Les attaques pirates

Question 1

Quelle est la définition d’une attaque?

Answer 1

Une « attaque » est l’exploitation d’une faille d’un
système informatique (système d’exploitation, logiciel ou
bien même de l’utilisateur) à des fins non connues par
l’exploitant du système et généralement préjudiciables

Question 2

Qui sont les White Hat Hackers?

Answer 2

– Hackers au sens noble du terme.
– Objectifs des White Hat:
• l’apprentissage ;
• l’optimisation des systèmes informatiques ;
• la mise à l’épreuve des technologies jusqu’à leurs
limites afin de tendre vers un idéal plus performant et
plus sûr.

Question 3

Qui sont les Black Hat Hackers?

Answer 3

– Nuisibles, s’infiltrant dans les systèmes informatiques
• Script kiddies
• Phreakers
• Carders
• Crackers
– Objectifs des Black Hat Hackers :
• l'attrait de l'interdit.
• l'intérêt financier, politique.
• le désir de la renommée.
• la vengeance.
• l'envie de nuire (détruire pour le plaisir).

Question 4

Qui sont les Hacktivistes?

Answer 4

– Cybermilitant ou cyberrésistant

• Hackers idéologiques

Question 5

Qu’est ce qu’un exploit?

Answer 5

terme technique
signifiant « exploiter une
vulnérabilité »

Question 6

Quelles sont les différentes étapes d’un exploit?

Answer 6

1. Intrusion
2. Extension de privilège
   – root
3. Compromission
   – Permet d’accéder aux autres machines du réseau
4. Porte dérobée
   – Backdoors : Permet de revenir
5. Nettoyage des traces
   – Rootkits : Permet de masquer la présence du pirate

Question 7

Quelles sont les différents types d’attaques cryptographiques?

Answer 7

• Mot de passe
• Man in the middle
• Rejeu

Question 8

En quoi consiste une attaque mot de passe?

Answer 8

• Mot de passe
– Maillon faible de la sécurité
– Porte d’entrée vers le système tout entier
• Méthodes d’attaques :
– Force brute : Toutes les combinaisons possibles sont essayées
– Dictionnaire : Tous les « mots connus » sont essayés
– Hybride : Combinaison « Force Brute et Dictionnaire ». Permet
de découvrir des mots de passe tel que « police6 »
– Keylogger (logiciel ou matériel )
– Ingénierie sociale

Question 9

En quoi consiste une attaque Man in the middle?

Answer 9

L’attaque « man in the middle », parfois notée MITM, est
un scénario d’attaque dans lequel un pirate écoute une
communication entre deux interlocuteurs et falsifie les
échanges afin de se faire passer pour l’une des parties.
– La plupart des attaques de type « man in the middle »
consistent à écouter le réseau à l’aide d’un outil appelé
sniffer.

Question 10

En quoi consiste une attaque par rejeu?

Answer 10

Les attaques par « rejeu » (replay attaque) sont des attaques
de type « Man in the middle » consistant à intercepter des
paquets de données et à les rejouer, c’est-à-dire les
retransmettre tel quel (sans aucun déchiffrement) au serveur
destinataire.
– Ainsi, selon le contexte, le pirate peut bénéficier des droits de
l’utilisateur.

Question 11

Quelles sont les différentes attaques par déni de service?

Answer 11

• Déni de service (DOS ou DDOS)
• Attaque par réflexion
• Ping de la mort
• Fragmentation
• SYN

Question 12

En quoi consiste une attaque DOS ou DDOS?

Answer 12

– Vise à rendre indisponible pendant un temps indéterminé
les services ou ressources d’un serveur.
– Les réseaux BOT NET sont spécialisés en attaque de ce
type
• Dénis de services par saturation
• Dénis de service par exploitation
de vulnérabilités mettant hors
service la machine

Question 13

En quoi consiste une attaque par réflexion ( smurf)?

Answer 13

– Attaque utilisant des serveurs de diffusion (broadcast)
pour paralyser un réseau
• L’attaquant envoie un « PING » en direction d’un serveur
broadcast tout en falsifiant l’adresse IP source
• Le serveur répercute le ping dans tout le réseau
• Le serveur récupère toute les réponses et les redirige vers
la machine cible.
• L’objectif du pirate est d’utiliser une multitude de serveurs
de diffusion pour attaquer la cible.

Question 14

En quoi consiste le ping de la mort?

Answer 14

– L’« attaque du PING de la mort » (ping of death ) est
une des plus anciennes attaques réseau.
– Le principe du PING de la mort consiste tout simplement à créer un
datagramme IP dont la taille totale excède la taille maximum
autorisée (65536 octets). Un tel paquet envoyé à un système
possédant une pile TCP/IP vulnérable, provoquera un plantage.
– Plus aucun système récent n’est vulnérable à ce type d’attaque.

Question 15

En quoi consiste l’attaque par fragmentation?

Answer 15

– Attaque visant à envoyer de petits paquets IP en grande quantité et
en falsifiant le numéro de séquence de chacun
– L’ordinateur essaye de réassembler la trame « impossible », devient
instable et plante…
– Cette attaque est dépassée.

