avec un corps infecté.
 La messagerie instantanée (WhatsApp, Skype…) aussi est un moyen de diffusion des
virus, en envoyant des liens infectés à tous les contacts.
 Le partage de fichiers - Le service de partage de fichiers est moyen courant utiliser par
les malveillants pour infecter les appareils. Ce service synchronise des fichiers et des
dossiers vers n’importe quel ordinateur relié à un compte spécifique, de sorte que
lorsqu’une personne télécharge par inadvertance un fichier infecté par un virus vers un
compte de partage de fichiers, ce virus est automatiquement téléchargé pour toutes les
autres personnes ayant accès à ce dossier partagé.
 Les portes dérobées - Les portes dérobées sont des moyens d’infections les plus
dangereux. Chaque seconde qui passe, les pirates sont toujours à la cherche des failles
systèmes, ils profitent de ces faiblesses pour infecter vos appareils.
36
 Les Pages frauduleuses - Accéder par inadvertance a une plateforme douteuse est un
moyen très efficace pour télécharger des virus. Les pirates reprogramment des pages
web, déjà existant à quelque exception près afin de piéger les utilisateurs d’Internet.
 Clé USB - Les stockages USB sont des moyens très efficaces pour se partager des
fichiers. Attention, elles peuvent être contaminées par des malveillances une fois la clé
connectée, le code indésirable va s’installer automatiquement sur votre appareil.
c. Quels sont les types de virus informatique ?

Les pirates sont de plus en plus nombreux donc la création des virus aussi, mais voici quelques de
types de virus les plus courant :
 Virus infectant les fichiers ou virus parasite - Le virus parasite est un virus qui
s'attache à un programme exécutable. Il infecte le plus souvent les fichiers avec des
extensions (.exe et .com). Les virus infectants les fichiers peuvent écraser les fichiers
hôtes et d'autres peuvent endommager le formatage de votre disque dur.
 Virus de macro - Le virus macro est un virus qui infecte principalement les documents
Word ou Excel, ce virus peut être inséré aussi sous forme de code malveillant dans des
programmes de traitement de texte.
 Pirate de navigateur - Un pirate navigateur est un virus de redirection de navigateur,
c’est-à-dire il redirige votre navigateur vers les sites web malveillants dans le but
d’infecter votre appareil. Ce virus cible et altère les paramètres de votre navigateur et
il peut poser d’autre menace, comme la modification de la page d’accueil de votre
navigateur.
 Virus de script web - Le plus souvent ce virus vise les sites populaires, il fonctionne en
écrasant les codes sources des sites web et remplace par des liens qui installent des
logiciels malveillants et ce virus peut aussi voler vos cookies de navigation pour les
utiliser à mauvais échéant.
 Virus du secteur d’amorçage - Ce programme malveillant infecte le stockage dans
lequel se trouve les fichiers de démarrage. Ce programme indésirable s’exécute que
lorsque le système est amorcé à partir d’un disque (infecté), une fois que le système est
démarré, il infectera les autres disques (disquette, disque dur) insérés dans l’ordinateur.
 Virus polymorphe - Comme son nom l’indique, ce virus se présente sous des formes
différentes. Lorsque vos fichiers sont infectés, ils se répliquent d’une manière
légèrement différente, ce qui les rend très difficiles à détecter et à supprimer.
 Virus résident - Un virus résident établit son campement dans la mémoire de votre
ordinateur, ce qui lui permet d'infecter des fichiers sur votre ordinateur. Ce virus peut
interférer avec votre système d'exploitation, entraînant une corruption de fichiers et de
programmes.
 Virus multipartite - Ces virus ultra polyvalents doublent leur puissance de propagation
en ciblant à la fois vos fichiers et votre espace de démarrage. De cette façon, même
après avoir réussi à supprimer tous les fichiers infectés de votre ordinateur, le virus
37
reste caché dans le secteur de démarrage, prêt à frapper à nouveau. Et si vous nettoyez
le secteur de démarrage, le virus l’infectera de nouveau en surgissant d’un des fichiers
infectés.
D. Ver :
a. Qu’est-ce qu’un ver ?
Un ver est un programme indésirable qui se reproduit sur plusieurs ordinateurs dans le but de
paralyser le réseau informatique. Après l’infection d’un hôte, ils peuvent ralentir le réseau et se
propager très rapidement dans le réseau.
Les vers informatiques exploitent les vulnérabilités de votre système et font de vous un complice
innocent de cyberattaques.
Les vers sont responsables de certaines des attaques les plus dévastatrices sur Internet. Comme le
montre la Figure 6, en 2001, le ver Code Red avait infecté 658 serveurs. En l’espace de 19 heures,
le ver avait infecté plus de 300 000 serveurs, comme le montre la capture ci-dessous [7].
ETAT INITIAL DE L’INFECTION PAR LE VER CODE RED - CAPTURE 1 [7]
38
INFECTION PAR LE VER CODE RED 19H PLUS TARD - CAPTURE 2 [7]
b. Quels sont les types de vers informatique ?

Il existe plusieurs types de vers informatique, ils sont tous crée à des fins voulus de l’auteur.
Toutefois, de nouveau vers informatique sont conçus presque chaque jour et peuvent parfois passer
inaperçus par l’utilisateur jusqu’à causer des dégâts irréparables.
 Vers Internet - Un ver Internet est très dangereux, il n’a pas besoin de l’utilisateur pour
se propager. Il est utilisé pour cibler des failles de sécurité d’un système d’exploitation
tel que les mots de passe faibles.
 Lorsqu’un ordinateur est infecté, le ver scan le réseau pour chercher les ordinateurs
présentant les mêmes failles pour s’y propager.
 Vers courriel - Le ver courriel passe par les e-mails pour se propager. Une fois infecté
ce ver envoi des liens indésirables ou des courriels compromises ou encore des pièces
jointe téléchargeable à l’ensemble de vos contacts.
 Vers de messagerie instantanée - les vers de la messagerie instantanée fonctionnent
comme les vers courriels à quelques exceptions près. Ce ver utilise des messages
comme ‘LOL’ ou ‘regarde ça !’ qui vise à convaincre vos contacts que vous venez de
lui envoyer un scoop ou un truc intéressent. Le problème est que si vous cliquez sur ce
lien, il va vous rediriger dans un site infecté, le ver profitera en ce moment pour se
propager dans le système.
 Vers de partage de fichier - Les fichiers qui proviennent sur des plateformes de réseaux
de partage de fichiers peer-to-peer(P2P) peuvent être infectés par des vers. Le partage
de fichiers reste une pratique illégale, donc les pirates peuvent facilement injecter des
vers sur ces fichiers.
39
E. Cheval de Troie :
a. Qu’est-ce qu’un cheval de trois ?
Un cheval de Troie ou Torjan est un programme malveillant en apparence légitime qui permet à
un attaquant de prendre le contrôle de l’ordinateur cible.
Un cheval de Troie est une malveillance utilisée par les pirates informatiques pour propager
différentes menaces, du spyware qui demeure caché tout en volant des informations de valeur
comme les données personnelles et financières aux adwares qui s’introduisent parfois de façon
dissimulée dans votre ordinateur au sein d’un ensemble de logiciels.
b. Quels sont les modes d’infection d’un Cheval de Trois ?

Les Torjans sont des indésirables qui se comportent parfois comme les autres malwares et peuvent
ressembler à n’importe quel genre de fichier ou logiciel gratuit. On peut s’infecter de diverses
façons avec les Chevaux de Trois.
 Ouverture de pièces jointes infectés - Quand vous recevez un e-mail étrange, qui
ressemble à une pièce jointe importante, comme une facture ou un reçu, vous serais
infectez que lorsque vous cliquez sur le lien.
 Téléchargement de programmes gratuit inconnus - les jeux, ou les écrans de veille
gratuit peut en fait se révéler être un cheval de Troie, surtout s'il provient d'une
plateforme incertaine.
 Téléchargement d’application crackées - Les logiciels crackés ou les générateurs de
clé d’activation peuvent être atteint d’un Cheval de Troie.
 Navigation des sites douteux - Certaines plateformes web peuvent infecter votre
appareil un en clic. D'autres essayent de vous tromper en prétendant diffuser un film en
streaming, au contraire dès que vous téléchargez un fichier venant de cette plateforme,
vous pouvez automatiquement être infecté par un Cheval de Troie.
c. Quels sont les types de Torjan ?
Les chevaux de Troie ont plusieurs fonctions et très populaires, il n’est donc pas facile de décrire
chaque type. A la base ils sont tous conçus pour prendre le contrôle d'un ordinateur, voler des
informations, introduire d'autres malwares dans l'ordinateur de la victime. Voici des menaces
courantes provenant d'attaques de chevaux de Troie :
 Les backdoors : Les backdoors ou porte dérobée créent un accès à distance de votre
système. Ce malware modifie la sécurité de votre système de façon à autoriser la prise
de contrôle de l'appareil par un pirate informatique, voler vos données, et même
télécharger d'autres malwares.
 Les spywares : Au moment où vous êtes connectés, les spywares profites pour vous
épier, voler les données sensibles telles que les mots de passe, les informations
bancaires…
 Le Torjan qui rend les ordinateurs zombies : Ce Torjan est similaire à un Botnet, il
prend le contrôle de votre ordinateur pour le rendre esclave dans un réseau sous le
contrôle du pirate informatique.
40
 Le Torjan Downloader : Ce malware déploie et télécharge d'autres modules

indésirables, comme les enregistreurs de frappe (keyloggers) ou les ransomwares.
 Le Torjan dropper : Le Torjan dropper est une malveillance conçue pour empêcher la
détection des programmes indésirables.
 Le Trojan DDoS (déni de service) : Ce Torjan lance des attaques Dos à une adresse
web pour rendre le service indisponible et empêcher les utilisateurs légitimes de
l’utiliser.
 Torjan bancaire : Le Torjan bancaire est conçu pour voler les informations bancaires,
les comptes de paiement électronique et les cartes de crédit.
 Torjan de récupération d’adresse électronique : C’est un Cheval de Troie conçu pour
récupérer toutes les adresses électroniques enregistrée dans votre machine.
 Le Torjan de SMS : Ce type de cheval de Troie infecte votre appareil mobile et peut
envoyer et intercepter des messages texte. Les SMS vers des numéros surtaxés peuvent
faire grimper vos coûts de téléphonie.
F. Ransomware :
a. Qu’est-ce qu’un ransomware ?
Littéralement ce malware est conçu pour maintenir un système informatique ou les données qu’il
contient en captivité jusqu’à ce qu’un paiement soit effectué. Le ransomware fonctionne
habituellement en chiffrant les données sur l’ordinateur à l’aide d’une clé inconnue de l’utilisateur
Ce type de malveillances est une arnaque lucrative et criminelle, on peut s’infecter en cliquant sur
des liens trompeurs dans un e-mail, via la messagerie instantanée ou un site Internet.
b. Quels sont les modes d’infections du cryptovirus ?

On peut s’infecter avec les cryptovirus de diverses façons, les méthodes les plus utilises sont :
 Les malspams - Les malspams sont des spams malveillants ou des e-mails indésirables
utilisés pour livrer des malwares. Ces e-mails livrés peuvent contenir des pièces jointes
piégées (PDF, fichier Excel ou Word, etc.) ou des liens vers des plateformes Web
malveillantes.
Les malspams ont recours à l'ingénierie sociale afin d'inciter les utilisateurs à cliquer
sur des liens qui semblent provenir de sources légitimes, comme un proche ou une
institution.
 Le malvertising - Les malvertisings fonctionnent comme les adwares, ils consistent à
diffuser les publicités malveillantes en ligne.
Les utilisateurs peuvent être renvoyés vers des serveurs criminels sans avoir même
cliqué sur une seule publicité. Ces serveurs répertorient des informations concernant
les ordinateurs des victimes et leur emplacement, puis ils sélectionnent les malwares
les plus susceptibles de les infecter.
Le plus souvent le malvertising utilise les éléments invisibles d'une page web (iframes)
pour renvoyer l’utilisateur vers une page qui contient des exploits, ensuite ces exploits
attaque le système.
41
c. Quels sont les types de cryptovirus ?

Les types de cryptovirus selon leurs gravités :
 Scareware - Un Scareware ou L’alarmiciel est un faux logiciel de sécurité. Il
procède en vous affichant une fenêtre qui vous dit que votre appareil a été infecté
et que la seule façon de supprimer le malware est de télécharger l’antivirus. Si vous
ne faites rien, vos fichiers resteront en sécurité, dans le cas contraire, c’est un
logiciel indésirable conçu pour voler vos données que vous téléchargerai.
 Verrouilleurs d’écran - Quand un ransomware verrouilleur d'écran s'introduit dans
votre ordinateur, celui-ci se retrouve bloqué et vous n'y avez plus du tout accès.
Lorsque vous démarrez votre ordinateur, votre écran est entièrement recouvert par
une fenêtre comportant souvent des éléments de mise en page semblables à ceux
d'une institution gouvernementale, ou le ministère de la Justice, qui vous informe
qu'une activité illégale a été détectée sur votre ordinateur et que vous devez payer
une amende. Mais aucune autorité judiciaire ne bloquerait jamais votre ordinateur
ni n'exigerait un paiement suite à une activité illégale. Si elle suspectait une activité
cybercriminelle telle que du piratage ou de la pédopornographie, elle emploierait
les recours judiciaires appropriés.
 Cryptovirus chiffreurs - Les auteurs de ces cryptovirus dérobent vos fichiers, les
chiffrent et exigent que vous leur payiez une rançon en échange de leur
déchiffrement et de leur retour. Le danger avec ce type de cryptovirus, une fois que
vos fichiers sont chiffrés, ne comptez pas sur un logiciel de sécurité ou une
restauration du système pour les récupérer. À moins de payer la rançon, vous
pouvez faire votre deuil de vos fichiers. Et même si vous payez, vous n'avez aucune
garantie que les cybercriminels vous rendront vos fichiers.
G. Phishing :
a. Qu’est-ce qu’un phishing ?
Le phishing ou l’hameçonnage est une tromperie très connue, ça consiste à arnaquer les gens dans
le but de partager les données confidentielles. Le plus souvent, les pirates envoient des e-mails
piégés en se faisant passer pour une personne proche de la victime ou d’une institution à laquelle
elles font confiance.
Lorsque la victime accède au mail, elle y trouve un message alarmant qui joue sur la peur pour
l'empêcher de raisonner. Ce message demande à la victime de se rendre sur un site Internet et
d'exécuter immédiatement une action ou, dans le cas contraire, d'en subir des conséquences.
Si les utilisateurs mordent à l'hameçon et cliquent sur le lien, ils sont envoyés sur un site imitant
un site légitime. Là, on leur demande de se connecter avec leur nom d'utilisateur et leur mot de
passe. S'ils sont assez crédules pour accepter, les informations de connexion sont transmises au
malfaiteur, qui les utilise pour voler les identités, piller les comptes en banque et vendre des
informations personnelles sur le marché noir.
42
‘L'hameçonnage est une cyberattaque facile à mettre en place et, en même temps, la plus efficace
et la plus dangereuse’.
Contrairement aux autres malwares, la mise en place du phishing ne requiert pas une compétence
technique, il n’attaque pas les failles ou les vulnérabilités des systèmes (ordinateur, Android,
IPhone, etc.) il passe plutôt par l’ingénierie sociale. Lorsqu’un pirate ne trouve pas de faille dans
un système, il passe par cette menace pour aboutir à ses fins. C’est pourquoi cette attaque est la
plus dangereuse et la plus efficace.
b. Quels sont les types d’hameçonnage ?

