République du Cameroun
Paix-Travail-Patrie
---------------
Université de Yaoundé 1
---------------
Faculté des Sciences
---------------
Sciences de la Terre et de l’Univers
Republic Of Cameroon
Peace-Work-Fatherland
---------------
University of Yaounde 1
---------------
Faculty of Sciences
---------------
Earth and Universe Sciences
LES TECHNIQUES DE DÉTECTIONS
Risque et malveillance informatique
NOMS DES PARTICIPANTS DU GROUPE 13
 IPOUK MARIE VICTOIRE 20P053
 KIESSIKE ELISABETH NADINE 20P034
 OTELE BORIS 20P037
 TCHOUATCHOUA PRISCA 20P031
 ZAMBO MARILYNE AUDREY 20P032
SOUS LA SUPERVISION DE : ING. BILLONG IV
06 DECEMBRE 2021
GROUPE 13
HUMANITE NUMERIQUE

TABLE DES MATIERES
INTRODUCTION
I-Présentation de la détection
1.Généralité
2.Quelques définitions
3.Les types de vulnérabilités
4.Les raisons de la protection au vulnérabilité
II. Audits de vulnérabilités des infrastructures
1.Detection et analyse des failles
a. Les IDS
b. Les IPS
2.Définition du périmètre de vulnérabilité
3.Définition de la vulnérabilité
4.Analyse des vulnérabilités circonstances
III. Pratique de logiciel de vulnérabilité NMAP
WEBOGRAPHIE

INTRODUCTION
La cybersécurité est un néologisme provenant du préfixe « cyber » dont l’usage est consécutif au développement
exponentiel de l' informatique et de la robotique, plus généralement à l'avènement du réseau internet et de la « révolution
numérique » ; il a donné avec le développement d'Internet et la généralisation du numérique un grand nombre de mots tels
quecyberespace,cybersécurité, cyberdéfense, cyberattaque, cybercrime, cybercafé, cyberculture, cyberdémocratie, cybermarché
, cyber-réputation. C’est dans le concept de cyberdéfense qu’intervient la détection des vulnérabilités des systèmes qui répond
aux cyberattaques.
La détection des vulnérabilités est mise sur pieds pour la première fois lorsque Bob thomas crée en 1971 le premier vers
informatique considéré comme le premier virus appelé ver Creeper il était capable de passer de machine en machine après avoir
pris les commandes d’un ordinateur. En 1972 on observe la création du premier anti-virus c’est Reaper capable de d’effacer
Creeper dès qu’il est détecte. Les attaques par les virus se sont poursuivies et cet essor de malveillances a été soutenus par des
attaques beaucoup plus forte telle que les piratages, le hacking etc. afin de ne plus permettre ces intrusions de nombreux moyen
de protection et de détection ont étaient mis sur pieds : ce sont les IDS (intrusion détection system) ont été mis en place pour
essayer autant que faire se peut de sécuriser les mondes informatiques contre des logiciels malveillants des virus.

I. Présentation de la détection
1. Généralité
Il n’est pas du tout évident de parler de détection en informatique sans parler d’intrusion car ils vont de
pair le tout mis dans un système. Un système de détection d’intrusion ou IDS est un mécanisme destiné à
repérer des activités qui sont anormales ou suspectes sur la cible analysée (réseau ou machine). Il permet
ainsi d’avoir une connaissance sur tentatives réussies comme échouées des intrusions. On distingue deux
grandes catégories D’IDS, les plus connues sont les détections par signatures (reconnaissance de
programme malveillants) et les détections par anomalies (détecter les écarts par rapport à un modèle
représentant les bons comportements) notons qu’il est aussi possible certains IDS ont la possibilité de
répondre aux menaces détectées il est possible qu’un IDS soit classifier selon la cible à surveiller, les plus
communs sont les systèmes d’intrusion réseau et d’hôte.

2.Quelques définitions
Cybersécurité : c’est la protection des systèmes connectés à internet contre les menaces informatiques visant le
matériel, les logiciels et les données
Détection (informatique) : c’est une activité qui consiste a détecté une activité anormale et suspecte.
Vulnérabilité (ou faille) : c’est une faiblesse dans un système informatique permettant à un attaquant de
porter atteinte à l'intégrité de ce système
Intrusion : le fait de s’introduire de façon inopportune dans système informatique (SI) ou réseau
informatique sans y être invité.
Menace : se réfère à tout ce qui a le potentiel de causer de graves dommages à un système informatique.
3.Les types de vulnérabilités
Toutes les entreprises redoutent toujours les attaques des hackers à travers les failles informatiques. Même
celles les plus sécurisé subissent les piratages informatiques et les plus souvent ne le savent pas. En effet, cinq
failles pouvant compromettre le système informatique d’une entreprise ont été découvert :

