Atteintes aux données informatisées
Quiconque aura intercepté ou tenté d’intercepter frauduleusement par des moyens techniques des données informatisées lors de leur transmission non publique à destination, en provenance ou à l’intérieur d’un système informatique, sera puni d’un emprisonnement d‘un (1) an à cinq (5) ans et d’une amende de 5. 000. 000 à 10. 000. 000 francs ou de l’une de ces deux peines seulement. Quiconque aura endommagé ou tenté d’endommager, effacé ou tenté d’effacer, détérioré ou tenté de détériorer, altéré ou tenté d’altérer, modifié ou tenté de modifier, frauduleusement des données informatisées, sera puni d’un emprisonnement d‘un (1) an à cinq (5) ans et d’une amende de 5. 000. 000 à 10. 000. 000 francs ou de l’une de ces deux peines seulement.
Quiconque aura produit ou fabriqué un ensemble de données numérisées par l’introduction, l’effacement ou la suppression frauduleuse de données informatisées stockées, traitées ou transmises par un système informatique, engendrant des données contrefaites, dans l’intention qu’elles soient prises en compte ou utilisées à des fins légales comme si elles étaient originales, sera puni d’un emprisonnement d’un (1) an à cinq (5) ans et d’une amende de 5. 000. 000 francs à 10. 000. 000 francs ou de l’une de ces deux peines seulement.
Est puni des mêmes peines celui qui, en connaissance de cause, aura fait usage ou tenté de faire usage des données obtenues dans les conditions prévues à l’article 431-14 de la présente loi. Quiconque aura obtenu frauduleusement, pour soi-même ou pour autrui, un avantage quelconque, par l’introduction, l’altération, l’effacement ou la suppression de données informatisées ou par toute forme d’atteinte au fonctionnement d’un système informatique, sera puni d’un emprisonnement de un (1) an à cinq (5) ans et d’une amende de 5. 000. 000 francs à 10. 000. 000 francs ou de l’une de ces deux peines seulement.
Généralités et étapes d’un test d’intrusion
À l’instar de nombreuses procédures les tests de vulnérabilités peuvent être décomposés en plusieurs phases. L’établissement d’une méthodologie permet de décomposer une procédure complexe en une suite de tâches gérables de taille plus réduite. Cette méthodologie peut comprendre 04 à 07 phases qui diffèrent suivant leurs nom par exemple dans certain cas on parle de recueil d’informations alors que dans d’autres on parlera de reconnaissance.
Nous adopterons la procédure de test en pente douce à 04 phases que sont la reconnaissance, le scan, l’exploitation et le maintien de l’accès ou post-exploitation proposée par le ZEH (Zero Entry Hacking). Mais il est important de noter que même si les terminologies varient la plupart des procédures couvrent les mêmes aspects. Le triangle inversé est parfaitement adapté dans la mesure où il représente le passage de la généralité à la spécificité. Par exemple en reconnaissance chaque information et chaque détail sur la cible est utile, recueillie et enregistrée. Au cours des phases suivantes, le champ d’investigation est réduit avec une focalisation sur les détails plus précis sur la cible tels que système d’exploitation, services, versions logiciel etc.
Généralités sur les vulnérabilités
Les vulnérabilités sont des failles techniques d’un composant ou d’un groupe de composants informatiques (systèmes, équipements réseaux, pare-feu, bases de données, applications Web, etc.) qui, si exploitées, peuvent porter préjudice au système d’information (fuite d’informations confidentielles, image détériorée, perte de confiance des clients, etc.).
Les vulnérabilités sont beaucoup trop nombreuses pour être énumérées exhaustivement, toutefois selon différents standards et écoles tels que BS7799, EBIOS ou encore GMITS, il est possible de les regrouper en trois familles.
Les vulnérabilités organisationnelles : L’absence d’une gestion correcte d’un système informatique peut rapidement conduire à sa compromission (ressources jugées critiques internes à l’organisation). En effet, c’est au niveau de la gestion des solutions que doivent être définies les règles d’utilisation et d’implémentation de ces dernières. C’est également à ce niveau que doivent être mis en place les contrôles permettant de veiller au respect des règlements. La création et la distribution des procédures régissant le bon fonctionnement de la solution sont aussi régies à ce niveau.
Manque de maîtrise de la sécurité des systèmes d’information et de communication avec un personnel affecté à la surveillance su système d’information et de communication non adéquat et incapable de corriger les manquements ;
Mauvaise utilisation des moyens en place du fait d’un contrôle non-effectif ou irrégulier, au niveau des utilisateurs, du respect des règles établies dans la politique de sécurité ;
Absence de procédures relatives à la sécurité des systèmes d’information et de communication parce que les règles à respecter ne sont pas clairement énoncées ;
Inadéquation entre la politique de sécurité et les risques due à une mauvaise évaluation des risques entrainant des mesures pas en adéquation avec les risques encourus ;
Manque d’information des utilisateurs qui semblent toujours ne pas avoir connaissance des procédures de sécurité ;
Organisation interne par une multiplication des pole informatiques rendant complexe voire impossible la gestion de la sécurité des systèmes d’information.
Les vulnérabilités physiques : Qui comprend toutes les vulnérabilités liées aux évènements imprévisibles comme les pannes, les accidents ou encore les atteintes intentionnelles aux matériels. C’est en réponse à cette famille de vulnérabilités qu’interviendra le «Plan de Continuité». Non-redondance que ce soit pour des raisons liées aux systèmes informatiques, logiciels ou conditions physiques, l’indisponibilité d’un serveur ou d’une base de données par exemple entraîne la rupture partielle ou totale de services.