Malgré la variété de l’hameçonnage, le point commun de tous est l’utilisation des motifs
frauduleux pour obtenir des informations sensibles. Les phishings les plus couramment utilisés
sont :
 Fraude 419 - La fraude 419 est une approche par courriel, qui vient du Nigeria, un pays
d'Afrique, faisant croire une à la cible une importante somme d'argent en échange d'une
aide financière. Cette escroquerie a pour but d'user le manque de connaissance des
utilisateurs de messageries électroniques (télécopies, courriels) pour leur soutirer de
l'argent.
Cette fraude appelée aussi arnaque nigériane est une escroquerie répandue sur Internet.
Elle se présente comme une proposition d'affaires « urgente et strictement
confidentielle » venant d'un fonctionnaire ou d'un homme d'affaires nigérian. La fraude
est bien orchestrée, il vous dit qu'il possède de l'argent et vous fait part de son besoin
de le transférer rapidement sur votre compte en échange de quoi il vous offre un
pourcentage de cette somme. Si la victime accepte, elle devra avancer de nombreux
frais (notaires, entreprises de sécurité…) avant que le transfert soit effectif [8].
Bien sûr que cette dernière opération ne sera jamais réalisée. Le plus souvent les cibles
visées sont essentiellement des entrepreneurs, des établissements d'enseignements etc.
 Harponnage - Le harponnage est un type de phishing qui est diffèrent des autres, le
harponnage est plus ciblé c’est-à-dire il vise une personne ou une institution avec du
contenu à l’image de la victime. Au préalable cette attaque a besoin des informations
liées à la victime tel que le nom, son travail, ses relations professionnelles etc. À l'aide
de ces informations, les hameçonneurs créent un e-mail crédible.
Par exemple, un arnaqueur peut harponner un employé dont la responsabilité comprend
la capacité à autoriser les paiements. L'e-mail est censé provenir d'un cadre supérieur
de l’institution qui ordonne à l'employé d'envoyer un paiement substantiel soit à lui-
même, soit à un fournisseur de l'entreprise alors qu'en fait, le lien de paiement
malveillant l'envoie au cybercriminel [9].
Le harponnage est une menace très dangereuse pour les entreprises et coûte des
fortunes.
43
« Selon un rapport de 2016 d'une étude sur le sujet, le harponnage est à l'origine de
38 % des cyberattaques sur les entreprises participantes au cours de l'année 2015. De
plus, concernant les entreprises américaines impliquées, le coût moyen des attaques par
harponnage par incident s'élevait à 1,8 million de dollars » [9].
 Clonage - Le clonage est un phishing qui permet de cloner et d’envoyer un mail déjà
légitime à une victime dans le but de l’arnaquer. Les pirates font une copie ou un clone
d’un e-mail déjà envoyé, mais légitime qui contient soit un lien soit une pièce jointe.
L’hameçonneur remplace ensuite les contenants par des éléments indésirables qui
ressemblent au vrai. Les utilisateurs inconscients de cette arnaque cliquent sur le lien
ou ouvrent la pièce jointe, ce qui permet aux pirates de prendre le contrôle de leur
système. L'hameçonneur peut dérober les informations sensibles ou imiter l'identité de
la victime afin de se faire passer pour un expéditeur de confiance auprès d'autres
victimes de la même organisation.
 Phishing vocal ou hameçonnage téléphonique - Le phishing vocal est un
hameçonnage qui consiste à se faire passer pour une organisation dans le but
d’arnaquer. Les malveillants prétendent représenter votre banque locale, la police ou
même les impôts. Ensuite, ils vous effraient en mentionnant un problème et insistent
pour que vous le résolviez immédiatement en partageant vos informations bancaires.
H. DoS (déni de service) :

a. Qu’est-ce qu’une attaque Dos ?
L’attaque DDos (Denial of Service, déni de service) est une pratique illicite qui permet de rendre
un service indisponible et d’en priver les utilisateurs légitimes de l’utiliser. L’attaque par déni de
service permet de bombarder une ressource Web en envoyant de multiple requête dans le but
d’empêcher ou de bloquer le fonctionnement du système.
b. Quelles sont les principales cibles des attaques Dos ?
 Plateforme de vente en ligne ;

 Casinos en ligne ;
 Entreprises ou organismes fournissant des services en ligne.
c. Comment fonctionne une attaque DoS ?

Les serveurs (serveur Web, serveur de base de données…) en général ne peuvent gérer qu’un
nombre limité de requête, au-delà de ces requêtes, le niveau de service du système peut rencontrer
des problèmes à savoir :
 Le traitement des requêtes est beaucoup est beaucoup plus lent ;
 Les requêtes des utilisateurs ou les autres peuvent être ignorées.
L’objectif du pirate étant de bloquer le fonctionnement de la ressource (déni de service total), mais
aussi, il peut également exiger de l'argent pour faire cesser l'attaque. Dans certains cas, une attaque
44
DDoS peut même prendre la forme d'une tentative de discrédit ou de nuisance à l'égard de l'activité
d'un concurrent.
d. Utilisation d’un botnet pour lancer une attaque DoS ?

Pour envoyer un nombre extrêmement important de requêtes à la ressource visée, le cybercriminel
établit souvent un « réseau zombie » d'ordinateurs infectés. Dans la mesure où le cybercriminel
contrôle les actions de chacun des ordinateurs infectés du réseau zombie, l'envergure de l'attaque
peut avoir raison des ressources Web de la victime [10].
I. Botnet
a. Qu’est-ce qu’un botnet ?
Un botnet est une contraction des termes robot et network (réseau). Un botnet est un réseau de
robots informatiques contenant des programmes indésirables qui communiquent entre eux par
Internet pour exécuter des tâches.
Les botnets sont utilisés pour plusieurs tâches, notamment les attaques par déni de service ( DoS ),
la diffusion de spam, l'extraction de bitcoins, la fraude aux clics et le vol d'informations
personnelles et financières. Ils distribuent également des logiciels malveillants, y compris ceux qui
peuvent transformer votre ordinateur en zombie afin de faire croître le botnet [11].
b. Quels sont les types de botnet ?

Voici quelques botnets les plus connu :
 Koobface - Koobface est un botnet qui est basé en grande partie sur l’ingénierie sociale
pour se propager, le plus souvent il est utilisé pour voler les données.
 Zeus - Zeus est un botnet multi-plateforme, il avait un composant qui volait les codes
bancaires de plusieurs appareils mobiles qui exécute les systèmes suivants :
BlackBerry, Symbian, Android et Windows phone.
 Windigo - Windigo est un botnet de de spam qui est concentré sur les serveurs Unix.
 Flashback - Le Flashback est un botnet basé sur les Mac.
 ASProx - Le botnet ASProx utilise le phishing et les injections SQL pour compromettre
les sites web.
 Sefnit - Sefnit est le botnet qui a repris le réseau Tor et a laissé infecter tous ces
utilisateurs.
 Gameover Zeus - Le Gameover Zeus a été utilisé pour la propagation du ransomware
CryptoLocker.
 Conficker - Conficker à infecter des millions d'ordinateurs dans plus de 200 pays en
une courte période. Il s'agissait notamment des systèmes gouvernementaux et des
grandes entreprises [12].
 Kovter - Kovter est un botnet qui permet de propager des ransomwares.
En résumé, les botnets sont dangereux sur le net. Ils essaient d'utiliser les ordinateurs d’autrui pour
faire leur sale boulot à leur place.
45
J. Rootkit :
a. Qu’est-ce qu’un rootkit ?
Un rootkit est un programme malveillant ou non qui s’installe sur votre machine pour dissimuler
une activité sur le système de fichiers (création, lecture, écriture), ou une activité réseau (connexion
à un serveur, envoi de données), ou encore une activité en mémoire (calculs).
Un rootkit peut travailler dans l’environnement de l’utilisateur, sans droit particuliers, ou en
profondeur dans le système d’exploitation, nécessitant par conséquent des droits d’exécutions
élevés.
En aval, le système doit être compromis (intrusion, cheval de Troie) pour que le rootkit fonctionne.
Ces programmes modifient souvent les commandes usuelles de l’administrateur afin de pouvoir
dissimuler toute trace de leur présence.
Les outils de dissimulations d’activités embarquent des fonctionnalités de porte dérobée
permettant à l’auteur un accès à distance et un contrôle sur le système compromis.
b. Quelles sont les différents types de rootkit ?

Les deux principaux types de rootkits à savoir :
 Rootkit en mode utilisateur - Ce type de rootkit est conçu pour fonctionner au sein du
système d’exploitation de l’appareil comme une application. Ce programme
malveillant s’exécute que lorsqu’une application est en cours de fonctionnement ou en
remplaçant la mémoire utilisée par une application.
 Rootkit en mode noyau - Les rootkits en mode noyau fonctionnent au niveau le plus
profond du système d’exploitation du PC et donnent au pirate une série de privilèges
très puissants. Après l’installation d’un rootkit en mode noyau, un pirate obtient un
contrôle total de l’appareil compromis et la possibilité de faire tout ce qu’il veut sur
celui-ci, ce type de rootkit est également plus difficile à détecter et à supprimer.
 Bootkits - Les bootkits sont conçu pour altérer le démarrage de l’ordinateur.
 Rootkit ciblant les mobiles : Ce rootkit est conçu pour attaquer les smartphones,
particulièrement les Android.
c. Quels sont les modes d’infections d’un rootkit ?

On peut s’infecter par les rootkits de différentes façons :
 Failles - Les vulnérabilités des systèmes d’exploitation sont les moyens les plus
utilisées pour pirater un système.
Les pirates ciblent les vulnérabilités connues et inconnues du système d’exploitation
ainsi que celles des applications et utilisent un code d’exploit afin d’obtenir une
position privilégiée dans l’ordinateur ciblé. Ensuite, ils installent le rootkit et les
composants leur permettant d’accéder à l’ordinateur à distance.
 Clés USB infectées - Une clé USB infectée est un autre vecteur d’infections. Dès fois,
les pirates abandonnent leurs clés USB sur lesquelles des rootkits sont cachés dans des
46
endroits où elles ont de grandes chances d’être trouvées et récupérées par les victimes,
tels qu’un bâtiment de bureaux, un café, ou un centre de conférences. Dans certains
cas, le rootkit utilisera des vulnérabilités de sécurité, mais dans d’autres, il se fera passer
pour une application légitime ou un fichier de la clé USB.
K. Exploit :
a. Qu’est-ce qu’un exploit ?
Un exploit est une malveillance qui permet aux pirates de tirer profit des faiblesses ou des
vulnérabilités de n’importe quel matériel ou logiciel.
DETAIL D’UN EXPLOIT -

CAPTURE 3 [14]
En considérant que la faille est la fenêtre ouverte sur le système, l’exploit est la corde ou l’échelle
qu’utilise le voleur pour atteindre cette fenêtre. Un exploit est tout simplement un outil créé pour
exploiter une vulnérabilité donnée, et sans vulnérabilités, il n’y a rien à exploiter [13].
b. Quels sont les modes opératoires des exploits ?

Les pirates ont recours à plusieurs moyens pour lancer une attaque par exploit. Ils peuvent profiter
du fait que vous consultez sans savoir un site web infecte qui contient un kit d’exploit. Dans ce
cas, ce kit analyse discrètement votre appareil, y recherche les vulnérabilités non corrigées et essaie
différents exploits afin de tenter de pénétrer dans votre machine. Le kit d’exploit peut détecter de
nombreuses informations, par exemple votre système d’exploitation, les applications que vous
utilisez et si vous utilisez certains plug-ins dans votre navigateur. S’il réussit à pénétrer dans votre
appareil, il peut propager des malveillances qui vont infecter votre système [13].
Les pirates peuvent également lancer une attaque par exploit à l’aide de code qui se répand sur un
réseau pour y détecter les vulnérabilités, comme les EthernalBlue et BlueKeep. Ces exploits ne
47
nécessitent aucune interaction avec les utilisateurs, vous pourriez même être endormi dans la pièce
à côté que l’exploit pourrait attaquer votre appareil. Les logiciels et les systèmes d’exploitation
obsolètes sont vulnérables face aux exploits. Ceci est dû au fait que les mises à jour contiennent
souvent des correctifs pour les vulnérabilités existantes [13].
L. Cryptojacking :
a. Qu’est-ce qu’un cryptojacking ?
Le cryptojacking est une malveillance utilisée par les hackers. Ils l’utilisent en minant en secret la
cryptomonnaie sur le compte de la victime sans qu’il le sache. Ils l’utilisent aussi le cryptojacking
pour voler des ressources informatiques sur les appareils (ordinateurs, smartphones, serveur).
Le cryptojacking ou cryptomonnaie est une monnaie numérique sans forme physique réelle qui
existe seulement dans le virtuel. Elles ont été créées comme une alternative à l'argent traditionnel
et ont gagné en popularité en raison de leur conception innovante, leur potentiel de croissance et
leur anonymat.
b. Quels sont les modes d’infections du Cryptojacking ?

Les hackers ont plus d'un tour dans leur sac pour attaquer votre ordinateur.
 Une des méthodes fonctionne comme un malware classique. Vous cliquez sur un lien
malveillant dans un e-mail et il charge un code de minage de cryptomonnaie
directement sur votre ordinateur. Une fois votre ordinateur infecté, le crypto hacker
commence à travailler 24h/24 pour miner la cryptomonnaie tout en restant caché en
arrière-plan. Parce qu'elle réside sur votre ordinateur, il s'agit d'une menace locale et
persistante qui infecte l'ordinateur lui-même.
 Une autre méthode du cryptojacking est parfois surnommée le minage de
cryptomonnaie intempestif. Semblable aux exploits de publicité, cette arnaque consiste
à imbriquer un morceau de code JavaScript dans une page Web. Ensuite, celui-ci
effectue le minage de la cryptomonnaie sur les ordinateurs des utilisateurs qui
consultent la page. Attention, le minage intempestif peut infecter votre appareil mobile
Android.
Des versions plus malveillantes du minage intempestif ne s'embêtent pas à demander l'autorisation
et continuent à miner même quand vous quittez le site d'origine. Il s'agit d'une technique courante
des propriétaires de sites suspects, ou des hackers qui possèdent des sites légitimes corrompus. Les
utilisateurs ne savent absolument pas qu'un site qu'ils ont consulté utilise leur ordinateur pour
miner de la cryptomonnaie. Le code utilise juste assez de ressources système pour rester invisible.
Bien que l'utilisateur pense que les fenêtres du navigateur sont fermées, une fenêtre cachée reste
ouverte. Généralement, il s'agit d'un pop-under qui a la taille adéquate pour être dissimulée sous
la barre de tâches ou derrière l'horloge.
48
Chapitre 2 : Attaques et solutions
Introduction :
Ce chapitre couvre les moyens utilisés par les illicites pour lancer une cyberattaque et les moins à
mettre en place pour contrer ces attaques. Cela explique les vulnérabilités des logiciels et du
matériel de sécurité, ainsi que les différentes catégories de vulnérabilité de la sécurité.
Les différents types d’attaques systèmes et les symptômes de logiciels malveillants sont traités.
Comment les pirates font pour infiltrer un système ainsi que les attaques par déni de service sont
également traitées. La plupart des cyberattaques modernes sont considérées comme des attaques
mixtes. Les attaques mixtes utilisent différentes techniques pour infiltrer et pour attaquer un
système. Lorsqu’une attaque ne peut être évitée, il incombe au professionnel de la cybersécurité
de réduire l’impact de cette attaque.
2.1. Attaques :
2.1.1. Qui menace et comment ?
Il existe plusieurs types de pirate ayant des raisons d’attaques différentes : un hacker agissant par
vengeance ou démonstration de connaissance ou un groupe d’hacker organisé ayant pour objectif
de revendre ses services pour déstabiliser des entreprises ou de revendre des informations
subtilisées dans les bases de données non sécurisées comme des informations bancaires.
D’autres groupes organisés tels que le réseau Anonymous qui procède par exemple à des actions
de défacement, de piratage de site web ou de divulgation d’information pour revendiquer des
actions auprès d’entreprises réputées ou pour procéder à des opérations punitives.
Cette foison ou de diversité de menaces complique d’autant le travail de nos outils ou de notre
service informatique.
2.1.2. Attaque de masse

