methodologie d'intrusion sur un reseau

Méthodologie d’une intrusion sur un réseau

Pour être pirate, avec la démocratisation d’Internet, il n’est plus nécessaire d’être spécialisé dans les problèmes informatiques ni de disposer de connaissances approfondies ou d’avoir une longue expérience en informatique ; il suffit de connaître les bonnes adresses pour télécharger les logiciels nécessaires pour le piratage et de bien manipuler un moteur de recherche pour repérer les informations et les programmes voulus en quelques secondes Dans ce passage, nous avons pour but d’expliquer la méthodologie généralement retenue par les pirates pour s’introduire dans un système informatique. On ne vise pas à expliquer comment compromettre un système mais à comprendre la façon par laquelle il peut l’être afin de mieux pouvoir s’en prémunir. En effet, la meilleur façon de protéger son système est de procéder de la même façon que les pirates afin de cartographier les vulnérabilités du système et de les corriger. Chaque attaque est spécifique, son déroulement dépend de la démarche intellectuelle et du comportement du pirate, des domaines dans lesquels il est spécialisé et des occasions offertes par le système qu’il espionne. Une attaque typique possède cependant une structure de base, formée d’une succession d’étapes qui s’exécutent selon un ordre donné ( étape 1, étape 2 , étape 3 , étape 4 ).

