TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf

1
REPUBLIQUE DEMOCRATIQUE DU CONGO
ENSEIGNEMENT SUPERIEUR ET UNIVERSITAIRE
UNIVERSITE MARIA MALKIA
COURS DE SECURITE INFORMATIQUE ET
CRYPTOGRAPHIE
BAC 3 INFORMATIQUE
PAR MASTER ING TUNDA-OLEMBE DJAMBA
NOVEMBRE 2024

2
PRESENTATION DU COURS
0.1 Liminaire
La sécurité Informatique est l’ensemble des moyens
misent en œuvre pour réduire les vulnérabilités d’un système information
contre les menaces éventuelles auxquelles il peut être confronté. Les
principales solutions de sécurité se basent sur la mise en œuvre des
procédures de contrôle d’accès, des surveillances et des techniques de
chiffrement et d’isolation de l’environnement.
Avec le développement de l'utilisation d'internet, de plus en plus
d'entreprises ouvrent leur système d'information à leurs partenaires ou
leurs fournisseurs, il est donc essentiel de connaître les ressources de
l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des
utilisateurs du système d'information. Il en va de même lors de l'ouverture
de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à
permettre aux personnels de se connecter au système d'information à
partir de n'importe quel endroit, les personnels sont amenés à « transporter
» une partie du système d'information hors de l'infrastructure sécurisé de
l'entreprise.
Avec le développement de l'utilisation d'internet,
de plus en plus d'entreprises ouvrent leur système d'information à leurs
partenaires ou leurs fournisseurs, il est donc essentiel de connaître les
ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et
les droits des utilisateurs du système d'information. Il en va de même lors
de l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à
permettre aux personnels de se connecter au système d'information à
partir de n'importe quel endroit, les personnels sont amenés à « transporter
» une partie du système d'information hors de l'infrastructure sécurisé de
l'entreprise. Hors que toute ordinateur connecté à un réseau ou
l’Internet est potentiellement vulnérable à une attaque informatique. Ces
attaques sont la plupart lancés automatiquement par des machines
infectées par des programmes malveillants (virus, vers, cheval de Troie,
Rootskit spams,..), à l’insu. Par conséquent, il faut mettre en œuvre les
mesures de sécurité pour protéger le système d’information de l’entreprise.
La sécurité du système d’information d’une
entreprise est un requis pour la poursuite de ses activités.

3
La Cryptographie est l’étude des méthodes donnant la
possibilité d’envoyer des données de manière confidentielle sur un support
donné. Les fonctions principales de la Cryptographie sont le Chiffrement, le
Déchiffrement et la Clé.
0.2. Prérequis
1. Cours d’architecture des ordinateurs
2. Cours d’ Algorithmique et programmation
3. Cours des réseaux informatiques
0.3. Les objectifs des compétences
Ce cours a les objectifs des compétences suivants :
1. Familiariser les étudiants avec la terminologie et les concepts de la
sécurité informatique ;
2. Donner aux étudiants un concentré d’informations sur tout ce qui
concerne la sécurité informatique ;
3. Sensibiliser les étudiants risques liés aux attaques informatiques et
4. Amener les étudiants à prendre conscience de l’importance de la
sécurité informatique pour la poursuite des activités d’une
entreprise informatisée.
0.4. Les objectifs d’apprentissage
A la fin de ce cours l’étudiant ou l’étudiante doit être capable de :
1. Dégager une compréhension globale et cohérente du domaine de la
sécurité informatique être au fait des enjeux, des problématiques et des
solutions proposés dans la littérature technique ;
2. Elaborer des modèles d’ organisation, des procédures, et de bonnes
pratiques permettant de sécuriser un système dé information ;
3. Elaborer des procédures pour s’assurer que les mesures de sécurité sont
efficaces et que les usagers restent conformes aux procédures et aux
bonnes pratiques et

4
4. Mettre en œuvre la politique de sécurité de l’entreprise, les mécanismes
de protection du système d’information de l’entreprise et les outils de
l’audit de sécurité informatique.
0.5. Les savoirs sous-jacents
Chapitre 1 : Les fondements de la sécurité informatique
1.1. Généralités sur la sécurité informatique, vulnérabilités
informatiques et risques
1.2. Les attaques informatiques
1.3. Les programmes malveillants (Malwares)
1.4. Les logiciels de sécurité informatique (les logiciels anti-
programmes malveillants)
1.5. Le pare-feu
1.6. Les protocoles de sécurité
Chapitre 2 : Les ports logiques, les vulnérabilités informatiques et les
journaux d’évènements Logs
2.1 Les ports logiques
2.2 Les vulnérabilités informatiques
2.3 Les journaux d’évènements logs
Chapitre 3 : Introduction aux outils de sécurité informatique
3.1 Les scanneurs de ports et l’outil de sécurité informatique
Nmap
3.2 Les scanneurs des vulnérabilités informatiques et l’outil
de sécurité Informatique NESSUS
3.3 Les tests d’intrusions et l’outil de sécurité informatique
SNORT
3.4 La surveillance et l’analyse des journaux logs et les

5
outils de sécurité Informatique SYSLOG-ng et
AWAStats
Chapitre 4 : Les normes et méthodes de sécurité informatiques
4.1 Introduction
4.2 Les normes de sécurité informatiques
4.3 Les principales méthodes de sécurité informatique
Chapitre 5 : Notions de Cryptographie
5.1 Introduction à la Cryptographie
5.2 Cryptographie classique
5.3 Le chiffrement par clé publique
5.4 La gestion de clé
0.6 Bibliographie
A. Livres
1. PILLOU J.F. : « Tout sur la sécurité informatique », Editions DUNOD,
Paris, 2016
2. BLOCH L. et WOLFHUGEL C. : « Sécurité informatiques : principes et
Méthodes », Editions EYROLLES, Paris, 2023
B. Autres sources
1. DUMAN R. : « Cours de Cryptographie et sécurité informatique »,
[En ligne], 2010, https : www.fr.Slieshare. [Consulté le01/
12/ 2024]
3. TUNDA-OLEMBE D. : « Cours de sécurité informatique niveau master »
[En ligne], 2018, https : www.fr.scribd.com. [Consulté
01/12/ 2024]
0.7 Méthode de communication
1. Cours théorique orienté vers la pratique ;

6
2. Travaux et discussion en groupe ;
3. Organisation TD et TP ;
Autoformation
0.8 Méthode d’évaluation
1. Travaux pratiques ;
2. Interrogations ;
3. Examen

7
CHAPITRE 1. LES FONDEMENTS DE LA SECURITE
INFORMATIQUE
I.1 GENERALITES ,PRINCIPE ET VULNERABILITES
I.1.1 Generalites
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent
leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de
connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les
droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de
l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de
se connecter au système d'information à partir de n'importe quel endroit, les personnels sont
amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé
de l'entreprise.
Avec le développement de l'utilisation d'internet, de plus en plus
d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il
est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le
contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors
de l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux
personnels de se connecter au système d'information à partir de n'importe quel endroit, les
personnels sont amenés à « transporter » une partie du système d'information hors de
l'infrastructure sécurisé de l'entreprise.
La sécurité Informatique est l’ensemble des moyens misent en œuvre pour réduire les
vulnérabilités d’un système information contre les menaces éventuelles auxquelles il peut être
confronté. Les principales solutions de sécurité se basent sur la mise en œuvre des procédures
de contrôle d’accès, des surveillances et des techniques de chiffrement et d’isolation de
l’environnement.
Un risque permet de mesurer les possibilités de l’occurrence d’un événement associé
à une situation ou une action. Dans le cas de la sécurité informatique en entreprise, il s’agit de
ce que l’on peut perdre en l’absence des moyens adéquat de sécurisation. Lorsqu’on évoque
les risques logiques tels qu’intrusion, usurpation d’identité, malveillance, vol d’information,
modification d’information..., et les risques physiques tels que les défaillances matérielles, les
dommages électriques, les actes de vandalisme..., etc.
Une politique de sécurité peut être vue comme l'ensemble des modèles
d'organisation, des procédures et des bonnes pratiques techniques permettant d'assurer la
sécurité du système d'information.
Mais qu'est-ce que la sécurité d'un SI ? Elle tourne autour des 6 principaux concepts suivants
: l'intégrité des données, la confidentialité de l'information et des échanges, la disponibilité

8
des services, l'authentification des utilisateurs, la non répudiation des transactions et le
respect de la vie privé.
Pour garantir la sécurité, une politique de sécurité est généralement organisée autour de 3
axes majeurs : la sécurité physique des installations, la sécurité logique du système
d'information et la sensibilisation des utilisateurs aux contraintes de sécurité.
Un audit de sécurité permet de mettre en évidence les faiblesses de la mise en
œuvre d'une politique de sécurité. Le problème peut venir de la politique elle-même : mal
conçue ou inadaptée aux besoins de l'entreprise, ou bien d'erreurs quant à sa mise en
application.
Des audits sont nécessaires : suite à la mise en place initiale d'une politique de sécurité, puis
régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages
restent conformes aux procédures.
I.1.2 Principe de la sécurité informatique
Le système d'information est généralement défini par l'ensemble des données et
des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les
faire circuler. Le système d'information représente un patrimoine essentiel de l'entreprise,
qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les
ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le
cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs :
 L'intégrité de l’information : c'est-à-dire garantir que seules les personnes autorisées
qui peuvent modifier ou détruire l’information ;
 La confidentialité de l’information et des échanges : elle consiste à assurer que
seules les personnes autorisées aient accès à l’information et aux échanges ;
 La disponibilité des services et des ressources : elle consiste à garantir l’accès aux
services et aux ressources à des personnes autorisées;
 La non répudiation des transactions : elle consiste à garantir que l’accès à
l’information et aux ressources ne doit pas être refusé à des personnes autorisées ;
 L'authentification : elle consiste à assure que seules les personnes autorisées aient
accès aux ressources et à l’information.
 Le respect de la vie privé : elle consiste à exiger l’ autorisation de l’ utilisateur avant
d’ accéder à ses données privés.
La confidentialité
La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les
seuls acteurs de la transaction.

9
L'intégrité
Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées
durant la communication (de manière fortuite ou intentionnelle).
La disponibilité
L'objectif de la disponibilité est de garantir l'accès à un service ou à des ressources.
La non-répudiation
La non-répudiation de l'information est la garantie qu'aucun des correspondants ne pourra
nier la transaction.
L'authentification
L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun
des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut
permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des
ressources uniquement aux personnes autorisées.

10
I.1.3 VULNERABILITE(FAILLE) ET RISQUES
CAUSES DE VULNERABILITES ET SOLUTION
Un risque permet de mesurer les possibilités de l’occurrence d’un événement, associé
à une situation ou une activité. De l’autre côté, un enjeu est grossièrement ce que l’on peut
gagner ou perdre en posant un acte. Dans le cas de la sécurité informatique en entreprise, il
s’agit plutôt de ce que l’on peut perdre, en l’absence de moyens adéquat de sécurisation.1
Lorsque l’on évoque les risques susceptibles d’engendrer un incident informatique sur le
Système d’Information d’une entreprise, on distingue deux grandes catégories :
 Les risques physiques;
 Les risques logiques.
1
AMAN VLADIMIR, Concevoir la Sécurité Informatique en Entreprise, p23.

11
a) Les risques physiques
Il s’agit de toutes les atteintes physiques directes dont peut être victime un système
d’informations au cours de son cycle de vie. On les appelle également risques matériels, parce
qu’ils ont trait à l’intégrité du matériel.
Ces risques physiques peuvent être d’origine accidentelle ou malveillante et les
conséquences sont aisément identifiables. Ces incidents détériorent les ressources matérielles
du système d’information et peuvent avoir un impact direct sur les actifs informationnels que
contiennent les systèmes informatiques.
Les risques physiques constituent dans la conception traditionnelle de la sécurité, les
premières sources d’inquiétude des responsables d’entreprise en termes de sécurité, même si
en pratique, ils ne représentent qu’un faible pourcentage des sinistres informatiques enregistrés
en entreprise.
b) Les risques logiques
Avec le développement fulgurant de l’informatique distribuée par opposition à
l’informatique centralisée, les données et les applications ont acquis une importance plus
grande. En effet, l’on assiste à une migration progressive de la valeur du matériel vers la valeur
des données et des applications. La question principale est de savoir comment évaluer et
analyser la valeur de ce qui n’est pas physique, donc immatériel c'est-à-dire la donnée.
c) Quelques considérations sur les risques
C’est pour répondre à cette question que sont apparues les notions d’accident, d’erreur
et de malveillance, directement issues des méthodes d’analyse des risques développées ces
dernières années.
1) L’accident : Il s’agit là d’un événement perturbant les données ou les flux de données, en
l’absence de dommages physiques aux équipements (altération physique du matériel).
2) L’erreur : Il peut s’agir d’une erreur de conception, de programmation, de paramétrage ou
de manipulation des données et de leurs supports. L’erreur désigne des préjudices
consécutifs à l’intervention humaine dans le processus de traitement automatisé des
données. Elles constituent les risques les plus fréquents dans le cycle de vie d’un système
d’information en entreprise.
3) La malveillance : Il s’agit de tous actes traduisant la volonté manifeste de son auteur de
faire usage, sans autorisation d’un système d’information, avec des intentions
préjudiciables. Le virus informatique et l’acte de malveillance le plus médiatisé, quoiqu’il
en existe une très grande diversité (Chevaux de Troie, etc.).
4) Vol d’informations : Avec Internet, le vol s’en trouve dématérialisé, étant donné que l’objet
dérobé est une valeur virtuelle, voire abstraite. Il s’agit pour l’entreprise de risques tels que
: espionnage industriel, vol des listes des clients, vol d’informations comportant des données

12
personnelles de clients ou du personnel, vol des plans ou les recettes des productions, vol
de la comptabilité.
5) Usurpation d’identité : Utilisation du compte d’un client ou d’un partenaire, utilisation des
identifiants d’une personne de l’entreprise à des fins malveillantes, etc. Une usurpation
d’identité peut avoir des conséquences énormes sur l’image de marque d’une entreprise.

13
I.2 ATTAQUES INFORMATIQUES ET PROTECTION
I.2.1 ATTAQUES INFORMATIQUES
Tout ordinateur connecté à un réseau est potentiellement vulnerable aux attaques.