Les attaques de masse sont beaucoup mises en œuvre, leurs coûts sont très faibles et les revenues
peuvent facilement devenir intéressant. Les attaques de masse scannent Internet pour trouver des
objets non-sécurises les cameras par exemple afin de prendre le contrôle facilement si le mot de
passe est faible ou n’a pas été mis à jour.
49
CAMERAS AVEC UN MOT DE PASSE FAIBLE - CAPTURE 4[14]
Les attaques arrivent ainsi à constituer un réseau d’objets connectés pour en faire un botnet, c’est-
à-dire un réseau de machines compromises ou un groupe de machines infectées et contrôlés à
distance par un pirate. Ce réseau servira par la suite à commettre une attaque sur une cible
prédéfinie par l’intermédiaire des objets connectés des entreprises ou post fixes sans que personne
ne le sache.
CAMERAS COMPROMISE - CAPTURE 5[14]
50
Les attaques de masses ne se soucient pas de l’identité des victimes. L’objectif est d’élargir
l’attaque pour avoir un impact maximal et récolter le plus d’argent possible comme les
ransomwares.
Les logiciels malveillants de rançonnage se diffusent en générale par mail grâce à des techniques
d’hameçonnage consistant à se faire passer pour une société ou une personne proche de la victime
pour l’inciter à fournir des informations sensibles.
Ces mails, envoyer en masse via des adresses volées ou acheter illicitement, demande à l’utilisateur
de cliquer sur un lien ou d’ouvrir un fichier en pièce jointe. Lorsqu’il ouvre le fichier, un logiciel
indésirable est automatiquement installé sur son poste à son insu qui chiffre une partie ou
l’ensemble des données contenues sur la machine. Par la suite, si l’utilisateur souhaite récupérer
ces fichiers, il devra payer une rançon d’où le nom ransomware.
2.1.3. Attaque ciblée

En parallèle des attaques massives ci-dessus les entreprises ou les personnes peuvent être victime
d’attaque ciblée. Contrairement aux attaques de masse, les attaques ciblées sont moins courantes.
En effet, les modes opératoires sont plus complexes et demandent des compétences spécifiques ou
une connaissance particulière de l’entreprise ou la victime.
Il s’agit principalement de cas d’espionnage pour obtenir une information qui n’est pas connue de
tous : espionnage économique ou industriel ou pour atteindre votre propriété intellectuelle.
a. Principe de fonctionnement
Pour réaliser une attaque ciblée, l’attaquant va utiliser l’ensemble des informations de l’entreprise
visée trouvées sur internet pour en faire une cartographie précise.
Par la suite, l’attaquant va infecter le réseau de l’entreprise, via un e-mail envoyé à un employé
qui contient une pièce jointe malveillante ou un lien qui redirige vers un site malveillant. Cet
employé, n’étant pas conscient d’être une potentielle victime, va sans le vouloir ouvrir son poste à
l’attaquant.
L’attaquant prenant ainsi le contrôle du poste de l’employé pourra se connecter au réseau interne
de l’entreprise, ensuite contaminé l’ensemble du réseau jusqu’à trouver l’ordinateur qui contient
l’information à protéger.
Dans ce cas, on dit que le collaborateur a servi de « tête de pont » à l’attaquant pour compromettre
le réseau.
2.1.4. Méthode d’infiltration

2.1.4.1. Piratage psychologique
Le piratage psychologique est une attaque d’accès qui tente de manipuler les individus dans la
divulgation d’informations confidentielles. Les pirates psychologiques comptent souvent sur la
volonté des personnes pour que cela soit efficace, mais aussi sur l’exploitation des faiblesses des
personnes. Par exemple, une personne malveillante pourrait appeler un employé autorisé pour un
problème urgent qui nécessite un accès réseau immédiat. La personne malveillante pourrait faire
51
appel à la vanité de l'employé, invoquer l'autorité en utilisant des techniques de « name-dropping »

en citant des noms ou en faisant appel à la cupidité de l'employé.
Quelques types d’attaque d’ingénierie sociale :
 Usurpation – Quand un agresseur appelle un individu et lui ment dans le but d'accéder
à des données privilégiées. Un exemple implique un agresseur qui prétend avoir besoin
de données personnelles ou financières afin de confirmer l’identité du destinataire.
 Talonnage (tailgating) - On parle de talonnage lorsqu’un agresseur suit rapidement
une personne autorisée dans un endroit sécurisé.
 Une chose pour une autre (contrepartie) - C’est lorsqu’un pirate informatique
demande des informations personnelles ou sensible en échange de quelque chose,
comme un don gratuit.
2.1.4.2. Attaque sur les mots de passes

Les attaques pour récupérer les mots de passe peuvent être de plusieurs types :
 Attaques directes (en devinant le mot de passe)
 Attaques indirectes (en utilisant la ruse pour récupérer le mot de passe)
a. Attaques directes :
Les attaques directes sont celles par lesquelles un attaquant va s’attaquer de manière très
concrète à votre mot de passe ou au système d’authentification. Ce type d’attaque lui permet de
récupérer vos identifiants et mots de passe pour se connecter ensuite sur votre compte en utilisant
les mêmes moyens que les vôtres.
ATTAQUES DIRECTES - CAPTURE 6[15]
52
Quelques types d’attaque directe :

 Attaque par force brute - L’attaque par force brute est la première attaque à connaître car
il s’agit de l’attaque la plus simple. Elle consiste tout simplement à tester tous les mots de
passe possibles un à un jusqu’à trouver le bon, c’est pourquoi elle est souvent considérée
comme l’attaque la moins rapide.
Un individu malveillant ou agresseur pourra par exemple utiliser un programme qui testera
automatiquement et successivement les mots de passe : « a… b… aa… ab… ac… » et
ainsi de suite jusqu’à trouver le bon mot de passe.
 Attaque par dictionnaire - L’attaque par dictionnaire suppose que vous allez utiliser un
mot de passe facile à retenir, comme un lieu de naissance, un prénom, une date marquante
ou des combinaisons de ces différents éléments.
Dans ce cas, l’attaquant peut recourir à l’ingénierie sociale pour trouver des informations
vous concernant, par exemple en recherchant sur les réseaux sociaux, et réussir plus
rapidement son attaque.
Pour préparer cette attaque, les attaquants fabriquent des dictionnaires composés d’une
liste de mots de passe potentiels contenant des mots du dictionnaire (de langue française
ou étrangère), avec plus ou moins de personnalisation selon la personne, la nationalité,
l’âge etc.
Les attaques par force brutes commencent en générale par des attaques par dictionnaire,
afin de tester les mots de passe les plus vraisemblables dans un premier temps.
 Attaque par permutation - L’attaque par permutation est une variante de l’attaque par
dictionnaire. Elle consiste à fabriquer des dictionnaires en modifiant certains caractères.
Les attaques se servent ainsi des ruses utilisées par la plupart des gens par exemple un @
à la place d’un a, le chiffre 0 à la place d’un O, ajouter 123 après un mot, etc.
ATTAQUE PAR PERMUTATION - CAPTURE 7[15]
53
 Attaque distribuée - L’attaque peut être facilitée lorsqu’il est possible de la « distribuer »,
autrement dit de repartir la charge de travail entre plusieurs ordinateurs en testant un
ensemble de mots de passe en parallèle.
Ainsi, un programme testant toutes les possibilités du mot de passe d’un forum en ligne
peut être lancé sur 10 000 ordinateurs, rendant alors 10 000 fois plus rapide le temps de
recherche du mot de passe.
ATTAQUE DISTRIBUEE - CAPTURE 8[15]
 Attaque de proximité – L’attaque de proximité est moyen de récupération de mot de passe

sans l’intermédiaire d’une personne ou d’une machine. Il peut s’agir d’un coup d’œil au-
dessus de votre épaule lors de vos opérations au distributeur automatique de billet, ou
encore d’un visiteur dans l’entreprise qui regarde sous le clavier s’il n’y a pas de post-it ou
si le mot de passe de l’équipe n’est pas noté au tableau.
Les prestataires de services externes à l’entreprise et disposant d’un accès aux locaux sont
également des attaquants de proximité possibles. On désigne ces attaques par le terme
anglais « evil maid attack ».
D’autre attaques peuvent être plus sophistiquées comme un hall de gare avec une caméra
équipée d’un bon zoom, ou plus complexe mais très efficace, comme deviner le mot de
passe par écoute du spectre électromagnétique du clavier dans la sale.
54
ATTAQUE DE PROXIMITE CAPTURE 9[16]
 Piégeage du poste – Une autre attaque consiste à piéger un matériel informatique (poste
de travail, téléphones portables, équipement de paiement, etc.).
Ce piégeage peut concerner n’importe quelle partie de l’équipement : port USB, carte mère,
disque dur, clavier, lecteur de carte, etc.
Ces attaques nécessitent que l’attaquant ait un accès physique au matériel, ce qui lui fait
prendre un risque. Mais l’enjeu peut en valoir la peine et c’est la raison pour laquelle ces
attaques sont malgré tout non seulement réalistes mais même assez courantes (en
particulier, dans le monde de la monétique).
Les attaques matérielles sont souvent très difficiles à détecter. C’est pourquoi, si vous
pensez que votre équipement contient des données suffisamment sensibles pour qu’il
puisse être une cible, vous devez le conserver en permanence sous votre contrôle (sur vous
ou dans un lieu réputé sûr).
 Attaque sur la mémoire - Lorsqu’un disque dur d’un ordinateur n’est pas chiffré, il est
possible d’en extraire beaucoup d’information sans connaître le mot de passe de
l’utilisateur. D’autres attaques font également appel à des technologies beaucoup plus
évoluées, permettant de récupérer les mots de passe directement dans la mémoire vive d’un
poste, telles que les attaques par démarrage à froid. Celles-ci consistent à couper
l’alimentation d’un poste allumé, par exemple le poste d’un utilisateur l’ayant verrouillé,
puis à remettre les composants sous tension au sein d’un poste contrôlé par l’attaquant.
55
Que ça soit pour une attaque par dictionnaire ou permutation la vitesse de compromission
d’un mot de passe dépend de ou ça se déroule.
Lorsque la compromission se passe en ligne, l’individu malveillant est confronté à
plusieurs problématiques, comme la vitesse du réseau, la performance du serveur, ou
encore la limitation du nombre d’essais.
En revanche, ces paramètres n’affectent pas les attaques hors-ligne, qui sont plus rapide et
plus discret. Pour améliorer l’efficacité de son attaque, l’attaquant peut disposer de ses
machines en propre, utiliser des machines de calcul louées, ou exploiter un réseau
d’ordinateurs compromis (botnet).
b. Attaques indirectes :
Un autre type d’attaque, l’attaque indirecte, qui permet aussi de récupérer les mots de passe.
A l’inverse des attaques directes qui volent les mots passe sur vos postes ou lors de vos frappes au
clavier, les attaques indirectes utilisent la ruse pour vous piéger et récupérer vos informations
d’authentification à votre insu.
L’ingénierie sociale est une technique fréquemment utilisée par les pirates pour vous atteindre et
accéder à vos informations par la ruse.
Quelques types d’attaque indirecte :
 Hameçonnage - Le plus souvent on reçoit des mails indiquant que notre compte de
messagerie ou un autre service web a été compromis. A la base rédigée dans un français
douteux, ces mails vous incitent à cliquer sur un lien web pour résoudre le problème.
C’est en ce moment que les ennuis commencent, puisque le lien ne mène pas à un site licite,
mais plutôt à une plateforme douteuse. L’individu malveillant prend souvent la précaution
de positionner le lien sur une plateforme Web qui affiche bien la bonne orthographe. Il
prend également la précaution de créer un sous-domaine qui semble à première vue correct.
 Ingénierie sociale - Est une autre technique utilisée par les pirates qui consiste à se
renseigner sur vous pour déjouer les mécanismes de recouvrement qui reposent souvent
sur une question secrète. A un moment, la solution la plus utilisée sur de nombreux sites
pour résoudre le problème de la perte du mot de passe était la « « question secrète ».
Ce genre d’informations n’étant pas de manière générale confidentiel, il suffisait à
l’attaquant de se renseigner un minimum sur la cible.
 Utilisation d’informations personnelles - Les méthodes de recouvrement plus modernes
basées sur l’envoi de SMS et la récupération à partir d’adresses électroniques de secours
présentent elles aussi des risques.
En effet, les SMS peuvent être interceptés avec du matériel d’interception téléphonique
(IMSI cacther), ou d’autre méthodes.
56
CONFIRMATION D’IDENTITE AVEC SMS - CAPTURE 10[16]
 Interception réseau - Un autre type d’attaque indirect qui utilise les interceptions réseaux.
Ça consiste à se placer près d’un lien de communication et peut dans ce cas lire ou modifier
les échanges non-chiffrés (mails, recherches internet, etc.) par exemple en se plaçant sur le
même réseau Wifi de l’hôtel dans lequel vous résidez.
De nombreuses attaques sont possibles, comme se faire passer pour votre correspondant et
ainsi récupérer les données attaquées, il peut forcer l’utilisation de protocoles obsolètes ou
de technologies moins sécurisées pour exploiter des vulnérabilités connues.
INTERCEPTION DU
SIGNALE
PAR LE IMSI CATCHER
Fausse antenne-relais
INTERCEPTION DU RESEAU AVEC IMSI CATCHER - CAPTURE 11 [16]
57
En résumé, nous avons pu voir un certain nombre d’attaques sur les mots de passe. Bien entendu,
ce n’est pas exhaustif et les possibilités n’ont de limites que l’imagination des attaquants.
2.1.4.3. Le phishing
L’hameçonnage se produit lorsqu’un tiers malveillant envoie un e-mail frauduleux comme
provenant d’une source de confiance légitime. L’objectif du message est de piéger le destinataire
sur l’installation d’un malware sur son appareil ou sur le partage d’informations personnelles ou
financières. Un exemple d’hameçonnage est un e-mail factice ayant l’apparence de celui envoyé
par un magasin, demandant à l’utilisateur de cliquer sur un lien pour demander un prix. Le lien
peut diriger vers un faux site demandant des informations personnelles, ou installer un virus.
L’hameçonnage ciblé est une attaque d’hameçonnage très ciblée. Même si l’hameçonnage et
l’hameçonnage ciblé utilisent tous les deux des e-mails pour atteindre les victimes, les e-mails de
l’hameçonnage ciblé sont personnalisés pour une personne spécifique. L’agresseur recherche les
intérêts de la cible avant d’envoyer l’e-mail. Par exemple, un pirate informatique apprend que la
cible s’intéresse aux jeux vidéo et qu’il recherchait une version spécifique d’un jeu. Le pirate
informatique rejoint le même forum de discussion sur les jeux vidéo où la cible est membre, crée
une page web malveillant contenant le jeu et envoie un courrier électronique à la cible. L’e-mail
contient un lien vers la page web. Lorsque la cible clique sur le lien, le malware est installé sur son
ordinateur.
2.1.4.4. Exploitation des vulnérabilités

