Présentation Mémoire Cybersecurity .pptx

KODJO10 463 views 71 slides Jul 09, 2024
Slide 1
Slide 1 of 71
Slide 1
1
Slide 2
2
Slide 3
3
Slide 4
4
Slide 5
5
Slide 6
6
Slide 7
7
Slide 8
8
Slide 9
9
Slide 10
10
Slide 11
11
Slide 12
12
Slide 13
13
Slide 14
14
Slide 15
15
Slide 16
16
Slide 17
17
Slide 18
18
Slide 19
19
Slide 20
20
Slide 21
21
Slide 22
22
Slide 23
23
Slide 24
24
Slide 25
25
Slide 26
26
Slide 27
27
Slide 28
28
Slide 29
29
Slide 30
30
Slide 31
31
Slide 32
32
Slide 33
33
Slide 34
34
Slide 35
35
Slide 36
36
Slide 37
37
Slide 38
38
Slide 39
39
Slide 40
40
Slide 41
41
Slide 42
42
Slide 43
43
Slide 44
44
Slide 45
45
Slide 46
46
Slide 47
47
Slide 48
48
Slide 49
49
Slide 50
50
Slide 51
51
Slide 52
52
Slide 53
53
Slide 54
54
Slide 55
55
Slide 56
56
Slide 57
57
Slide 58
58
Slide 59
59
Slide 60
60
Slide 61
61
Slide 62
62
Slide 63
63
Slide 64
64
Slide 65
65
Slide 66
66
Slide 67
67
Slide 68
68
Slide 69
69
Slide 70
70
Slide 71
71

About This Presentation

Cyber Security

Size: 2.33 MB
Language: fr
Added: Jul 09, 2024
Slides: 71 pages

Slide Content

Cybersécurité Simulation et Analyse de la sécurité du Système d’information de PME

Problématique Le système d'information est essentiel pour améliorer la productivité, automatiser les tâches récurrentes, optimiser les processus et réduire les coûts. Cependant, avec la digitalisation, le big data et l'Internet des Objets, les cybercriminels ciblent de plus en plus les systèmes d'information. Les attaques informatiques, en particulier celles visant les petites et moyennes entreprises, sont devenues si fréquentes qu'il est probable que la plupart des entreprises aient déjà été touchées sans s'en rendre compte. Les attaques sont souvent indétectables et extrêmement dangereuses. Selon les chiffres de Kaspersky, plus d'un milliard d'attaques malveillantes sont actives en ligne, avec une croissance de 5 % par rapport à 2022. Dans ce contexte, il devient essentiel pour les entreprises de se faire aider par des spécialistes de la sécurité pour identifier et prévenir les attaques potentielles avant qu'elles ne causent des dommages. Une façon d'améliorer la sécurité des systèmes d'information est de les confronter au monde réel à travers des simulations d'attaques, similaires à celles qu'un véritable hacker utiliserait pour évaluer la vulnérabilité du système. Cette approche permet d'identifier les faiblesses et de prendre les mesures nécessaires pour renforcer la sécurité.

INTRODUCTION Les outils et applications informatiques facilitent la communication et relient les individus aux informations et processus de l'entreprise. L'informatique joue un rôle clé dans le développement des entreprises, ce qui incite ces dernières à investir dans leurs systèmes d'information pour améliorer leur performance et obtenir des résultats. Cependant, cette dépendance accrue à l'informatique expose les entreprises à des menaces, notamment les cybercriminels. Toutes les entreprises, peu importe leur taille ou leur secteur, sont susceptibles d'être ciblées. Selon des études récentes, 94 % des entreprises ont été victimes d'une cyber-attaque plus ou moins grave au cours des 12 derniers mois. De plus, 88 % des virus informatiques créés par les hackers échappent à la détection des antivirus, et 57 % des attaques visent principalement les PME.

Objectifs Le but de ce travail est de simuler le comportement d’un pirate informatique n’ayant aucune information préalable sur le système d’information. La finalité est de faire une investigation (analyse des logs) par la suite pour démanteler la source de l’attaque dans le but de renforcer la sécurité du système.

