Nous utilisons des cookies pour améliorer votre expérience. En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies.


Politique de confidentialité

Attaques sur les réseaux informatiques et de menaces de la sécurité

 

Attaques sur les réseaux informatiques et de menaces de la sécurité

La communication réseau sur Internet suit une approche en couches, où chaque couche s'ajoute à l'activité de la couche précédente selon le paradigme TCP/IP.

Selon ce modèle, toutes les données, divisées par l'hôte en paquets dans les 5 couches, sont envoyées à l'hôte destinataire distant le long d'un chemin réseau qui comprend de nombreux nœuds intermédiaires. Chacune de ces couches peut être sensible à certains types d'attaques qui exploitent les vulnérabilités du système, des contrôles et des politiques de sécurité.

Une attaque réseau ou une menace de sécurité est définie comme une menace, une intrusion, un déni de service (DoS) ou une autre attaque sur une infrastructure réseau. Les attaques finissent par accéder au réseau et provoquent le blocage ou la corruption de votre réseau. Dans de nombreux cas, l'attaquant peut également essayer d'obtenir un accès non autorisé aux périphériques réseau.

Il existe plusieurs types d'attaques réseau :

  •  Usurpation d'identité
  •  Sniffing
  •  Ecoute clandestine
  •  Piratage de session
  •  Chevaux de Troie
  •  Déni de service (DoS) et déni de service distribué (DDoS)
  •  Attaque des Schtroumpfs
  •  SYN flood
  •  Attaque basée sur un mot de passe
  •  Attaque de clé compromise
  •  Attaque de la couche d'application
  •  Rebond FTP

Usurpation d'identité (IP spoofing)

Usurpation d'adresse IP : tout appareil connecté à Internet envoie nécessairement des datagrammes IP dans le réseau, et ces paquets de données Internet portent l'adresse IP de l'expéditeur ainsi que les données de la couche application. L'usurpation d'identité signifie que l'adresse de l'ordinateur est identique à l'adresse d'un ordinateur de confiance afin d'accéder à d'autres ordinateurs. L'identité de l'intrus est cachée par différents moyens, ce qui rend la détection et la prévention difficiles avec la technologie IP actuelle. Les paquets falsifiés IP ne peuvent pas être éliminés. Avec une adresse IP source falsifiée sur un datagramme, il est difficile de trouver l'hôte qui a réellement envoyé le datagramme. Certaines des attaques populaires lancées par l'usurpation d'adresse IP sont :

  •  Usurpation d'identité aveugle : Dans ce type d'attaque, un pirate situé à l'extérieur du périmètre du réseau local transmet plusieurs paquets à sa cible afin de recevoir une série de numéros de séquence, qui sont généralement utilisés pour assembler les paquets dans l'ordre dans lequel ils étaient prévus. Le pirate ne sait pas comment les transmissions s'effectuent sur son réseau, il doit donc amener la machine à répondre à ses propres demandes pour pouvoir analyser les numéros de séquence. En profitant de la connaissance du numéro de séquence, le pirate peut falsifier son identité en injectant des données dans le flux de paquets sans avoir à s'authentifier lors de l'établissement de la connexion.
  •  Usurpation d'identité non aveugle : dans ce type d'attaque, le pirate réside sur le même sous-réseau que sa cible, donc en écoutant la communication pour les transmissions existantes, il peut comprendre un cycle entier de séquence/d'accusé de réception entre sa cible et un autre hôte cracker n'est pas « aveugle » au numéro de séquence). Une fois que le numéro de séquence est connu, l'attaquant peut détourner des sessions qui ont déjà été construites en se cachant comme une autre machine, en contournant toute sorte d'authentification qui était précédemment effectuée sur cette connexion.