L’exploitation des vulnérabilités est une autre méthode d’infiltration. Les hackers vont analyser
les ordinateurs pour obtenir des informations à leur sujet. Voici une méthode commune pour
exploiter les vulnérabilités :
 Phase 1 - Collecter des informations sur le système cible. La collecte peut se faire de
plusieurs façons différentes, à l’aide d’un scanner de port (NMAP) ou du piratage
psychologique. L’objectif est d’en apprendre autant que possible sur l’ordinateur cible.
 Phase 2 - L’un des éléments d’information pertinents appris lors de l’étape 1 pourrait
être le système d’exploitation, sa version et une liste des services qui sont en cours
d’exécution.
 Phase 3 - Quand le système d’exploitation et la version du système de la cible sont
connus, le malveillant recherche les vulnérabilités spécifiques connues sur cette version
de système d’exploitation ou sur d’autres services du système d’exploitation.
 Phase 4 - Lorsqu’une vulnérabilité est détectée, le pirate informatique cherche à utiliser
un exploit déjà écrit. Si aucun exploit n’a été écrit, l’agresseur peut envisager d’écrire
un exploit.
La capture ci-dessous illustre un pirate informatique utilisant WHOIS, une base de données
Internet publiques contenant des informations sur les noms de domaine et leurs utilisateurs inscrits.
La Figure ci-dessous illustre un agresseur utilisant l'outil NMAP, un célèbre scanner de port. Avec
58
un scanner de port, un agresseur peut sonder les ports d’un ordinateur cible pour en apprendre
davantage sur les services en cours d’exécution sur cet ordinateur.
OUTILS WHOIS EN ACTION - CAPTURE 12[7]
SCANNER DE PORT NMAP - CAPTURE 13[7]
59
a. Menaces persistantes avancées

L’un des moyens pour réussir une infiltration est l’utilisation des menaces persistantes avancées.
Elles consistent en un fonctionnement furtif et avancé, à plusieurs stades, et à long terme, contre
une cible spécifique. En raison de son niveau de complexité et des compétences requises, une
menace persistante avancée est généralement bien financée. Une menace persistante avancée cible
les entreprises ou les nations pour des raisons commerciales ou politiques.
Habituellement liée à l’espionnage basé sur le réseau, la menace persistante avancée vise à
déployer un malware personnalisé sur un ou plusieurs des systèmes de la cible sans se faire
détecter. Avec plusieurs stades de fonctionnement et plusieurs types de malware personnalisés qui
affectent différents appareils et effectuent des fonctions spécifiques, un seul agresseur ne dispose
souvent pas de l’ensemble des compétences, des ressources ou de la persévérance pour mener à
bien les menaces persistantes avancées.
2.1.5. Déni de service (DoS)

2.1.5.1. DoS
Les attaques par déni de service représentent un type d’attaque réseau. Une attaque par déni de
service se traduit par une interruption de service de réseau sur les utilisateurs, les périphériques ou
les applications. Il existe deux types majeurs d’attaques par déni de service :
 Quantité encombrante de trafic - Elle se produit lorsqu’un réseau, un hôte ou une

application reçoit une énorme quantité de données à un rythme qui ne peut pas être géré.
Cela provoque un ralentissement de la transmission ou de la réponse, ou une panne d’un
appareil ou d’un service.
 Paquets formatés de manière malveillante - Cela se produit lorsqu’un paquet formaté de
manière malveillante est envoyé à un hôte ou à l’application et le destinataire est incapable
de le traiter. Par exemple, un agresseur transmet des paquets contenant des erreurs qui ne
peuvent être identifiées par l’application ou il transmet des paquets mal formatés. Cela
provoque un ralentissement de l’appareil récepteur ou une panne.
Les attaques par déni de service sont considérées comme un risque majeur, car elles peuvent
facilement interrompre la communication et entraîner une perte importante de temps et d’argent.
Ces attaques sont relativement simples à effectuer, même par un agresseur non qualifié.
60
ATTAQUE PAR DENI DE SERVICE - CAPTURE 14[7]
2.1.5.2. DDoS
Une attaque par déni de service distribué (attaque DDoS) est similaire à une attaque par déni de
service (attaque DoS), mais elle provient de sources multiples et coordonnées. À titre d’exemple,
une attaque par déni de service distribuée peut procéder comme suit :
Un agresseur établit un réseau d'hôtes infectés, appelé réseau de zombies. Les hôtes infectés sont
appelés des zombies et sont contrôlés par des systèmes de gestionnaire.
Les ordinateurs zombies analysent et infectent constamment plus d’hôtes, et créent ainsi plus de
zombies. Une fois prêt, l’hacker demande aux systèmes de gestionnaire d’effectuer une attaque
par déni de service distribuée par le biais du réseau de zombies. Consulter les captures ci-dessous
pour comprendre le déroulement d’une attaque par déni de service distribué.
61
ATTAQUE DENI DE SERVICE - CAPTURE 15[7]
ACTIVATION DE DDOS -CAPTURE 16[7]
62
SERVEUR- SURCHARGE CAPTURE 17[7]
2.1.5.3. Empoisonnement par SEO

Les moteurs de recherche comme Google fonctionnent en classant des pages et en présentant les
résultats pertinents en fonction des requêtes de recherche des utilisateurs. En fonction de la
pertinence du contenu du site Web, celui-ci peut se situer plus haut ou plus bas sur la liste des
résultats de recherche. L’optimisation pour les moteurs de recherche ou SEO est un ensemble de
techniques utilisées pour améliorer le classement d’un site Web par un moteur de recherche. Alors
que de nombreuses entreprises légitimes se spécialisent dans l’optimisation de sites Web pour
mieux se positionner, un utilisateur malveillant pourrait utiliser un empoisonnement par SEO pour
créer un site Web malveillant qui apparaîtrait au sommet des résultats de recherche.
L’objectif le plus commun de l’empoisonnement par SEO est d’augmenter le trafic vers des sites
malveillants qui peuvent héberger un malware ou effectuer un piratage psychologique. Pour forcer
un site malveillant à se classer au sommet des résultats de recherche, les agresseurs tirent parti des
termes de recherche populaires.
2.1.6. Les problématiques de la cybersécurité

2.1.6.1. Attaque mixte
a. Qu’est-ce qu’une attaque mixte ?
Les attaques mixtes sont des attaques qui utilisent plusieurs techniques pour compromettre une
cible. En utilisant plusieurs techniques d’attaque différentes simultanément, les agresseurs
disposent de malware qui représentent un mélange de vers, de chevaux de Troie, de logiciels
63
espions, d’enregistreurs de frappe, de pourriels et de plans d’hameçonnage. Cette tendance des

attaques mixtes est révélatrice de malware plus complexes et met les données des utilisateurs en
grand danger.
Le type d’attaque mixte le plus courant utilise des pourriels, des messages instantanés ou des sites
légitimes pour distribuer des liens dans lesquels un malware ou un logiciel espion est secrètement
téléchargé sur l’ordinateur.
Une autre attaque mixte commune utilise les attaques par déni de service distribuée combinées à
des e-mails d’hameçonnage. Tout d’abord, l’attaque par déni de service distribuée est utilisée pour
détraquer le site Web d’une banque populaire et envoyer des e-mails aux clients de la banque en
s’excusant pour la gêne occasionnée. L’e-mail dirige également les utilisateurs vers un site
d’urgence factice où leurs vraies informations de connexion peuvent être volées.
La plupart des vers informatiques les plus néfastes comme Nimbda, CodeRed, BugBear, Klez et
Slammer sont davantage catégorisés comme des attaques mixtes, comme indiqué ci-dessous :
 Certaines variantes de Nimbda ont utilisé les pièces jointes d’e-mail, les téléchargements
de fichier à partir d’un serveur Web compromis et le partage de fichiers Microsoft (par
exemple, des partages anonymes) comme méthodes de propagation.
 D’autres variantes de Nimbda ont été en mesure de modifier les comptes invités du système
pour fournir à l’agresseur ou au code malveillant des privilèges administratifs.
Les récents vers Conficker et ZeuS/LICAT étaient également des attaques mixtes. Conficker a
utilisé toutes les méthodes de distribution classiques.
2.1.6.2. Reduction d’impact

Même si, de nos jours, la majorité des entreprises prospères sont conscientes des problèmes de
sécurité courants et ont déployé des efforts considérables pour les éviter, aucun système de sécurité
n'est efficace à 100 %. Etant donné qu’une faille est susceptible de se produire si la valeur est
importante, les entreprises et les organisations doivent également être disposées à limiter les
dégâts.
Il est important de comprendre que l’impact d’une faille est non seulement lié à son aspect
technique, aux données volées, aux bases de données endommagées ou à l’atteinte à la propriété
intellectuelle, mais également au préjudice pour la réputation de l’entreprise. La riposte à une
violation de données est un processus très dynamique.
Voici quelques mesures considérables qu’une entreprise doit prendre lorsqu’une faille de sécurité
est identifiée :
 Communiquer le problème - Les employés en interne doivent être informés du problème
et appelés à agir. En dehors de l'entreprise, les clients doivent être informés par une
communication directe et des annonces officielles. La communication crée la transparence,
ce qui est crucial dans ce type de situation.
64
 Fournissez des détails - Expliquez les raisons de la situation et ce qui a été compromis. Il
est également prévu que l'entreprise prenne en charge les coûts des services de protection
d'usurpation d'identité pour les clients concernés.
 Essayez de comprendre ce qui a causé la faille et la facilité. Si nécessaire, embauchez des
enquêteurs en informatique pour rechercher et étudier les détails.
 Appliquez ce qui a été appris au cours de l'enquête pour vous assurer que des failles
similaires ne se produisent plus à l'avenir.
 Vérifiez que tous les systèmes sont sains, qu'aucune porte dérobée n'est installée et que rien
d'autre n'a été compromis. Les agresseurs tenteront souvent de laisser une porte dérobée
pour faciliter les failles futures. Assurez-vous que cela ne se produise pas.
 Formez les employés, les partenaires et les clients sur la méthode de prévenir des failles
futures.
2.2. Solutions contre les attaques de malwares :

Cette section est axée sur les solutions apportées pour contrattaquer les attaques systèmes. Il
comprend des conseils pour la protection de vos périphériques, pour la création de mots de passe
fiables et pour l’utilisation sécurisée des réseaux sans fil. Il parle également de la sécurisation des
données.
Les données en ligne valent de l’argent pour les cybercriminels. Ce chapitre couvre brièvement les
techniques d’authentification pour vous aider à sécuriser vos données. Il couvre également des
méthodes de renforcement de la sécurité de vos données en ligne avec des conseils sur les bonnes
et mauvaises pratiques en ligne.
2.2.1. Protéger les périphériques informatiques

Les périphériques informatiques stockent les données et représentent le portail en ligne. Voici une
liste finale des étapes à suivre pour protéger vos périphériques informatiques d’une intrusion :
 Activer toujours le pare-feu - Que ce soit un pare-feu logiciel ou un pare-feu matériel

sur un routeur, il doit être activé et mis à jour pour empêcher l’accès des pirates à vos
données personnelles ou d’entreprise.
 Utiliser un antivirus et anti-logiciel espion - Les programmes malveillants, comme les
virus, les chevaux de Troie, les vers, les rançongiciels et les logiciels espions
s’installent sans autorisation sur vos périphériques informatiques, afin d’obtenir l’accès
à votre ordinateur et à vos données. Les virus peuvent détruire vos données, ralentir
votre ordinateur ou prendre son contrôle. Les virus peuvent prendre le contrôle de votre
ordinateur grâce à la possibilité des expéditeurs de pourriels de diffuser des e-mails à
partir de votre compte. Le logiciel espion peut surveiller vos activités en ligne, collecter
vos informations personnelles ou produire des publicités contextuelles indésirables sur
votre navigateur Web lorsque vous êtes en ligne. La bonne règle consiste à ne
65
télécharger que les logiciels venant de sites Web sécurisés afin d’éviter si possible
l’intrusion du logiciel espion. Le logiciel antivirus est conçu pour analyser votre
ordinateur et les e-mails reçus afin de détecter les virus et de les supprimer. Parfois, le
logiciel antivirus inclut également un anti-logiciel espion. Maintenez votre logiciel à
jour pour protéger votre ordinateur des derniers programmes malveillants.
 Gérer votre système d’exploitation et votre navigateur Web - Les pirates s’efforcent
toujours de tirer profit des vulnérabilités de vos systèmes d’exploitation et de vos
navigateurs Web. Pour protéger votre ordinateur et vos données, configurez les
paramètres de sécurité de votre ordinateur et de votre navigateur Web à un niveau
moyen ou supérieur. Mettez à jour le système d’exploitation de votre ordinateur,
notamment vos navigateurs Web et téléchargez et installez régulièrement les derniers
correctifs de logiciel et les mises à jour de sécurité des fournisseurs.
 Protéger tous les périphériques - Vos périphériques informatiques, que ce soient des
PC, des ordinateurs portables, des tablettes ou des smartphones, doivent être protégés
par un mot de passe pour empêcher tout accès non autorisé. Les informations stockées
doivent être chiffrées, surtout les données sensibles et confidentielles. Pour les
terminaux mobiles, ne stockez que les informations nécessaires, au cas où ces
périphériques seraient volés ou perdus lorsque vous sortez. Si l’un de vos périphériques
est compromis, les cybercriminels peuvent avoir accès à toutes vos données par
l’intermédiaire de votre fournisseur de service en nuage, comme iCloud ou
Google Drive.
Les appareils connectés à l’IoT (internet des objets) représentent un risque plus considérable par
rapport aux périphériques informatiques. Si les postes de travail, les ordinateurs portables et les
plateformes mobiles reçoivent fréquemment des mises à jour logicielles, la plupart des appareils
connectés à l’IoT exécutent encore leur micrologiciel d’origine. Si des vulnérabilités sont trouvées
dans le micrologiciel, il est certain que le périphérique reste vulnérable. Pour empirer le problème,
les appareils connectés à l’IoT sont souvent conçus pour une connexion domestique et nécessitent
un accès Internet. Pour accéder à Internet, la plupart des fabricants d’appareils connectés à l’IoT
dépendent du réseau local du client.
Résultat : les appareils connectés à l’IoT sont certains d’être compromis et dans ce cas, ils
permettent l’accès au réseau local et aux données du client.
La meilleure façon d’éviter ce scénario est un réseau isolé des appareils connectés à l’IoT et de la
partager uniquement avec d’autres appareils connectés à l’IoT.
2.2.2. Utiliser les réseaux sans fil en toute sécurité

Les réseaux sans fil permettent aux périphériques à accès Wi-Fi, comme les ordinateurs portables
et les smartphones, de se connecter au réseau grâce à l’identificateur de réseau, connu sous le nom
d’identificateur SSID (Secure Set Identifier). Pour empêcher l’accès des intrus à votre réseau sans
fil domestique, l’identificateur SSID préfiguré et le mot de passe par défaut de l’interface
administrative du navigateur Web doivent être changés. Les pirates connaissent ce type
66
d’informations d’accès par défaut. Le routeur sans fil peut également être configuré de façon à ne
pas diffuser le SSID, ce qui constitue un obstacle supplémentaire à la découverte du réseau.
Toutefois, cette approche est loin d'être suffisante pour un réseau sans fil. De plus, vous devez
crypter votre communication sans fil en activant la sécurité sans fil et la fonctionnalité de
chiffrement WPA2 du routeur sans fil. Même avec la fonctionnalité de chiffrement WPA2, le
réseau sans fil reste vulnérable.
Une faille de sécurité a été détectée dans le protocole WPA2, permettant à un intrus de contourner
le chiffrement entre le routeur sans fil et le client sans fil, et ainsi d'accéder au trafic réseau et de
le manipuler.
Cette vulnérabilité est exploitée par la méthode KRACK (Key Reinstallation Attacks). Elle affecte
tous les réseaux Wi-Fi modernes protégés. Pour bloquer l’hacker, l'utilisateur doit mettre à jour
tous les produits impactés : Les routeurs sans fil et tous les appareils sans fil, tels que les
ordinateurs portables et les terminaux mobiles, dès la publication des mises à jour de sécurité. Pour
corriger cette vulnérabilité, il suffit de brancher votre ordinateur portable ou tout autre appareil
équipé d'une carte réseau filaire. En outre, vous pouvez également utiliser un service VPN fiable
pour empêcher tout accès non autorisé à vos données lorsque vous utilisez le réseau sans fil.
Lorsque vous sortez, une zone d’accès Wi-Fi public vous permet d’accéder à vos informations en
ligne et de naviguer sur Internet. Cependant, il est recommandé de ne pas accéder ou envoyer
d’informations personnelles sensibles sur un réseau sans fil public. Vérifiez si votre ordinateur est
configuré pour le partage de fichiers et de médias et s’il nécessite une authentification des
utilisateurs avec un chiffrement. Pour empêcher l’interception de vos informations par un tiers ou
écoute illicite en cas d’utilisation d’un réseau sans fil public, utilisez des tunnels et services VPN
chiffrés. Le service VPN vous fournit un accès à Internet sécurisé, avec une connexion chiffrée
entre votre ordinateur et le serveur VPN du fournisseur de service VPN. Grâce au tunnel VPN
chiffré, même si la transmission des données est interceptée, elle est non déchiffrable.
De nombreux terminaux mobiles, comme les smartphones et les tablettes, intègrent le protocole
sans fil Bluetooth. Cette fonctionnalité permet aux périphériques à accès Bluetooth de se connecter
à un autre périphérique et de partager des informations. Malheureusement, la technologie
Bluetooth peut être exploitée par les pirates pour une écoute illicite de certains périphériques, pour
configurer des contrôles d’accès à distance, pour distribuer des programmes malveillants et pour
décharger les batteries. Pour éviter ces problèmes, désactivez le Bluetooth lorsque vous ne
l’utilisez pas.
2.2.3. Chiffrer les données

