Introduction à l’Ethical hacking

A. DÉFINITIONS

C’est quoi le piratage (hacking) ?

C’est un ensemble de technique utilisées dans le but de compromettre la politique de sécurité d’un système en exploitant ses vulnérabilités afin d’y avoir accès avec une intention malveillante ou pour améliorer la sécurité.

Exemple : vol, divulgation d’informations sensibles, vérification de la robustesse de la sécurité d’un système, etc.

C’est quoi l’ethical hacking ?

C’est le fait d’utiliser des outils de piratage combinés avec des techniques et astuces pour tester l’efficacité de la politique de sécurité d’un système, d’identifier ses vulnérabilités afin d’améliorer et de garantir sa sécurité. L’ethical hacker est employé par une organisation afin d’évaluer la politique de sécurité de son système.

Pourquoi l’ethical hacking ?

  • Pour se prémunir contre les hackers face à leurs tentatives d’accès au système
  • Pour découvrir des vulnérabilités
  • Pour renforcer la sécurité d’une organisation 
  • Pour garantir la protection des données
  • Pour éviter les violations de sécurité 
  • Pour relever son niveau de connaissance en sécurité

Qui peut être un ethical hacker ?

Quelqu’un ayant :

  • Des Connaissances sur l’environnement des systèmes d’exploitation
  • Des Connaissances en réseau
  • De l’expertise en informatique
  • Des connaissances dans les domaines de la sécurité informatique
  • Une Capacité d’apprentissage
  • Une Solide éthique de travail
  • Une conscience des standards, politiques et lois qui régissent la sécurité informatique.

Les types de pirates

  • Black Hat : il a des compétences extraordinaires et les utilise de façon illégale et malveillante, pour nuire par exemple un gouvernement, un particulier ou une entreprise. On l’appelle le Cybercriminel.
  • White Hat : il utilise ses compétences dans le but de chercher des failles afin d’améliorer la sécurité d’un système.
  • Grey Hat : il détecte les failles de sécurité d’une organisation, les exploitent avec une intention malveillante ou les signalent aux concernés afin qu’ils améliorent leur politique de sécurité.
  • Les Suicide Hackers : ils ne se soucient pas des retombés. Ils sont  mal intentionnés et prêts à se sacrifier pour atteindre leurs objectifs.
  • Les Script Kiddies : ils n’ont aucune notion en piratage ou en ont un peu. Ils utilisent des outils ou des scripts déjà existants sur Internet pour mener des attaques. Ils sont également appelés les amateurs et sont seulement curieux ou essaient de démontrer leurs capacités.
  • Les Cyber Terrorists : ce sont des terroristes qui se sont orientés vers les systèmes informatiques pour mener leurs combats dans un cadre politique ou religieux. Ils visent à perturber ou interrompre ces systèmes.
  • State Sponsorded Hackers : ils sont employés par un gouvernement pour en espionner d’autres afin d’avoir accès à certaines informations sur eux.
  • Les Hacktivists : ils se manifestent sur le web pour contester des idées sociales et politiques différentes des leurs, pour illustrer la liberté d’expression, le bien commun ou pour défendre l’intérêt public. Ils peuvent parfois divulguer des informations compromettantes sur une entreprise ou un gouvernement. On considère que ce sont des Grey Hat.

Objectif des attaques contre la sécurité informatique 

Pour mener une attaque il faut avoir une motivation, trouver une méthode et connaitre les vulnérabilités du système que l’on veut attaquer. 

Les motivations peuvent être nombreuses : vol d’information, altération de données, perte financière, vengeance, demande de rançon, nuire la réputation d’autrui 

Il faut une méthode pour d’abord accéder au système et ensuite maintenir cet accès sur un long terme. 

Pour connaitre les vulnérabilités, il faudra faire une analyse des applications afin de pouvoir y déceler des failles.

Concepts de la sécurité informatique 

Ils sont au nombre de cinq (5) :

  • La Confidentialité : Accessibilité, par exemple de fichiers, aux seules personnes autorisées.
  • L’Intégrité : S’assurer que les données n’ont subi aucunes modifications entre la source et la destination.
  • La Disponibilité : S’assurer que les données sont accessibles à tout moment.
  • L’Authenticité : S’assurer que les données sont authentiques.
  • La Non répudiation : S’assurer que le message reçu vient réellement de la source notée.

Les vecteurs d’attaque

Les principaux vecteurs d’attaques sont les virus/vers, les rançongiciels, l’hameçonnage, les botnets, l’attaque interne, les menaces face aux appareils mobiles, aux applications web, au cloud, etc.

Les terminologies utilisées :

Hack Value : notion pour exprimer que quelque chose vaut la peine d’être fait ou est intéressant.

Vulnerability : failles, erreur d’implémentation ou de configuration pouvant être utilisés pour atteindre des cibles.

Exploit : notion pour exprimer une brèche de la sécurité d’un système informatique.

Payload : c’est une partie d’un code malveillant qui est utilisé pour faire une attaque

Zero-day-attack : désigne une attaque basée sur une vulnérabilité d’une application dont l’éditeur n’a pas encore connaissance ou n’a pas encore trouvé de solution corrective.

Daisy Chaining : C’est le fait d’accéder à un réseau ou à un ordinateur et l’utiliser pour prendre possession d’autres réseaux

Doxing : C’est le fait de publier des informations personnelles à propos d’un individu.

Bot : C’est un logiciel qui peut être contrôlé à distance.