20
I.3 LES PROGRAMMES MALVEILLANTS (MALWARES)
I.3.1 LES VIRUS
I.3.1.1 GENERALITES

23
I.3.2.3 EVITER LES VIRUS
I.3.2 LES VERS RESEAU
I.3.2.1 GENERALITES

24
I.3.2.2 PRINCIPE DE FONCTIONNEMENT
I.3.2.3 PARADES

25
I.3.3 Cheval de Troie (informatique)
Un cheval de Troie (Trojan horse en anglais) est un type de logiciel malveillant, qui ne doit
pas être confondu avec les virus ou autres parasites. Le cheval de Troie est un logiciel en
apparence légitime, mais qui contient une fonctionnalité malveillante. Le rôle du cheval de
Troie est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur.
Un cheval de Troie informatique est un programme d'apparence inoffensive, mais qui en
contient un autre, malveillant celui-là et qui est installé par l'utilisateur lui-même, ignorant qu'il
fait pénétrer un intrus malveillant sur son ordinateur. C'est par analogie, que ce type de
programme a été baptisé « cheval de Troie », en référence à la ruse qu'Ulysse utilisa pour
contourner les défenses adverses.
En 2014, une étude de l'Association of Internet Security Professionnals centrée sur les dangers
du live streaming illégal révèle qu'un ordinateur sur trois est infecté par un logiciel malveillant
et que 73 % de ces infections proviennent d'un cheval de Troie7
.
Quelques précisions terminologiques sur le cheval de Troie
Le programme contenu (ou téléchargé par la suite automatiquement) est
appelé la "charge utile"[Par qui ?]
. Il peut s'agir de n'importe quel type de parasite : virus,

26
keylogger, logiciel espion... C'est ce parasite qui va exécuter des actions au sein de l'ordinateur
victime8
. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans
la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de
permettre l'installation du vrai parasite.
Dans le langage courant, par métonymie on nomme souvent "cheval de Troie" le parasite
contenu à l'intérieur. Cette confusion est en partie alimentée par les éditeurs d'antivirus, qui
utilisent "trojan" comme nom générique pour désigner différents types de programmes
malveillants qui n'ont rien à voir avec des trojans9
.
Vecteurs d'infection
Le cheval de Troie prend l'apparence d'un logiciel existant, légitime et
parfois même réputé, mais qui aura été modifié pour y dissimuler un parasite. La subtilité avec
laquelle l'installation est faite est expliquée par Ken Thompson dans sa conférence Turing.
Berné, l'utilisateur va télécharger et installer le programme, pensant avoir affaire à une version
saine. En réalité, le logiciel véhicule un parasite qui va pouvoir s'exécuter sur son ordinateur.
Les logiciels crackés peuvent être des chevaux de Troie qui vont allécher l'internaute qui
cherche à obtenir gratuitement10
un logiciel normalement payant (Adobe Acrobat pro,
Photoshop, Microsoft Office..).
Origines fréquentes des chevaux de Troie
 Téléchargement de versions trafiquées sur des sites non officiels ou des plateformes
peu sûres (P2P). Télécharger les logiciels sur le site officiel de l'auteur ou du
distributeur évite normalement d'avoir affaire à une version infectée par un cheval de
trois. Cela n'est évidemment pas possible pour se procurer des versions crackées, mais
faisable pour tous les logiciels gratuits.[pas clair]
 Téléchargement de programmes P2P.
o Visite de sites Web contenant un exécutable (par exemple les contrôles ActiveX
ou des applications Java).
 Exploitation de failles dans des applications obsolètes (navigateurs, lecteurs
multimédias, clients de messagerie instantanée) et notamment les Web Exploit.
 Ingénierie sociale (par exemple, un pirate envoie directement le cheval de Troie à la
victime par messagerie instantanée).
 Pièces jointes et fichiers envoyés par messagerie instantanée.
 Connexion d'un ordinateur à un périphérique externe infecté.
 Mise à jour de logiciel.
 Absence de logiciel de protection.
Notions voisines du cheval de Troie
Le cheval de Troie ne doit pas être confondu avec d'autres notions proches :

27
 L'injecteur (ou dropper, en anglais) est quasiment identique au cheval, car il sert lui
aussi de véhicule pour une malveillance. Mais l'injecteur est un programme
spécialement fabriqué pour propager des parasites, alors que le cheval est une version
modifiée d'un programme existant et légitime.
 La porte dérobée (backdoor) est un programme qui va s'exécuter discrètement sur
l'ordinateur où il est installé pour y créer une faille de sécurité. Le backdoor ouvre un
ou plusieurs ports sur la machine, ce qui lui permet d'accéder à internet librement et de
télécharger, à l'insu de l'utilisateur, un parasite. Le backdoor n'est donc pas un cheval
de Troie : il ne véhicule pas le parasite en lui, il va simplement ouvrir l'accès et
récupérer, via internet, le programme malveillant qui se trouve sur un serveur distant.
 Le RAT (Remote administration tool) est un logiciel de prise de contrôle à distance
d'un ordinateur. Un RAT peut être un outil légitime (par exemple pour le dépannage à
distance), mais il peut aussi être utilisé par un pirate pour s'emparer d'une machine.
Dans ce cas, l'introduction du RAT sur la machine à contrôler se fait à l'insu de
l'utilisateur. Par exemple, par un cheval de Troie qui contient le RAT, mais le RAT n'est
pas le cheval. Contrairement à ce qu'on lit parfois, le T de RAT ne signifie pas Trojan
mais Tool (outil).
 Les bombes de décompression ne transportent pas de parasite, mais elles peuvent être
confondues avec les chevaux de Troie car la notion de conteneur entre aussi en jeu. Il
s'agit d'un fichier compressé, par exemple un fichier zip, de taille raisonnable tant qu'il
n'est pas ouvert. Mais lorsque l'utilisateur va tenter de la décompresser, elle va générer
un fichier d'une taille gigantesque. Cette "explosion" entraîne le ralentissement ou le
plantage de l'ordinateur, et sature le disque dur avec des données inutiles. Bien qu'il
s'agisse de conteneurs malveillants, le fonctionnement des bombes de décompression
n'a donc rien à voir avec celui des chevaux de Troie. En effet, elles ne transportent
aucun parasite indépendant, elles saturent la machine de données aléatoires.
 Le Trojan Stealer, plutôt spécialisé dans le vol de données et notamment les comptes
en ligne (Mail, Réseaux sociaux ou encore bancaire). Le préfixe utilisé par les antivirus
peut alors être Trojan.PWD où PWD signifie password pour mot de passe.
Symptômes possibles d'une infection par le cheval de Troie
 Activité anormale de la carte réseau ou du disque dur (des données sont chargées en
l'absence d'activité de la part de l'utilisateur) ou du modem
 Réactions curieuses de la souris
 Ouvertures impromptues de programmes, du lecteur CD/DVD
 Plantages répétés
 Redémarrage répété du système
 Écran ou fenêtres avec des messages inhabituels.

28
 Un comportement inhabituel dans le fonctionnement de l'ordinateur, tels que:
changements d'économiseur d'écran de bureau, modification du rôle des boutons de la
souris, modification du volume du lecteur audio.
 Ouverture/Fermeture intempestive de fenêtres.
 Les programmes commencent ou terminent leur exécution de manière inattendue.
 Le navigateur accède tout seul à certains sites Internet.
 Présence d'autres programmes qui n'ont pas été volontairement installés (y compris des
logiciels malveillants).
 Vol de renseignements personnels : informations bancaires, mots de passe, codes de
sécurité...
 Suppression, modification ou transfert de fichiers (téléchargement ou upload).
 Exécution ou arrêt de processus.
 Arrêt ou redémarrage impromptus de l'ordinateur.
 Surveillance des frappes (voir Enregistreur de frappe)
 Captures d'écran impromptues.
 Espace libre du disque dur occupé par des fichiers inutiles.
Prévention et lutte
 Pour lutter contre ce genre de programme malveillant, l'utilisation d'un antivirus peut
s'avérer efficace, mais reste souvent insuffisante. Il est conseillé de faire une analyse
complète de son système d'exploitation et un nettoyage profond effectué de préférence
par un technicien agréé. Dans certains cas, l'utilisateur peut se retrouver obligé de
démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec
pour pouvoir reprendre la main.
I.3.4 BOMBES LOGIQUES

29
I.3.5 SPYWARES (ESPIOGICIEL)
I.3.5.1 GENERALITES

30
I.3.5.2 TYPES DE SPYWARES
I.3.5.3 PARADES

31
I.3.6 LES RANSOMWARES (RANCOLOGICIEL)

32
I.3.7 LES KEYLOGGERS (ENREGISTREURS DE TOUCHE)

37
I.3.9 LES ROOTKITS
I.3.9.1 GENERALITES
Un rootkit (le nom « outil de dissimulation d'activité » est également utilisé1
, ainsi
que « maliciel furtif »2
et « trousse administrateur pirate »3
), parfois simplement « kit », est
un ensemble de techniques mises en œuvre par un ou plusieurs logiciels, dont le but est
d'obtenir et de pérenniser un accès (généralement non autorisé) à un ordinateur de la manière
la plus furtive possible4,C 1,L 1
, à la différence d'autres logiciels malveillants. Le terme peut
désigner la technique de dissimulation ou plus généralement un ensemble particulier d'objets
informatiques mettant en œuvre cette technique.
Leur furtivité est assurée par plusieurs mécanismes de dissimulation (voir infra) : effacement
de traces, masquage de l'activité et des communications, etc. Un rootkit peut s'installer dans un
autre logiciel, une bibliothèque ou dans le noyau d'un système d'exploitation. Certains peuvent
modifier l'hyperviseur fonctionnant en dessous des systèmes ou le micrologiciel intégré dans
un matériel. La plupart des rootkits servent à installer des logiciels malveillants sur les
machines où l'accès est obtenu. Certains fournisseurs de matériels informatiques, tel Sony, les
utilisent pour s'assurer du respect des conditions d'utilisation de leurs produits par leurs clients.
Certains kits ne jouent pas sur la discrétion mais sur le fait qu'enlever le kit serait une opération
ardueL 2
.
Pour l'« attaquant », l'utilité d'un rootkit est soit de mettre à disposition des ressources système
(temps processeur, connexions réseaux, etc.) sur une, voire plusieurs machines (voir infra),
parfois en utilisant la « cible » comme intermédiaire pour une autre attaque ; soit d'espionner,
d'accéder aux données stockées ou en transit sur la machine cibleL 2
.
Ils sont généralement classés parmi les logiciels malveillants, mais pas toujoursL 1
; ils peuvent
utiliser des « techniques virales » pour se transmettre (par exemple, en utilisant un virus ou un
cheval de Troie)5
. Il existe des outils de détection et des méthodes de protection pour les contrer
mais elles ne sont pas totalement efficaces.
Moyens de détection
La mise en œuvre d'une détection peut, selon le type de rootkit, demander un examen
du système ou d'un périphérique suspect en mode « inactif » (démarrage à partir d'un système
de secours ou d'un système réputé sain). Plusieurs méthodes existent.
La recherche d'objets cachés (tels que des processus informatiques, des clés de
registre, des fichiers, etc.) est essentielle. Des outils comme unhide sous Linux peuvent révéler
les processus cachés. Sous Windows, des outils comme RootkitRevealer recherchent les
fichiers cachés en listant les fichiers via l'API normale de Windows puis en comparant cette
liste à une lecture physique du disque ; les différences entre les deux sont alors repérées comme

38
suspectes, à l'exception des fichiers légitimes connus de Windows, tels que les fichiers de
métadonnées de NTFS comme $MFT ou $Secure49
.
Le calcul régulier des empreintes de fichiers sensibles permet de détecter une
modification inattendue. Le contrôle de l'intégrité des fichiers consiste à calculer, pour chaque
fichier sensible (bibliothèque, commande système, etc.), une empreinte13
. Toute modification
inattendue de cette empreinte indique une modification du fichier, et donc une contamination
potentielle. Cependant, tout système subit des modifications légitimes lors des mises à jour ;
idéalement, l'outil de contrôle a la possibilité d'accéder à une base de référence de ces sommes
de contrôles, selon la version du système utilisée (rkhunter par exemple).
La détection de signatures spécifiques est le procédé classique d'analyse de
signature, comme cela se fait pour les virus : on cherche à retrouver dans le système la trace
d'une infection, soit directement (signature des objets du rootkit), soit par le vecteur d'infection
(virus utilisé par le rootkit)13
.
L’analyse des appels systèmes, des tables d'interruption50,51, et de manière
générale, des tables de travail utilisées par le système, au moyen d'outils spécifiques (des
logiciels anti-espion comme HijackThis), permet de voir si ces appels ont été détournés ou non,
par exemple en comparant ce qui est chargé en mémoire avec les données brutes de bas niveau
(ce qui est écrit sur le disque).
Le hooking consiste à détourner un appel de fonction légitime par un autre qui
contient du code malveillant.
On peut aussi s'intéresser à la charge du système. Du point de vue du processeur et
de l'activité applicative, une surveillance continue peut mettre en évidence une surcharge, à
partir du moment de la contamination. Il s'agit essentiellement d'une analyse de la charge
habituelle de la machine, comme le nombre de mails sortants ou l'occupation du processeur.
Toute modification (en surcharge) sans cause apparente est suspecte, mais elle nécessite une
analyse complémentaire pour écarter les causes légitimes (mise à jour du système, installation
de logiciels, etc.)
De la même manière, l’analyse des flux réseau52
permet de détecter une
surcharge anormale. Mais il convient également de surveiller une utilisation de ports logiciels
inhabituels grâce aux traces issues d'un pare-feu ou grâce à un outil spécialisé. Il est également
possible de faire une recherche des ports ouverts et cachés, en comparant ce que connaît le
système avec ce qui est effectivement ouvert, grâce à des outils d'investigation comme unhide-
tcp. Toute différence peut être considérée comme anormale. Il existe cependant des moyens de
dissimulation réseau, comme de la stéganographie ou l'utilisation de canaux cachés, qui rend
la détection directe impossible, et nécessite une analyse statistique qui n'est pas forcément
déterminante53
.

39
L’analyse automatisée des logs système54
s'appuie sur le principe de
corrélation, avec des outils de type HIDS qui disposent de règles paramétrables55
pour repérer
les événements anormaux et mettre en relation des événements systèmes distincts, sans rapport
apparent ou épars dans le temps.
Le site du Cert-IST propose régulièrement des informations sur les rootkits et les logiciels
malicieux en général56
.
Moyens de protection et de prévention
Les moyens de détection peuvent également servir à la prévention, même si celle-
ci sera toujours postérieure à la contamination. D'autres mesures en amont peuvent rendre
difficile l'installation d'un rootkit57
.
La correction des failles par mise à jour du système d'exploitation permet de
réduire la surface d'exposition du système en limitant le temps pendant lequel une faille est
présente sur le système58
et dans les applications54
, afin de prévenir les exploits pouvant être
utilisés pour la contamination.
L’utilisation d'un pare-feu, qui fait partie des bonnes pratiques dans le domaine de
la sécurité informatique, se révèle efficace dans le cas des rootkits51,54,58
car cela empêche les
communications inattendues (téléchargements de logiciel, dialogue avec un centre de contrôle
et de commande d'un botnet, etc.) dont ont besoin les rootkits.
Il est possible de désactiver le système de chargement de modules en rendant le
noyau statique, ce qui protège contre les rootkits qui s'installent en chargeant un module ;
certains rootkits arrivent cependant à contourner cela en reconnaissant l'empreinte du module
directement dans la mémoireC 9
.
De même, pour renforcer la robustesse des bibliothèques et empêcher le hooking, il est
possible de compiler statiquement les bibliothèquesC 10
.
La complexité d'un mot de passe augmente exponentiellement lorsque sa taille et le
nombre de caractères différents qu'il utilise augmentent. Un mot de passe complexe sera plus
long à deviner dans une attaque par force brute.
Des systèmes de prévention d'intrusion54, sous forme de logiciel ou de matériel,
répondent dès qu'une intrusion est détectée, en bloquant des ports ou en interdisant la
communication avec une source (adresse IP) douteuse, ou toute autre action appropriée. La
détection sera d'autant meilleure que l'outil utilisé sera externe au système examiné, puisque
certains rootkits peuvent atteindre des parties de très bas niveau dans le système, jusqu'au
BIOS. Un des avantages de ces outils est l'automatisation des tâches de surveillance13
.
Des outils spécialisés de contrôle d'intégrité des fichiers peuvent produire des
alertes lors de modifications inattendues. Cependant, ce contrôle à lui seul est insuffisant si

40
d'autres mesures préventives ne sont pas mises en œuvre, si aucune réponse du système n'est
déclenchée ou si ces différences ne sont pas analysées.
Le renforcement de la robustesse des mots de passe est une autre des bonnes
pratiques de sécurité informatique qui élimine une des sources principales de contamination.
Des éléments d'authentification triviaux sont des portes ouvertes pour tout type d'attaque
informatique.
Le démarrage du système à partir d'une image saine, contrôlée et réputée valide
du système d'exploitation, via un support fixe (comme un LiveCD, une clé USB) ou par
réseau, permet de s'assurer que les éléments logiciels principaux du système ne sont pas
compromis, puisqu'à chaque redémarrage de la machine concernée, une version valide de ces
objets est chargée. Un système corrompu serait donc remis en état au redémarrage (sauf dans
le cas de rootkit ayant infecté un plus bas niveau, comme le BIOS).
Les moyens de protection habituels sont également valables contre les rootkits :
« Do everything so that attacker doesn’t get into your system »53
. Durcissement du système51
,
filtrages applicatifs (type modsecurity), utilisation de programmes antivirus51,58 pour
minimiser la surface d'attaque et surveiller en permanence les anomalies et tentatives de
contamination, sont bien sûr à mettre en œuvre pour éviter la contamination du système et
l'exposition aux exploits.
Outils et logiciels de détection
À part quelques cas particuliers, l'industrie de la sécurité informatique a tardé à
prendre en compte les rootkits, les virus puis les chevaux de Troie accaparant l'attention des
éditeurs. Il existe cependant quelques logiciels de détection et de prévention spécifiques à
Windows, tels que Sophos Anti-Rootkit ou AVG Anti-Rootkit. Sous Linux, on peut citer
rkhunter et chkrootkit ; plusieurs projets open-source existent sur Freshmeat et Sourceforge.net.
Aujourd'hui, il reste difficile de trouver des outils spécifiques de lutte contre
les rootkits, mais leur détection et leur prévention sont de plus en plus intégrées dans les
systèmes de prévention d'intrusion et même dans les antivirus classiques, lesquels sont de plus
en plus obligés de se transformer en suites de sécurité pour faire face à la diversité des menaces ;
ils proposent en effet de plus en plus souvent des protections contre les rootkits.