Généralités sur la sécurité de Système d’information

La cybersécurité est l'ensemble des mesures et des techniques visant à protéger les systèmes informatiques, les réseaux et les données contre les attaques, les menaces (accidentelles ou intentionnelles ; active ou passive).

Propriétés fondamentales de la sécurité des SI La non-répudiation L’identification L’authentification

Terminologie de la sécurité V ulnérabilité, Menace, R isque, A ttaque, I ntrusion C ontre-mesure . Cela permet d'évaluer les dangers potentiels auxquels un système peut être confronté et de prendre des mesures préventives adéquates.

Méthodologie Phase d’attaques  Phases d’analyse  Contremesure 

Méthode de Sécurité Chiffrement symétrique Chiffrement asymétrique permet de protéger les informations sensibles en les rendant illisibles pour les personnes non autorisées.

Pare-feu (Firewalls) Les pare-feu (firewalls) permettent de rendre indépendant les accès aux réseaux et d’interconnecter deux ou plusieurs réseaux de niveaux de sécurité différents. Ils jouent également un rôle crucial en contrôlant le trafic réseau et en empêchant les accès non autorisés.

Le cloisonnement des environnement Cette technique vise à empêcher la propagation d'une intrusion ou d'un logiciel malveillant d'une partie du système à une autre, en limitant la portée de l'attaque. La Segmentation du Réseau, tel que le réseau local (LAN), la zone démilitarisée (DMZ) et les réseaux privés virtuels (VPN), contribue également à renforcer la sécurité des systèmes d'information en lui offrant une meilleure sécurité, un contrôle d'accès plus précis, une amélioration des performances, la confidentialité des données et une gestion simplifiée dans un environnement informatique complexe.

les systèmes de détection et de prévention des intrusions (IPS/IDS) En outre, les systèmes de détection et de prévention des intrusions (IPS/IDS) sont des outils importants pour surveiller les activités suspectes et réagir rapidement en cas de violation de la sécurité ; ils permettent de détecter et d’identifier des intrusions, des incidents et des anomalies du système d’information.

le NAC (Network Access Control) est une technique de sécurité informatique permettant de soumettre l’accès à un réseau d’entreprise à un protocole d’identification de l’utilisateur et au respect par la machine de cet utilisateur des restrictions d’usages définies pour ce réseau. Le NAC peut également être utilisé pour surveiller en continu l'état de sécurité des dispositifs connectés et pour appliquer des politiques de sécurité dynamiques en fonction des risques détectés.

Hackers, Pirates Informatique L e terme Hacker est utilisé généralement pour désigner des personnes malintentionnées qui s’attaquent aux infrastructures réseau d’une organisation. Il existe différente catégorie de hackers, allant des malveillants (black hats) ; aux hackers éthiques (white hats) , en passant par des hybrides (gray hats) , ainsi que d'autres types de hackers tels que les "suicide hackers" , les "script kiddies" et les "hacktivistes".

Les phases d’une attaque De la collecte d'informations à la suppression des traces ; En passant par la recherche de vulnérabilités ; L'exploitation des ressources et le maintien de l'accès.

Les cybercriminels utilisent des méthodologies et des suites d’étapes bien organisées pour réaliser leurs attaques et de ne pas se faire démasquer. Nous pouvons scinder ces étapes en cinq (05) parties : La phase de Reconnaissance ( Reconnaissance Passive et Active) Phase de Scan La phase d’exploitation La phase de maintien La phase de suppression des traces

Les techniques d’attaques Il existe différents types d’attaques selon la position de l’attaquant, selon la cible à atteindre, selon les services, ou les objectifs de l’attaquant. Néanmoins, nous pouvons les classer en cinq (04) grandes catégories :

Les attaques par appropriation de mot de passe Attaque par Force brute Attaque par dictionnaire Attaque par déni de service Attaque par modification de page web Attaque basée sur le détournement du mode opératoire des protocoles :

Les attaques par appropriation de mot de passe Les pirates peuvent compromettre les mots de passe des utilisateurs en utilisant deux méthodes principales : L'attaque par force brute L'attaque par dictionnaire.

L'attaque par force brute L'attaque par force brute consiste à tester toutes les combinaisons possibles de mots de passe jusqu'à trouver le bon. C'est considéré comme l'attaque la plus simple mais aussi la plus lente.