  •  Attaque DoS : Pour éviter qu'une attaque à grande échelle contre une machine ou un groupe de machines ne soit détectée, les malfaiteurs responsables de l'événement ont souvent recours à l'usurpation d'identité (spoofing) pour masquer la source des attaques et rendre difficile leur neutralisation. L'usurpation d'identité atteint un tout autre niveau de gravité lorsque plusieurs hôtes envoient des flux de paquets contrastés à la cible du DoS. Dans ce cas, toutes les transmissions sont généralement usurpées, ce qui rend très difficile la recherche de la source de l’attaque.
  •  Attaque man-in-the-middle (Homme du milieu) : dans une attaque man-in-the-middle, une machine malveillante intercepte les paquets envoyés entre deux machines en cours de transmission de données. L'attaquant modifie ces paquets et les envoie ensuite à la destination prévue, les machines d'origine et de réception ignorant que leur communication a été altérée. Généralement, ce type d'attaque est utilisé pour amener les cibles à révéler des informations sécurisées et à poursuivre ces transmissions pendant un certain temps, tout en ignorant que la machine au milieu de la transmission écoute tout le temps.

Les techniques suivantes aident à empêcher l'usurpation d'adresse IP et ses attaques associées d'affecter les réseaux.

  1. Utiliser l'authentification basée sur l'échange de clés entre les machines connectées en réseau ou sur Internet. L'utilisation d'IPsec réduira considérablement le risque d'usurpation d'identité.
  2. Utiliser une liste de contrôle d'accès pour refuser les adresses IP privées dans l'interface réseau.
  3. Implémenter le filtrage du trafic entrant et sortant.
  4. Configurez les routeurs et les commutateurs, s'ils prennent en charge de telles configurations, pour rejeter les paquets provenant de l'extérieur du réseau local qui prétendent provenir de l'intérieur.
  5. Activez les sessions de chiffrement dans un routeur afin que les hôtes de confiance qui se trouvent en dehors du réseau puissent communiquer en toute sécurité avec les hôtes locaux.

Le renfilage(sniffing) 

Le renfilage(sniffing) de paquets est l'interception de paquets de données traversant un réseau. Un programme de snifer fonctionne au niveau de la couche Ethernet en combinaison avec la carte d'interface réseau (NIC) pour capturer tout le trafic circulant vers et depuis le site hôte Internet. De plus, si l'une des cartes réseau Ethernet est en mode promiscuité, le programme de sniffer récupérera tous les paquets de communication flottant à proximité du site hôte Internet.

Un sniffer placé sur n'importe quel lien inter-réseau de périphérique ou point d'agrégation réseau sera donc capable de surveiller un grand nombre de trafics. La plupart des sniffers de paquets sont passifs et ils écoutent toutes les trames de la couche liaison de données passant par l'interface réseau du périphérique. Le sniffing peut être détecté de deux manières :

  •  Basé sur l'hôte : il existe des commandes logicielles qui peuvent être exécutées sur des machines hôtes individuelles pour indiquer si la carte réseau s'exécute en mode promiscuité.
  •  Basé sur le réseau : il existe des solutions qui vérifient la présence de processus en cours d'exécution et de fichiers longs. Un intrus sophistiqué cache presque toujours ses traces en masquant le processus de nettoyage des fichiers journaux.

Certains des outils populaires de sniffing de paquets sont :

  •  Coin and abel
  •  Carnivore
  •  Dsniff
  •  Ethercap
  •  Fiddler
  •  Tcpdump
  •  Wireshark

Ecoute clandestine 

Ce type d'attaque réseau se produit lorsqu'un attaquant surveille ou écoute le trafic réseau en transit, puis interprète toutes les données non protégées. Avant d'attaquer un réseau, les attaquants souhaitent connaître l'adresse IP des machines du réseau, les systèmes d'exploitation qu'elles utilisent et les services qu'elles proposent. Avec ces informations, leurs attaques peuvent être plus ciblées et sont moins susceptibles de déclencher l'alarme. Le processus de collecte de ces informations est connu sous le nom d’écoute clandestine.