41
I.4 LES LOGICIELS ANTI-PROGRAMMES MALVEILLANTS
(Logiciels de sécurité informatique)
I.4.1 LISTE DE LOGICIELS DE SECURITE INFORMATIQUE
I.4.1.1. Lutte contre les rootkits
Programmes de détection, d'analyse et de prévention de rootkits spécifiques à Windows
 Sophos Anti-rootkit [archive]
 RkU (rootkit unhooker)
 IceSword
 RootkitRevealer de Sysinternals (en), Microsoft1
 Blacklight de F-Secure
 Rootkit Hook Analyzer[réf. souhaitée]
 RootAnalyser (Safer Networking)
 HijackThis
 GMER (en)
 DarkSpy
 Trend Micro Rootkit Buster2
Programmes de détection et de prévention de rootkits spécifiques à Linux
 chkrootkit de Nelson Murilo et Klaus Steding-Jessen (UNIX/Linux)
 rkhunter de Michael Boelen (UNIX/Linux)
 Zeppoo de ZeppooTeam (UNIX/Linux), renommé kernsh le 15 mai 2007, ce projet est
maintenant intégré dans le framework ERESI (18 septembre 2007).
 unhide
I.4.1.2 Outils anti-malware
 Ad-Aware
 AdwCleaner
 Malwarebytes Anti-Exploit
 Malwarebytes Anti-Malware
 Spybot S&D (Safer Networking)
 SpywareBlaster
 SpywareGuard
 Windows Defender
I.4.1.3 Filtres applicatifs
 Modsecurity

42
I.4.1.4 Recherche de vulnérabilités
 Nikto Web Scanner (en)
 Nessus
 Nmap
 LanGuard de GFI Software (en)3
 Elastic Detector [archive]
I.4.1.5 Pare-feux
I.4.1.6 Outils de type suite de sécurité
Il s'agit d'outils ayant plusieurs fonctionnalités de protection, contre les virus mais aussi souvent
contre les rootkits, contre les comportements anormaux (par analyse des événements sur le
système), etc.
 ThreatFire
 Prevx
I.4.1.7 Anti-virus
Il est également utile de savoir que des outils dits anti-virus complètent leurs mécanismes de
protection avec la détection de rootkits, le filtrage de courrier, la protection des informations
personnelles, les logiciels espions (ou spywares), etc (cf p Liste de logiciels antivirus).
I.4.2 LOGICIELS ANTI-VIRUS
I.4.2.1 NOTIONS LOGICIELS ANTI-VIRUS
Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des logiciels
malveillants (dont les virus informatique1
ne sont qu'une catégorie).
Ces derniers peuvent se baser sur l'exploitation de failles de sécurité, mais il peut également
s'agir de logiciels modifiant ou supprimant des fichiers, que ce soit des documents de
l'utilisateur stockés sur l'ordinateur infecté, ou des fichiers nécessaires au bon fonctionnement
de l'ordinateur (le plus souvent ceux du système d'exploitation).
Fonctionnement
Un logiciel antivirus vérifie les fichiers et courriers électroniques, les secteurs de démarrage
(afin de détecter les virus de boot), mais aussi la mémoire vive de l'ordinateur, les médias
amovibles (clefs USB, CD, DVD, etc.), les données qui transitent sur les éventuels réseaux
(dont internet), etc.

43
Différentes méthodes sont possibles :
 Les principaux antivirus du marché se concentrent sur des fichiers et comparent alors la
signature virale du virus aux codes à vérifier ;
 La méthode heuristique est la méthode la plus puissante, tendant à découvrir un code
malveillant par son comportement. Elle essaie de le détecter en analysant le code d'un
programme inconnu. Parfois de fausses alertes peuvent être provoquées ;
 L’analyse de forme repose sur du filtrage basé entre des règles regexp ou autres, mises dans un
fichier junk. Cette dernière méthode peut être très efficace pour les serveurs de messagerie
électronique supportant les regexp type postfix puisqu'elle ne repose pas sur un fichier de
signatures.
Les antivirus peuvent balayer le contenu d'un disque dur, mais également la mémoire vive de
l'ordinateur. Pour les antivirus les plus modernes, ils agissent en amont de la machine en
scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux descendant
(téléchargement) que montant (téléversement ou upload). Ainsi, les courriels sont examinés,
mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms,
disquettes, connexions réseau, clefs USB…
Approches
On distingue plusieurs types de logiciels antivirus selon leur fonctionnement. La première
méthode est celle du dictionnaire.
Dictionnaire
Les créateurs de logiciels antivirus ayant préalablement identifié et enregistré des informations
sur des virus, comme le ferait un dictionnaire, le logiciel antivirus peut ainsi détecter et localiser
la présence d’un virus.
On appelle ce dictionnaire la base de définition virale qui contient les signatures de virus.
Lorsque cela se produit, l'antivirus dispose de trois options, il peut :
1. Effectuer la suppression du fichier contaminé.
2. Tenter de réparer le fichier endommagé en éliminant le virus ;
3. Déplacer le fichier dans une zone de quarantaine afin qu’il ne puisse être accessible aux autres
utilisateurs et logiciels. Ceci permet d'éviter que le virus se répande (par autoréplication), et
permet éventuellement de réparer le fichier ultérieurement ;
Afin de maximiser le rendement de l'antivirus, il est essentiel d’effectuer de fréquentes mises
à jour en téléchargeant des versions plus récentes. Des internautes consciencieux et possédant
de bonnes connaissances en informatique peuvent identifier eux-mêmes des virus et envoyer
leurs informations aux créateurs de logiciels antivirus afin que leur base de données soit mise
à jour.

44
Généralement, les antivirus examinent chaque fichier lorsqu'il est créé, ouvert, fermé ou lu. De
cette manière, les virus peuvent être identifiés immédiatement. Il est possible de programmer
le système d’administration pour qu’il effectue régulièrement un examen de l'ensemble des
fichiers sur l'espace de stockage (disque dur, etc).
Même si les logiciels antivirus sont très performants et régulièrement mis à jour, les créateurs
de virus font tout aussi souvent preuve d'inventivité. En particulier, les virus
« oligomorphiques », « polymorphiques » et plus récemment, « métamorphiques », sont plus
difficiles à détecter.
Une autre technique pour contourner ces définitions virales consiste à utiliser des
packers/crypters, le fichier malicieux est chiffré et compressé et déchiffré et décompressé lors
de son exécution, un peu à la manière des fichiers zip auto-extractible. Le fait que le fichier est
chiffré empêche une détection par signature et permet de démultiplier les fichiers malicieux à
partir d'une base unique en changeant de packers/crypters.
Liste blanche
La « liste blanche » est une technique de plus en plus utilisée pour lutter contre les logiciels
malveillants. Au lieu de rechercher les logiciels connus comme malveillants, on empêche
l'exécution de tout logiciel à l'exception de ceux qui sont considérés comme fiables par
l'administrateur système. En adoptant cette méthode de blocage par défaut, on évite les
problèmes inhérents à la mise à jour du fichier de signatures virales. De plus, elle permet
d'empêcher l'exécution de logiciels indésirables.
Étant donné que les entreprises modernes possèdent de nombreuses applications considérées
comme fiables, l'efficacité de cette technique dépend de la capacité de l'administrateur à établir
et mettre à jour la liste blanche. Cette tâche peut être facilitée par l'utilisation d'outils
d'automatisation des processus d'inventaire et de maintenance.
Comportements suspects
Une autre approche pour localiser les virus consiste à détecter les comportements suspects des
programmes. Par exemple, si un programme tente d’écrire des données sur un programme
exécuté, modifier/supprimer des fichiers système l’antivirus détectera ce comportement
suspect et en avisera l’utilisateur qui choisira les mesures à suivre.
Contrairement à l’approche précédente, la méthode du comportement suspect permet
d’identifier des virus très récents qui ne seraient pas encore connus dans le dictionnaire de
l'antivirus. Toutefois, le fait que les utilisateurs soient constamment avertis de fausses alertes
peuvent les rendre insensibles aux véritables menaces. Si les utilisateurs répondent
« Accepter » à toutes ces alertes, l’antivirus ne leur procurera aucune protection
supplémentaire. Ce problème s’est aggravé depuis 1997, puisque plusieurs programmes
inoffensifs ont modifié certains fichiers exécutables sans observer ces fausses alertes. C’est
pourquoi, les antivirus les plus modernes utilisent de moins en moins cette méthode.

45
L'intelligence artificielle des nouveaux antivirus leur permet de choisir la décision à prendre
sans en avertir l'utilisateur, ce qui permet d'utiliser à nouveau cette méthode. De plus les filtres
se sont considérablement améliorés et les faux positif sont moins nombreux.
Autres approches
L’analyse heuristique est utilisée par quelques antivirus. Par exemple, l’antivirus peut analyser
le début de chaque code de toutes les nouvelles applications avant de transférer le contrôle à
l’usager. Si le programme semble être un virus, alors l’usager en sera averti. Toutefois, cette
méthode peut également mener à de fausses alertes. La méthode heuristique permet de détecter
des variantes de virus et, en communiquant automatiquement les résultats de l'analyse à
l'éditeur, celui-ci peut en vérifier la justesse et mettre à jour sa base de définitions virales.
La méthode du bac à sable (sandbox en anglais) consiste à émuler le système d’exploitation et
à exécuter le fichier lors de cette simulation. Une fois que le programme prend fin, les logiciels
analysent le résultat du bac à sable afin de détecter les changements qui pourraient contenir des
virus. En raison des problèmes de performance, ce type de détection a lieu habituellement
pendant le balayage sur demande. Cette méthode peut échouer puisque les virus peuvent
s’avérer non déterministes et résulter de différentes actions ou même peut-être d’aucune action
lorsque exécuté. Il est impossible de le détecter à partir d’une seule exécution.
Les packers[à définir]
posent des problèmes d'efficacité aux détections par signature. Une autre
limite était le temps assez long entre le moment où l'éditeur mettait à jour ses définitions virales,
la disponibilité en ligne et la mise à jour des clients antivirus. Temps pendant lequel les
utilisateurs pouvaient être vulnérables.
Pour pallier cela, les éditeurs utilisent des "Antivirus Cloud", où des bases de données
gigantesques sont disponibles en ligne, permettant de recouper certaines données. En outre, ces
bases de données sont utilisées en temps réel par les antivirus et permettent donc de supprimer
le laps de temps entre la mise en ligne et le téléchargement des définitions virales.
Enfin, cela permet aussi d'alléger les clients antivirus où les bases locales étaient de plus en
plus volumineuses face à la multiplication des menaces et l'utilisation des packers/crypters[à
définir]
.
I.4.2.2 LISTE DES LOGICIELS ANTI-VIRUS
Logo symbolisant l’antivirus.
Les antivirus sont des logiciels conçus pour identifier, neutraliser et
éliminer des logiciels malveillants (dont les virus informatique1
ne sont qu'une catégorie).

46
Ces derniers peuvent se baser sur l'exploitation de failles de sécurité, mais il peut également
s'agir de logiciels modifiant ou supprimant des fichiers, que ce soit des documents de
l'utilisateur stockés sur l'ordinateur infecté, ou des fichiers nécessaires au bon fonctionnement
de l'ordinateur (le plus souvent ceux du système d'exploitation).
Les sociétés et logiciels anti-virus ci-dessous sont classés par ordre alphabétique.
LISTE DES LOGICIEL ANTIVIRUS
Principales
Agnitum (en) · Avast Software · AVG Technologies · Avira · Bitdefender ·
Comodo (en) · Dr. Web (en) · ESET · F-Secure · Kaspersky · Intel Security (en) ·
Microsoft · Panda · Qihoo 360 · Sophos · Symantec · Trend Micro
Secondaires
AhnLab (en) · Cisco · Check Point · ClamWin · Fortinet · FRISK (en) · G Data
Software · iolo (en) · Intego · Kingsoft (en) · Lavasoft · Malwarebytes · Quick
Heal (en) · TrustPort (en) · VirusBlokAda · Webroot (en) · Zemana (en) · Zone Alarm
PC
ET
SERVEUR
AhnLab V3 Internet Security (en) · Avast Antivirus · AVG · Avira Internet Security ·
Bitdefender · ClamWin · ClamAV · Comodo Antivirus (en) · Comodo Internet
Security · Dr. Web (en) · NOD32 · F-Secure · F-PROT (en) · Fortinet · G Data
Software · Advanced SystemCare (en) · iolo System Shield (en) · Kaspersky Anti-
Virus · Kaspersky Internet Security · KingSoft · Mac Internet Security · Malwarebytes'
Anti-Malware · McAfee VirusScan · Microsoft Security Essentials · Windows
Defender · Panda · 360 Safeguard (en) · Outpost Security Suite (en) · Sophos ·
Symantec Endpoint Protection (en) · Immunet (en) · Element Anti-Virus (en) · Norton
AntiVirus · Norton Internet Security · Spyware Doctor · VirusBarrier · Trend Micro
Internet Security (en) · TrustPort (en) · Vba32 AntiVirus (en) · Zone Alarm
MOBILE
ET
TABLETTE
AhnLab Mobile Security (en) · Avast Antivirus · AVG AntiVirus (en) · Avira Free
Android Security · Bitdefender Mobile Security · CM Security · Comodo Mobile
Security (en) · Dr. Web Mobile Security Suite (en) · ESET Mobile Security · F-Secure
Mobile Security · G Data MobileSecurity · Lookout Mobile Security (en) · McAfee
Mobile Security · FireAMP Mobile · Trend Micro Mobile Security · TrustPort Mobile
Security (en) · VirusBarrier

47
I.4.2.3 TABLEAU COMPARATIF DES LOGICIELS ANTI-VIRUS
Logiciel
Wind
ows
Mac OS
X
GNU/
Linux
FreeBS
D
Uni
x
Licence
Scan sur
demande
Protection en
temps réel
Scan
d'amorça
ge
Ad-Aware Oui Non Non Non Non Propriétaire Oui Oui Non
AOL Active Virus Shield Oui Non Non Non Non Freeware Oui Oui Non
Avast! Home Edition Oui Oui Oui Non Non Nagware Oui Oui Oui
Avast! Professional
Edition
Oui Oui Oui Non Non Propriétaire Oui Oui Oui
Avetix Antivirus Free (plus
actif depuis 2015)
Oui Non Non Non Non Freeware Oui Oui Non
Avetix Antivirus Pro Oui Non Non Non Non Propriétaire Oui Oui Non
AVG Anti-Virus Oui Non Oui Oui Non Propriétaire Oui Oui Non
AVG Anti-Virus Free Oui Non Oui Non Non Nagware Oui Oui Non
Avira AntiVir Personal -
Free Antivirus
Oui Oui Non Non Non Nagware Oui Oui Non
Avira AntiVir Premium Oui Oui Oui Oui Oui Propriétaire Oui Oui Non
BitDefender Oui Oui Oui Oui Non Propriétaire Oui Oui Non
BitDefender Free Edition Oui Non Non Non Non Nagware Oui
Oui
(avec
Winpooch)
Non
BullGuard Oui Non Non Non Non Propriétaire Oui Oui Non
CA Anti-Virus Oui Oui Oui Non Oui Propriétaire Oui Non Non
Clam AntiVirus
Avec
Clam
Win
Avec
ClamXa
v
Avec
KlamA
V et
ClamT
k
Oui Oui GNU GPL Oui
Oui (en
ajoutant
ClamWin et
Clam Sentinel
sous
MSWindows)
Non
ClamWin Oui Non Non Non Non GNU GPL Oui
Avec
Winpooch
(périmé) ou
Clam Sentinel
Non
Comodo AntiVirus Oui Non Oui Non Non Freeware Oui Oui Oui