L'attaque par dictionnaire C’est une méthode où les pirates testent une série de mots de passe potentiels les uns après les autres jusqu'à trouver le bon mot de passe. Contrairement à l'attaque par force brute, cette méthode utilise un fichier (dictionnaire) contenant des mots couramment utilisés. Ce fichier peut être personnalisé en fonction de la personne, de sa nationalité, de son âge, etc.

Attaque par déni de service L'objectif principal des attaques DDoS est de rendre le service inaccessible aux utilisateurs légitimes. Ce sont des attaques informatiques visant à rendre un site web, un serveur ou un réseau indisponible en saturant sa bande passante ou en épuisant ses ressources système.

attaques par modification de pages web Ces attaques consistent à substituer une page existante par une nouvelle, dont le contenu est variable en fonction des motivations des attaquants. Pour réaliser ce type d'attaque, un pirate peut utiliser différentes méthodes soit à travers : Une attaque DNS Spoofing Une Attaques de phishing

L'attaque DNS Spoofing le pirate redirige la victime vers un faux site web dans le but de récupérer ses données confidentielles, telles que les identifiants de connexion (login/mot de passe).

Les attaques de phishing utilisent souvent des pages web contrefaites pour tromper les utilisateurs en leur faisant croire qu'ils sont sur un site légitime.

Attaque basée sur le détournement du mode opératoire des protocoles  Ces attaques visent à détourner une session de communication et sont souvent réalisées à l'aide des techniques suivantes : Main In The Middle Attaques par injection

Main In The Middle L'attaquant intercepte les communications entre deux systèmes et détourne le flux de données pour y injecter des données malveillantes. Cela peut être réalisé en usurpant des adresses MAC ou des adresses IP.

Attaques par injection Cette technique consiste à insérer du code malveillant dans les données échangées entre les systèmes, dans le but d'exécuter des actions malveillantes.

Les Programmes malicieux (MALWARE) Parmi les multiples procédés d’attaques des systèmes d’information, il existe aussi des logiciels malveillants dont les plus connus sont : Virus Ver ( worm en anglais) Cheval de Troie (Trojan horse en anglais) Porte dérobée (backdoor en anglais) Virus réticulaire (Botnet en anglais) Logiciel espion (Spyware en anglais) Rançongiciel (Ransomware en anglais)

Network Security Monitoring Le NSM est un système de supervision qui collecte, analyse et signale les indications et les alertes concernant les menaces potentielles. Son objectif est de détecter en temps réel les tentatives d'intrusion et les intrusions réussies sur les équipements connectés au réseau supervisé. Cela permet d'obtenir des informations cruciales pour mener des investigations.

Le processus de la Sécurité Le processus de sécurité s’articule autour de quatre étapes : La planification, L a protection, La détection, L’action ou la mise en place des contre-mesures aux incidents observés.

La planification, La planification est la phase préparatoire où l'entreprise évalue sa posture de sécurité et met en place les produits, les personnes et les processus nécessaires pour identifier et atténuer les intrusions.

La protection La protection consiste à appliquer des contre-mesures pour réduire la probabilité d'une intrusion. Cela inclut l'utilisation de technologies de sécurité, le filtrage du trafic réseau indésirable, la protection contre les attaques et les logiciels malveillants, le contrôle de l'accès aux données, etc.

La détection La détection implique d'avoir une visibilité sur l'état de l'environnement informatique et d'utiliser un système de détection d'intrusion pour identifier les activités malveillantes.

L’action ou la mise en place des contre-mesures L'action est la phase où l'on prend des mesures pour remédier aux intrusions détectées. Cela peut inclure : Le confinement des incidents pour isoler les parties du système infectées, L'investigation pour reconstruire la manière dont l'attaquant s'est infiltré, Le reporting pour documenter les détails de l'incident et faciliter la gestion de la sécurité.

Le processus de la Sécurité

Avantages de NSM Il permet d'analyser les comportements suspects dans le réseau, De diagnostiquer les problèmes, De signaler les incidents, D'identifier les vulnérabilités et les menaces de sécurité, De rester informé, D'éliminer le besoin de contrôles manuels, D'adopter une approche proactive, De conserver un journal de toutes les intrusions, Et de visualiser et d'analyser facilement les paquets capturés.