Les données doivent toujours être chiffrées. Généralement, nous pensons ne pas avoir de secrets,
ni de choses à cacher, alors pourquoi utiliser le chiffrement ? Peut-être que nous pensons que les
données que nous utilisons ne sont importantes pour personne. C’est une grosse erreur de penser
comme ça.
67
Êtes-vous prêt à montrer toutes vos photos et tous vos documents à des étrangers ? Êtes-vous prêt
à partager avec vos amis les informations financières stockées sur votre ordinateur ? Souhaitez-
vous fournir les mots de passe de votre e-mail et de vos comptes au public ?
Cela peut empirer si l’application malveillante infecte votre ordinateur ou votre terminal mobile
et vole des informations potentiellement utiles, comme les numéros de compte, les mots de passe
et d’autres documents officiels. Ce type d’informations peut mener à l’usurpation d’identité, à la
fraude ou à une demande de rançon. Les cybercriminels peuvent décider de simplement chiffrer
vos données pour les rendre inutilisables jusqu’à ce que vous payiez la rançon.
Qu’est-ce que le chiffrement ? Le chiffrement est un processus de conversion des informations en

un format non-accessible en lecture pour une partie non autorisée. Seule une personne fiable et
autorisée, dotée du code secret ou du mot de passe peut déchiffrer les données et accéder à leur
format original. Le chiffrement proprement dit n’empêche pas l’interception des données par un
tiers. Le chiffrement ne peut qu’empêcher une personne non autorisée à visionner ou à accéder au
contenu.
Des programmes sont utilisés pour chiffrer des fichiers, des dossiers, et même des disques entiers
tels que le système EFS (Enrypting File System) ou openssl.
2.2.4. Sauvegarder les données

Les disques durs peuvent tomber en panne. Les ordinateurs portables peuvent être perdus, les smart
phones, etc. Nous pouvons supprimer la version originale d’un document important. Avoir une
sauvegarde permet d’empêcher la perte de données irremplaçables, comme les photos de famille.
Pour bien sauvegarder les données, vous aurez besoin d’une mémoire supplémentaire pour vos
données, dans laquelle vous devez les copier régulièrement et automatiquement.
La mémoire supplémentaire pour vos fichiers sauvegardés peut être votre réseau domestique, une
mémoire secondaire ou le cloud. Grâce au stockage local de la sauvegarde des données, vous avez
le contrôle total de ces dernières. Vous pouvez décider de copier vos données dans un périphérique
de stockage (stockage en réseau NAS), dans un simple disque dur externe où vous pouvez
également ne sélectionner que quelques dossiers importants pour les sauvegarder sur des clés USB,
sur des CD/DVD ou même sur des bandes. Dans ce cas, vous en êtes le propriétaire et vous êtes
totalement responsable du coût et de la maintenance du périphérique de stockage. Si vous
souscrivez à un service de stockage du cloud, le coût dépend du total d’espace de stockage
nécessaire. Grâce à un service de stockage du cloud comme Amazon Web Services (AWS), vous
avez accès à vos données de sauvegarde, tant que vous avez accès à votre compte. Lorsque vous
souscrivez à des services de stockage en ligne, vous devez être plus sélectif concernant les données
à sauvegarder, en raison du coût de stockage et des transferts continus de données en ligne. L’un
des avantages du stockage de la sauvegarde sur un autre site est que cela offre une sécurité en cas
d’incendie, de vol ou de catastrophes autres que la panne du périphérique de stockage.
68
SAUVEGARDE LOCALE ET SUR LE CLOUD - CAPTURE 18[7]
2.2.5. Authentification a deux facteurs

Les services en ligne populaires, comme Google, Facebook, Twitter, LinkedIn, Apple et
Microsoft, utilisent une authentification à deux facteurs pour renforcer la sécurité des connexions
aux comptes. Outre le nom d’utilisateur et le mot de passe, ou le modèle ou le numéro
d’identification personnelle (PIN), l’authentification à deux facteurs nécessite un second jeton,
comme :
 Un Object physique (une carte de crédit, une carte ATM, un téléphone ou un porte-clé) ;
 Un balayage biométrique (une empreinte digitale ou palmaire, une reconnaissance vocale
ou faciale).
Même avec une authentification à deux facteurs, les pirates peuvent toujours obtenir l’accès à vos
comptes en ligne, notamment par le biais d’attaques d’hameçonnage, de programmes malveillants
et de piratage psychologique.
69
AUTHENTIFICATION A DEUX FACTEURS - CAPTURE 19 [7]
2.2.6. Sécuriser ses mots de passe

De nos jours, le mot de passe est le d’authentification le plus utilisé, mais nous avons pu remarquer
que son utilisation n’était pas exempte de risque. La facilité de piratage des mots de passe avec des
outils, divulgation par ingénierie sociale, ou encore faiblesse lors de sa création sont autant de
risques à prendre en compte. Il est plus qu’essentiel de bien sécuriser son mot de passe puisqu’il
est souvent le seul moyen de protéger ses données.
Dans cette section nous découvrirons ce qu’est :
 Un bon mot de passe ;
 Comment éviter sa divulgation.
a. Qu’est-ce qu’un bon mot de passe ?

On parle de bon mot de passe ou de mot de passe fort, quand il apporte un niveau de sécurité
suffisant, c’est-à-dire qu’il est difficile à découvrir par un attaquant dans un temps raisonnable, à
l’aide d’outils de recherche qui mettent en œuvre les différentes techniques d’attaque vues
précédemment.
b. Composition d’un bon mot de passe ?

A l’égard des outils d’attaques visant les mots de passe, la taille d’un bon mot de passe est
idéalement d’au moins 10 caractères en utilisant un éventail large de caractères (majuscules,
minuscules, caractères spéciaux et chiffres).
Notez que plus vous utilisez un éventail large de caractères mieux votre mot de passe sera protégé.
Pour 10 caractères numériques, il existe 10 milliards de possibilités.
Pour 10 caractères quelconques parmi le jeu de 90 caractères listés ci-dessous, il existe 35 milliards
de milliards de possibilités. Ce qui augmentera considérablement le temps nécessaire à un
70
attaquant pour découvrir votre mot de passe. Il est déconseillé de remplacer des caractères de mots
du dictionnaire par les caractères spéciaux ou de simplement ajouter des signes de ponctuation en
fin de mot. Une utilisation forcée des caractères spéciaux n’apporte pas de valeur ajoutée. En effet,
mot2pA$$e! est facile à dériver automatiquement depuis des mots du dictionnaire.
 Minuscules - 26 caractères
Abcdefghigklmnopqrstuvwxyz
 Majuscules - 26 caractères
ABCDEFGHIGKLMNOPQRSTUVWXYZ
 Chiffres - 10 élément
0123456789
 Caractères spéciaux - 28 éléments
&+=#]$%,(?;.:)’’’-[{}@|*!\^~`
CARACTERES - CAPTURE 20
c. Règle d’or de création de mots de passe

Pour créer un mot de passe fort, il est donc recommandé de suivre ces quelques règles d’or :
 Définir au moins 10 caractères ;
 Utiliser un jeu de caractères varié - (des contraintes sont souvent imposées par les
outils), choisir au moins un élément de chaque groupe de caractères (minuscules,
majuscules, numériques et spéciaux) ;
 Eviter les rapports psycho-sociaux évidents vous concernant (nom, prénom, date de
naissance, prénom de vos parents/enfants, nom de votre animal de compagnie, etc.)
 Eviter également les liens avec le nom du service pour lequel il est utilisé (ex :
d’Hotmail, FbNBanque1234 etc.) ou encore sa fonction (MDPmail, etc.) ;
 Bannir tout mot issu d’un dictionnaire, puisque nous avons pu le voir, ceux-ci sont
testés dès le premier niveau d’attaque ;
L’objectif doit être de rendre le mot de passe difficile à deviner, y compris à partir de données
personnelles.
d. Changement de mot de passe

En cas de compromission d’un service ou de sa base de données, il est nécessaire de disposer d’un
moyen de changer son mot de passe. Lorsque vous créez un mot de passe, il est important que vous
repériez la procédure qui vous permettra de le changer en cas de problème. Le plus souvent le
service informatique des firmes impose de changer régulièrement les mots de passes. L’idéale c’est
71
de choisir un mot de passe fort et diffèrent de l’ancien. Si vous vous contentez d’ajouter un
compteur à votre mot de passe et qu’un attaquant découvrir votre ancien mot de passe, il lui sera
très facile de découvrir celui en cours (exemple : fethIsR#c1, fethIsR#c2, fethIsR#c1, etc.).
C’est pourquoi il est recommandé de forcer les utilisateurs à changer de mot de passe trop
fréquemment.
Noter que certains caractères, comme les caractères accentués « é, è, à », etc. de nos claviers
français ne sont pas toujours disponibles sur les claviers d’autres pays.
Eviter d’utiliser certains caractères qui pourraient poser des problèmes !
Et bien entendu, un mot de passe n’est plus bon dès lors qu’il apparait comme exemple sur internet.
e. Comment éviter la divulgation de mot de passe ?

Précédemment nous avons vu qu’il ne suffit pas qu’un mot de passe soit fort pour qu’il soit
sécurisé.
En complément des mesures que nous venons de voir, il convient de mettre tout en œuvre pour
limiter la divulgation de votre mot de passe.
Ce dernier point est plus difficile à appréhender puisqu’il ne dépend pas du mot de passe mais
plutôt de nos usages d’Internet, du poste informatique et plus globalement de notre vigilance face
aux escroqueries.
Quelques techniques peuvent nous permettre de bien réagir face à diverses situations. La
divulgation d’un mot de passe peut se produire de différentes façons, vous devez donc être vigilant
en toutes circonstance et savoir repérer ces pièges à l’aides des quelques scenarios de divulgation
de mot de passe que nous allons découvrir.
‘’ Une personne vous téléphone et se présente comme étant de l’équipe d’administration
de votre entreprise. Cette personne vous demande votre mot de passe afin de corriger un
problème sur votre poste ‘’.
 Il est important d’être vigilant et de ne jamais communiquer son mot de passe à

quiconque.
 Un mot de passe est personnel et doit être rester secret.
 Faites-attention, dans cette situation, vous pourriez facilement communiquer votre
mot de passe à un individu malveillant.
 Ce type d’arnaque pourrait avoir pour conséquence d’exfiltrer des données
sensibles de votre entreprise a des fins d’espionnage industriel par exemple.
‘’ Vous recevez un mail de votre banque qui demande de vous connecter en ligne pour
vérifier une information de virement d’une somme importante que vous avez réalisez ‘’.
 N’allez pas sur le site en cliquant sur le lien, allez comme d’habitude en ouvrant un
navigateur et en saisissant l’adresse web de la banque.
72
 Quand vous recevez ce genre de courriel, ne vous authentifiez pas sur la plateforme
ou le lien ou mène.
 Une fois que vous cliquez sur le lien, vérifiez que le site web présente bien un
certificat de sécurité valide.
‘’ Vous êtes dans un hôtel et vous voulez accéder à vos données à travers un poste publique ‘’.
 Il est déconseillé de s’authentifier sur un équipement n’étant pas réputé de
confiance, sinon vous pouvez divulguer vos accès sans le savoir.
 Vous vous pouvez par exemple voir si votre messagerie dispose d’une fonction de
double authentification (par SMS, application mobile, etc.), et dans ce cas activer
cette double authentification dès que possible. Ainsi, le mot de passe volé ne suffira
pas pour accéder à votre messagerie.
 Toutefois, en cas d’urgence et sans autre choix que de le faire, connecter vous en
sachant que votre mot de passe va potentiellement être volé, et que vous devrez le
changer dès que possible depuis un poste de confiance
 Bien entendu, déconnectez proprement votre messagerie en cliquant sur « se
déconnecter » et non en fermant simplement le navigateur.
En synthèse, la sécurité du mot de passe dépend avant tout de votre vigilance et en toutes
circonstances il est recommandé de suivre ces quelques règles.
f. Regle de vigilance
 Utiliser des mots de passe forts.

 Connaitre la procédure pour changer vos mots de passe en cas de problème.
 Utiliser des mots de passe différents sur les sites ou vous vous inscrivez.
 Ne faites pas confiance aux dispositifs d’accès à internet dont vous ne connaissez
pas le niveau de sécurité.
 Faites attention à la sécurité de votre propre dispositif d’accès à internet
 Activer les fonctions de double authentification quand elles sont disponibles.
2.2.7. Confidentialité des e-mails et sur le navigateur

Chaque jour, des millions de messages électroniques sont utilisés pour communiquer entre amis
ou pour le travail. L’e-mail est un outil pratique pour communiquer rapidement, envoyer un e-mail
revient à envoyer un message grâce à une carte postale. Le message par carte postale est transmis
au vu et au su de toute personne y ayant accès, tout comme le message électronique qui est transmis
en texte brut. Ces communications sont également transférées sur plusieurs serveurs lors de
l’acheminement vers la destination. Même si vous supprimez vos messages électroniques, ils
peuvent être archivés sur les serveurs de messagerie pour une durée déterminée.
73
Toute personne ayant accès à votre ordinateur ou à votre routeur peut voir les sites Web que vous
avez visité grâce à l’historique de navigation Web, au cache et éventuellement aux fichiers
journaux. Ce problème peut être minimisé en activant le mode de navigation privée sur le
navigateur Web.
La plupart des navigateurs Web populaires ont leur propre dénomination du mode de navigation
privée :
 Microsoft Internet Explorer: InPrivate
 Google Chrome: navigation privée
 Mozilla Firefox : onglet privé / fenêtre privée
 Safari: privé (navigation privée)
Grâce à l’activation du mode de navigation privée, les cookies sont désactivés et les fichiers
Internet temporaires et l’historique de navigation sont supprimés à la fermeture de la fenêtre ou du
programme.
Activer le mode privé pour l’historique de votre navigation Internet peut empêcher des tiers de
collecter des informations sur votre activité en ligne pour vous inciter à acheter des choses par le
biais de publicités ciblées. Même si la navigation privée est activée et les cookies désactivés, les
entreprises développent différentes méthodes pour retracer les utilisateurs afin de collecter des
informations et de faire un suivi du comportement de l’utilisateur. Par exemple, les périphériques
intermédiaires, comme les routeurs, peuvent contenir des informations sur l’historique de
navigation Web d’un utilisateur.
Au final, il est de votre responsabilité de protéger vos données, votre identité et vos périphériques
informatiques. Lorsque vous envoyez un e-mail, devez-vous inclure vos dossiers médicaux ? La
dernière fois que vous avez navigué sur Internet, votre transmission était-elle sécurisée ? Il suffit
de quelques précautions simples pour vous éviter des problèmes dans le futur.
2.2.8. IDS et IPS