48
Logiciel
Wind
ows
Mac OS
X
GNU/
Linux
FreeBS
D
Uni
x
Licence
Scan sur
demande
Protection en
temps réel
Scan
d'amorça
ge
Emsisoft Anti-Malware Oui Non Non Non Non Propriétaire Oui Oui Oui
Emsisoft Anti-Malware Oui Non Non Non Non Freeware Oui Non Non
F-Prot Oui Non Oui Oui Oui Propriétaire Oui Oui Non
F-Secure Oui Non Oui Non Non Propriétaire Oui Oui Non
Fortinet FortiClient End
Point Security
Oui Non Non Non Non Propriétaire Oui Oui Non
G Data Software Oui Non Non Non Non Propriétaire Oui Oui Non
Iantivirus Oui Oui Non Non Non Freeware Oui Oui Non
Kaspersky Anti-Virus Oui Oui
Oui
(SMB
et
ENT)
Oui
(SMB et
ENT)
Oui Propriétaire Oui Oui Non
McAfee VirusScan Oui Oui Oui Oui Oui Propriétaire Oui Oui Non
Microsoft Security
Essentials
Oui Non Non Non Non Freeware Oui Oui Non
NOD32 Oui Oui Oui Oui Oui Propriétaire Oui Oui Non
Norman Oui Non Oui Non Non Propriétaire Oui Oui Non
Norton AntiVirus
(Symantec)2
Oui Oui Non Oui Oui Propriétaire Oui Oui Oui
Panda Antivirus Oui Oui Oui Non Non Propriétaire Oui Oui Non
PC Tools AntiVirus Oui Oui Non Non Non Propriétaire Oui Oui Non
PC Tools AntiVirus Free
Edition (interrompu)
Oui Oui Non Non Non Freeware Oui Oui Non
PCSafer Home edition Oui Non Non Non Non Freeware Oui Oui Non
Qihoo 360 Internet
Security
Oui Oui Non Non Non Freeware Oui Oui Oui
Qihoo 360 Total Security Oui Oui Non Non Non Freeware Oui Oui Oui
Sophos Anti-Virus Oui Oui Oui Oui Oui Propriétaire Oui Oui Non

49
Logiciel
Wind
ows
Mac OS
X
GNU/
Linux
FreeBS
D
Uni
x
Licence
Scan sur
demande
Protection en
temps réel
Scan
d'amorça
ge
TrustPort Antivirus Oui Non Non Non Non Propriétaire Oui Oui
Vba32Antivirus Oui Non Oui Oui Non Propriétaire Oui
Seulement sur
Windows
Non
VIPRE Antivirus +
Antispyware (Sunbelt
Software)
Oui Oui Non Non Non Propriétaire Oui Oui Oui
VirusBarrier Express
(Intego)
Oui Oui Non Non Non Freeware Oui Oui Oui
VirusBarrier Plus
(Intego)
Oui Oui Non Non Non Propriétaire Oui Oui Oui
VirusBarrier X5 (Intego) Oui Oui Non Non Non Propriétaire Oui Oui Oui
VirusBuster Oui Non Oui Oui Oui Propriétaire Oui Oui Non
VirusKeeper (AxBx) Oui Non Non Non Non Propriétaire Oui Oui Oui
Windows Defender Oui Non Non Non Non Freeware Oui Oui Oui
Zone Alarm Antivirus Oui Non Non Non Non Propriétaire Oui Oui Oui
I.4.3 AVAST ANTIVIRUS
Avast Antivirus
Développeur Avast Software
Dernière version 18.3.2333 (3 avril 2018)
Environnement Windows, OS X, Android, Linux (serveur)

50
Langues Multilingue (46 langues)N 1
Type Antivirus
Politique de distribution Freemium
Licence Propriétaire
Site web www.avast.com [archive]
modifier
Avast Antivirus est un logiciel antivirus développé par la société Avast Software
(anciennement Alwil Software) située à Prague en République tchèque. C'est un logiciel
propriétaire comportant une version gratuite pour une utilisation personnelle et non
commerciale. En mars 2015, Avast regroupe 233 millions d'utilisateurs actifs à travers le
monde répartis dans 184 pays1[réf. insuffisante]
et est disponible en 46 langues.
I.4.3.1 Historique
À la fin des années 19802[réf. insuffisante]
, deux informaticiens tchèques Eduard Kučera et Pavel
Baudiš ont élaboré un programme qu'ils ont appelé « anti-virus advanced set » (AVAST).
« Avast » est aussi un terme nautique hollandais (et anglais) qui signifie « stop ». Les deux
programmeurs ont développé leur idée et ont fini par produire un antivirus complet du nom
d'Avast.
I.4.3.2 Présentation
À la différence de certains antivirus gratuits[réf. nécessaire]
, ses mises à jour s'effectuent
automatiquement dès la connexion à Internet, à l'instar de ses concurrents payants. Avast
bénéficie également d'un moteur anti-rootkit (basé sur la technologie GMER) et anti-spyware
depuis sa version 4.8.1169, ce qui en fait une suite de sécurité.
Dans le passé, lorsqu'une nouvelle infection apparaissait, Avast était souvent parmi les
antivirus les plus lents à l'intégrer dans sa base de données (généralement deux ou trois
semaines plus tard, ce qui laissait à l'infection le temps de gagner de nombreux ordinateurs
équipés d'Avast). Néanmoins, avec son gain en popularité chez les utilisateurs familiaux, les
mises à jour sont maintenant[Quand ?]
quotidiennes3[réf. insuffisante]
.
I.4.3.3 Version gratuite
La version gratuite est uniquement disponible pour utilisation personnelle et non commerciale.
Mais ni pour les institutions, ni pour les associations.

51
Jusque à la version 11.1.2241 (version de 2016) l'inscription était obligatoire au bout de 12
mois afin de pouvoir continuer à bénéficier de l'antivirus depuis la version gratuite est
disponible à vie sans avoir à créer de comptes.
Il existe une version gratuite pour les Très Petites Entreprises et PME en France ainsi que pour
les établissements éducatifs aux États-Unis.
Identité visuelle (logo)

Logo d'Avast avant 2010.

Logo d'Avast de février à septembre 2010.

Logo d'Avast de septembre 2010 à septembre 2016.

Logo d'Avast depuis septembre 2016.

Logo d'Avast Alternative depuis septembre 2016.
Versions et dates de sorties

52
Avast! free, la version gratuite du logiciel a évolué depuis la v5.0 en 2007, avant nommée
Avast! Home Edition. Quelques repères :
 18.1.2326 (13/02/2018) dernière version
 12.1.2272 (21/06/2016)
 11.1.2253 (04/02/2016)
 11.1.2241 (04/11/2015) dite 2016
 10.4.2233 (18/09/2015)
 10.0.2206 (28/10/2014) dite version 2015
 9.0.2006 (07/10/2013) dite version 2014
 8.0.1482 (01/03/2013) dite version 2013
 7.0.1407 (24/02/2012)
 6.0.1000 (24/02/2011)
 5.0.377 (20/01/2010)
I.4.4 WINDOWS DEFENDER
I.4.4.1 PRESENTATION
Windows Defender, appelé officiellement Windows Defender Antivirus dans Windows 10
Creators Update, est un composant antivirus de Microsoft Windows.
Microsoft a d'abord offert le logiciel en téléchargement comme un programme antiespion
gratuit pour Windows XP. Microsoft a par la suite livré le logiciel comme un antiespion avec
Windows Vista et Windows 7. Finalement, le logiciel a été transformé en un programme
antivirus complet remplaçant Microsoft Security Essentials dans Windows 8 et les versions
ultérieures de Windows.
Ce logiciel était édité par Giant Software (en) avant son achat par Microsoft.
Développeur Microsoft
Fichier exécutable MSASCui.exe

53
Dernière version 4.8.10240.16384 (Windows 10) (Juillet 2015)
Environnement Microsoft Windows
Langues Multilingue
Type Outil de suppression de spyware, puis programme anti-virus
Licence Gratuiciel
Site web Windows Defender [archive]
I.4.4.2 Fonctions de base
Avant Windows 8, Windows Defender protégeait ses utilisateurs contre les logiciels espions1
.
Il comprenait un certain nombre d'agents de sécurité qui surveillaient en temps réel plusieurs
zones de Windows pour détecter des modifications qui auraient pu être causées par des logiciels
espions.
Il permettait aussi de supprimer facilement des logiciels ActiveX installés. Windows Defender
incluait un support intégré pour Microsoft SpyNet (en) qui permet aux utilisateurs de signaler
à Microsoft ce qu'ils considèrent comme des logiciels espions et quelles applications et pilotes
de périphériques ils permettent d'installer sur leur système. La protection contre les virus a été
ajoutée dans Windows 8 ; Windows Defender dans Windows 8 ressemble à Microsoft Security
Essentials et utilise les mêmes définitions de virus.
Dans Windows 10, les paramètres de Windows Defender sont contrôlés par l'application
Paramètres qui peut être activée en cliquant sur le bouton démarrer, puis sur le bouton
Paramètres. Depuis la mise à jour anniversaire de Windows 10, une bulle de notification
annonce les résultats d'une analyse du système, même si aucun virus n'a été trouvé2
.
I.4.4.2 Histoire
Versions bêta
Windows Defender est basé sur le logiciel GIANT AntiSpyware, développé à l'origine par
GIANT Company Software Inc.. Microsoft a annoncé l'acquisition de cette société le 16
décembre 20043,4
. Bien que le logiciel original GIANT AntiSpyware prenait en charge les
anciennes versions de Windows, le support de la ligne de systèmes Windows 9x a été
abandonné.

54
La première version test de Microsoft AntiSpyware a été publiée le 6 janvier 2005 et était
essentiellement une copie réemballée de GILANT AntiSpyware3
. De nouvelles versions bêta
ont été publiées en 2005 et la dernière version bêta 1 a été publiée le 21 novembre 2005.
Lors de la conférence RSA Security de 2005, le concepteur de systèmes logiciels en chef et
cofondateur de Microsoft, Bill Gates, a annoncé que Windows Defender (connu sous le nom
de Microsoft AntiSpyware avant le 4 novembre 2005) serait mis gratuitement à la disposition
de tous les utilisateurs de versions autorisées de Windows 2000, Windows XP et Windows
Server 2003 pour aider à sécuriser leurs systèmes contre la menace croissante des logiciels
malveillants5
.
Windows Defender (bêta 2) a été publié le 13 février 2006. Cette version porte le nouveau nom
du programme et inclut une refonte significative de l'interface utilisateur. Le moteur de base a
été réécrit en C++, alors que le logiciel original développé par GIANT était écrit en Visual
Basic6
. La conversion à C++ a amélioré la performance de l'application. De plus, depuis la
version bêta 2, le programme fonctionne comme un service Windows, contrairement aux
versions antérieures, ce qui permet à l'application de protéger l'ordinateur même si un
utilisateur n'est pas connecté à l'application. La version bêta 2 nécessite également la validation
Windows Genuine Advantage.
Cependant, Windows Defender (bêta 2) ne contenait pas certains des outils inclus dans
Microsoft AntiSpyware (bêta 1). Microsoft a supprimé les outils System Inoculation, Secure
Shredder et System Explorer inclus dans la version bêta 1 ainsi que l'outil Tracks Eraser qui
permettait aux utilisateurs de supprimer facilement de nombreux types de fichiers temporaires
liés à Internet Explorer 6, incluant les témoins (cookies), les fichiers Internet temporaires et
l'historique de lecture du Lecteur Windows Media3
. Microsoft a, par la suite, publié des
versions allemande et japonaise de Windows Defender (bêta 2)7,8
.
Disponibilité générale du logiciel antiespion
Le 24 octobre 2006, Microsoft a lancé Windows Defender en version régulière (non bêta). Le
logiciel prenait en charge Windows XP et Windows Server 2003. Cependant, contrairement
aux versions bêta, il ne pouvait pas être exécuté sur Windows 20009
.
Conversion vers des fonctions antivirus
Windows Defender était inclus dans Windows Vista et Windows 7 en tant que composant
antiespion intégré. Dans Windows Vista et Windows 7, Windows Defender pouvait être
remplacé par Microsoft Security Essentials, un produit antivirus de Microsoft qui protégeait
l'ordinateur contre une gamme plus large de logiciels malveillants. Lors de l'installation,
Microsoft Security Essentials désactivait et remplaçait Windows Defender10,11,12
.

55
Dans Windows 8, Microsoft a amélioré Windows Defender en en faisant un programme
antivirus très similaire à Microsoft Security Essentials pour Windows 7 et en utilisant les
mêmes mises à jour de définitions de virus que Microsoft Security Essentials13
.
Microsoft Security Essentials n'est pas disponible sur les versions de Windows au-delà de
Windows 7. Dans Windows 8 et Windows 10, Windows Defender est activé par défaut. Il
s'interrompt lors de l'installation d'un logiciel antivirus tiers.
À partir de Windows 10, Microsoft a commencé à transférer le contrôle de Windows Defender
hors de son logiciel original. Initialement, sa boîte de dialogue Paramètres a été remplacée par
une page dédiée dans l'application Paramètres de Windows 10. Dans Windows 10 Creators
Update, Windows Defender est renommé Windows Defender Antivirus pour le distinguer du
Windows Defender Security Center. Ce dernier est devenu l'avenue privilégiée pour l'interface
avec Windows Defender14
. Bien qu'il n'y ait pas de raccourci dans le menu démarrer pour
accéder directement au programme Windows Defender, il est toujours possible d'y accéder
facilement15,16
.
I.4.4.3 Fonctions avancées
Protection en temps réel
Dans les options de Windows Defender, l'utilisateur peut configurer des options de protection
en temps réel.
Intégration avec le navigateur
L'intégration avec Internet Explorer et Microsoft Edge permet de scanner les fichiers lorsqu'ils
sont téléchargés pour détecter les logiciels malveillants téléchargés par inadvertance. Bien qu'il
ne s'intègre pas aux navigateurs Web autres que ceux de Microsoft, Windows Defender analyse
les fichiers téléchargés malveillants dans le cadre de sa protection en temps réel.
I.4.4.4 Windows Defender Offline
Windows Defender Offline (anciennement connu sous le nom de Standalone System Sweeper
Beta17
) est un programme antivirus autonome amorçable qui fonctionne à partir d'un disque
amorçable et qui est conçu pour analyser des systèmes infectés alors que leurs systèmes
d'exploitation sont hors ligne18
. Depuis la mise à jour anniversaire de Windows 10, cette
fonctionnalité hors ligne est intégrée dans le programme régulier de Windows Defender19
.
I.4.4.5 Vulnérabilité de sécurité dans Windows Defender
Le 5 mai 2017, Tavis Ormandy (en), un chercheur de vulnérabilités travaillant pour Google, a
découvert une vulnérabilité dans le module d'analyse JavaScript (NScript) du Microsft

56
Antimalware Engine (MsMpEngine) qui affectait Windows Defender, Microsoft Security
Essentials et System Center Endpoint Protection (en). Le 8 mai 2017, Microsoft avait publié
un correctif pour tous les systèmes concernés. Ars Technica a félicité Microsoft pour sa vitesse
de correction sans précédent et a déclaré qu'une catastrophe avait été évitée20,21
.
I.4.4.6 Protéger mon ordinateur avec Windows Defender
S’applique à : Windows 10
Si vous utilisez Windows 10, vous bénéficierez de la protection antivirus la plus récente grâce
à Windows Defender. Lorsque vous démarrez Windows 10 pour la première fois,
Windows Defender est activé et protège votre PC en recherchant des logiciels malveillants, des
virus et toute menace à la sécurité. Windows Defender utilise la protection en temps réel pour
analyser tous les éléments que vous téléchargez ou exécutez sur votre PC.
Windows Update télécharge automatiquement les mises à jour de Windows Defender pour
vous aider à sécuriser votre PC et à le protéger contre les menaces.
Si vous disposez d’une version antérieure de Windows et que vous utilisez
Microsoft Security Essentials, il est judicieux de passer à Windows Defender.
Remarque
Si vous installez une autre application antivirus, Windows Defender est automatiquement
désactivé.
Planifier une analyse dans Windows Defender
Windows Defender analyse régulièrement votre PC pour le maintenir en sécurité. Si vous
souhaitez planifier votre propre analyse :
1. Recherchez et ouvrez Tâches planifiées.
2. Dans le volet gauche, développez Bibliothèque du Planificateur de tâches > Microsoft >
Windows, faites défiler vers le bas, puis double-cliquez sur le dossier Windows Defender.
3. Dans le volet en haut au centre, double-cliquez sur Analyse planifiée de Windows Defender.
4. Sélectionnez l’onglet Déclencheurs, puis sélectionnez Nouveau.
5. Définissez la durée et la fréquence, puis sélectionnez OK.
Activer ou désactiver la protection en temps réel de Windows Defender
1. Sélectionnez le bouton Démarrer , puis Paramètres > Mise à jour et sécurité. .
Sélectionnez Windows Defender, puis activez ou désactivez la Protection en
temps réel.