En général, la majorité des communications réseau se produisent dans un format non sécurisé ou « texte clair », ce qui permet à un attaquant ayant accédé aux chemins de données d'un réseau d'écouter ou d'interpréter le trafic. Lorsqu'un attaquant écoute vos communications, on parle de reniflage ou d'espionnage. La capacité d'un espion à surveiller le réseau est généralement le plus gros problème de sécurité que les administrateurs recherchent dans une entreprise. Un utilisateur a besoin d'un équipement spécialisé et d'un accès à des installations de commutation Internet pour écouter la communication des messages. Ce type d'attaque est essentiellement dû au fait que TCP/IP est une architecture ouverte qui transmet des données non cryptées sur le réseau.

Voici quelques méthodes pour empêcher les intrus d'espionner le réseau :

  1. Implémenter Internet Protocol Security (IPSec) pour sécuriser et crypter les données IP avant qu'elles ne soient envoyées sur le réseau.
  2. Mettre en œuvre des politiques et des procédures de sécurité pour empêcher les attaquants d'attacher un sniffer sur le réseau.
  3. Installer un logiciel antivirus pour protéger le réseau de l'entreprise contre les chevaux de Troie. Les chevaux de Troie sont généralement utilisés pour découvrir et capturer des informations sensibles et précieuses telles que les informations d'identification des utilisateurs.

Piratage de session (détournement de session)

Le détournement de session est un moyen d'obtenir un contrôle total ou partiel sur une connexion TCP/IP établie. Cette attaque repose sur une connexion de confiance entre deux ordinateurs pour être en place, puis fonctionne soit pour modifier le paquet circulant entre les machines, soit pour prendre la place de l'un des deux ordinateurs. Le détournement de session est un moyen efficace de prendre le contrôle d'une machine ou d'un processus qui, autrement, ne serait pas accessible. La plupart des authentifications ont lieu lors de l'établissement d'une connexion. Après authentification, la conversation est considérée comme fiable. C'est à ce moment-là que les attaquants veulent que le détournement de session ait lieu. La forme la plus courante et la plus efficace de piratage de session est appelée attaque de man-in-the-middle et fonctionne en plaçant un ordinateur au milieu d'une connexion établie. Les deux extrémités d'une connexion doivent être convaincues que pour parler à l'un ou l'autre côté, elles doivent passer par l'ordinateur attaquant.

Types d'attaques de détournement de session

Les attaques de détournement de session peuvent être classées en trois types différents : actives, passives et hybrides.

  •  Attaque de détournement active : L'attaque active se produit lorsque l'attaquant détourne une session sur le réseau. L'attaquant prend le contrôle d'une des positions client dans un réseau client-serveur lorsqu'il existe une session entre elles. Un attaquant prend également le contrôle des réseaux pour émettre des commandes sur le réseau, permettant de créer de nouveaux comptes d'utilisateurs sur le réseau. Ce compte peut être utilisé ultérieurement pour s'introduire et effectuer des opérations malveillantes telles que des attaques de détournement de session.

  •  Détournement de session passif : Le détournement de session passif est effectué par analyse du trafic. L'attaquant surveille le trafic entre le réseau client et serveur. L'objectif principal de l'attaque passive est de fournir aux attaquants la possibilité de surveiller le trafic réseau et de découvrir potentiellement des données précieuses et d'autres informations confidentielles.

  •  Détournement de session hybride : cette attaque est une combinaison d'une attaque active et d'une attaque passive. Il permet à l'attaquant d'écouter le trafic réseau jusqu'à ce que le résultat attendu soit obtenu. L'attaquant peut alors modifier l'attaque en isolant l'ordinateur de l'utilisateur de la session et en s'assurant de son identité.

Une attaque de détournement de session implique les étapes suivantes :