Description des outils et Environnement de travail

Outils utilisés plusieurs machines virtuelles sont utilisées pour simuler les différents niveaux de l'architecture réseau. Metasploitable 2 Kali Linux PfSense

Metasploitable 2 U ne machine Linux vulnérable utilisée pour effectuer des recherches de sécurité et des tests de pénétration

Kali Linux une distribution Linux spécialisée dans les tests de sécurité et les tests d'intrusion.

Différents outils sont utilisés sous Kali Linux, tels que : Nmap pour la détection de ports ouverts, Metasploit pour l'exploitation de vulnérabilités, Cupp pour la génération de listes de mots de passe, et Hydra pour les attaques par force brute.

PfSense U ne distribution personnalisée de FreeBSD, offrant des fonctionnalités avancées de routage et de pare-feu.

Snort un système de détection d'intrusion de réseau (NIDS), est également utilisé pour surveiller le trafic réseau et détecter les comportements suspects.

L'architecture réseau L'architecture du réseau mise en place est basée sur un modèle couramment utilisé par les entreprises, comprenant : un réseau interne, une zone démilitarisée (DMZ) Et un accès à Internet.

L’ intranet, c’est le réseau privé interne de l’entreprise simulé dans notre cas par la machine Windows 10 et Ubuntu.   La DMZ simulé par la machine Metasploitable2 , qui sert de zone tampon entre le réseau interne et Internet. Le système de protection simulé par le pare-feu (PfSense) est utilisé pour sécuriser le réseau interne contre les attaques malveillantes. L’Internet, simulé par la machine Kali Linux.

Plan d’adressage Machine Adresse IP/interface Passerelle Masque Zone Ubuntu Windows 10 192.168.1.130/eth0 192.168.1.129/eth0 192.168.1.254 255.255.255.0 LAN Kali Linux 192.168.133.129/eth0 192.168.133.255 255.255.255.0 Internet Metasploitable 192.168.2.128/eth0 192.168.2.255 255.255.255.224 DMZ   PfSense 192.168.133.131/eth0 192.168.1.2/eth1 192.168.2.1/eth2   /   ------- Pare-feu

Simulation : Attaques, Analyse et Contremesure

Scenario D’Attaques Le premier scénario concerne une attaque visant à compromettre les machines du réseau en exploitant une vulnérabilité liée au protocole FTP ; tandis que le deuxième scénario se concentre sur une attaque par force brute sur le protocole SSH.

Phase de collecte d’information Dans le cadre de ce travail, vue que nous travaillons dans un environnement virtuel ; elle nécessite un accès à l’internet pour la recherche d’informations, pour interroger les bases de données publique comme le DNS Database.

SCAN NMAP Connaissant l’adresse IP de la cible L e scan Nmap furtif en utilisant l’option : -sV # nmap -sV 192.168.2.128

Attaque Backdoor (porte dérobée) une faille de sécurité liée à la version 2.3.4 du protocole FTP est exploitée pour prendre le contrôle d'un serveur vulnérable. Cela permet d'ouvrir une session Shell en tant que super-utilisateur sur la machine cible, offrant ainsi la possibilité de réaliser des actions malveillantes, telles que l'injection d'un nouveau compte utilisateur.

Phase d’exploitation Le port 21 étant ouvert, donc il constitue un vecteur d’attaque. Nous Vérifions s’il existe véritablement une vulnérabilité sur ce dernier en exécutant le script ftp-vsftpd-backdoor . Après l’exécution du script, nous remarquons que la cible est bien vulnérable à une attaque backdoor. Détail de la commande : ~# nmap - Sv –spoof-mac 00 :0c :29 :dd :2a 192.168.2.128

CONSULTATION DE la base de données du Framework Metasploit

exécution de l’exploit Maintenant nous pouvons exécuter l’exploit exploit/ unix /ftp/vsftpd-234-backdoor sur la cible 192.168.2.128. Cet exploit ouvre une session Shell sur la machine de la victime avec les privilèges du super-utilisateur (root).