57
I.4.5 NORTON ANTIVIRUS
Norton AntiVirus
Développeur Symantec Corporation
Dernière version 22.10.1.10 (28 août 2017)
Environnement Windows, Mac OS X
Type Antivirus
Licence Propriétaire
Site web
Symantec.com [archive
]
modifier
Norton Antivirus est un logiciel antivirus pour les systèmes d'exploitation Windows et Mac
édité par la société américaine Symantec.
Le logiciel est décliné en trois versions :
 Norton Antivirus : antivirus et antiphishing seulement ;
 Norton Internet Security : suite de logiciels offrant une protection plus complète ;
 Norton 360 : suite offrant une protection optimum et divers outils de sauvegarde de données en
ligne et d'optimisation du PC.
Ce logiciel est souvent offert pour une période d'essai de 30 jours à trois mois à l'achat d'un
ordinateur, ce qui explique en partie sa part de marché importante chez les particuliers.
Cependant, cette pratique est dénoncée par certains comme étant de la vente liée.
Historique

58
Développé par Peter Tippett, le premier logiciel antivirus "Vaccine" est revendu à Symantec
en 1992 et renommé à cette occasion Norton Antivirus.
I.4.6 KASPERSKY ANTI-VIRUS
Kaspersky
Développeur Kaspersky Lab
Première version 1997
Dernière version 2016 (16.0.0.614) (19 novembre 2015)
Environnements Windows, Linux, Macintosh
Langues Multilingue
Type Antivirus et Anti-spywares
Licence Logiciel propriétaire
Site web kaspersky.com [archive]
modifier
Kaspersky Anti-Virus (KAV) (anciennement AntiViral Toolkit Pro ou AVP) est un antivirus
créé par la société russe Kaspersky Lab. Cette dernière met aussi à disposition sur son site un
système de recherche de virus en ligne. Le code source de Kaspersky Anti-Virus a été diffusé
illégalement sur internet en 20081
, le logiciel dans sa version 8 est écrit en C++ et en Delphi2
.
Présentation
Kaspersky est un antivirus doté de fonctions classiques de protection telles que :

59
 Mise en mémoire
 Analyse des courriels
 Analyse heuristique
 Analyse des fichiers compressés
 Protection contre les logiciels espions, les virus, autres vers et chevaux de Troie.
 Défense proactive, empêchant notamment l'installation de rootkits.
 La possibilité de lancer des applications en mode virtuel.
Kaspersky offre des licences de 1 à 3 ans.
Récompenses
Selon AV-Comparative, Kaspersky Antivirus se classe parmi les premiers scanneurs de virus
en termes de détection en dépit du fait que l'antivirus a échoué à deux tests réalisés en 2007 et
2008 par le magazine Virus Bulletin. Par ailleurs, PC World a récompensé cet antivirus dans
sa version 6 par l'octroi du prix Editor's Choice en 2007. Enfin, Ars Technica classe Kaspersky
Antivirus parmi les meilleurs logiciels de sécurité destinés aux plateformes Windows.
Kaspersky a été testé par PassMark en 2008.
Limites
Plusieurs options ne se trouvent pas dans cette édition comme : Pare-feu personnel, AntiSpam,
AntiBanner et le contrôle parental. Ces outils sont disponibles avec Kaspersky Internet
Security.
Kaspersky comme la majorité de ses concurrents, est incompatible avec d'autres logiciels
antivirus et antispyware3
.
I.4.7 DARKSPY
DarkSpy est un système de détection d'intrusion à usage individuel. Les auteurs, CardMagic
(Mingyan Sun) et wowocock, étaient pendant la conception des étudiants-chercheurs diplômés
de l'University of Science and Technology of China.
Sommaire
Description
L'essentiel de son développement s'est fait au premier semestre 2006.
Par rapport à d'autres « anti-rootkits », DarkSpy apporte

60
 une capacité supérieure de détection grâce, entre autres, à ses recherches à la base même du
disque dur,
 et des solutions pour désactiver les rootkits en vue de leur éradication, en particulier la
possibilité d'intervention sur les ruches et clés de démarrage des rootkits mises en place et
cachées dans le Registre de Windows.
Depuis sa version v1.0.5, toujours qualifiée de « version de test » mais déjà stable, il peut
fonctionner en complément d'autres logiciels de défense du PC contre les logiciels malveillants.
Précieux complément des moyens de défense
Partant du principe qu'aucun utilitaire actuel ne peut garantir une détection totale de toutes les
variétés de rootkits présents et à venir, DarkSpy peut être
 le complément d'outils de prévention d'intrusion comme "Antihook" ou Winpooch ou des
versions récentes d'utilitaires commerciaux comme Nod32, '"F-Secure"', "Kaspersky" etc.
 celui d'autres anti-rootkits comme "IceSword"' ou "Gmer".
Pour ceux qui n'ont encore qu'un antivirus et un pare-feu classiques, DarkSpy peut même
constituer la base du système de protection contre les rootkits.
Environnement et installation
DarkSpy fonctionne avec les systèmes d'exploitation 32 bits de Microsoft : Windows 2000(SP4
et +) / Windows XP / Windows 2003. Il consomme très peu de ressources et convient donc à
pratiquement tous les PCs.
DarkSpy ne requiert pas d'installation particulière. Son processus est lancé en mémoire depuis
le répertoire du disque où le fichier ".rar" téléchargé a été décompressé.
Pour son fonctionnement, il place le fichier "DarkSpyKernel.sys" dans
"C:WINDOWSsystem32" de manière non définitive. Ce "driver" s'exécute en mode noyau au
sein de la mémoire. Après l'arrêt de DarkSpy et au démarrage suivant du système, ce fichier
n'est pas automatiquement rechargé.
Les traces laissées dans le Registre de Windows sont peu nombreuses. On peut trouver les
"ruches" sans difficulté dans les sections ...
 HKLMSYSTEMControlSetxxxEnumRoot
 HKLMSYSTEMControlSetxxxServices.
Elles ne sont pas dangereuses pour la santé du système. Elles peuvent être laissées ou enlevées
grâce à un bon outil de nettoyage du registre (celui de "IceSword" par exemple).
Précautions avant le lancement

61
Dans certaines conditions d'utilisation, par exemple en présence d'outils actifs de défense du
noyau ou du registre de Windows, DarkSpy, ne peut pas fonctionner normalement et parfois
même pas être lancé.
Des efforts particuliers ont été faits pour que DarkSpy réduise au mieux les possibilités de
conflit. Actuellement, il a été testé en compagnie des suites de Kaspersky / McAfee / Norton /
Jetico + Avast! et d'autres, sous différentes versions de Windows (2k/XP/2k3), mais c'est peut-
être encore insuffisant. Dans un environnement système complexe, il peut encore y avoir des
conflits avec d'autres logiciels. En cas de problème, vous devrez vérifier votre système et
essayer de neutraliser ou même désinstaller le logiciel de sécurité qui s'oppose au
fonctionnement de DarkSpy.
Sous peine de risquer un écran bleu de la mort, prenez garde de ...
 ne jamais essayer de déboguer DarkSpy avec des outils comme "Softice" / "Windbg" / "Syser
debugger", car, naturellement, des fonctionnalités anti-debugg sont incluses.
 ne pas appliquer à DarkSpy un outil de rétro-ingénierie.
Modules de détection des intrusions
Process
DarkSpy établit une liste de tous les processus en activité et dispose essentiellement de trois
fonctions :
 Détection des processus cachés visualisés en rouge,
 Interruption d'un processus sélectionné,
 Interruption forcée d'un processus.
Driver Module
DarkSpy procède à une recherche poussée des extensions d'application : services des processus
- bibliothèques de fonctions) et pilotes cachés. Il en établit une liste complète avec indication
de leur adresse en mémoire et de leur implantation sur le disque.
Les éléments cachés sont visualisés en rouge
Port
DarkSpy recherche et affiche de tous les ports ouverts, dont les ports cachés par un rootkit
ayant des fonctions de cheval de Troie.
Modules de suppression des intrus

62
Le parasite peut être directement neutralisé s'il utilise un processus. Dans le cas d'un service,
DLL ou pilote détecté dans le "Driver Module", il faudra intervenir soi-même aux endroits
d'implantation.
Registry
DarkSpy inclut un très puissant module de gestion du Registre de Windows où se trouvent les
ruches et clés de lancement d'une majorité des intrus, que ceux-ci utilisent un processus ou
(c'est de plus en plus souvent le cas) un (ou plusieurs) service, dll et/ou driver.
Grâce à cet outil, ces clés pourront être modifiées ou supprimées afin que le rootkit ne se relance
pas après un arrêt-redémarrage du système d'exploitation.
File
DarkSpy offre la possibilité de forcer la suppression des fichiers cachés et indésirables. Les
fonctionnalités particulières de DarkSpy lui permettent d'outrepasser les protections de fichiers mises
en place par certains logiciels.
Si les ruches et clés de lancement du rootkit ont été détectées, il est cependant conseillé de les
désactiver et de redémarrer le système avant de supprimer les fichiers actifs. Une fois le rootkit
neutralisé, ses fichiers peuvent être plus facilement supprimés.
I.5 PARE-FEU
I.5.1 Terminologie
Un pare-feu est parfois appelé coupe-feu, garde-barrière, barrière de sécurité, ou encore
firewall. Traduction littérale : mur de feu[réf. souhaitée]
.
Dans un environnement Unix BSD (Berkeley Software Distribution), un pare-feu est aussi
appelé packet filter.
I.5.2 Origine du terme
Selon le contexte, le terme peut revêtir différentes significations :
 dans le domaine de la lutte contre les incendies de forêt, il se réfère aux allées pare-feu destinées
à contenir l'extension des feux de forêts ;

63
 au théâtre, le déclenchement d'un mécanisme « pare-feu » (ou « coupe-feu ») permet d'éviter la
propagation du feu de la salle vers la scène ;
 dans le domaine de l'architecture, il fait référence aux portes coupe-feu ou à tout autre dispositif
constructif destiné à contenir l'extension d'un incendie ;
 en informatique, l'usage du terme « pare-feu » est donc métaphorique. Sa dénomination, reprend
au sens figuré l'intention de "brûler par un mur de feu virtuel" tout ce qui tente d'entrer avec
l'intention de nuire dans une machine ou un réseau. Il établit une barrière de protection contre
les intrusions et les contaminations venant de l’extérieur.
I.5.3 Fonctionnement général
Pare-feu passerelle entre LAN et WAN.
Pare-feu routeur, avec une zone DMZ.
Le pare-feu est jusqu'à ces dernières années considéré comme une des pierres angulaires de la
sécurité d'un réseau informatique (il perd en importance au fur et à mesure que les
communications basculent vers le HTTP sur SSL, court-circuitant tout filtrage). Il permet
d'appliquer une politique d'accès aux ressources réseau (serveurs).
Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant
les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet
(une zone dont la confiance est nulle) et au moins un réseau interne (une zone dont la confiance
est plus importante).
Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents
niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de
connexion basé sur le principe du moindre privilège.
Le filtrage se fait selon divers critères. Les plus courants sont :

64
 l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.) ;
 les options contenues dans les données (fragmentation, validité, etc.) ;
 les données elles-mêmes (taille, correspondance à un motif, etc.) ;
 les utilisateurs pour les plus récents.
Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones
de sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau
de confiance qu'on leur porte.
Enfin, le pare-feu est également souvent situé à l'extrémité de tunnel IPsec ou SSL.
L'intégration du filtrage de flux et de la gestion du tunnel est en effet nécessaire pour pouvoir
à la fois protéger le trafic en confidentialité et intégrité et filtrer ce qui passe dans le tunnel.
C'est le cas notamment de plusieurs produits du commerce nommés dans la liste ci-dessous.
I.5.4 Technologies utilisées
Les pare-feux récents embarquent de plus en plus de fonctionnalités, parmi lesquelles on peut
citer :
 Filtrage sur adresses IP / protocole,
 Inspection stateful2
et applicative,
 Intelligence artificielle pour détecter le trafic anormal,
 Filtrage applicatif :
o HTTP (restriction des URL accessibles),
o Courriel (Anti-pourriel),
o Logiciel antivirus, anti-logiciel malveillant
 Traduction d'adresse réseau,
 Tunnels IPsec, PPTP, L2TP,
 Identification des connexions,
 Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP),
 Clients de protocoles de transfert de fichier (TFTP),
 Serveur Web pour offrir une interface de configuration agréable,
 Serveur mandataire (« proxy » en anglais),
 Système de détection d'intrusion (« IDS » en anglais)
 Système de prévention d'intrusion (« IPS » en anglais)
I.5.5 Catégories de pare-feu
Les pare-feux sont un des plus vieux équipements de sécurité informatique et, en tant que tel,
ils ont été soumis à de nombreuses évolutions. Suivant la génération du pare-feu ou son rôle
précis, on peut les classer en différentes catégories.
Pare-feu sans état (stateless firewall)

65
C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque
paquet indépendamment des autres et le compare à une liste de règles préconfigurées.
Ces règles peuvent avoir des noms très différents en fonction du pare-feu :
 « ACL » pour Access Control List (certains pare-feux Cisco),
 politique ou policy (pare-feu Juniper/Netscreen),
 filtres,
 règles ou rules,
 etc.
La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des
machines à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très
évoluée. Ces pare-feux ont donc tendance à tomber en désuétude mais restent présents sur
certains routeurs ou systèmes d'exploitation.
Article connexe : Serveur sans état.
Pare-feu à états (stateful firewall)
Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-
feux à états vérifient la conformité des paquets à une connexion en cours. C’est-à-dire qu'ils
vérifient que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse
à un paquet dans l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui
servent à la signalisation des flux IP.
Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src, port_src,
ip_dst, port_dst) à passer, un tel pare-feu autorisera la réponse caractérisée par un quadruplet
inversé, sans avoir à écrire une ACL inverse. Ceci est fondamental pour le bon fonctionnement
de tous les protocoles fondés sur l'UDP, comme DNS par exemple. Ce mécanisme apporte en
fiabilité puisqu'il est plus sélectif quant à la nature du trafic autorisé. Cependant dans le cas
d'UDP, cette caractéristique peut être utilisée pour établir des connexions directes (P2P) entre
deux machines (comme le fait Skype par exemple).
Article connexe : Pare-feu à états.
Pare-feu applicatif
Dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un protocole
attendu. Par exemple, ce type de pare-feu permet de vérifier que seul le protocole HTTP passe
par le port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient
très important. Il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un
tunnel TCP afin de contourner le filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains
protocoles comme FTP, en mode passif, échangent entre le client et le serveur des adresses IP

66
ou des ports TCP/UDP. Ces protocoles sont dits « à contenu sale » ou « passant difficilement
les pare-feux » car ils échangent au niveau applicatif (FTP) des informations du niveau IP
(échange d'adresses) ou du niveau TCP (échange de ports). Ce qui transgresse le principe de la
séparation des couches réseaux. Pour cette raison, les protocoles « à contenu sale » passent
difficilement voire pas du tout les règles de NAT ...dynamiques, à moins qu'une inspection
applicative ne soit faite sur ce protocole.
Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque application est
gérée par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour
le concept de module est différente pour chaque type de pare-feu : par exemple : Le protocole
HTTP permet d'accéder en lecture sur un serveur par une commande GET, et en écriture par
une commande PUT. Un pare-feu applicatif va être en mesure d'analyser une connexion HTTP
et de n'autoriser les commandes PUT qu'à un nombre restreint de machines.
 Pare-feu applicatif sur Bee Ware [archive]; DenyAll [archive]
 Firewall as a Service (filtrage en fonction de l'origine et de la destination de chaque paquet)
sur UPPERSAFE [archive]
 Conntrack (suivi de connexion) et l7 Filter (filtrage applicatif) sur Linux Netfilter
 CBAC sur Cisco IOS
 Fixup puis inspect sur Cisco PIX
 ApplicationLayerGateway sur Proventia M,
 Predefined Services sur Juniper ScreenOS
 Stateful Inspection sur Check Point FireWall-1
 Deep Packet Inspection sur Qosmos [archive]
 Web Application Firewall sur BinarySEC [archive]
Pare-feu identifiant
Un pare-feu réalise l’identification des connexions passant à travers le filtre IP.
L'administrateur peut ainsi définir les règles de filtrage par utilisateur et non plus par adresse
IP ou adresse MAC, et ainsi suivre l'activité réseau par utilisateur.
Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et utilisateurs
réalisées par des moyens variés. On peut par exemple citer authpf [archive] (sous OpenBSD) qui
utilise ssh pour faire l'association. Une autre méthode est l'identification connexion par
connexion (sans avoir cette association IP = utilisateur et donc sans compromis sur la sécurité),
réalisée par exemple par la suite NuFW, qui permet d'identifier également sur des machines
multi-utilisateurs.
On pourra également citer Cyberoam qui fournit un pare-feu entièrement basé sur l'identité (en
réalité en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'option
NAC Blade qui permet de créer des règles dynamiques basée sur l'authentification Kerberos
d'un utilisateur, l'identité de son poste ainsi que son niveau de sécurité (présence d'antivirus, de
patchs particuliers).
Pare-feu personnel

67
Les pare-feux personnels, généralement installés sur une machine de travail, agissent comme
un pare-feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données.
Le but est de lutter contre les virus informatiques et les logiciels espions.
Portail captif
Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un réseau de
consultation afin de leur présenter une page web spéciale (par exemple : avertissement, charte
d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont
utilisés pour assurer la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens
d'accès. On les déploie essentiellement dans le cadre de réseaux de consultation Internet
mutualisés filaires ou Wi-Fi.
LISTE DE PARE-FEU
Versions libres
 Linux Netfilter/Iptables, pare-feu libre des noyaux Linux 2.4, 2.6, 3.0 et suivants.
 Linux Ipchains, pare-feu libre de l'ancien noyau Linux 2.2.
 Packet Filter ou PF, pare-feu libre de OpenBSD, importé depuis sur les autres BSD.
 IPFilter ou IPF, pare-feu libre de BSD et Solaris 10 et 11.
 Ipfirewall ou IPFW, pare-feu libre de FreeBSD.
 iSafer, pare-feu libre pour Windows.
Distributions Linux
 SmoothWall : distribution linux packageant Netfilter et d'autres outils de sécurité pour
transformer un PC en pare-feu dédié et complet.
 IPCop : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer
un PC en pare-feu dédié et complet.
 Ipfire : Dérivé de IPCop, mais avec des idées très nouvelles et de design.
 Pfsense, distribution firewall open source très avancée basée sur FreeBSD et dérivée de
m0n0wall qui utilise entre autres OpenBSD packet Filter.
 Zeroshell
 Amon, module du projet EOLE, distribution GNU/Linux se basant sur Ubuntu et proposant des
outils d'administration.
Pare-feu identifiants
 NuFW : Un pare-feu identifiant (authentifiant). La partie serveur et les clients pour OS libres
sont sous licence GPL. Le client Windows est sous licence propriétaire.