  1. Localisation d'une cible : Dans cette étape, l'attaquant identifie l'utilisateur cible. Les deux principales exigences identifiées par l'attaquant avant le début de l'attaque sont :
    1. Considérez les réseaux qui ont un niveau d'utilisation très élevé. Cela permet de disposer d'un nombre important d'utilisateurs parmi lesquels choisir, ce qui contribue également à préserver l'anonymat de l'attaque.
    2. L'attaquant cible généralement les réseaux dans lesquels les utilisateurs utilisent fréquemment des protocoles réseau non sécurisés tels que Telnet, rlogin et FTP, en raison de leur conception intrinsèquement non sécurisée. Un logiciel de détection de paquets peut être utilisé pour détecter le trafic réseau dans le but de localiser les protocoles vulnérables tels que FTP, Telnet et rlogin. Pour identifier les ports Telnet, rlogin et FTP actifs sur le serveur, un logiciel de numérisation de ports peut également être utilisé.
  2. Trouver une session active : Les attaques par détournement de session sont généralement dirigées contre des serveurs ayant un grand nombre d'activités. Ceci est fait pour les deux raisons suivantes :
    1. L'utilisation élevée du réseau fournit un environnement contenant des sessions adéquates qui peuvent être exploitées.
    2. L'utilisation élevée du serveur aide à cacher la perturbation causée par l'attaque. Les attaquants ciblent généralement les protocoles orientés session comme Telnet, rlogin et FTP, qui fournissent des connexions prolongées à d'autres ordinateurs. d'autres ordinateurs. Certains des logiciels de détournement de session couramment utilisés sont Wireshark, T-sight ou Juggernaut.
  3. Effectuer la prédiction du numéro de séquence : Après avoir décidé de la cible, l'attaquant pense à un processus de détournement de session par prédiction du numéro de session. Ce processus consiste à deviner le prochain numéro de séquence que le serveur attend du client dans un processus de communication client-serveur. Le numéro de séquence peut être prédit avec précision en utilisant certains des outils logiciels comme Juggernaut, Hunt, et T-sight. Ces outils logiciels aident l'attaquant expérimenté à prédire le prochain numéro de session.
  4. Mettre l'une des parties hors ligne : Une fois que le lieu est ciblé et que le numéro de session est prédit avec précision, l'étape suivante consiste à bloquer l'ordinateur client (utilisateur) dans le réseau. Cela se fait généralement à l'aide d'un déni de service ou de toute autre technique identique qui rend l'ordinateur incapable de communiquer sur le réseau.
  5. Prendre le contrôle de la session et maintenir la connexion : Il s'agit de la dernière étape de l'attaque de détournement de session, où l'attaquant commence à communiquer avec le serveur à l'aide de son poste de travail. L'attaquant va usurper l'adresse IP de ce client pour éviter d'être détecté, et inclura un numéro de séquence qui a été prédit plus tôt. Si le serveur accepte ces informations, l'attaquant a réussi à détourner la session. À ce stade de l'attaque, l'accès complet au réseau n'est limité que par les autorisations de l'utilisateur ou de l'ordinateur compromis ; à condition que la session TCP/IP soit maintenue, l'attaquant n'aura pas à répéter le processus de détournement pendant la durée de la connexion.
Détournement de session TCP

Les détournements de sessionsTCP sont destinés à intercepter la session TCP déjà établie dans un réseau client et serveur, puis prétendre être l'un d'entre eux, redirigeant finalement le trafic TCP vers celui-ci en injectant le paquet IP usurpé afin que les commandes de l'attaquant soient traitées au nom de l’hôte authentifié de la session. Il désynchronise la session entre les parties communicantes réelles et s'insère entre les deux.

Comme l'authentification n'est requise qu'au moment de l'établissement de la connexion, une connexion déjà établie peut être facilement détournée sans passer par aucune sorte d'authentification ou de mesures de sécurité. Les détournements de session TCP peuvent être implémentés de deux manières différentes :

  •  Attaque man-in-the-middle
  •  Attaque aveugle

Dans l'attaque man-in-the-middle, un sniffer de paquets intercepte la communication entre les réseaux client-serveur. Une fois que l'attaquant a lu l'en-tête TCP, il peut connaître le numéro de séquence attendu par le serveur, le numéro d'accusé de réception, le port et les numéros de protocole afin que l'attaquant puisse falsifier le paquet et l'envoyer au serveur avant que le client ne le fasse.

Une approche alternative consiste à modifier la passerelle par défaut de la machine cliente afin qu'elle achemine ses paquets via la machine de l'attaquant. Cela peut être fait par usurpation ARP.