Un système de détection d’intrusion (IDS), illustré dans la figure, est un périphérique réseau dédié
ou l’un des nombreux outils dans le serveur ou dans le pare-feu qui analyse les données par rapport
à une base de données de règles ou de signatures d’attaque pour détecter un trafic malveillant. Si
une correspondance est détectée, l’IDS enregistrera la détection et enverra une alerte à un
administrateur réseau. Le système de détection d’intrusion n’intervient pas lorsqu’une
correspondance est détectée, c’est-à-dire qu’il n’empêche pas la survenue d’une attaque. La
fonction de l’IDS est simplement de détecter, d’enregistrer et de rapporter.
L’analyse effectuée par l’IDS ralentit le réseau (ralentissement appelé latence). Pour éviter le
retard du réseau, un IDS est habituellement mis offline, séparé du trafic réseau normal. Les données
sont copiées ou mises en miroir par un commutateur, puis envoyées à l’IDS pour une détection
offline. Il y a également les outils IDS qui peuvent être installés en avant d’un système
d’exploitation d’un ordinateur hôte, comme Linux ou Windows.
74
Un système de prévention des intrusions (IPS) dispose de la capacité de bloquer ou de refuser un

trafic selon une règle positive et une correspondance de signature. Snort est l’un des systèmes
IPS/IDS les plus connus. Snort est capable d’effectuer une analyse en temps réel du trafic et des
ports, une ouverture de session, une recherche et une mise en correspondance de contenus. Cet
outil peut également détecter les sondes, les attaques et les balayages de ports. Snort s’intègre
également à d’autres outils tiers pour la création de rapport et pour l’analyse des performances et
des enregistrements.
EXEMPLE IDS - CAPTURE 21[7]
2.2.9. Pare-feu
Un pare-feu est un mur ou une partition conçue pour prévenir la propagation du feu d’une partie
du bâtiment vers une autre. En informatique, un pare-feu est conçu pour contrôler, ou filtrer, les
communications autorisées à entrer dans un dispositif ou dans un réseau, ainsi que celles autorisées
à en sortir. La figure illustre cette propriété. Un pare-feu peut être installé sur un seul ordinateur
afin de protéger cet ordinateur (pare-feu propre à un hôte unique). Il peut également être un
périphérique réseau autonome qui protège tout un réseau d’ordinateurs et tous les appareils hôtes
sur ce réseau (pare-feu basé sur le réseau).
Au fil du temps, les attaques informatiques sont devenues plus sophistiquées, de nouveaux types
de pare-feu ont été élaborés pour répondre à différents objectifs dans la protection d'un réseau.
Voici une liste des types de pare-feu courants :
 Pare-feu de la couche réseau - filtrage basé sur les adresses IP sources et de destination
 Pare-feu de la couche transport : filtrage basé sur les ports de données sources et de
destination et filtrage basé sur les états de connexion
 Pare-feu de la couche application : filtrage basé sur les applications, les programmes
ou les services
75
 Pare-feu pour applications sensibles au contexte : filtrage basé sur l'utilisateur,

l'appareil, le rôle, le type d'application et le profil de la menace
 Serveur proxy : filtrage des demandes de contenu Web comme les URL, les domaines,
les médias, etc.
 Serveur proxy inverse : placé à l'avant des serveurs Web, les serveurs proxy inverses
protègent, masquent, déchargent et distribuent l'accès aux serveurs Web
 Pare-feu NAT (traduction d'adresses de réseau) : cache ou masque les adresses
privées des hôtes du réseau.
 Pare-feu propre à un hôte unique : filtrage des ports et des appels de service du
système sur le système d'exploitation d'un seul ordinateur.
2.2.10. Défense en profondeur

Nous avons vu plus haut que protéger son système d’information permet d’éviter les conséquences
ravageuses d’une cyberattaque. Pour cela, il faut respecter une règle générale : utiliser une défense
en profondeur. Une défense en profondeur est un terme emprunté à une technique militaire destinée
à retarder l’ennemi. La défense en profondeur du système d’information fonctionne sur le même
principe qu’une forteresse c’est-à-dire en multipliant les mécanismes de protection pour éviter que
l’attaquant rentre dans l’enceinte. Elle consiste à exploiter plusieurs techniques de sécurité afin de
réduire le risque lorsqu’un composant particulier de sécurité est compromis ou défaillant. Le
principe de défense en profondeur revient donc à sécuriser chaque sous-ensemble du système
d’information ainsi chaque composant d’une infrastructure ou d’un système d’information est
sécurisé de manière indépendante sans reposer sur la sécurité de celui avec lequel il interagie c’est-
à-dire que chaque composant effectue lui-même toutes les validations nécessaires pour garantir sa
sécurité.
DEFENSE EN PROFONDEUR (FIGURE 9) [14]
76
Plusieurs facteurs peuvent influencées les systèmes de défense :
 Premier facteur : Evolution technologique – La découverte de nouvelle technique ou

encore l’ampleur des attaques ont un impact sur les systèmes de défense mis en place. En
effet en matière de sécurité informatique, il existera toujours de nouvelles formes attaques
puisque le cyberespace évolue vite et il est souvent difficile d’anticiper toutes les menaces.
 Deuxième facteur : Renseignement – La veille technologique sur les nouveaux produits,
les attaques ou les menaces va permettre d’anticiper les malveillances en confirmant ou
infirmant les hypothèses et ainsi éviter les faits de surprises.
 Troisième facteur : Interaction entre les mesures de sécurité – Ou encore les interactions
entre les différentes lignes de défense, ces mesures peuvent être organisationnelles,
techniques ou humaines. En effet, comme évoquer précédemment chaque composant doit
être sécurisé, mais il est important de souligner que cette sécurité doit également être
considéré dans un ensemble cohérent permettant de faire face aux menaces.
Pour résumer, pour qu’il est défense en profondeur il faut aux minimums plusieurs lignes de
défense indépendante dans le sens ou chacune est capable de se défendre contre les attaques,
ensuite il est nécessaire que ces lignes de défenses coopèrent entre elles.
En effet aucune des solutions n’est totalement fiables, c’est pour cela il est nécessaire de prévenir
en sensibilisant les utilisateurs par exemple de bloquer les menaces via les anti-virus ou des pares-
feux et le cas échéant de réparer ou remettre en état le poste infecté par des virus ou autres
malveillances.
Il est important de noter qu’en matière de sécurité dans le domaine des systèmes d’informations
comme ailleurs, le plus dangereux est bien souvent de se reposer consciemment ou non sur une
fausse assurance. Une démarche saine consiste : à gérer l’incertitude, à maintenir une inquiétude
raisonnée et entretenir une véritable vigilance. Faire reposer la sécurité sur une seule personne
est une erreur d’appréciation souvent rencontrée. De même, penser qu’utiliser un logiciel de
sécurité anti-virus, pare-feu, logiciel de chiffrement ou autre est le remède universel contre les
attaquants est illusoire. Afin de se protéger contre la plupart des attaques informatiques il est
nécessaire de respecter plusieurs règles, pour cela nous avons éditer un guide de bonne pratique
non exhaustive pour aider les particuliers ou les entreprises à améliorer leurs niveaux de sécurité
à savoir :
 Bien choisir ses mots de passe ;

 Mettre à jour régulièrement ses logiciels ;
 Bien connaitre ses utilisateurs et ses prestataires ;
 Effectuer des sauvegardes régulières ;
 Sécuriser l’accès WI-FI ;
 Être prudent avec sa machine, smartphone ou tablette ;
 Protéger ses données lors de ses déplacements ;
77
 Être vigilant lors d’un paiement sur internet ;

 Télécharger ses programmes sur les sites officiels des éditeurs ;
 Séparer les usages personnels et professionnels ;
 Prendre soin de son identité numérique ;
En résumé, comme nous l’avons vu, la sécurité ne doit pas se cantonner à des outils, l’effort
humain est nécessaire. Pour se protéger, il est nécessaire d’adopter une défense en profondeur
qui vise à couvrir l’ensemble du spectre des menaces avec des mesures cohérentes et
pragmatique vis-à-vis de l’activité du foyer personnel ou de l’entreprise concernée. Gardons en
tête que la sécurité est l’affaire de tous.
2.2.11. Balayage des ports

Le balayage des ports est un processus de sondage d’un ordinateur, d’un serveur ou d’un autre hôte
de réseau pour détecter les ports ouverts. Dans le domaine des réseaux, un identifiant appelé
numéro de port est attribué à chaque application exécutée sur un périphérique. Ce numéro de port
est utilisé sur les deux extrémités de la transmission pour que les bonnes données soient transmises
vers l’application adéquate. Il est possible d’utiliser le balayage des ports de manière malveillante
en tant qu’outil de reconnaissance pour identifier le système d’exploitation et les services exécutés
sur un ordinateur ou sur un hôte. Un administrateur réseau peut également l’utiliser de façon
inoffensive pour vérifier les politiques de sécurité du réseau.
Afin d’évaluer le pare-feu de votre propre réseau d’ordinateurs, ainsi que la sécurité de vos ports,
vous pouvez utiliser un outil de balayage des ports comme Nmap pour détecter tous les ports
ouverts sur votre réseau. Le balayage des ports peut être considéré comme un précurseur d’une
attaque réseau et ne doit pas, par conséquent, être effectué sur des serveurs publics sur Internet ou
sans permission sur un réseau d’entreprise.
Pour effectuer le balayage des ports d'un ordinateur sur votre réseau domestique local avec Nmap,
téléchargez et lancez un programme tel que Zenmap, fournissez l'adresse IP cible de l'ordinateur
que vous souhaitez analyser et choisissez un profil de balayage par défaut, puis appuyez sur Scan
(Balayer). Le balayage Nmap présentera un rapport de tous les services en cours d’exécution
(p. ex., services Web, services de messagerie, etc.) et les numéros des ports. Le balayage d’un port
entraîne habituellement l’une des trois réponses suivantes :
 Ouvert ou Accepté - l’hôte répond en indiquant qu'un service est en attente de requête
sur le port.
 Fermé, Refusé ou Pas en attente de requête - l'hôte répond en indiquant que les
connexions au port seront refusées.
 Filtré, Ignoré ou Bloqué - Il n'y avait aucune réponse de la part de l'hôte.
Pour exécuter le balayage des ports de votre réseau à partir de l’extérieur du réseau, vous devrez
lancer le balayage à partir de l’extérieur de ce réseau. Cela impliquera l’exécution d’un balayage
de ports Nmap contre votre pare-feu ou contre l’adresse IP publique de votre routeur. Pour
78
connaître votre adresse IP publique, utilisez un moteur de recherche comme Google avec la
demande ‘’Quelle est mon adresse IP ‘’. Le moteur de recherche vous renverra votre adresse IP
publique.
RESULTAT D’UN BALAYAGE DE PORT - CAPTURE 22[7]
2.2.12. Détecter les attaques en temps réel

Les logiciels ne sont pas parfaits. Lorsqu’un pirate informatique exploite une faille dans une partie
d’un logiciel avant que le créateur n’y remédie, on appelle cela une attaque 0-day. À cause de la
complexité et du nombre d’attaques 0-day découvertes aujourd’hui, les attaques de réseau sont de
plus en plus souvent réussies et la performance d’une défense est maintenant mesurée selon la
promptitude de la réponse du réseau contre une attaque. La capacité de détecter en temps réel les
attaques dès qu’elles ont lieu, ainsi que la capacité de les arrêter immédiatement ou quelques
minutes après l’événement constituent l’objectif idéal. Malheureusement, de nombreuses
entreprises et organisations actuelles ne peuvent détecter les attaques qu’après plusieurs jours,
voire même quelques mois, après l’attaque.
 Analyse en temps réel d'un périphérique à un terminal : la détection des attaques en temps
réel nécessite une analyse active pour identifier les attaques en utilisant le pare-feu et les
périphériques réseau IDS/IPS. Il convient d’avoir également recours à la détection de
malware client/serveur de nouvelle génération en relation avec des centres internationaux
de menaces en ligne. Aujourd’hui, les périphériques et les logiciels d’analyse active
doivent détecter les anomalies du réseau en utilisant une analyse contextuelle et une
détection de comportement.
79
 Attaques DDoS et réponse en temps réel : l'attaque par déni de service (DDoS) est l'une
des menaces d'attaque les plus importantes nécessitant une réponse et une détection en
temps réel. Il est extrêmement difficile d’empêcher les attaques DDoS, car elles
proviennent de centaines, voire de milliers d’hôtes zombies et elles apparaissent comme
du trafic légitime, tel qu’illustré par la figure. Pour de nombreuses entreprises et
organisations, les attaques DDoS survenant régulièrement paralysent les serveurs Internet
et la disponibilité du réseau. La capacité à détecter et à répondre aux attaques DDoS en
temps réel est capitale.
ATTAQUE ZOMBIE - CAPTURE 23[7]
L’agresseur utilise plusieurs hôtes intermédiaires, appelés réseaux zombies, pour lancer les
attaques
2.2.13. Meilleurs pratiques de sécurité

Voici une liste de quelques bonnes pratiques de sécurité :
 Effectuer une évaluation des risques :

Connaître la valeur de ce que vous protégez vous aidera à justifier les dépenses liées à
la sécurité.
80
 Créer une politique de sécurité :

Créez une politique qui présente clairement les règles, les postes, les charges et les
attentes de l'entreprise.
 Mesures de sécurité physique :
Limitez l'accès aux salles de mise en réseau et aux emplacements des serveurs, et à ce
qui implique des mesures d'extinction des incendies.
 Mesures de sécurité des ressources humaines :
Une enquête approfondie doit être faite sur les employés en vérifiant leurs antécédents.
 Effectuer et tester les sauvegardes :
Effectuez régulièrement des sauvegardes et testez la récupération des données à partir
des sauvegardes.
 Maintenir les correctifs de sécurité et les mises à jour :
Mettez régulièrement à jour le serveur, le client, ainsi que les systèmes d'exploitation
et les programmes des périphériques réseau.
 Utiliser des contrôles d'accès :
Configurez les rôles des utilisateurs et les niveaux de privilège, ainsi qu'une
authentification rigoureuse des utilisateurs.
 Tester régulièrement la réponse en cas d'incident :
Employez une équipe responsable de la gestion des incidents et testez les scénarios de
réponses urgentes.
 Implémenter un outil de surveillance, d'analyse et de gestion du réseau :
Choisissez une solution de sécurité qui s'intègre avec d'autres technologies.
 Implémenter des appliances de sécurité du réseau :
Utilisez des routeurs, des pare-feu et d'autres appliances de sécurité de nouvelle
génération.
 Implémenter une solution de sécurité complète pour les terminaux :
Utilisez des logiciels antimalware et antivirus professionnels.
 Former les utilisateurs :
Formez les utilisateurs et les employés aux procédures sécurisées.
 Crypter les données :
Cryptez toutes les données sensibles de l'entreprise, notamment les e-mails.
81
Partie 3 : cadre pratique
82
Chapitre 1 : Kali Linux et architecture réseau
1.1. Kali Linux

Avant de s’attaquer à la distribution kali linux nous allons faire une brève connaissance de la
distribution Linux.
a. Qu’est-ce qu’une distribution Linux ?