B. GUERRE D’INFORMATIONS

Les différentes étapes de piratage 

  • RECONNAISSANCE
  • BALAYAGE (SCANNING)
  • OBTENIR L’ACCES
  • MAINTENIR L’ACCES
  • EFFACER LES TRACES ET LES LOGS

Le Zonage 

Quelques exemples de zones qui peuvent être définies sur les pares-feux :

  • Zone d’Internet : c’est une zone non contrôlée, au-delà des limites.
  • Zone démilitarisée (DMZ) : elle est contrôlée mais donne un certain accès depuis l’extérieur.
  • Zone du réseau de production : c’est une zone avec des restrictions fortes.
  • Zone de gestion de réseau : c’est une zone sécurisée avec des règles strictes.

C. DÉFENSE EN PROFONDEUR

Les politiques de sécurité

Les politiques de sécurité sont le fondement de l’infrastructure de sécurité d’un système. Elles informent sur les conditions de base de sécurité et les règles devant être implémentées pour protéger et sécuriser les systèmes d’informations d’une organisation.

Exemples :

Politique de contrôle d’accès —— C’est l’ensemble des règles établies pour l’accès et la protection des ressources.

Politique de gestion de Pare-feu —— Il s’agit de l’accès, de la gestion et du contrôle des pare-feu.

Politique pour les mots de passe —— Directives d’utilisation de mot de passe robuste.

Politique de sécurisation des e-mails —— Etablie pour gérer l’utilisation appropriée des courriels d’entreprise.

Politique pour les comptes utilisateurs —— Procédure de création de compte, d’autorisations, d’affectations de droits et responsabilités.

Politique de protection de l’information —— permet d’évaluer le niveau de sensibilité des informations afin de définir les moyens d’accès et de transmissions.

Politique d’accès spécial —— Ce sont les termes et les conditions établies pour garantir l’accès spécial aux ressources du système.

La sécurité physique

La sécurité physique est la première couche de protection dans toute organisation.

Elle implique la protection des actifs de l’organisation contre les menaces environnementales et celle créées par l’Homme.

Exemples : Accès non autorisée, Altération des données, Endommagement ou vol, Menaces environnementales, etc.

Type de sécurité physique :

  1. Des contrôles préventifs : renforcer le verrouillage des portes, trouver un gardien, etc.
  2. Des contrôles de mouvements : mettre en place des détecteurs de mouvement, des systèmes d’alarme, des vidéosurveillances, etc.
  3. Des contrôles dissuasif : envoyer des messages d’alertes et des signes.
  4. Des contrôles de rétablissement : Rétablir le système après un désastre à travers un système de sauvegarde et un plan de continuité d’activité, etc.
  5. Des contrôles compensatif : Implémenter des sites prêts à prendre le relai en cas de problème, avoir des systèmes de sauvegarde actifs et automatiques. 

Contrôle d’accès 

C’est un ensemble de restrictions sélectives que l’on applique au système ou au réseau.

Il s’agit d’identifier les utilisateurs à travers l’authentification, l’autorisation et la traçabilité.

Types de contrôle d’accès :

  1. Contrôle d’accès discret : Restreindre les utilisateurs et les groupes en se basant sur leur identité.
  2. Contrôle d’accès obligatoire : il ne permet pas à l’utilisateur de dépasser ces privilèges.
  3. Accès basé sur les rôles : Assigné l’accès à un fichier à une personne en se basant sur les privilèges.

Rôle de l’Intelligence Artificielle (IA)

L’intelligence artificielle est utilisée en cyber sécurité pour identifier les failles et les faiblesses utilisées pour mener de nouvelles attaques ou pour les éviter.

Il aide à découvrir certaines anomalies et déviations de comportement en temps réel.

*En 2020, 75% des produits de sécurité vont inclure des analyses de sécurité avancées.

Test de pénétration

C’est une méthode d’évaluation de la sécurité d’un système informatique ou d’un réseau en simulant une attaque afin de trouver des vulnérabilités. On peut le considérer comme mesure de sécurité.

Pourquoi ?

  1. Identification de menaces
  2. Contrôles et protections de sécurité
  3. Évaluation de la sécurité de l’organisation
  4. Évaluation de la sécurité du réseau
  5. Mise à niveau de l’infrastructure

Types de test de pénétration :

  1. Black Box (Boite noire) : Aucune information n’est fournie pour faire le test de pénétration.
  2. White Box (Boite blanche) : Toutes les informations nécessaires sont fournies pour faire le test de pénétration. 
  3. Grey Box (Boite grise) : seule une partie des informations est connue.

Les différentes phases d’un test de pénétration :

  1. Phase pré-attaque : planification, conception de la méthodologie, collecte d’informations.
  2. Attaque proprement dit : Pénétration dans le périmètre, Acquisition de la cible, Passage par-dessus des privilèges, Exécution, Implantation.
  3. Phase post-attaque : Rapports, Nettoyage, Destruction des artefacts.

Les normes de la sécurité de l’information 

  1. Norme pour la sécurité des données des cartes de paiement (PCI DSS)
  2. ISO/IEC 27001:2013
  3. Loi sur la portabilité et la responsabilité de l’assurance maladie (HIPPA)
  4. Loi SOX (Sarbanes Oxley Act)
  5. La loi DMCA (Digital Millennium Copyright Act) et la loi fédérale sur la gestion de la sécurité de l’information (FISMA)
  6. Gouvernance, conformité à la gestion des risques (GRC)
  7. Règlementation général sur la protection des données (GDPR)

LA reconnaissance ( footprinting ) >>>