68
Portails captifs
 ALCASAR : Solution complète et intégrée pour contrôler et imputer les accès Internet. Sous
licence GPL et gratuit.
Boîtiers pare-feu
 Arkoon Network Security
o Appliances UTM FAST360, certifiées Critères communs niveau EAL3+
 Astaro Security Gateway
o Appliances Astaro UTM, certifiées Critères communs niveau EAL4+ 1
 Check Point
o Check Point FireWall-1
 Cisco Systems
o Cisco PIX, Cisco ASA et Cisco FWSM, boîtier pare-feu
o Cisco VPN3000, boîtier pare-feu orienté RPV
 EdenWall Technologies
o EdenWall, boîtier pare-feu dont la technologie est basée sur NuFW, apportant la notion
d'identité des utilisateurs, en cours de qualification Critères communs niveau
EAL3+[réf. nécessaire]
 Fortinet
o Appliances UTM FortiGate, certifiées Critères communs niveau EAL4+, FIPS 140-
2, multiple ICSA Labs Certifications dont SSL-TLS (VPN), IPSec, Network IPS,
Antivirus, et Firewall
 Juniper Networks
o Juniper Screen OS, boîtier pare-feu
 NetASQ
o Appliances UTM NetASQ, certifiées Critères Communs niveau EAL4+(fr)) et IPv6
ready ipv6forum [archive]
 Nortel
o Famille Nortel VPN Router
o Famille Nortel Switched Firewall
 Stonesoft
o StoneGate, pare-feu professionnel commercial centralisé pour gérer ses grappes
d'appliances Pare-feu VPN et NIDS

69
 ZyXEL
o ZyWALL, pare-feu professionnel UTM (Antivirus, filtrage applicatif, IDP, filtrage de
contenu, antispam) avec Tunnel VPN IPSEC et SSL
Pare-feu personnels
 Comodo Firewall : gratuit pour usage personnel, compatible avec d'autres logiciels de
protection, très complet et paramétrable, choix du tout automatique au tout manuel suivant le
niveau de l'utilisateur.
 Zone Alarm : le pare-feu personnel de ZoneLabs repris par Check Point, maintenant
incompatible avec tout autre logiciel de protection sauf MS Windows Defender.
 NetBarrier : le pare-feu personnel pour Mac OS X d'Intego
 Microsoft
o Pare-feu de connexion Internet de Windows XP
o Windows Firewall
o Microsoft Internet Security and Acceleration Server, le pare-feu proxy-cache de
Microsoft
I.6 LES PROTOCOLES DE SECURITE
PRESENTATION

75
CHAP.II LES PORTS LOGIQUES, LES VULNERABILITES
INFORMATIQUES ET LES JOURNAUX D’EVENEMENTS LOGS
II.1 LES PORTS LOGIQUES
Dans la suite des protocoles Internet et correspondant à la couche de transport du modèle OSI, la notion
de port logiciel permet, sur un ordinateur donné, de distinguer différents interlocuteurs. Ces interlocuteurs
sont des programmes informatiques qui, selon les cas, écoutent ou émettent des informations sur ces ports.
Un port est distingué par son numéro.
Le terme port est aussi parfois utilisé pour désigner les interfaces de connexion, un concept sensiblement
différent.
o
Origine du mot
Port, en informatique, est une traduction erronée de l'anglais port (en) [archive] ; l'étymologie du mot au sens
informatique est le latin porta (→ porte), et non portus (→ port)1
.
Explication métaphorique
Pour simplifier, on peut considérer les ports comme des portes donnant accès au système d'exploitation :
(Microsoft Windows, Mac OS, GNU/Linux, Solaris…). Pour fonctionner, un programme (par exemple un
jeu à accélération 3D/2D, ou un logiciel de retouche photo) ouvre des portes pour entrer dans le système
d'exploitation, mais lorsque l'on quitte le programme, la porte n'a plus besoin d'être ouverte.
Utilité
Grâce à cette abstraction, on peut exécuter plusieurs logiciels serveurs sur une même machine, et même
simultanément des logiciels clients et des serveurs, ce qui est fréquent sur les systèmes
d'exploitation multitâches et multiutilisateurs.
Attribution des ports
Un numéro de port est codé sur 16 bits, ce qui fait qu'il existe un maximum de soit 65 536 ports
distincts par machine. Ces ports sont classés en 3 catégories en fonction de leur numéro:
 les numéros de port de 0 à 1 023 correspondent aux ports "bien-connus" (well-known ports), utilisés
pour les services réseaux les plus courants.
 les numéros de ports de 1 024 à 49 151 correspondent aux ports enregistrés (registered ports), assignés
par l'IANA
 les numéros de ports de 49 152 à 65 535 correspondent aux ports dynamiques, utilisables pour tout
type de requêtes TCP ou UDP autres que celle citées précédemment.
Lorsqu'un logiciel client veut dialoguer avec un logiciel serveur, aussi appelé service, il a besoin de
connaître le port écouté par ce dernier. Les ports utilisés par les services devant être connus par les clients,
les principaux types de services utilisent des ports qui sont dits réservés. Par convention, ce sont tous ceux

76
compris entre 0 et 1 0232
inclus et leur utilisation par un logiciel serveur nécessite souvent que celui-ci
s'exécute avec des droits d'accès particuliers. Les services utilisant ces ports sont appelés les services bien
connus("Well-Known Services").
Le fichier services indique la liste de ces services dits well-known. Sous UNIX, ce fichier est directement
dans /etc ; sous Windows, ce fichier est par défaut dans C:WindowsSystem32driversetc. Les services les
plus utilisés sont :
 9, pour le WoL, Wake-on-LAN, c'est-à-dire le démarrage à distance par un câble réseau
ethernet. Wake-on-LAN
 20/21, pour l'échange de fichiers via FTP
 22, pour l'accès à un shell sécurisé Secure SHell, également utilisé pour l'échange de fichiers
sécurisés SFTP
 23, pour le port telnet
 25, pour l'envoi d'un courrier électronique via un serveur dédié SMTP
 53, pour la résolution de noms de domaine en adresses IP : DNS
 67/68, pour DHCP et bootpc
 80, pour la consultation d'un serveur HTTP par le biais d'un navigateur web
 110, pour la récupération de son courrier électronique via POP
 123, pour la synchronisation de l'horloge : Network Time Protocol (NTP)
 143, pour la récupération de son courrier électronique via IMAP
 389, pour la connexion à un LDAP
 443, pour les connexions HTTP utilisant une surcouche de sécurité de type SSL : HTTPS
 465, pour l'envoi d'un courrier électronique via un serveur dédié utilisant une surcouche de sécurité de
type SSL : SMTPS
 500, port utilisé pour le canal d'échange de clés IPsec
 554, port utilisé pour accepter les connexions client RTSP entrantes et pour fournir des paquets de
données aux clients qui diffusent en utilisant RTSPT.
 636, pour l'utilisation d'une connexion à un LDAP sécurisé par une couche SSL/TLS
 1352, pour le protocole Lotus Notes Domino
 1433, serveur de base de données MS SQL
 1521, serveur de base de données Oracle Database
 1723, pour l'utilisation du protocole de VPN PPTP
 3306, serveur de base de données MySQL
 3389, pour la prise de contrôle à distance RDP
 5432, serveur de base de données PostgreSQL
 6667, pour la connexion aux serveurs IRC
 25565, port par défaut des serveurs Minecraft3,4,5

77
III.2 LES VULNERABILITES INFORMATIQUES
III.2.1 PRESENTATION
Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est une
faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité
de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité ou à l'intégrité des
données qu'il contient.
Ces vulnérabilités sont la conséquence de faiblesses dans la conception, la mise en œuvre ou
l'utilisation d'un composant matériel ou logiciel du système, mais il s'agit souvent d'anomalies
logicielles liées à des erreurs de programmation ou à de mauvaises pratiques. Ces
dysfonctionnements logiciels sont en général corrigés à mesure de leurs découvertes, mais
l'utilisateur reste exposé à une éventuelle exploitation tant que le correctif (temporaire ou
définitif) n'est pas publié et installé. C'est pourquoi il est important de maintenir les logiciels à
jour avec les correctifs fournis par les éditeurs de logiciels. La procédure d'exploitation d'une
vulnérabilité logicielle est appelée exploit.
II.2.2 Causes
Les vulnérabilités informatiques proviennent souvent de la négligence ou de l'inexpérience d'un
programmeur. Il peut y avoir d'autres causes liées au contexte comme l'évolution des
technologies, notamment en cryptographie. Une vulnérabilité permet généralement à
l'attaquant de duper l'application, par exemple en outrepassant les vérifications de contrôle
d'accès ou en exécutant des commandes sur le système hébergeant l'application.
Quelques vulnérabilités surviennent lorsque l'entrée d'un utilisateur n'est pas contrôlée,
permettant l'exécution de commandes ou de requêtes SQL (connues sous le nom d'injection
SQL). D'autres proviennent d'erreurs d'un programmeur lors de la vérification des buffers de
données (qui peuvent alors être dépassés), causant ainsi une corruption de la pile mémoire (et
ainsi permettre l'exécution de code fourni par l'attaquant).
II.2.3 Publication d'une vulnérabilité
Méthode de publication
La méthode de publication des vulnérabilités est un sujet qui fait débat au sein de la
communauté de la sécurité des systèmes d'information. Certains affirment qu'il est nécessaire
de publier immédiatement toutes les informations à propos d'une vulnérabilité dès qu'elle a été
découverte (full disclosure). D'autres prétendent qu'il est préférable de limiter en premier lieu

78
la publication uniquement aux utilisateurs qui en ont un besoin important (divulgation
responsable, voire coordonnée), puis après un certain délai, de publier en détail, s'il y a besoin.
Ces délais peuvent permettre de laisser le temps aux développeurs de corriger la vulnérabilité
et à ces utilisateurs d'appliquer les patchs de sécurité nécessaires, mais peuvent aussi accroître
les risques pour ceux qui n'ont pas ces informations. Les éditeurs de logiciels appellent cette
méthode de publication la divulgation responsable et encouragent les chercheurs en sécurité à
l'utiliser. En théorie, ces délais permettent aux éditeurs de publier les correctifs nécessaires
pour protéger leurs logiciels et leurs utilisateurs, mais en pratique, cela ne les contraint pas à
corriger les vulnérabilités. Il a ainsi pu arriver que certaines vulnérabilités soient restées non
corrigées pendant des mois voire des années, tant qu'aucun exploit n'a été publié. Devant cette
situation, certains ont décidé de laisser un délai - considéré raisonnable - aux éditeurs pour
corriger les vulnérabilités avant de les divulguer. Ainsi la société TippingPoint laisse un délai
de 6 mois avant de divulguer les détails d'une vulnérabilité1
.
Date et source de publication
La date de publication est la première date à laquelle une vulnérabilité est décrite sur un média.
L'information révélée suit les conditions suivantes :
– l'information est disponible librement et publiquement ;
– l'information sur la vulnérabilité est publiée par une source indépendante et de
confiance ;
– la vulnérabilité a fait l'objet d'analyse par des experts, notamment sur l'estimation du
risque de la révélation.
D'un point de vue sécurité, seule une publication libre d'accès et complète peut assurer que
toutes les parties intéressées obtiennent l'information appropriée. La sécurité par l'obscurité est
un concept qui n'a jamais fonctionné.
La source de la publication doit être indépendante d'un éditeur, d'un vendeur, ou d'un
gouvernement. Elle doit être impartiale pour permettre une diffusion de l'information juste et
critique. Un média est considéré comme « de confiance » lorsqu'il est une source de la sécurité
des systèmes d'information largement acceptée dans l'industrie (par exemple : CERT, CESTI,
Securityfocus, Secunia).
L'analyse et l'estimation du risque assurent la qualité de l'information révélée. Une unique
discussion sur une faille potentielle dans une liste de diffusion ou une vague information d'un
vendeur ne permettent donc pas de qualifier une vulnérabilité. L'analyse doit inclure assez de
détails pour permettre à un utilisateur concerné d'évaluer lui-même son risque individuel, ou
de prendre une mesure immédiate pour se protéger.

79
II.3 JOURNAUX DES EVENEMENTS (FICHIERS LOGS) ET SYSLOG
II.3.1 JOURNAUX DES EVENEMENTS (FICHIERS LOGS)
Structure de journal informatique "circulaire"
En informatique, le concept d'historique des événements ou de journalisation désigne l'enregistrement
séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier
(application, activité d'un réseau informatique…). Le journal (en anglais log file ou plus simplement log),
désigne alors le fichier contenant ces enregistrements. Généralement datés et classés par ordre
chronologique, ces derniers permettent d'analyser pas à pas l'activité interne du processus et ses interactions
avec son environnement.
Un fichier texte peut être la structure sous-jacente d'un fichier journal
En français, le journal est le livre où sont inscrits des événements. Il s'applique initialement dans le domaine
des organisations (journal de bord), puis à partir du XIXe siècle dans le domaine littéraire (journal intime) et
dans le domaine de la presse d'information (journal d'information)2
. Le journal est aussi le terme utilisé en
comptabilité d'entreprise et a diffusé dans les système informatiques bancaires pour la traçabilité des
transactions et des erreurs, puis dans le domaine des télécommunications, enfin en informatique générale2
.
Le terme se différencie des registres et main courante par son séquencement temporel2
.
En anglais et en argot franglais, le terme log file est la traduction de journal ou de main-courante, tandis que
le terme inscription est traduit en anglais par log.
Fonctionnalités offertes
L'enregistrement d'un historique permet de mettre en œuvre des fonctionnalités telles que les « derniers
fichiers ouverts », les « dernières commandes tapées » ou les « dernières pages web consultées ».
Applications
La journalisation est une technique importante, utilisé entre autres en sécurité informatique et dans les
systèmes de comptabilité et paiement.
Dans le cadre de la sécurité, les événements enregistrés seront les accès au système, les modifications de
fichiers, etc. On consacre typiquement une ligne par événement, en commençant par le moment exact (date,
heure, minute, seconde) où il a eu lieu.
La journalisation permet d'effectuer des analyses diverses, généralement statistiques ; de faire
des hypothèses sur les dysfonctionnements ou les pertes de performance d'un système.
L'accès aux journaux peut contrevenir à certaines exigences de confidentialité, voire de sécurité.
La journalisation permet aussi d'enregistrer les événements dans deux places différentes.