Bien qu'il soit couramment utilisé comme nom pour l'ensemble du système d'exploitation, Linux
n'est que le nom du noyau, un logiciel qui gère les interactions entre le matériel et les applications
de l'utilisateur final.
L'expression distribution Linux, en revanche, fait référence à un système d'exploitation complet
construit sur le noyau Linux, comprenant généralement un programme d'installation et de
nombreuses applications, qui sont soit préinstallées, soit conditionnées de manière facilement
installable.
Debian GNU / Linux est une distribution Linux générique de premier plan, connue pour sa qualité
et sa stabilité. Kali Linux s'appuie sur le travail du projet Debian et ajoute plus de 300 paquets
spécifiques, tous liés à la sécurité de l'information, en particulier dans le domaine des tests
d'intrusion.
Kali Linux est la plate-forme d’audit de sécurité et de test de pénétration la plus puissante et la
plus populaire au monde, utilisée par les professionnels de la sécurité dans un large éventail de
spécialisations, y compris les tests de pénétration, la criminalistique, l'ingénierie inverse et
l'évaluation des vulnérabilités. C'est l'aboutissement d'années de raffinement et le résultat d'une
évolution continue de la plate-forme, de WHoppiX à WHAX, à BackTrack, et maintenant à un
cadre de test de pénétration complet tirant parti de nombreuses fonctionnalités de Debian GNU /
Linux et de la communauté open source dynamique du monde entier.
Kali Linux n'a pas été conçu pour être une simple collection d'outils, mais plutôt un cadre flexible
que les testeurs de pénétration professionnels, les passionnés de sécurité, les étudiants et les
amateurs peuvent personnaliser pour répondre à leurs besoins spécifiques.
1.2. Architecture réseau

Pour mettre en pratique un audit de sécurité et une solution contre les attaques de malware avec
kali linux. Nous utilisons un LAN d’un routeur WI-FI d’Orange Sénégal avec son interface
représenter ci-dessous.
83
ARCHITECTURE RESEAU LAN - CAPTURE 24
INTERFACE ROUTEUR WI-FI - CAPTURE 25
 Adresse réseau : 192.168.1.1.
84
 L’administrateur du réseau LAN (Kali admin) utilisant l’adresse IP 192.168.1.21.

 Et un Hôte connecter au routeur avec l’adresse 192.168.1.27 pour accéder à l’internet
85
Chapitre 2 : Auditer avec Kali Linux et Proposition d’une solution
Introduction
Dans le cadre du présent, intitulé « Audit de sécurité avec kali linux et études de solutions contre
les attaques de malwares », il serait plus pertinent de visualiser de façons pratique le traité du sujet.
Les lignes qui suivent nous allons auditer un système d’information et proposer une solution contre
les attaques de malwares à l’aide de la distribution GNU/Linux basé Debian appelé Kali Linux.
1.1. Auditer un système avec Kali Linux

En rapport avec la topologie, nous allons auditer le système d’exploitation de l’administrateur qui
est sous Kali Linux. Et par cet audit nous allons proposer une solution contre les attaques de
malwares.
Il y’a plusieurs plates-formes disponibles sur Kali Linux pour auditer un système, nous nous allons
utiliser Lynis pour atteindre notre objectif.
Lynis est un auditeur de sécurité open source qui permet de détecter et de passer au crible les
configurations complètes d’un ordinateur afin de sortir un rapport détaillé sur les toutes
améliorations du système qu’on peut apporter à l’ordinateur afin d’éviter de futurs problèmes de
sécurité.
A présent passons à l’installation de Lynis. Lynis par défaut est inclut à kali Linus. Pour l’installer
il suffit de taper la commande :
sudo apt install lynis
INSTALLATION DE LYNIS - CAPTURE 26
86
Apres l’installation nous allons vérifier en tapant la commande : lynis
MENU DE L’OUTIL LYNIS - CAPTURE 27
L’outil d’audit de sécurité lynis a été bien installer. Ce menu présente un peu toutes les commandes
qu’on peut exécuter dans l’outil ainsi que leurs descriptions. Le but de n’est pas de creuser en
profondeur toutes les options possibles mais plutôt de partir sur un audit simple. Et cet audit simple
va nous permettre de débusquer tous les petits problèmes de sécurité sur son poste.
Pour ce faire, nous allons exécuter la commande : lynis audit system
A partir de la une fois validé, lynis va se mettre à scanner l’ordinateur c’est-à-dire dans un premier
temps il va regarder ou il est, sur quelle machine, sur quel type de machine ce qui est installé sur
la machine et à partir de ses informations il va commencer à chercher des failles.
87
LYNIS EN COURS AUDIT - CAPTURE 28
Nous avons au départ l’initialisation du programme c’est-à-dire la version du programme lui-

même, le système, la version et les chemins du rapport futur.
Après l’audit complet du post, lynis nous dresses un rapport complet du système. Dans un premier
temps nous avons le warning, bien sûr que c’est à prendre en compte et à regarder pourquoi mais
après il faut aussi comprendre le warning.
Dans notre cas par exemple, Nous avons un avertissement de iptables (pare-feu) qui nous dit que
le pare-feu est disponible mais qu’il n’y a aucune règle définie au niveau du pare-feu. Et c’est une
grosse erreur de laisser son pare-feu ainsi et n’est pas conseillé non plus en sécurité de
l’information.
Après les avertissements on a les suggestions qui sont à prendre en compte aussi pour une bonne
sécurité de l’information.
La première suggestion, nous propose de sécurisé GRUB (GRand Unified Bootloader) en lui
ajoutant un mot de passe. Par défaut, toute personne disposant d'un accès physique à la machine
peut charger un logiciel alternatif ou un autre système d'exploitation pendant la phase de
démarrage, donc configurez un mot de passe dans GRUB peut éviter cette possibilité.
88
RESULTAT D’AUDIT - CAPTURE 29
DETAIL DU SCAN DE SECURITE - CAPTURE 30
A la fin du rapport, lynis nous dresse un rapport des composant requis, le type de scan effectué,
les modules lynis effectué et le rapport complet de l’audit sauvegarder dans les fichiers :
/var/log/lynis.log et /var/log/lynis-report.dat, consulter les captures ci-dessous.
89
FICHIER DE SAUVEGARDE D’AUDIT - CAPTURE 31
RAPPORT D’AUDIT - CAPTURE 32
90
1.2. Proposition d’une solution contre les attaques de malware

D’après l’audit effectuer sur le système de l’administrateur, nous avons constaté que le système
n’avait aucun bloque pour repousser les attaques informatiques. De ce fait, nous proposons de
mettre en place un pare-feu et un malware scan ou antivirus.
1.2.1. Configuration du pare-feu :

Nous allons configurer notre pare-feu de la manière suivante :
 On bloque tout le trafic entrant par défaut.
 On autorise au cas par cas : le trafic appartenant ou lié à des connexions déjà établies et le
trafic à destination des serveurs web (excepter YouTube).
En tapant la commande : sudo iptables –L
Une liste des règles actuelles du pare-feu est affichée.
REGLE PAR DEFAUT DU PARE-FEU - CAPTURE 33
Adresse IP de l’administrateur système audité : 192.168.1.21
ADRESSE IP DE LA MACHINE AUDITE - CAPTURE 34
91
À travers l’autre ordinateur connecter au réseau avec l’adresse IP : 192.168.1.27, nous allons
envoyer des requêtes ping à la machine admin (hôte audité).
ADRESSE IP DE L’HOTE - CAPTURE 35
a. Bloquer tout le trafic entrant

Pour l'instant, tout passe dans toutes les directions (Policy ACCEPT). Pour cette configuration,
seul le trafic entrant (chaine input) nous intéresse.
Pour bloquer tout le trafic entrant par défaut, nous allons exécuter la commande :
sudo iptables –P INPUT DROP
Apres modification de la configuration, nous devons faire suivre cette commande de la commande
iptables - F pour la réinitialiser.
92
MODIFICATION DE LA REGLE IPTABLE - CAPTURE 36
ATTENTION, la modification de la règle par défaut pour le blocage (iptables -P INPUT DROP)
et que nous tapons iptables –F, nous bloquerons tous les accès … y compris celui en cours. Ceci
est particulièrement problématique sur une machine sur laquelle vous accédez à distance (serveur
etc.).
TEST : Nous allons renvoyer des requêtes entre l’administrateur et l’hôte connecté au réseau et
essayer d’accéder à un serveur web.
TENTATIVE DE PING DU HOTE - CAPTURE 37
93
TENTATIVE D’ACCES A INTERNET CAPTURE 38
Les deux requêtes n’ont pas fonctionné, ceux qui veut dire que le blocage de tout trafic entrant a
fonctionné.
b. Autoriser les trafics entrant d’une connexion déjà établie

Pour permettre à une connexion déjà ouverte de recevoir du trafic on exécute la commande :
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
AUTORISATION DU TRAFIC ENTRANT D’UNE CONNEXION DEJA ETABLIE - CAPTURE 39
94
Cette commande ajoute une règle (-A) à la chaîne contrôlant le trafic entrant INPUT, pour
autoriser le trafic (-j ACCEPT), après vérification que l'état de la connexion est établi
(-m conntrack –ctstate ESTABLISHED).
Normalement toutes les connexions déjà établie devrait fonctionner.
TEST : Nous allons encore envoyer des requêtes ping entres les deux hôtes.
PING DU HOTE - CAPTURE 40
Les deux hôtes communiquent de nouveau. Maintenant nous allons bloquez toutes les connexions
allant à www.youtube.com.
Pour ce faire nous allons taper la commande :
sudo iptables –t filter –A OUTPUT -d www.youtube.com -j DROP
TEST : Nous allons envoyer des requêtes à www.youtube.com
95
TENTATIVE D’ACCES A YOUTUBE - CAPTURE 41
Nous constatons que les requêtes vers YouTube ne passent pas, donc le blocage du serveur web
de YouTube à fonctionner.
1.2.2. Mise en place d’un malware scanner

Un scanner de malware ou antivirus est outil qui permet de détecter les programmes malveillants
dans le but d’éviter une infection. Il y’a plusieurs types de malware scanner sous linux, dans notre
cas nous allons utiliser ClamAV.
ClamAV est un antivirus open source, polyvalent, populaire et multiplateforme pour détecter les
vers, virus, chevaux de Troie et autres programmes malveillants sur un ordinateur. C'est l'un des
meilleurs programmes antivirus gratuits pour Linux et la norme open source pour les logiciels
d'analyse de passerelle de messagerie qui prend en charge presque tous les formats de fichiers
courrier.
Il prend en charge les mises à jour de bases de données virales sur tous les systèmes et l'analyse à
l'accès sous Linux uniquement. En outre, il peut analyser les archives et les fichiers compressés et
prend en charge des formats tels que Zip, Tar, 7Zip, Rar.
ClamAV peut être installé à l'aide de la commande suivante :
sudo apt-get install clamav
96
INSTALLATION DE CLAMAV - CAPTURE 42
Une fois installé, nous pouvons analyser un répertoire avec la commande suivante :
Clamsan -r -i repertoire
Le repertoire est l'emplacement à numériser. Les options -r, signifie une analyse récursive et les
-i, moyens de n'afficher que les fichiers infectés. Voir la capture ci-dessous.
ANALYSE ET DETALI DU REPERTOIRE IMG - CAPTURE 43
Dans le cas présent, nous avons analyser un repertoire IMG qui contient que des images, situées
sur le bureau.
D’après le sommaire du scan :
 Ce malware scan est en mesure de reconnaitre 8.761.248 virus,
97
 Un repertoire scanné ;
 Quinze fichiers scannés ;
 Zéro fichier infecté ;
Après la mise en place d’un pare-feu et un scanneur de malware nous allons encore pour une
deuxième fois auditer le poste dans le but de savoir si l’outils lynis va les prendre en compte.
Voir capture ci-dessous.
RESULTAT DU DEUXIEME AUDIT - CAPTURE 44
98
DETAIL DU DERNIER AUDIT - CAPTURE 45
Le deuxième audit s’est bien passé, et nous remarquons que l’outil lynis n’affiche plus l’erreur
concernant le pare-feu qui n’était pas configurer.
Au niveau des composants aussi, il a pris en compte l’antivirus et le pare-feu qui sont bien installer
et bien configurer.
99
Conclusion Générale
Ce présent a été un labeur d’une grande délicatesse, mais aussi très agréable. L’objectif était
d’auditer un système d’information à la suite d’y proposer une solution.
Au niveau de la première partie, nous avons abordé le cadre théorique et méthodologie qui consiste
à traiter la problématique, les objectifs et la pertinence du thème. Cette première nous a permis de
nous fixer par rapport au sujet avant de se lancer dans les profondeurs.
Deuxièmement, les moyens utilisés par les professionnels de la cybersécurité pour renforcer la
sécurité d’un système d’information ou analyser les faits survenus suite à une cyberattaque sont
traités de façon explicite. Cela explique les audits de sécurité informatique, les vulnérabilités des
logiciels et du matériel de sécurité, ainsi que les différentes catégories de vulnérabilité de la
sécurité.
Les différents types de logiciels malveillants (appelés malware) et les symptômes des malwares
ont été expliqués. Certains des malwares abordés incluent les virus, les vers, les chevaux de Troie,
les logiciels espions, les publiciels, etc.
Les différents moyens utilisés par les agresseurs pour infiltrer un système ont été abordés,
notamment le piratage psychologique, les attaques de masse et ciblée, les attaques sur les mots de
passe, le phishing et l’exploitation d’une vulnérabilité. Les différents types d’attaques par déni de
service ont également été expliqués. Les attaques mixtes utilisent différentes techniques pour
infiltrer et pour attaquer un système. Un grand nombre des vers informatiques les plus néfastes
comme Nimbda, CodeRed, BugBear, Klez et Slammer sont davantage catégorisés comme des
attaques mixtes. Lorsqu’une attaque ne peut être évitée, il incombe au professionnel de la
cybersécurité de réduire l’impact de cette attaque.
Nous avons avancé aussi des conseils pour protéger les périphériques, pour créer des mots de passe
fiables, pour utiliser les réseaux sans fil en toute sécurité. Sauvegarder les données afin d’éviter
de les perdre. Les techniques d’authentification sont traites aussi pour permettre de sécuriser les
données. La facilité du partage excessif d'informations sur les réseaux sociaux et les mesures à
prendre pour éviter les risques de sécurité ont été brièvement abordées.
Sur le plan, des technologies et du savoir, cette expérience nous a permis de découvrir et d'acquérir
des connaissances nouvelles, de renforcer nos connaissances en cybersécurité, mais aussi en audit
de sécurité des systèmes d’information.
100
Bibliographie
[1] Organisation internationale de normalisation (ISO), « Management de sécurité de

l’information ». https://www.iso.org/fr/management-system-standards.html, consulter le 10
août 2020.
[2] Organisation internationale de normalisation (ISO), « Norme de système de
management ». https://www.iso.org/fr/management-system-standards.html, consulter le
10 août 2020.
[3] Direction général de la sécurité des systèmes d’information (ISO), « Guide d’audit de la
sécurité des systèmes d’information ». https://www.dgssi.gov.ma/fr/content/guide-d-audit-
de-la-securite-des-systemes-d-information.html, consulter le 10 août 2020.
[4] Organisation internationale de normalisation (ISO), « Management de sécurité de

l’information ». https://www.iso.org/fr/management-system-standards.html, consulter le 10
août 2020.
[5] Organisation internationale de normalisation (ISO), « Lignes directrices pour l’audit des
systèmes de management ». https://www.iso.org/fr/standard/70017.html , consulter le 10
août 2020.
[6] Check Point software technologie, « L’adware Skinner dresse la tête laide sur google Play
». https://blog.checkpoint.com/2017/03/08/skinner-adware-rears-ugly-head-google-play/,
consulter, 23 novembre 2020.
[7] Cisco network academy, « Introduction à la cybersécurité ». http://static-course-
assets.s3.amazonaws.com/CyberSec2.1/fr/index.html#2.1.3.1, consulter le 25 novembre
2020.
[8] Ministère de l’économie des finances et de la relance, « Fraude nigériane ».
https://www.economie. gouv.fr/dgccrf/Fraude-nigeriane-843/ Consulter le 24/12/2020.
[9] Malwarebytes, « Hameçonnage ». https://fr.malwarebytes.com/phishing/ consulter le
24/12/2020.
[10] Kaspersky, « Qu’est-ce qu’une attaque ddos ? ».
https://www.kaspersky.fr/resourcecenter/threats/ ddos-attacks / consulter le 25/12/2020.
[11] Malwarebytes, « Les faits sur les botnets ». https://blog.malwarebytes.com/cybercrime/
2015/02/the-facts-about-botnets/, consulter le 25/12/2020.
[12] Malwarebytes, « Les faits sur les botnets ». https://blog.malwarebytes.com/cybercrime/
2015/02/the-facts-about-botnets/, consulter le 25/12/2020.
101
[13] Avast, « Exploits : ce qu’il faut savoir ». https://www.avast.com/fr-fr/c-exploits /,

consulter le 26/12/2020.
[14] Secnumacademie, « Attaque de masse : concept ».
https://www.secnumacademie.gouv.fr/appren ant/default.php /, consulter le 26/12/2020.
[15] Secnumacademie, « Attaque direct ».
https://www.secnumacademie.gouv.fr/apprenant/default.php /, consulter le 26/12/2020.
[16] Secnumacademie, « Attaque indirect ».
https://www.secnumacademie.gouv.fr/apprenant/default.ph p /, consulter le 26/12/2020.
102
103
Table des matières