Manque de contrôle d’accès aux éléments physiques l’accès aux salles informatiques ou autres doit être limité de manière à éviter des manipulations, pouvant causer la perte de la salle informatique.
Mauvaise conservation de supports de sauvegarde qui sont souvent stockés dans la salle informatique ce qui les rend inopérants en cas de sinistre.
Mauvaise gestion des ressources qui ne sont pas dimensionnées de façon correcte en plus d’être surveillées de près.
Absence de gestion du câblage par un manque de documentation sur ce dernier peut entraîner des déconnexions intempestives voire la mise à disposition de ressources sur des réseaux publics. Les vulnérabilités technologiques : Qui constituent, de loin, la famille de vulnérabilités la plus mouvante car comprenant toutes les vulnérabilités liées à l’utilisation des nouvelles technologies ou solution (hardware, software). Mais aussi toutes les failles liées aux problèmes d’interopérabilités, aux nécessités de migration et à l’introduction de nouveaux produits.
Interopérabilité des systèmes d’information et de communication afin de permettre une communication aisée entre différents systèmes, des couches de communication supplémentaires sont souvent mises en place, qui peuvent entraîner l’apparition de nouvelles vulnérabilités.
Fiabilité des mises à niveau et correctifs (patchs) : souvent, la mise en place des correctifs se fait dans l’urgence et sans évaluation préalable.
Complexité des règles sur les pare-feu et routeurs : la mise en place de filtrages et règles d’accès, à la demande, peut rendre la vue d’ensemble quasi-impossible.
Présentation de l’environnement de test
Pour dérouler l’ensemble de nos tests, nous utiliserons des machines virtuelles afin de limiter notre champ d’action lors des scans c’est-à-dire pour ne pas scanner une adresse ou une plage d’adresses IP non autorisée ainsi que faciliter la mise en place du laboratoire de test. La virtualisation se fera avec l’application VMware Workstation 11 mais il est tout à fait possible d’utiliser Virtualbox, Hyper-v ou toute autre application capable de faire de la virtualisation. En effet, VMware Workstation constitue pour les développeurs, testeurs et autres professionnels de l’informatique un puissant logiciel de création et d’utilisation de machines virtuelles qui permet d’exécuter plusieurs systèmes d’exploitation simultanément sur un même poste de travail. Les utilisateurs peuvent exécuter Windows, Linux, NetWare ou Solaris x86 etc. dans des machines virtuelles sécurisées et transportables. VMware Workstation offre des performances sans précédent et des fonctionnalités avancées telles que l’optimisation de la mémoire et la capacité de gérer des configurations n-tiers et plusieurs snapshots.
Nous aurons donc plusieurs machines virtuelles à mettre en place, la première fera office d’attaquant et aura Kali Linux comme système d’exploitation et la deuxième qui sera la machine cible tournera sous Windows XP SP0 (SP0 pour dire une version de Windows dépourvu de Services Pack). Les systèmes Windows 7, 8, 10 et server 2012 serviront aussi dans phase de scan pour voir tout aussi les vulnérabilités qui y réside à l’installation.
Le choix d’utiliser Kali Linux sur notre machine d’attaque nous facilitera la tâche car il s’agit d’un système dédié à la sécurité informatique donc pratique pour les tests de vulnérabilités avec une panoplie importante d’applications disponible dès l’installation.
Pour notre machine cible, nous utiliserons un Windows XP dépourvu de services pack que nous appellerons SP0 par conséquent avec un nombre élevé de vulnérabilités non corrigées donc facile à utiliser pour des tests en laboratoire dans la mesure où plus le système d’exploitation cible est récent plus le nombre de vulnérabilités disponibles chute grâce au différents correctifs de sécurité ce qui rend fastidieux l’exploitation de ces dernières. Nous effectuerons également des scans sur des versions plus récentes du système d’exploitation Windows à savoir Windows 7, 8, 10 et Server 2012 pour voir quelques vulnérabilités présentes sur ces dernières.
Table des matières
INTRODUCTION
PROBLEMATIQUE
OBJECTIFS
I. Aspect juridique
1) Atteintes aux systèmes informatiques
a) Atteintes à la confidentialité des systèmes informatiques
b) Atteintes à l’intégrité des systèmes informatiques
c) Atteintes à la disponibilité des systèmes informatiques
2) Atteintes aux données informatisées
II. Aspects théoriques
1) Généralités et étapes d’un test d’intrusion
a) Reconnaissance
b) Scan
c) Exploitation
d) Post-exploitation
2) Généralités sur les vulnérabilités
1) Les vulnérabilités organisationnelles
2) Les vulnérabilités physiques
3) Les vulnérabilités technologiques
3) Présentation de l’environnement de test
1) Kali Linux
2) Windows XP SP0
4) Présentation et installation de quelques outils
1) Présentation de NMAP
2) Présentation et installation de Nessus
a. Présentation de l’outil
b. Installation
3) Présentation de Metasploit-Framework
4) Présentation du payload Meterpreter
III. Test de vulnérabilité d’une machine avec Windows XP sous Kali Linux
1) Reconnaissance
a) Les opérateurs de Google (Google Dorks)
b) The Harvester
c) Fping
d) Recherche d’informations sur les serveurs DNS
e) Metagoofil
f) Nmap
2) Scan
a) Scan de vulnérabilités avec NMAP
b) Scan de vulnérabilités avec NESSUS
3) Exploitation
4) Post-exploitation et maintien de l’accès
a) Les backdoors
b) Les rootkits
IV. Recommandations
1) Reconnaissance
2) Scan
3) Exploitation
4) Post-exploitation et maintien de l’accès
CONCLUSION
BIBLIOGRAPHIE
WEBOGRAPHIE