Question 16

En quoi consiste une attaque SYN (TCP/SYN Flooding)?

Answer 16

– Attaque réseau par saturation (déni de service)
exploitant le mécanisme de poignée de main en trois
temps (Three-ways handshake) du protocole
TCP. 
• Handshake « normal »
– Pour établir une connexion,
le client envoie une requête
SYN (Synchronisation)
– Le serveur répond par un
SYN/ACK
(Acknowledgement)
– Le client valide l’ensemble
par un ACK
• Attaque SYN – Le Pirate envoie une rafale
de SYN en utilisant une
adresse de retour inexistante
– Le serveur ne reçoit jamais
de ACK du client (vu qu’il
n’existe pas) et met en
attente toutes les réponses
…
– 1) épuisement des
ressources du serveur
(plantage)
– 2) Non traitement des
demandes de connexions
légitimes.

Question 17

En quoi consiste l’ingénierie sociale?

Answer 17

C’est l’art d’extirper frauduleusement de l’information à l’insu de son
interlocuteur en “tirant les vers du nez” à autrui.

Question 18

En quoi consiste le Spoofing (usurpation d’adresse IP)?

Answer 18

– Modification de l’IP « expéditeur »
– Permet de contourner les systèmes de filtrage de paquets (firewalls)
• Semblant provenir d’une IP interne, le paquet peut passer le firewall.
• Le pirate n’a aucun retour concernant la connexion « Blind attack »

Question 19

En quoi consiste le vol de sessions TCP?

Answer 19

– Le « vol de session TCP » (détournement de session TCP, TCP session
hijacking) consiste à intercepter une session TCP initiée entre deux
machines afin de la détourner.
– Dans la mesure où le contrôle d’authentification s’effectue
uniquement à l’ouverture de la session, un pirate réussissant cette
attaque parvient à prendre possession de la connexion pendant
toute la durée de la session.
50
Techniques d’attaques
• Vol de session TCP
– Technique couramment employée :
Man in the middle
• lorsque le pirate est situé sur le même brin réseau que les deux
interlocuteurs, il lui est possible d’écouter le réseau et de « faire
taire » l’un des participants en faisant planter sa machine ou bien
en saturant le réseau afin de prendre sa place.

Question 20

En quoi consiste l’attaque par ARP poisoning?

Answer 20

Le pirate s’interpose entre deux machines du réseau et
transmet à chacune un paquet ARP falsifié indiquant que la
MAC adresse de l’autre machine a changée.
L’adresse MAC fournie est celle de l’attaquant.
– Chaque fois que les deux machines souhaitent communiquer
entre elles, elles envoient les paquets à la machine pirate qui
s’occupera du « routage »

Question 21

En quoi consiste l’attaque par écoute réseau?

Answer 21

– Un « analyseur réseau » (analyseur de trames, sniffer), est un
dispositif permettant d’« écouter » le trafic d’un réseau, et de
capturer les informations qui y circulent.
– La grande majorité des protocoles Internet font transiter les
informations en clair
• Messagerie POP, IMAP
• HTTP
• FTP
– Les switch sont les ennemis des sniffers
– Quelques sniffers : Ethereal, Wireshark, TCP dump, Windump

Question 22

En quoi consistent les attaques par balayage de ports et de scanner de vulnérabilité?

Answer 22

• Balayage de ports
– Outils essayant de se connecter à l’ensemble des ports d’un
groupe de machines pour trouver ceux qui sont ouverts ( AutoScan Network)
– Une analyse fine des paquets TCP/IP reçus en réponse peut
permettre de déterminer le système d’exploitation et les
applications tournant sur une machine donnée.
• Scanner de vulnérabilité
– Outils référençant un grand nombre de failles des applications
les plus connues et testant chacune d’entre elles pour vérifier
le niveau de sécurité du serveur ( Nikto, Acunetix..)
– Ces outils font partie de la trousse à outils de tout bon
administrateur réseau. Leur détention peut être légitime.

Question 23

En quoi consiste l’attaque par débordement de tampon ( buffer overflow)?

Answer 23

– Technique très complexe consistant à
envoyer des commandes spécifiques
à un programme, l’obligeant à
recevoir plus de données qu’il n’est
censé en accepter.
– Les données « en trop » constituant
en fait un « programme hostile » se
retrouvent « injectées » sans contrôle
dans la mémoire de l’ordinateur, ou
elles peuvent être exécutées.

Question 24

En quoi consiste le mail bombing?

Answer 24

– Technique consistant à saturer une boite e-mail en lui envoyant
plusieurs milliers d’e-mails.
– Quelques recherches sur le web permettent de trouver ce genre de
logiciel.

Question 25

En quoi consistent les attaques de serveur web par falsification de données?