En cas d'attaque aveugle, l'attaquant peut être capable de renifler le paquet et de deviner le numéro de séquence correct attendu par le serveur et de l'implémenter.

Chevaux de Troie

Un cheval de Troie, souvent abrégé en Trojan, est un type de logiciel malveillant conçu pour fournir un accès à distance non autorisé à l'ordinateur d'un utilisateur. Les chevaux de Troie n'ont pas la capacité de se répliquer comme des virus ; cependant, ils peuvent conduire à l'installation de virus sur une machine, car ils permettent à l'ordinateur d'être contrôlé par le créateur du cheval de Troie. Les chevaux de Troie sont l'une des méthodes les plus courantes utilisées par un criminel pour infecter l'ordinateur et collecter des informations personnelles à partir de votre ordinateur.

Certaines des façons dont le cheval de Troie peut pénétrer dans un ordinateur sont l'intégration dans un programme par ailleurs authentique, par le biais de pièces jointes de courrier électronique, de contenu Web exécutable tel que des contrôles ActiveX, etc.

Techniques d'atténuation des attaques de chevaux de Troie

Les attaques de chevaux de Troie peuvent être maîtrisées par l'utilisation de précautions appropriées telles que l'utilisation d'un logiciel antivirus approprié. Voici quelques étapes qui devraient garantir que les attaques sont maintenues au niveau de menace minimum, même si elles ne sont pas totalement éliminées :

  •  Une grande variété d'applications antivirus sont disponibles en tant que logiciels autonomes ou intégrés à un large éventail d'applications connues sous le nom de suite de protection Internet. Il est important d'utiliser un logiciel antivirus testé et efficace afin de garder les virus et chevaux de Troie à distance.
  •  L'installation de l'application logicielle appropriée est nécessaire, mais elle n'est certainement pas suffisante pour tenir à distance les codes malveillants. À moins que ces applications ne soient constamment mises à jour et que l'on prenne soin de les maintenir en ordre, elles ne seront pas efficaces contre les dernières menaces et attaques.
  •  Le déploiement de systèmes appropriés de détection et de prévention des intrusions est également efficace pour parer à de tels dangers.

Déni de service (DoS) et déni de service distribué (DDoS)

Le déni de service est un type d'attaque très courant. L'attaquant empêche un serveur de fournir des services. Le déni peut se produire à la source en empêchant le serveur d'obtenir les ressources nécessaires pour remplir sa fonction. À la destination, il se fait en bloquant la communication du serveur, comme dans la figure ci-dessous, ou le long du chemin intermédiaire en rejetant les messages du client ou du serveur, ou des deux. Le DoS entraîne un retard infini. Il s'agit d'un type d'attaque très courant. L'attaquant empêche un serveur de fournir des services. Comme son nom l'indique, une attaque par déni de service rend les sites web et autres ressources en ligne indisponibles pour les utilisateurs prévus.

Les attaques DoS et DDoS sont toutes deux utilisées dans le cadre de la cybercriminalité organisée sophistiquée. Les cybercriminels utilisent des attaques DoS faciles à mettre en œuvre pour distraire la victime, détourner son attention et mener silencieusement, en arrière-plan, une attaque hautement sophistiquée contre des systèmes ou des bases de données clés.

Types d'attaques DoS

Les attaques DoS peuvent être divisées en deux catégories générales :

  •  Attaques de la couche application : Il peut s'agir de menaces DoS ou DDoS qui cherchent à surcharger un serveur en envoyant un grand nombre de requêtes nécessitant une gestion et un traitement gourmands en ressources. Cette catégorie comprend les inondations HTTP, les attaques lentes et les attaques par des inondations de requêtes DNS.
  •  Attaques de couche réseau : La plupart de ces attaques sont des attaques DDoS mises en place pour obstruer les « pipelines » reliant le réseau. La liste des attaques dans cette catégorie comprend les attaques par inondation UDD, inondation SYN, inondation NTP (Network Time Protocol).