Remerciement ....................................................................................................................... A
Dédicace ............................................................................................................................... B
Abréviations .......................................................................................................................... C
Liste des figures .................................................................................................................... E
Liste des captures .................................................................................................................. F
Sommaire .............................................................................................................................. H
Introduction Générale ........................................................................................................... 0
Chapitre 1 : Cadre théorique ................................................................................................. 2
1.1. Introduction ................................................................................................................ 2
1.2. Présentation du sujet ................................................................................................... 2
1.2.1. Problématique : ................................................................................................................. 2
1.2.2. Les objectifs ....................................................................................................................... 2
1.2.2.1. Objectif général ................................................................................................................. 2
1.2.2.2. Objectif spécifique ............................................................................................................. 2
1.2.3. Pertinence du sujet : .......................................................................................................... 3
Chapitre 2 : Cadre méthodologique ....................................................................................... 4
2.1. Délimitation du sujet ................................................................................................... 4
2.2. Difficultés rencontrées ................................................................................................ 4
Chapitre 1 : Etudes détaillées ................................................................................................ 6
1.1. Généralités .................................................................................................................. 6
1.1.1. Système d’information ....................................................................................................... 6
a. Qu’est-ce qu’un système d’information ?.....................................................................................................6
b. En quoi consiste un système d’information ? ...............................................................................................6
1.1.2. Sécurité de l’information ................................................................................................... 6

a. Qu’est-ce que la sécurité de l'information ? .................................................................................................6
b. Pourquoi est-ce qu’on se protège ? ..............................................................................................................7
c. Qu’est-ce qu’une politique de sécurité de l’information ?............................................................................7
1.1.3. Système de management .................................................................................................... 7

a. Qu’est-ce qu’un système de management ? ................................................................................................7
b. Quelles sont les normes du système de management ?...............................................................................8
c. Quels sont les apports des systèmes de management ? ..............................................................................9
1.1.4. Système de management de la sécurité de l’information (SMSI) ...................................... 10
104
a. Définition ....................................................................................................................................................10
b. Quel est l’objectif Principale du SMSI ? ......................................................................................................10
c. Quels sont les fondements de la sécurité de l’information ? ......................................................................10
d. Comment mettre en place un système de management de la sécurité ? ..................................................10
1.2. Audit de sécurité informatique .................................................................................. 11

1.2.1. Définition ......................................................................................................................... 11
a. Qu’est-ce qu’un audit de sécurité informatique ? ......................................................................................11
b. Quels sont les objectifs d’un audit de sécurité ?.........................................................................................12
c. Quelles sont les classifications des audits ? ...............................................................................................12
1.2.2. Méthodes et normes d’audit de sécurité des systèmes d’informations .............................. 13

1.2.2.1. L’ISO (Organisation Internationale de Normalisation) ......................................................................13
1.2.2.2. Les Méthodes ....................................................................................................................................13
1.2.2.3. Les Normes ........................................................................................................................................13
a. Historique des normes en matière de sécurité de l’information ................................................................14
b. Les normes ISO 2700x.................................................................................................................................15
1.2.3. Cycle de vie d’un audit de sécurité ................................................................................... 19

1.2.4. Bonnes pratiques de l’audit de sécurité du SI .................................................................. 20
1.2.4.1. La Charte d’audit ...............................................................................................................................21
1.2.4.2. Préparation de l’audit........................................................................................................................21
1.2.4.3. Audit organisationnel et Physique ....................................................................................................21
1.2.4.4. Audit Technique ................................................................................................................................23
a. Audit des vulnérabilités d’infrastructure et système ..................................................................................23
b. Audit d’architecture ...................................................................................................................................24
c. Audit de configuration ...............................................................................................................................24
d. Audit applicatif ...........................................................................................................................................24
1.2.4.5. Tests d’intrusion ................................................................................................................................24
1.2.4.6. Clôture d’audit...................................................................................................................................25
1.2.5. Exigences relatives aux auditeurs .................................................................................... 25

a. Qualités personnelles .................................................................................................................................26
b. Compétences ..............................................................................................................................................26
1.2.6. Conclusion ....................................................................................................................... 27

1.3. Notions de Vulnérabilités, Malwares ......................................................................... 27
1.3.1. Vulnérabilités : ................................................................................................................ 27
a. Qu’est-ce qu’une vulnérabilité ? .................................................................................................................27
b. Quelles sont les catégories de vulnérabilités ? ...........................................................................................28
1.3.2. Malwares ......................................................................................................................... 29

1.3.2.1. Définition : .........................................................................................................................................29
1.3.2.2. Les symptômes d’un malware ...........................................................................................................29
1.3.2.3. Les modes d’infections des malwares ...............................................................................................31
1.3.2.4. Les types de malwares ......................................................................................................................32
A. Adware : .....................................................................................................................................................32
a. Qu’est-ce qu’un adware ? ..........................................................................................................................32
b. Quels les modes d’infections des adwares ? ..............................................................................................32
105
c. Quels sont les types d’adwares ? ...............................................................................................................33

B. Spyware : ...................................................................................................................................................34
a. Qu’est-ce qu’un spyware ? .........................................................................................................................34
b. Quels sont les modes d’infection d’un spyware ? .......................................................................................34
c. Quels sont les types de spyware ? ..............................................................................................................35
C. Virus : .........................................................................................................................................................36
a. Qu’est-ce qu’un virus ? ...............................................................................................................................36
b. Quels sont les modes d’infection d’un virus ?.............................................................................................36
c. Quels sont les types de virus informatique ? ..............................................................................................37
D. Ver : ............................................................................................................................................................38
a. Qu’est-ce qu’un ver ?..................................................................................................................................38
b. Quels sont les types de vers informatique ? ...............................................................................................39
E. Cheval de Troie : ........................................................................................................................................40
a. Qu’est-ce qu’un cheval de trois ? ...............................................................................................................40
b. Quels sont les modes d’infection d’un Cheval de Trois ? ............................................................................40
c. Quels sont les types de Torjan ? .................................................................................................................40
F. Ransomware : ............................................................................................................................................41
a. Qu’est-ce qu’un ransomware ? ..................................................................................................................41
b. Quels sont les modes d’infections du cryptovirus ? ....................................................................................41
c. Quels sont les types de cryptovirus ?..........................................................................................................42
G. Phishing :....................................................................................................................................................42
a. Qu’est-ce qu’un phishing ? .........................................................................................................................42
b. Quels sont les types d’hameçonnage ? ......................................................................................................43
H. DoS (déni de service) : ...............................................................................................................................44
a. Qu’est-ce qu’une attaque Dos ? .................................................................................................................44
b. Quelles sont les principales cibles des attaques Dos ? ...............................................................................44
c. Comment fonctionne une attaque DoS ? ...................................................................................................44
d. Utilisation d’un botnet pour lancer une attaque DoS ? ..............................................................................45
I. Botnet ........................................................................................................................................................45
a. Qu’est-ce qu’un botnet ? ............................................................................................................................45
b. Quels sont les types de botnet ? .................................................................................................................45
J. Rootkit : .....................................................................................................................................................46
a. Qu’est-ce qu’un rootkit ? ............................................................................................................................46
b. Quelles sont les différents types de rootkit ? .............................................................................................46
c. Quels sont les modes d’infections d’un rootkit ? ........................................................................................46
K. Exploit : ......................................................................................................................................................47
a. Qu’est-ce qu’un exploit ? ............................................................................................................................47
b. Quels sont les modes opératoires des exploits ? ........................................................................................47
L. Cryptojacking : ...........................................................................................................................................48
a. Qu’est-ce qu’un cryptojacking ? .................................................................................................................48
b. Quels sont les modes d’infections du Cryptojacking ?................................................................................48
Chapitre 2 : Attaques et solutions ........................................................................................ 49

Introduction : ...................................................................................................................... 49
2.1. Attaques :.................................................................................................................. 49
2.1.1. Qui menace et comment ? ................................................................................................. 49
2.1.2. Attaque de masse ............................................................................................................. 49
106
2.1.3. Attaque ciblée .................................................................................................................. 51

a. Principe de fonctionnement .......................................................................................................................51
2.1.4. Méthode d’infiltration ..................................................................................................... 51

2.1.4.1. Piratage psychologique .....................................................................................................................51
2.1.4.2. Attaque sur les mots de passes .........................................................................................................52
2.1.4.3. Le phishing.........................................................................................................................................58
2.1.4.4. Exploitation des vulnérabilités ..........................................................................................................58
2.1.5. Déni de service (DoS) ....................................................................................................... 60
2.1.5.1. DoS ....................................................................................................................................................60
2.1.5.2. DDoS ..................................................................................................................................................61
2.1.5.3. Empoisonnement par SEO .................................................................................................................63
2.1.6. Les problématiques de la cybersécurité ........................................................................... 63
2.1.6.1. Attaque mixte ....................................................................................................................................63
2.1.6.2. Reduction d’impact ...........................................................................................................................64
2.2. Solutions contre les attaques de malwares : ............................................................... 65

2.2.1. Protéger les périphériques informatiques ........................................................................ 65
2.2.2. Utiliser les réseaux sans fil en toute sécurité..................................................................... 66
2.2.3. Chiffrer les données ......................................................................................................... 67
2.2.4. Sauvegarder les données .................................................................................................. 68
2.2.5. Authentification a deux facteurs ...................................................................................... 69
2.2.6. Sécuriser ses mots de passe .............................................................................................. 70
a. Qu’est-ce qu’un bon mot de passe ? ..........................................................................................................70
b. Composition d’un bon mot de passe ? .......................................................................................................70
c. Règle d’or de création de mots de passe ....................................................................................................71
d. Changement de mot de passe ....................................................................................................................71
e. Comment éviter la divulgation de mot de passe ? .....................................................................................72
f. Regle de vigilance .......................................................................................................................................73
2.2.7. Confidentialité des e-mails et sur le navigateur ................................................................ 73

2.2.8. IDS et IPS ........................................................................................................................ 74
2.2.9. Pare-feu ........................................................................................................................... 75
2.2.10. Défense en profondeur ..................................................................................................... 76
2.2.11. Balayage des ports ........................................................................................................... 78
2.2.12. Détecter les attaques en temps réel .................................................................................. 79
2.2.13. Meilleurs pratiques de sécurité ........................................................................................ 80
Chapitre 1 : Kali Linux et architecture réseau ..................................................................... 83
1.1. Kali Linux................................................................................................................. 83
a. Qu’est-ce qu’une distribution Linux ? .........................................................................................................83
107
1.2. Architecture réseau ................................................................................................... 83

Chapitre 2 : Auditer avec Kali Linux et Proposition d’une solution ...................................... 86
Introduction ........................................................................................................................ 86
1.1. Auditer un système avec Kali Linux ........................................................................... 86
1.2. Proposition d’une solution contre les attaques de malware ........................................ 91
1.2.1. Configuration du pare-feu : ............................................................................................. 91
a. Bloquer tout le trafic entrant .....................................................................................................................92
b. Autoriser les trafics entrant d’une connexion déjà établie .........................................................................94
1.2.2. Mise en place d’un malware scanner ............................................................................... 96

Conclusion Générale ......................................................................................................... 100
Bibliographie .................................................................................................................... 101
108

Memoir MS

Transféré par

Droits d'auteur :

Formats disponibles

Memoir MS

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoir MS

Transféré par

Droits d'auteur :

Formats disponibles

UN PEUPLE-UN BUT-UNE FOI GROUPE ECOLE SUPERIEUR DE DAKAR

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR DE LA RECHERCHE

THEME : Audit de sécurité avec Kali Linux et études de

MEMOIRE DE FIN DE CYCLE POUR L’OBTENTION DU DIPLOME DE MASTER

Option : Réseaux, Systèmes et Sécurité

Présenté par : Sous la Direction de :

Année académique 2019-2020

ATM – Mode de transfert asynchrone

SMS – Short Message Service

Liste des figures

Liste des captures

Conclusion Générale ......................................................................................................... 100

Partie 1 : cadre théorique et

Chapitre 1 : Cadre théorique

1.2. Présentation du sujet

1.2.2. Les objectifs

1.2.2.2. Objectifs spécifiques

1.2.3. Pertinence du sujet :

Chapitre 2 : Cadre méthodologique

2.1. Délimitation du sujet

2.2. Difficultés rencontrées

Partie 2 : Etudes détaillées

Chapitre 1 : Etudes détaillées

1.1.2. Sécurité de l’information

identifiés, afin d’assurer la confidentialité, l'intégrité, la disponibilité, et la Traçabilité de

b. Pourquoi est-ce qu’on se protège ?

c. Qu’est-ce qu’une politique de sécurité de l’information ?

1.1.3. Système de management

Le niveau de complexité du système dépendra du contexte spécifique de chaque organisme. Dans

PROCESSUS DU SYSTEME DE MANAGEMENT - FIGURE 1

b. Quelles sont les normes du système de management ?

différents types et tailles d’organisations et aux diverses conditions géographiques, culturelles et

c. Quels sont les apports des systèmes de management ?

1.1.4. Système de management de la sécurité de l’information (SMSI)

Le Système de Management de la Sécurité de l’Information (SMSI) désigne le système que

b. Quel est l’objectif Principale du SMSI ?

c. Quels sont les fondements de la sécurité de l’information ?

 DO (Déployer) - Mettre en œuvre et exploiter le système de management

Plan : Planification Do : Déployer

Act : Amélioration Check : Contrôler et

CYCLE DU SMSI - FIGURE 3

1.2. Audit de sécurité informatique

b. Quels sont les objectifs d’un audit de sécurité ?

c. Quelles sont les classifications des audits ?

1.2.2. Méthodes et normes d’audit de sécurité des systèmes d’informations

1.2.2.1. L’ISO (Organisation Internationale de Normalisation)

1.2.2.2. Les Méthodes

1.2.2.3. Les Normes

a. Historique des normes en matière de sécurité de l’information

2000 1998 1995 1991

2002 2005 2007

HISTORIQUE DES NORMES LIEES A LA SECURITE DE L’INFORMATION - FIGURE 4

b. Les normes ISO 2700x

La suite contient des recommandations des meilleures pratiques en management de la sécurité de

ISO/CEI 27007 ISO/IEC 27000

ISO/CEI 27006 exigences ISO/CEI 27002 Code de

ISO/CEI 27005 ISO/CEI 27003 Lignes

LES NORMES ISO 2700X - FIGURE 5

 ISO/CEI 27001 - Systèmes de management de la sécurité de l'information – Exigences