80
Les enregistrements d'événements peuvent également avoir une importance légale. Par exemple
un fournisseur d'accès à Internet est tenu de fournir un historique des connexions de ses clients (Loi du 15
novembre 2001 "LSQ", Loi du 21 juin 2004 "LCEN").
Journalisation applicative
La journalisation applicative désigne l'enregistrement chronologique des opérations de la logique métier
pendant le fonctionnement de l'application. Un journal applicatif est lui-même une exigence du métier. Il est
donc défini comme une fonctionnalité faisant partie de la logique applicative. Par conséquent, il ne devrait
pas être arrêté pendant le fonctionnement de l'application.
Journalisation système
La journalisation système désigne l'enregistrement chronologique des événements survenant au niveau des
composants du système. Le niveau de cette journalisation peut être paramétré, afin de filtrer les différents
événements selon leur catégorie de gravité. Les catégories généralement utilisées sont, par ordre croissant
de gravité : information, débogage, avertissement, erreur.
Pour exemple, les systèmes Unix mettent en œuvre cette journalisation système à l'aide du protocole Syslog.
II.3.2 Syslog
Syslog
Fonction
Transmission de journaux
Port
UDP 514
RFC
RFC 31641
RFC 31952
RFC 54243
RFC 54264
modifier
Syslog est un protocole définissant un service de journaux d'événements d'un système informatique. C'est
aussi le nom du format qui permet ces échanges.
Historique
Syslog a été développé dans les années 1980 par Eric Allman dans le cadre du projet Sendmail5
, et n'était
initialement prévue que pour Sendmail. Il s'est avéré si utile que d'autres applications ont commencé à
l'utiliser. Syslog est depuis devenu la solution de journalisation standard sur les systèmes Unix et Linux6
, il
y a également une variété d'implémentations syslog sur d'autres systèmes d'exploitation
(Windows notamment7
) et est généralement trouvé dans les périphériques réseau tels que
les commutateurs ou routeurs.

81
Le protocole Syslog
Présentation générale
En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur. La partie cliente émet
les informations sur le réseau, via le port UDP 514. Les serveurs collectent l'information et se chargent de
créer les journaux.
L'intérêt de Syslog est donc de centraliser les journaux d'événements, permettant de repérer plus rapidement
et efficacement les défaillances d'ordinateurs présents sur un réseau.
Il existe aussi un logiciel appelé Syslog, qui est responsable de la prise en charge des fichiers de journalisation
du système. Ceci inclut aussi le démon klogd, responsable des messages émis par le noyau Linux.
Positionnement système[modifier | modifier le code]
Le protocole syslog utilise un socket afin de transmettre ses messages. Suivant les systèmes, celui-ci est
différent:
Plate-forme Méthode
Linux
Un SOCK_STREAM unix nommé /dev/log; certaines distributions utilisent
SOCK_DGRAM
BSD Un SOCK_DGRAM unix appelé /var/run/log.
Solaris (2.5 et
inférieurs)
Un flux SVR4 appelé /dev/log.
Solaris (2.6 et
supérieurs)
En plus du flux habituel, une porte multithreaded appelée /etc/.syslog_door est
utilisée.
HP-UX 11 et
supérieur
HP-UX utilise le Tube Unix nommé /dev/log de taille 2048 bytes
AIX 5.2 and 5.3 Un SOCK_STREAM ou un SOCK_DGRAM unix appelé /dev/log.
Une problématique nait de ce choix architectural, l'utilisation d'un point d'entrée unique crée des saturations
système qui ont incité nombre de logiciels à utiliser leur propre système d'enregistrement.

82
CHAP.III : INTRODUCTION AUX OUTILS DE SECURITE
INFORMATIQUE
III.1 LES SCANNEURS DES PORTS ET L’OUTIL DE SECURITE
INFORMATIQUE NMAP
III.1.1 NOTIONS SUR LE BALAYAGE DE PORT
En informatique, le balayage de ports (port scanning en anglais) est une technique servant à
rechercher les ports ouverts sur un serveur de réseau. Cette technique est utilisée par les
administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs
réseaux. La même technique est aussi utilisée par les pirates informatiques pour tenter de
trouver des failles dans des systèmes informatiques. Un balayage de ports (port scan ou
portscan en anglais) effectué sur un système tiers est généralement considéré comme une
tentative d'intrusion, car un balayage de ports sert souvent à préparer une intrusion.
Le balayage de ports est une des activités considérées comme suspectes par un système de
détection d'intrusion. Un système de détection d'intrusion peut être réglé à différents niveaux
de sensibilité. Un niveau de sensibilité élevé génèrera plus de fausses alertes, un niveau de
sensibilité bas risque de laisser passer les balayages effectués par des systèmes sophistiqués
comme Nmap qui disposent de diverses options pour camoufler leurs balayages.
Pour tromper la vigilance des systèmes de détection et des pare-feu, les balayages peuvent se
faire dans un ordre aléatoire, avec une vitesse excessivement lente (par exemple sur plusieurs
jours), ou à partir de plusieurs adresses IP.
Les balayages de ports se font habituellement sur le protocole TCP ; néanmoins, certains
logiciels permettent aussi d'effectuer des balayages UDP. Cette dernière fonctionnalité est
beaucoup moins fiable, UDP étant orienté sans connexion, le service ne répondra que si la
requête correspond à un modèle précis variant selon le logiciel serveur utilisé.
III.3.2 Techniques de balayage des ports
1. TCP
Un balayage de ports vise typiquement le protocole TCP, car c'est celui qui est utilisé par la
majorité des applications. L'objectif du balayage est de savoir si un logiciel est en écoute sur
un numéro de port donné. Si un logiciel écoute, on dit que le port est ouvert, sinon on dit qu'il
est fermé. Le balayage d'un port se passe en deux étapes :
1. l'envoi d'un paquet sur le port testé ;
2. l'analyse de la réponse.

83
Il existe de nombreuses variantes pour le paquet émis. Il y a le paquet valide selon la norme
TCP, le paquet « TCP SYN », et les paquets invalides. L'utilisation des paquets invalides vise
à tromper les systèmes de détection d'intrusion. La liste des paquets invalides utilisés est :
 ACK ;
 FIN ;
 Maimon1
(FIN/ACK) ;
 NULL (aucun) ;
 Xmas2
(tous) ;
 Window (ACK).
Le serveur peut répondre de différentes manières :
 ouverture de connexion acceptée : envoi d'un paquet TCP SYN/ACK ;
 fermeture de la connexion : envoi d'un paquet TCP RST ;
 absence de réponse : on dit que le paquet est droppé.
La réponse ouverture de connexion acceptée indique clairement que le port est ouvert. La
réponse fermeture de la connexion indique que le port est fermé. L'absence de réponse est
souvent due à un pare-feu qui vise à contrer le balayage de ports. Le pare-feu peut détecter un
trafic anormal et décider d'ignorer pendant un certain temps tous les paquets provenant de la
machine générant le trafic anormal. En absence de réponse, on ne peut donc pas savoir avec
certitude si le port est ouvert ou fermé.
La technique Window envoie un paquet TCP ACK et observe la taille de la fenêtre TCP du
paquet de réponse (TCP RST). Si le port est fermé, la taille de la fenêtre de la réponse est
nulle.
La technique Mainon est utilisée sur les systèmes BSD. Uriel Maimon a constaté que ces
systèmes ignorent un paquet TCP FIN/ACK (invalide) si le port est ouvert au lieu d'envoyer
la réponse TCP RST.
2. Autres techniques pour TCP
Une autre technique consiste à passer par un serveur FTP. On utilise la fonctionnalité de
serveur mandataire des serveurs FTP pour balayer les ports.
Enfin, la technique Idle scanning utilise l'identifiant de fragmentation du protocole IP. Un
système de détection d'intrusion pense que l'analyse provient d'un ordinateur zombi.
Consultez l'article (en) Idle Scanning and Related IPID Games [archive] pour plus de
renseignements.
3. UDP et IP

84
Pour le protocole UDP, on envoie un paquet UDP vide (de longueur nulle). Si le port est
fermé, un message ICMP de type 3 (destinataire inaccessible) et code 3 est envoyé.
Il est également possible de lister les protocoles IP pris en charge par un hôte. On appelle
cette technique IP protocol
4. Version du scanner des ports
On peut détecter le système d'exploitation et sa version par la prise d'empreinte de la pile
TCP/IP. Un logiciel tel que Nmap permet également de détecter le nom du logiciel écoutant
sur un port, voire sa version.
III.3.2 LE NMAP (Scanneurs des ports)
III.3.2.1 PRESENTATION
Nmap
Développeur Fyodor
Première version 1er
septembre 19971
Dernière version 7.70 (20 mars 2018)2

85
Écrit en C++, Python, C, Lua et Java
Environnements Multiplate-forme
Type Sécurité informatique
Licence GNU GPL
Site web nmap.org [archive]
modifier
Nmap est un scanneur de ports libre créé par Fyodor et distribué par Insecure.org. Il est conçu
pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur
le système d'exploitation d'un ordinateur distant. Ce logiciel est devenu une référence pour les
administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la sécurité
d'un réseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris.
Le code source de Nmap est disponible sous la licence GNU GPL.
III.3.2.2 Les bases du scan de ports
Même si le nombre de fonctionnalités de Nmap a considérablement augmenté au fil des ans,
il reste un scanner de ports efficace, et cela reste sa fonction principale. La commande de
base nmap <target> scanne plus de 1 660 ports TCP de l'hôte <target>. Alors que de nombreux
autres scanners de ports ont partitionné les états des ports en ouverts ou fermés, Nmap a une
granularité bien plus fine. Il divise les ports selon six états: ouvert (open), fermé (closed), filtré
(filtered), non-filtré (unfiltered), ouvert|filtré (open|filtered), et fermé|filtré (closed|filtered).
Ces états ne font pas partie des propriétés intrinsèques des ports eux-mêmes, mais décrivent
comment Nmap les perçoit. Par exemple, un scan Nmap depuis le même réseau que la cible
pourrait voir le port 135/tcp comme ouvert alors qu'un scan au même instant avec les mêmes
options au travers d'Internet pourrait voir ce même port comme filtré.
III.3.2.3 Les six états de port reconnus par Nmap
ouvert (open)
Une application accepte des connexions TCP ou des paquets UDP sur ce port.
Trouver de tels ports est souvent le but principal du scan de ports. Les gens soucieux
de la sécurité savent pertinemment que chaque port ouvert est un boulevard pour une
attaque. Les attaquants et les pen-testers veulent exploiter ces ports ouverts, tandis que
les administrateurs essaient de les fermer ou de les protéger avec des pare-feux sans
gêner leurs utilisateurs légitimes. Les ports ouverts sont également intéressants pour

86
des scans autres que ceux orientés vers la sécurité car ils indiquent les services
disponibles sur le réseau.
fermé (closed)
Un port fermé est accessible (il reçoit et répond aux paquets émis par Nmap), mais il
n'y a pas d'application en écoute. Ceci peut s'avérer utile pour montrer qu'un hôte est
actif (découverte d'hôtes ou scan ping), ou pour la détection de l'OS. Comme un port
fermé est accessible, il peut être intéressant de le scanner de nouveau plus tard au cas
où il s'ouvrirait. Les administrateurs pourraient désirer bloquer de tels ports avec un
pare-feu, mais ils apparaîtraient alors dans l'état filtré décrit dans la section suivante.
filtré (filtered)
Nmap ne peut pas toujours déterminer si un port est ouvert car les dispositifs de
filtrage des paquets empêchent les paquets de tests (probes) d'atteindre leur port cible.
Le dispositif de filtrage peut être un pare-feu dédié, des règles de routeurs filtrants ou
un pare-feu logiciel. Ces ports ennuient les attaquants car ils ne fournissent que très
peu d'informations. Quelques fois ils répondent avec un message d'erreur ICMP de
type 3 code 13 (« destination unreachable: communication administratively prohibited
»), mais les dispositifs de filtrage qui rejettent les paquets sans rien répondre sont bien
plus courants. Ceci oblige Nmap à essayer plusieurs fois au cas où ces paquets de tests
seraient rejetés à cause d'une surcharge du réseau et pas du filtrage. Ceci ralenti
terriblement les choses.
non-filtré (unfiltered)
L'état non-filtré signifie qu'un port est accessible, mais que Nmap est incapable de
déterminer s'il est ouvert ou fermé. Seul le scan ACK, qui est utilisé pour déterminer
les règles des pare-feux, catégorise les ports dans cet état. Scanner des ports non-
filtrés avec un autre type de scan, comme le scan Windows, SYN ou FIN peut aider à
savoir si un port est ouvert ou pas.
ouvert|filtré (open|filtered)
Nmap met dans cet état les ports dont il est incapable de déterminer l'état entre ouvert
et filtré. Ceci arrive pour les types de scans où les ports ouverts ne renvoient pas de
réponse. L'absence de réponse peut aussi signifier qu'un dispositif de filtrage des
paquets a rejeté le test ou les réponses attendues. Ainsi, Nmap ne peut s'assurer ni que
le port est ouvert, ni qu'il est filtré. Les scans UDP, protocole IP, FIN, Null et Xmas
catégorisent les ports ainsi.
fermé|filtré (closed|filtered)

87
Cet état est utilisé quand Nmap est incapable de déterminer si un port est fermé ou
filtré. Cet état est seulement utilisé par le scan Idle basé sur les identifiants de paquets
IP.
III.2 SCANNEUR DE VULNERABILITES ET L’OUTIL DE
SECURITE INFORMATIQUE NESSUS
III.2.1 NOTIONS SUR LES SCANNEURS DE VULNERABILITES
En sécurité informatique, un scanner (ou scanneur) de vulnérabilités est un programme
conçu pour identifier des vulnérabilités dans une application, un système d'exploitation, ou un
réseau.
1. Utilisation
Les scanneurs de vulnérabilités peuvent être utilisés dans des objectifs licites ou illicites :
 objectifs licites : les experts en sécurité informatique ou les entreprises utilisent les scanneurs
de vulnérabilités pour trouver les failles de sécurité des systèmes informatiques et des
systèmes de communications de leurs entreprises dans le but de les corriger avant que les
pirates informatiques ne les exploitent ;
 objectifs illicites : les pirates informatiques utilisent les mêmes équipements pour trouver les
failles dans les systèmes des entreprises pour les exploiter à leur avantage.
Cet outil peut être une brique intégrée d'une solution de sécurité plus large: un SIEM ou un
SOC par exemple.
2. Principes de fonctionnement
2.1 Généralités
Les scanners de vulnérabilités se présentent sous plusieurs formes: logiciel à installer sur son
système, machine virtuelle pré-configurée (virtual appliance) ou encore en SaaS dans le
cloud.
Un scanner de vulnérabilités se "lance" sur une ou plusieurs cibles, dans un réseau interne ou
sur Internet. Ces cibles (URL, adresse IP, sous-réseau) sont renseignées par l'utilisateur
lorsqu'il désire mener son scan. La plupart des outils suivent le schéma de scan suivant:
 détection des cibles actives (attente d'une réponse ICMP, ARP, TCP, etc. pour déterminer si
la cible répondra au scanner)
 détection des ports TCP et UDP accessibles sur la cible (scan de ports)
 détection des services actifs (SSH, HTTP, etc.) sur chacun de ces ports et de leurs versions
(phase de "fingerprint")

88
 éventuellement: utilisation d'un compte fourni pour se connecter sur la machine et lister les
programmes non visibles depuis le réseau (navigateur, liseuse, suite bureautique, etc.)
 éventuellement: reconnaissance des applications Web accessibles et construction de l'arbre de
chaque site Web (phase dite de "crawling")
 sélection des modules de sécurité à lancer sur la cible selon les services précédemment
reconnus
 lancement des modules de sécurité
 génération du rapport de sécurité
Un scanner de vulnérabilités est donc un outil complexe qui peut faire appel à de nombreux
programmes spécifiques pour chacune des tâches pré-citées.
2.2 Cibles
Un scanner de vulnérabilités est théoriquement capable de tester tout élément joignable par
une adresse IP :
 Ordinateur
 Serveur
 Routeur, commutateur, pare-feu
 Smartphone
 Objet connecté
 Site Web
 Automate, robot, machine
 Caméra IP
 IPBX, poste téléphonique sur IP
 etc.
Le fait de pouvoir joindre un élément n'implique cependant pas forcément que son niveau de
sécurité puisse être audité correctement. Pour cela, le scanner doit embarquer les modules de
sécurité idoines dans son catalogue. Par exemple, si une cible ne possède que le port UDP
161 ouvert avec le service SNMP, un scanner pourra reconnaître que cette cible est active
mais ne pourra juger son niveau de sécurité qu'en incorporant des modules d'attaque contre
SNMP.
a) Restitution des résultats
La visualisation et la restitution des résultats se fait traditionnellement via deux paradigmes.
Premièrement, une vue "par vulnérabilité" permettant de lister toutes les vulnérabilités
identifiées dans le scan et de donner pour chacune d'elle la liste des machines affectées.
Deuxièmement, une vue "par machine" listant les cibles de l'audit associées à la liste de leur
vulnérabilités respectives.
Traditionnellement, en sécurité informatique, les vulnérabilités sont restituées par ordre de
criticité suivant une échelle à 4 niveaux:

89
 Critiques: les vulnérabilités permettant généralement une prise de contrôle ou une exécution
de commande à distance dont l'exploitation est relativement simple
 Majeures: les vulnérabilités permettant une prise de contrôle ou une exécution de commande
à distance dont l'exploitation demeure complexe
 Moyennes: les vulnérabilités ayant des impacts limités ou dont l'exploitation nécessite des
conditions initiales non triviales
 Mineures: les vulnérabilités ayant des impacts faibles ou nuls à moins d'être combinées à
d'autres vulnérabilités plus importantes
L'état de l'art associe à chaque vulnérabilité un score entre 0 et 10 appelé CVSS (Common
Vulnerability Scoring System) qui dépend des caractéristiques de cette vulnérabilité. La
version 3 du CVSS prend en compte, au minimum, les éléments suivants :
 Le vecteur d'attaque : est-ce que l'attaquant peut venir de n'importe où ou bien doit-il avoir
une position de départ privilégiée ?
 Complexité : exploiter la vulnérabilité est-il trivial (par exemple si un exploit existe) ou bien
hautement techniques ?
 Privilèges requis : l'attaquant doit-l disposer d'accès préalables (un compte utilisateur par
exemple) pour pouvoir mener son action ?
 Interaction avec un utilisateur: l'attaquant doit-il amener la victime à effectuer une action pour
que son attaque réussisse (comme l'inciter à cliquer sur un lien) ?
 Périmètre : est-ce qu'une exploitation permet à l'attaquant d'avoir accès à de nouvelles cibles ?
 Impacts : une exploitation réussie entraîne-t-elle des pertes de
confidentialité/disponibilité/intégrité ?
Le score CVSS est régulièrement utilisé par les scanners de vulnérabilités pour pondérer les
risques associés à une cible.
Les scanners doivent donner à l'utilisateur tous les éléments pertinents pour sa
compréhension de la vulnérabilité. Traditionnellement, une description de vulnérabilité
comporte les éléments suivants :
 Le nom de la vulnérabilité
 Sa criticité
 La cible touchée
 Une brève description de sa nature
 Une référence à une base de connaissance type CVE, OSVDB, DSA...
 Une mention de la simplicité de l'exploitation
 Une description de l'impact en cas d'exploitation réussie
 Une ou plusieurs préconisations pour la résoudre
Parfois, d'autres éléments y sont ajoutés:
 Le niveau de confiance à accorder à la vulnérabilité : quantification du risque qu'il s'agisse ou
non d'un faux positif
 S'il existe ou non un exploit automatique

90
 Un extrait des données ayant permis au module de sécurité de conclure à la présence de cette
faille
 La famille de vulnérabilité (authentification, mise à jour, etc.)
 Des liens pour en savoir plus (notamment pour des explications plus détaillées du
fonctionnement technique de la vulnérabilité)
Les rapports sont souvent exportables aux formats PDF, CSV, HTML, etc.
LE NESSUS
1. Généralités
Nessus
Développeur Tenable Network Security
Dernière version 5.2.6 (24 mars 2014)1
Environnement Multiplate-forme
Type Scanner de vulnérabilité
Licence GNU GPL, puis propriétaire

91
Site web nessus.org [archive]
Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles ou avérées
sur les machines testées. Ceci inclut, entre autres :
 les services vulnérables à des attaques permettant la prise de contrôle de la machine,
l'accès à des informations sensibles (lecture de fichiers confidentiels par exemple),
des dénis de service...
 les fautes de configuration (relais de messagerie ouvert par exemple)
 les patchs de sécurité non appliqués, que les failles corrigées soient exploitables ou
non dans la configuration testée
 les mots de passe par défaut, quelques mots de passe communs, et l'absence de mots
de passe sur certains comptes systèmes. Nessus peut aussi appeler le programme
externe Hydra (de) pour attaquer les mots de passe à l'aide d'un dictionnaire.
 les services jugés faibles (on suggère par exemple de remplacer Telnet par SSH)
 les dénis de service contre la pile TCP/IP
III.3 TESTS D’INTRUSION AVEC L’OUTILL DE SECURITE
INFORMATIQUE SNORT

94
III.4 LA SURVEILLANCE ET ANALYSE DES JOURNAUX LOGS AVEC LES OUTILS DE
SECURITE INFORMATIQUE SYSLOG-N ET AWASTATS
III.4.1 LA SURVEILLANCE DES JOURNAUX LOGS
a) Généralité
La surveillance (gestion de logs ) comprend une approche de la gestion de grands volumes des messages
de log générés par l'ordinateur (aussi connu comme journaux d'évènements, journalisation, etc.). La
gestion des logs concerne en général1
:
 La collecte des logs
 L'agrégation centralisée des logs
 Le stockage à long terme et la durée de rétention des logs
 La rotation des fichiers de logs
 L'analyse des logs (en temps réel et en vrac après une période de stockage)
 Les rapports et l'étude des logs.
Les principaux enjeux de l'implémentation de la gestion des logs concernent la sécurité2
, les opérations
systèmes et réseaux et la conformité du système. Les logs sont générés par presque tous les appareils
informatiques, et peut souvent être dirigé vers différents endroits à la fois locales, dans le système de
fichiers ou à dans un système distant.
L'analyse effective de grands volumes de divers journaux peuvent poser de nombreux défis, tels que:
 La volume: les journaux/logs peuvent atteindre des centaines de giga-octets de données par jour pour
une grande organisation. La collecte, la centralisation et le stockage de données à ce volume peut être
difficile.
 Normalisation: les journaux sont produites dans de multiples formats. Le processus de normalisation
est conçu pour fournir une sortie commune pour l'analyse de diverses sources.
 Vitesse: La vitesse à laquelle les journaux sont produites à partir de dispositifs peuvent rendre la
collecte et l'agrégation difficile
 Véracité: Journal des événements peut ne pas être exacte. Cela est particulièrement problématique à
partir de systèmes qui effectuent la détection, tels que les systèmes de détection d'intrusion.
Les utilisateurs et les utilisateurs potentiels de la gestion du journal peuvent acheter des d'outils
propriétaires complets ou construire leur propre outil de gestion de logs et outils d'intelligence, ou bien
utiliser un assemblage de composants open-sources, ou bien encore ou d'acquérir des (sous-)systèmes de
fournisseurs commerciaux. La gestion des journalisations est un processus complexe et les organisations
font souvent des erreurs dans leurs approches3
.

95
b) Surveillance de journaux Logs avec Syslog-ng

98
III.4.2 ANALYSEUR DES JOURNAUX D’EVENEMENTS (LOG) AWSTATS

101
CHAP.IV LES NORMES ET METHODES DE SECURITE
INFORMATIQUE
Introduction
La sécurité du système d'information d'une entreprise est un requis important pour la
poursuite de ses activités. Qu'il s'agisse de la dégradation de son image de marque, du vol de
ses secrets de fabrication ou de la perte de ses données clients ; une catastrophe informatique
a toujours des conséquences fâcheuses pouvant aller jusqu'au dépôt de bilan.
Organiser cette sécurité n'est pas chose facile, c'est pourquoi il existe des méthodes reconnues
pour aider les responsables informatiques à mettre en place une bonne politique de sécurité et
à procéder aux audits permettant d'en vérifier l'efficacité.
Le but de ce document n'est pas d'expliquer comment concevoir une politique de sécurité
mais de présenter les méthodes existantes.
A. Politique de sécurité
Une politique de sécurité peut être vue comme l'ensemble des modèles d'organisation, des
procédures et des bonnes pratiques techniques permettant d'assurer la sécurité du système
d'information.
Mais qu'est-ce que la sécurité d'un SI ? Elle tourne autour des 5 principaux concepts suivants
: l'intégrité des données, la confidentialité de l'information et des échanges, la disponibilité
des services, l'authentification des utilisateurs et la non répudiation des transactions.
Pour garantir la sécurité, une politique de sécurité est généralement organisée autour de 3
axes majeurs : la sécurité physique des installations, la sécurité logique du système
d'information et la sensibilisation des utilisateurs aux contraintes de sécurité.
B. Audit
Un audit de sécurité permet de mettre en évidence les faiblesses de la mise en œuvre d'une
politique de sécurité. Le problème peut venir de la politique elle-même : mal conçue ou
inadaptée aux besoins de l'entreprise, ou bien d'erreurs quand à sa mise en application.
Des audits sont nécessaires : suite à la mise en place initiale d'une politique de sécurité, puis
régulièrement pour s'assurer que les mesures de sécurité sont mises à niveau et que les usages
restent conformes aux procédures.
C. Normes de sécurité informatique
En ce qui concerne les normes de sécurité des SI, la famille de normes ISO 27000 constitue
un véritable espoir pour les RSSI dans la mesure où elle apporte une aide indéniable dans la

102
définition, la construction et la déclinaison d'un SMSI efficace à travers une série de normes
dédiées à la sécurité de l'information :
§ ISO/CEI 27001 : système de Gestion de la Sécurité de l'Information (ISMS) -Exigences ;
§ ISO/CEI 27002 : code de bonnes pratiques pour la gestion de la sécurité de l'information
(anciennement ISO/CEI 17799) ;
§ ISO/CEI 27003 : système de Gestion de la Sécurité de l'Information (ISMS) - Guide
d'implémentation ;
§ ISO/CEI 27004 : mesure de la gestion de la sécurité de l'information ;
§ ISO/CEI 27005 : gestion du risque en sécurité de l'information ;
§ ISO/CEI 27006 : exigences pour les organismes réalisant l'audit et la certification de
Systèmes de Gestion de la Sécurité de l'Information (ISMS) ;
§ ISO/CEI 27007 : guide pour l'audit de Systèmes de Gestion de la Sécurité de l'Information
(ISMS).
C. Présentation des principales normes
Seront abordées ici les principales méthodes employées en Europe et en Amérique du Nord.
C.1 EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet
d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoin de
l'entreprise (ou d'une administration). Elle a été créée par la DCSSI (Direction Centrale de la
Sécurité des Systèmes d'Information), du Ministrère de la Défence (France). Elle est destinée
avant tout aux administrations françaises et aux entreprises.
La méthode EBIOS se compose de 5 guides (Introduction, Démarche, Techniques,
Outillages) et d'un logiciel permettant de simplifier l'application de la méthodologie
explicitée dans ces guides. Le logiciel libre et gratuit (les sources sont disponibles) permet de
simplifier l'application de la méthode et d'automatiser la création des documents de synthèse.
La DCSSI possède un centre de formation où sont organisés des stages à destination des
organismes publics français. Un club d'utilisateurs EBIOS a été créé en 2003 et constitue une
communauté experts permettant le partage des expériences. Une base de connaissances à
laquelle se connecte le logiciel EBIOS permet d'avoir à accès à la description d'un ensemble
de vulnérabilités spécifiques, de contraintes de sécurité, de méthodes d'attaques. Elle peut être
enrichie via le logiciel.
La méthode EBIOS est découpée en 5 étapes :

103
Les 5 étapes de la méthode EBIOS
1. étude du contexte
2. expression des besoins de sécurité
3. étude des menaces
4. identification des objectifs de sécurité
5. détermination des exigences de sécurité
Démarche EBIOS globale
L'étude du contexte permet d'identifier quel système d'information est la cible de l'étude.
Cette étape délimite le périmètre de l'étude : présentation de l'entreprise, architecture du
système d'information, contraintes techniques et réglementaires, enjeux commerciaux. Mais
est aussi étudié le détail des équipements, des logiciels et de l'organisation humaine de
l'entreprise.
L'expression des besoins de sécurité permet d'estimer les risques et de définir les critères de
risque. Les utilisateurs du SI expriment durant cette étape leurs besoins de sécurité en
fonction des impacts qu'ils jugent inacceptables.
L'étude des menaces permet d'identifier les risques en fonction non plus des besoins des
utilisateurs mais en fonction de l'architecture technique du système d'information. Ainsi la
liste des vulnérabilités et des types d'attaques est dressée en fonction des matériels, de
l'architecture réseau et des logiciels employés. Et ce, quelles que soient leur origine
(humaine, matérielle, environnementale) et leur cause (accidentelle, délibérée).
L'identification des objectifs de sécurité confronte les besoins de sécurité exprimés et les
menaces identifiées afin de mettre en évidence les risques contre lesquels le SI doit être
protégé. Ces objectifs vont former un cahier des charges de sécurité qui traduira le choix fait
sur le niveau de résistance aux menaces en fonction des exigences de sécurité.

104
La détermination des exigences de sécurité permet de déterminer jusqu'où on devra aller
dans les exigences de sécurité. Il est évident qu'une entreprise ne peut faire face à tout type de
risques, certains doivent être acceptés afin que le coût de la protection ne soit pas exhorbitant.
C'est notamment la stratégie de gestion du risque tel que cela est défini dans un plan de risque
qui sera déterminé ici : accepter, réduire ou refuser un risque. Cette stratégie est décidée en
fonction du coût des conséquences du risque et de sa probabilité de survenue. La justification
argumentée de ces exigences donne l'assurance d'une juste évaluation.
EBIOS fournit donc la méthode permettant de contruire une politique de sécurité en fonction
d'une analyse des risques qui repose sur le contexte de l'entreprise et des vulnérabilités liées à
son SI.
.
C.2 Mehari
Mehari (MEthode Harmonisée d'Analyse de RIsques) est dévelopée par le CLUSIF depuis
1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en
anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur
privé.
Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des
risques basé sur la méthode Mehari.
La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les
scénarios redoutés ?, et en la classification préalable des entités du SI en fonction de trois
critères de sécurité de base (confidentialité, intégrité, disponibilité). Ces enjeux expriment les
dysfonctionnements ayant un impact direct sur l'activité de l'entreprise. Puis, des audits
identifient les vulnérabilités du SI. Et enfin, l'analyse des risques proprement dite est réalisée.
Schéma général de la méthode Mehari

105
Mehari s'articule autour de 3 types de livrables :
Plans de la méthode Mehari
1. le Plan Stratégique de Sécurité (PSS)
2. les Plans Opérationnels de Sécurité (POS)
3. le Plan Opérationnel d'Entreprise (POE)
Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques
permettant de les mesurer. C'est à ce stade que le niveau de gravité des risques encourus par
l'entreprise est évalué. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI
pour ses utilisateurs.
Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité
qui doivent être mises en oeuvre. Pour cela, ils élaborent des scénarios de compromission et
audite les services du SI. Sur la base de cet audit, une évaluation de chaque risque
(probabilité, impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité, et
par la même les mesures de protections nécessaires. Enfin, une planification de la mise à
niveau de la sécurité du SI est faite.
Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration
d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels
il faut se prémunir.
Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios
de risques, proposent des liens entre menaces et parades...
Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et
fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose
permettent la création de plan d'actions concrets. Cette méthode permet donc de construire
une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du
Plans Opérationnels de Sécurité et d'atteindre le niveau de sécurité correspondant aux
objectifs fixés dans le Plan Stratégique de Sécurité.

106
CHAPITRE 5. NOTIONS DE CRYPTOGRAPHIE
5.1 INTRODUCTION A LA CRYPTOGRAPHIE
1.1 La Cryptographie est l’étude des méthodes donnant la possibilité d’envoyer des données de
manière confidentielle sur un support donné. Les fonctions principales de la Cryptographie sont le
Chiffrement, le Déchiffrement et la Clé.

115
5.2 LA CRYPTOGRAPHIE CLASSIQUE
5.2.1 Domaine de cryptographie classique

120
5.2 LE CHIFFREMENT PAR CLE PUBLIQUE

TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf

Contenu connexe

Similaire à TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf

Plus de Djamba TUNDA-OLEMBE

TUNDA OLEMBE DJAMBA, COURS DE SECURITE INFORMATIQUE ET CRYPTOGRAPHIE.pdf