N'importe lequel d'entre eux peut être utilisé pour empêcher l'accès aux serveurs, tout en causant de graves dommages opérationnels, tels que la suspension de compte et des changements massifs de dépassement. Une attaque DoS peut être perpétrée de plusieurs manières ; les trois types de base sont :

  •  Consommation de ressources de calcul, telles que la bande passante, l'espace disque ou le temps CPU.
  •  Perturbation des informations de configuration, telles que les informations de routage.
  •  Perturbation des composants physiques du réseau.

Les conséquences d'une attaque DoS sont les suivantes :

  •  Performances réseau anormalement lentes.
  •  Indisponibilité d'un site Web particulier.
  •  Impossibilité d'accéder à un site Web.
  •  Augmentation spectaculaire de la quantité de spam que vous recevez sur votre compte.
Attaque par déni de service distribué (DDoS)

Une attaque par déni de service distribué (DDoS) se produit lorsque plusieurs systèmes compromis ou plusieurs attaquants inondent la bande passante ou les ressources d'un système ciblé avec un trafic inutile. Ces systèmes sont compromis par des attaquants utilisant diverses méthodes.

Dans les attaques DDoS, l'attaquant commence par obtenir l'accès à des comptes utilisateurs sur de nombreux hôtes sur Internet. Il installe et exécute ensuite un programme esclave sur chaque site compromis, qui attend tranquillement les commandes d'un programme maître en cours d'exécution. Le programme maître contacte ensuite les programmes esclaves, ordonnant à chacun d'entre eux de lancer une attaque par déni de service dirigée vers le même hôte cible. L'attaque coordonnée qui en résulte est particulièrement dévastatrice, car elle provient de tant d'hôtes attaquants en même temps.

Attaque Smurf

Une attaque Smurf est une forme d'attaque par déni de service distribué qui rend les réseaux informatiques inopérants. Dans une attaque Smurf, un attaquant crée de nombreux paquets ICMP avec l'adresse IP de la victime visée comme IP source et diffuse ces paquets dans un réseau informatique à l'aide d'une adresse de diffusion IP.

Le processus d'attaque des Smurf est généralement expliqué en cinq étapes :

  1. Le pirate identifie l'adresse IP d'une victime.
  2. Le pirate identifie un site intermédiaire qui amplifiera l'attaque.
  3. Le pirate envoie une grande quantité de trafic ICMP à l'adresse de diffusion du site intermédiaire. L'adresse IP source de ces paquets est usurpée pour pointer vers la victime.
  4. Les intermédiaires fournissent la diffusion au niveau de la couche 2 à tous les hôtes de leur sous-réseau.
  5. Les hôtes répondent au réseau victime.

Dans cette attaque, l'attaquant envoie une demande de ping IP à un site récepteur. Le paquet ping spécifie qu'il a été diffusé à un certain nombre d'hôtes au sein du réseau local du site de réception.

Le paquet indique également que la demande provient d'un autre site, qui est le site cible qui doit recevoir l'attaque par déni de service. Le résultat sera de nombreuses réponses ping renvoyées à l'hôte innocent et usurpé. Si l'inondation est suffisamment importante, l'hôte falsifié ne sera plus en mesure de recevoir ou de distinguer le trafic réel.

Inondation SYN

Afin de comprendre une attaque par inondation SYN, nous devons d'abord comprendre la poignée de main TCP/IP (TCP/IP Handshake). Normalement, lorsqu'un client tente de démarrer une connexion TCP avec un serveur, le client et le serveur échangent une série de messages qui s'exécutent normalement comme les trois étapes mentionnées comme suit :

  1. Le client demande une connexion en envoyant un message SYN (synchronisation) au serveur.
  2. Le serveur accuse réception (acquittement) de cette demande en renvoyant la synchronisation reconnue (SYN-ACK) au client.
  3. Le client répond par un ACK et la connexion est établie.