Answer 25

Consiste à solliciter le site avec des données saisies
manuellement afin de provoquer une réaction non prévue.
– Tous les moyens de transmission de données peuvent être
manipulés et doivent être considérés comme non fiables.
– Manipulation d’URL
• Sur les sites web dynamiques les paramètres sont pour la plupart
passés au travers de l’URL de la manière suivante :
• (URL attendue) http://cible/forum/index.php3?cat=2
• (URL pirate) http://cible/forum/index.php3?cat=***
• Si le développeur n’a pas prévu le cas ou la donnée n’est pas un
chiffre ?????

Question 26

En quoi consistent les attaques de serveur web par tâtonnement à l’aveugle?

Answer 26

– Teste des répertoires et des extensions de fichier
à l’aveugle, afin de trouver des informations
importantes.
Quelques exemples classiques :
Recherche de répertoires permettant d’administrer le site :
http://cible/admin.cgi
Recherche de fichiers cachés
http://cible/.bash_history
http://cible/.htaccess

Question 27

En quoi consistent les attaques de serveur web par traversée de répertoires?

Answer 27

• Consiste à modifier le chemin de l’arborescence dans l’URL afin
de forcer le serveur à accéder à des sections du site non
autorisées :
• Remontée standard
• Remontée sur serveur vulnérable « ../ »

Question 28

En quoi consistent les attaques de serveur web par Cross-Site Scripting (XSS ou CSS)?

Answer 28

Consiste à forcer un site web « comportant une faille XSS » à
transférer au pirate des informations saisis par les utilisateurs. Le
code (« injecté ») dans un site web vulnérable est dit « malicieux ».
– Un pirate peut injecter du code malicieux dans une page web afin
que celui-ci soit exécuté sur le poste d’un utilisateur « victime ».
– Le pirate peut récupérer par ce biais les données échangées entre
l’utilisateur (victime) et le site web concerné (formulaire
d’authentification par exemple).

Question 29

En quoi consistent les attaques de serveur web par injection SQL?

Answer 29

L’injection SQL est un groupe de méthodes d’exploitation de
faille de sécurité d’une application interagissant avec une base
de données. Elle permet d’injecter dans la requête SQL en cours
un morceau de requête non prévu par le système et pouvant en
compromettre la sécurité.

Question 30

Quelle est la définition d’un malware?

Answer 30

Un logiciel malveillant (en anglais, malware) est un logiciel
développé dans le but de nuire à un système informatique.
Les virus, chevaux de Troie et les vers sont les trois
exemples de logiciels malveillants les plus connus.

Question 31

Quelle est la définition d’un virus?

Answer 31

Un virus est un programme capable de se propager à
d’autres ordinateurs en s’insérant dans des programmes
légitimes appelés « hôtes ». En plus de se reproduire, un
virus peut effectuer d’autres actions qui peuvent être
nuisibles à l’utilisateur de l’ordinateur infecté ou à d’autres
utilisateurs reliés par réseau à l’ordinateur infecté.

Question 32

Quelle est la définition d’un ver?

Answer 32

Le ver (worm) est un programme qui se répand par courrier
électronique en profitant des failles des logiciels de messagerie.
Dès qu’un ver a infecté un ordinateur, il tente d’infecter d’autres
ordinateurs en s’envoyant lui-même à des adresses contenues
dans le carnet d’adresses de l’ordinateur infecté.

Question 33

Quelle est la définition d’un cheval de troie?

Answer 33

Un cheval de Troie (Trojan horse) est un programme d’apparence
légitime (souvent un petit jeu ou un utilitaire) qui comporte une
routine nuisible exécutée sans l’autorisation de l’utilisateur. Un
cheval de Troie contient souvent une porte dérobée, mais ce
n’est pas obligatoire.
A la différence d’un virus, un cheval de Troie ne peut pas se
reproduire.

Question 34

Quelle est la définition du phishing?

Answer 34

Le terme « PHISHING » aurait été inventé par des pirates
qui essayaient de voler des comptes AOL en 1998.
Origine anglophone :
PASSWORD HARVESTING FISHING,
Soit : « pêche aux mots de passe ».
• Principe de base:
– Récupérer les identifiants bancaires de « victime »
• En infectant leur ordinateur avec un malware
• En envoyant un e-mail invitant la victime à se connecter sur un
site web contrefaisant un site bancaire
– Vider les comptes en banque des victimes
• En utilisant les identifiants préalablement récupéré
• En payant une « team » de « pirates »
– Blanchir l’argent
• En utilisant un réseau de MULES

Question 35

Qu’est ce qu’un SCAM?

Answer 35

 Actuellement, un scam se présente
– Sous forme de spam
– une personne affirme posséder une importante somme d’argent,
• de 30 à 90 millions $ (héritage, pots de vin…)
• fait part de son besoin d’utiliser un compte existant
• pour transférer rapidement de l’argent.
– En échange, il offre un pourcentage sur la somme
• (15 à 40%)
– Transférée, en général par la “voie diplomatique”.
 Si la victime accepte
– on lui demandera d’avancer des sommes d’argent
– destinées à couvrir des frais imaginaires
• notaires, frais de douane, frais bancaires…
– avant que le transfert ne soit effectif.
 Bien entendu, ce transfert n’aura jamais lieu.