Injectons d’un nouveau compte d’utilisateur

Attaque Par force Brute Hydra

Scenario d’attaque une attaque par force brute est réalisée sur le protocole SSH pour découvrir le mot de passe de l'administrateur du serveur cible. L'outil Cupp est utilisé pour générer une liste de mots de passe possibles en fonction des réponses à des questions interactives. Ensuite, l'outil Hydra est utilisé pour mener l'attaque par force brute en utilisant cette liste de mots de passe.

Phase d’exploitation Le port 22 (SSH) étant ouvert, donc il constitue un vecteur d’attaque. Pour se faire, connaissant quelques informations relatives sur l’utilisateur de la machine cible (adresse IP ; login ; date de naissance). En exécutant la commande Cupp avec l’argument i : #Cupp -i   (Question interactive pour le profilage du mot de passe utilisateur)

le brute forcing #Hydra -s 22 -l tbathily -P tbathily.txt -t 64 -F -V 192.168.2.128 SSH

Résultat du brute forcing

CONNEXION SSH

Contre mesure de sécurité informatiques

Mesure de Prévention contre les attaques Backdoor Mises à jour de sécurité régulières; Utilisation de logiciels de sécurité en détectant et en bloquant les tentatives d'accès non autorisées ; Configuration des règles de pare-feu ; Surveillance des activités suspectes sur le serveur FTP. Configuration des privilèges pour empêcher les utilisateurs non autorisés d'installer des portes dérobées ou d'accéder à des fonctions critiques du système. Audits de sécurité réguliers en garantissant que les systèmes sont sécurisés et conformes aux normes de sécurité .

Mesure contre l’attaque par SSH (Secure Shell) avec Hydra Utiliser une clé de SSH ; Limiter l’accès aux connexions SSH (En autorisant que les adresses IP approuvées ; aide à prévenir contre les attaques par Forte Brute). Utilisation d’un VPN (En cryptant le trafic et masquer l’adresse IP du serveur). Utiliser un système de détection d'intrusion (IDS) pour la détection des attaques et un outil de prévention d'intrusion (IPS) pour bloquer les attaques par force brute et protéger le serveur contre les attaques connues. Mettre en place sur le serveur des règles d’analyse de journaux (fichiers logs) avec surveillance des ports.

Mesure de Prévention contre les attaques web Changer l’en-tête de réponse HTTP par défaut Vérifiez les saisies sur les formulaires web N’installer pas le serveur web sur la machine que celui de la base de données. Désactiver les messages d’erreur

Autres mesures de prévention Sensibilisez les employées à la cybersécurité Fermer tous les ports non utilisés sur le pare-feu Segmenté le réseau en plusieurs domaines (architecture sécurisée du réseau) Sécurisé les accès distants Mise en place d’un système de renouvèlement des mots de passe Renforcer le système d’authentification

Conclusion Générale La cybercriminalité représente toujours un défi constant malgré les efforts des analystes du système d'information à travers de nombreux pays. Les attaques continuent d'augmenter et les pirates deviennent de plus en plus sophistiqués. Avec l'utilisation croissante des technologies de l'information dans les entreprises, il est devenu essentiel de se protéger contre des menaces telles que le phishing, les attaques de session de connexion, les attaques web, etc. Il est donc primordial pour les entreprises de mettre en place des pratiques et des méthodes visant à garantir l'intégrité et la confidentialité des informations stockées, afin de lutter contre la cybercriminalité.

D’après ce travail, nous pouvons affirmer être capable de faire un test d’intrusion sur n’importe quel système d’information. Certains, nous avons beaucoup appris lors de l’élaboration de ce travail, mais il aurait été plus intéressant de faire les différents tests dans un environnement réel. Cela nous aurait permis non seulement de faire la reconnaissance passive, de cartographier le réseau cible et aussi de faire des tests d’intrusion sur les équipements informatiques (les routeurs, les Switchs. Etc.).
Tags
Categories
Technology
Download
Download Slideshow Get the original presentation file
Quick Actions
Statistics
  • Views 463
  • Slides 71
  • Age 509 days
Related Slideshows
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx 11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
44 views
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx 10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
44 views
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx 13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
36 views
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx 11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
33 views
Know for Certain 21
Know for Certain
DaveSinNM
19 views
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx 17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
23 views
View More in This Category