Une attaque DDoS par inondation SYN exploite une faiblesse connue dans la séquence de connexion TCP dans laquelle une demande SYN pour initier une connexion TCP avec un hôte doit être répondue par une réponse SYN-ACK de cet hôte, puis confirmée par une réponse ACK du demandeur. Dans un scénario d'inondation SYN, le demandeur envoie plusieurs demandes SYN, mais soit ne répond pas à la réponse SYN-ACK de l'hôte, soit envoie les demandes SYN à partir d'une adresse IP usurpée. Dans tous les cas, le système hôte continue d'attendre l'accusé de réception de chacune des demandes, liant les ressources jusqu'à ce qu'aucune nouvelle connexion ne puisse être établie, et aboutissant finalement à un déni de service. Le serveur ciblé garde chacune de ces fausses connexions ouvertes. Cela finit par déborder le pool de connexions simultanées maximal et conduit au refus de connexions supplémentaires de clients légitimes.

Attaque basée sur un mot de passe

Un dénominateur commun de la plupart des plans de sécurité des systèmes d'exploitation et des réseaux est le contrôle d'accès par mot de passe. Cela signifie que les droits d'accès à votre ordinateur et aux ressources réseau sont déterminés par qui vous êtes, c'est-à-dire votre nom d'utilisateur et votre mot de passe. Les applications plus anciennes ne protègent pas toujours les informations d'identité lorsqu'elles sont transmises à travers le réseau pour validation. Cela peut permettre à un indiscret d'accéder au réseau en se faisant passer pour un utilisateur valide. Lorsqu'un attaquant trouve un compte utilisateur valide, l'attaquant a les mêmes droits que l'utilisateur réel. Par conséquent, si l'utilisateur dispose de droits de niveau administrateur, l'attaquant peut également créer des comptes pour un accès ultérieur à un moment ultérieur. Après avoir accédé au réseau avec un compte valide, un attaquant peut effectuer l'une des actions suivantes :

  •  Obtenir des listes de noms d'utilisateurs et d'ordinateurs valides et des informations sur le réseau.
  •  Modifier les configurations de serveur et de réseau, y compris les contrôles d'accès et les tables de routage.
  •  Modifier, rediriger ou supprimer vos données.

Attaque de clé compromise

Une clé est un code ou un nombre secret nécessaire pour interpréter des informations sécurisées. Bien que l'obtention d'une clé soit un processus difficile et exigeant en ressources pour un attaquant, elle est possible. Une fois qu'un attaquant a obtenu une clé, celle-ci est appelée clé compromise.

Un attaquant utilise la clé compromise pour accéder à une communication sécurisée sans que l'expéditeur ou le destinataire ne soit au courant de l'attaque. Avec la clé compromise, l'attaquant peut déchiffrer ou modifier les données et essayer d'utiliser la clé compromise pour calculer des clés supplémentaires, ce qui pourrait permettre à l'attaquant d'accéder à d'autres communications sécurisées.

Attaque de la couche d'application

Une attaque de couche application cible les serveurs d'applications en provoquant délibérément une défaillance dans le système d'exploitation ou les applications d'un serveur. Cela permet à l'attaquant de contourner les contrôles d'accès normaux. L'attaquant profite de cette situation pour prendre le contrôle des applications et des systèmes des utilisateurs. L'attaquant peut également :

  •  Lire, ajouter, supprimer ou modifier les données ou le système d'exploitation.
  •  Introduisez un programme antivirus qui utilise les ordinateurs et les applications logicielles pour copier les virus sur l'ensemble du réseau.
  •  Introduisez un programme de renifleur pour analyser le réseau et obtenir des informations qui peuvent éventuellement être utilisées pour planter ou corrompre les systèmes et les réseaux.
  •  Arrêtez anormalement les applications de données ou les systèmes d'exploitation.
  •  Désactivez les autres contrôles de sécurité pour activer de futures attaques.

Rebond FTP

Une attaque par rebond FTP est une attaque héritée qui ne fonctionnera pas bien sur le logiciel FTP. Il utilise la commande de port pour demander indirectement l'accès via la machine d'une victime. Une fois dans un port, un attaquant peut obtenir des informations ou bien perturber la communication réseau.

Partager ce cours avec tes amis :
Rédigé par ESSADDOUKI Mostafa
ESSADDOUKI
The education of the 21st century opens up opportunities to not merely teach, but to coach, mentor, nurture and inspire.