Etape 1 : Récolte d’informations sur la cible potentielle
Avant d’attaquer, le pirate recherche des informations précises sur sa cible potentielle. Les bons cambrioleurs ne se donnent-ils pas la peine d’espionner la maison qui les intéresse pour savoir quand elle est vide, quels sont les objets qu’elle contient, comment ils sont protégés, où est l’alarme, à quelle distance se trouve le poste de police le plus proche, etc. ? Le pirate se comporte de la même manière. Il commence par rassembler autant d’informations qu’il peut. Et, Internet lui est d’une grande aide. Souvent, il lui suffit de connaître le nom d’une personne ou d’une société pour obtenir d’innombrables informations qui le conduisent finalement vers une adresse et vers une cible. Pour trouver des informations sur Internet, les moteurs de recherche sont des outils incontestablement efficaces. Pour obtenir , par exemple, des informations sur une société ou une personne, il suffit d’indiquer son nom au moteur de recherche. Celui-ci trouve les pages web concernée dès lors que cette société ou cette personne est présente sur Internet ;il peut trouver des informations sur les employés de la société, sur des documents confidentielles sur le réseau. Les résultats de la recherche des messages postés par les employés, fournirent souvent des renseignements techniques concernant l’infrastructure ainsi que le matériel et les logiciels utilisés dans le réseau d’entreprise.
Etape 2 : Analyse de la cible
Après avoir constitué un dossier de renseignements sur sa cible potentielle, le hacker dispose des moyens nécessaires pour se rapprocher le plus possible de sa victime. Désormais, il détient de nombreuses pistes, y compris les adresses. Il peut s’agir d’adresses réelles permettant de fomenter une attaque physique sur un ordinateur local. Mais dans la plupart des cas, ce sont des adresses d’ordinateurs, en l’occurrence les adresses IP ou les noms des ordinateurs utilisés par la victime, ou des adresses de serveurs qui permettent à la victime d’échanger des informations et des services. A partir de ces adresses, le pirate peut, dans un deuxième temps, évaluer les aspects techniques pour établir un plan d’attaque concret. Pour se faufiler en fraudant dans un ordinateur connecté à Internet, il faut chercher des brèches d’accès spécifiques comme les indications sur les logiciels utilisés (exemple, nom du logiciel serveur utilisé), après le pirate effectue des recherches sur Internet pour trouver les lacunes de sécurité de ce logiciel ou des erreurs de programmation, de manière à les exploiter dans une attaque.
1. • Traces et connexion du réseau : à partir d’une seule adresse du réseau, le hacker peut localiser plusieurs ordinateurs et d’autres adresses, l’une des possibilités est d’analyser les « traces des routes » que les paquets de données TCP/IP suivent depuis un ordinateur donné jusqu’à un autre réseau, ceci lui permet aussi d’obtenir de précieuses informations sur la structure du réseau.
  Exemple : pour trouver cette route, on utilise sous DOS la commande « Tracert » ou sous Windows l’utilitaire graphique « NeoTrace ».
2. • Analyse des réseaux : Dès lors que le hacker découvre un ou plusieurs ordinateurs d’un réseau d’entreprise, il essaye de voir quels sont les autres ordinateurs, en utilisant par exemple la commande Ping de TCP/IP ou le logiciel Pinger pour une analyse automatique.
3. • Analyse des ports : lorsque le hacker connaît les ordinateurs en activité et leurs adresses, il les analyse un à un. La communication réseau via TCP/IP s’exécute par l’intermédiaire des « ports » de l’ordinateur ; l’analyse de ces ports avec des postscanners (exemple YAPS) permet de déterminer ceux qui sont accessibles et quelles sont les failles qu’ils présentent et est ce qu’il y a un cheval de Troie qui est installé au préalable sur cet ordinateur.
4. • Identification des systèmes d’exploitation et des logiciels : Après avoir localisé les ordinateurs disponibles, noté les services fonctionnant sur ces derniers et récupérer ceux qui peuvent subir une attaque, le hacker peut affiner les préparatifs de son intervention. Il existe des utilitaires spécialisés (tel que Grinder) permettant de rechercher les serveurs web ainsi que le logiciel serveur utilisé (exemple FTP). Les informations transmises indiquent aussi quel est le système d’exploitation en cours ou formule des conclusions à son sujet, cette dernière information est intéressante car les points d’attaques considérés par exemple par Windows sont complètement différents de ceux du système Unix.
Etape 3 : Choix de la méthode d’attaque
La phase de collecte d’informations étant achevée, le hacker va maintenant élaborer son plan d’attaque. Il identifie les endroits où une attaque est susceptible de réussir, souvent un point d’attaque se désigne lui-même, parce qu’il est facile à utiliser ou que le pirate a déjà eu l’occasion de s’en servir. Pour choisir sa méthode, le hacker préfère celle avec laquelle il a réussi plusieurs agressions au lieu de tester une nouvelle. Il opte pour la méthode qui a la plus grande probabilité de réussir, celle qui donne de meilleurs résultats et la plus transparente qui laisse le moins de traces possible afin qu’il aie une autre chance s’il ne réussit pas avec elle.
Etape 4 : Attaque du système
Ayant définit son plan, le pirate décide de le mettre à exécution. Il se peut qu’il soit encore obligé de rechercher des informations ou des programmes sur le réseau avant d’agir. l’attaque peut alors entrer en vigueur en utilisant l’une des techniques suivantes :
1. infiltration d’un cheval de Troie.
2. Sabotage du système (par un virus).
3. Manipulation à distance d’un P.C : prendre le contrôle total d’un ordinateur distant pour pouvoir ensuite exécuter son attaque.
4. Accès au système de fichiers partagés : puis le pirate, grâce aux failles, obtient l’accès à certains documents confidentiels ainsi les fichiers de mots de passe et de configuration arrivent à sa portée, et il ne lui reste plus qu’à prendre le contrôle sur le système entier.
5. Renifleur de mot de passe (Sniffer): A l’aide d’un programme spécifique, appelé « renifleur de mot de passe », le pirate surveille tous les échanges s’effectuant entre les ordinateurs du réseau et les enregistre dans un fichier journal. On peut avoir le mot de passe et des tas d’informations confidentielles lors d’une connexion nécessitant le nom utilisateur et le mot de passe.
6. Décryptage du mot de passe avec Brute-Force : La cible principale du pirate est le mot de passe puisqu’il protège l’accès au système et aux données convoitées. Si le pirate ne peut pas contourner la demande du mot de passe ou il ne l’a pas espionner, il utilise un logiciel de Brute-Force (tel que claymore) qui teste toutes les combinaisons usuelles possibles afin d’avoir ce mot de passe ( emploi de la force).
Lorsque l’intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu’il a créé et en nettoyant les fichier de logs des machines dans lesquelles il s’est introduit, c’est à dire en supprimant les lignes d’activité concernant ses actions.