 Faille au niveau des protocoles : ici, les négligences en matière de sécurité se trouve au niveau des éléments
actif comme le switch les routeurs …. Aussi les mots de passes d’administration par défaut pour accéder à ce
type d’équipement reste inchangé.
 Faille aux niveaux des bases de données : ce type de faille s’explique par l’utilisation des mots de passes qui
sont en fonction du nom des serveurs. En effet les administrateurs de basses de données usent de cette
technique lorsqu’ils gèrent un grand nombre de serveurs enfin de mémoriser plus facilement les mots de
passent. Les hackers exploitent ces failles pour accéder aux fichiers de la base de données pour obtenir
d’autres comptes avec les mots de passent faibles. Ces derniers peuvent être décryptés par la technique de
cassage.
 Faille au niveau du partage des fichiers : pratiquement toutes les entreprises utilisent le partage des fichiers,
généralement sans restriction. Or le partage des fichiers non sécurisé est une porte ouverte pour les hackers.
Leurs permettant ainsi d’obtenir les informations sensibles, voir confidentiel de l’entreprise.
 Faille au niveau de la gestion des droits d’accès : il est considéré comme le maillon faible de la sécurité
informatique, car 50% des menaces proviennent directement des employés de l’entreprise. Ceci est dû à leur
manque de rigueur ou de leur vulnérabilité

 Les vulnérabilités web : ce sont les attaques qui sont présent sur les sites web
o La vulnérabilité << SQL INJECTION>> : ici les hackers procèdent par la technique des injections
SQL pour s’introduire directement sur le système de l’entreprise dans le but de s’approprier illégalement
des informations confidentielles. Les hackers injectent << LES MALWARES>> par le biais de code
JAVASCRIPT, dans le but de porter atteinte à l’entreprise.
o Vulnérabilité << cross site Scripting >> ou << XSS>> : c’est le type d’attaque le plus fréquent sur les
sites internet. Les impacts sont : la redirection vers un site hameçonnage, le vol des sessions d’utilisateurs
ou encore le vol des données sensible.
o Les vulnérabilités << BROKEN AUTHENTIFICATION and SESSION MANAGEMENT>> : cette
vulnérabilité permet aux hackers d’usurper l’identité d’un utilisateur dont l’identifiant a été volé et utilisé à
son insu.
o Les vulnérabilités<< CROSS SITE REQUEST FOGERY>> : ce type de vulnérabilité repose
également sur le principe d’injection de code malveillant directement; ceci par le fait que le hacker
bénéficie de tous les droits et accès privilégiés accordes à l’utilisateur

4. Les raisons de la protection aux vulnérabilités
Aux vues des vulnérabilités dont peut faire face les entreprises de nos jours, il est important pour ces derniers de se
protéger contre :
 Les atteintes à la disponibilité des systèmes et des données
 Aux destructions des données
 Aux falsifications de données
 Au vol ou à l’espionnage de données
 Usage illicite d’un système ou d’un réseau
II. Audits de vulnérabilités des infrastructures
1. Détection et analyse des failles
De plus en plus d’entreprises subissent des attaques qui peuvent entrainer des pertes conséquentes. Le besoin des
entreprises en sécurité informatique est de plus en plus important et un élément essentiel d’une bonne politique de
sécurité est l’utilisation d’un d’IDS (Intrusion Detection System) et d’IPS (Intrusion Prevention System). Ainsi, ses
différents systèmes se caractérisent par leur domaine de surveillance. Celui-ci peut se situer au niveau d’un réseau
d’entreprise, d’une machine hôte, d’une application.

a. Les IDS
 La détection d’intrusion réseau (NIDS)
Le rôle essentiel d’un IDS réseau est l’analyse et l’interprétation des paquets circulant sur ce réseau.
L’implantation d’un NIDS sur un réseau se fait de la façon suivante : avec des capteurs (placer à
différent endroits et configurer en mode « promiscuous » de façons à être invisible) qui sont placés aux
endroits stratégiques du réseau et génèrent des alertes s’ils détectent des attaques. Ces alertes sont
envoyés à une console sécurisée qui les analyses et les traites éventuellement. Voici quelques exemples de
NIDS : Net RANGER, Dragon, NFR, Snort, ISSRealSecure.
 La détection d’intrusion basée sur l’hôte
L’Host IDS analyses exclusivement l’information concernant cet hôte. Comme ils n’ont pas à contrôler le
trafic de réseau mais « seulement » les activités d’un hôte ils se montrent habituellement plus précis sur
les types d’attaque subies.

Lors d’une attaque réussie, ces Host IDS utilisent deux types de source pour fournir une information sur
l’activité de la machine : le logs (ne sont pas accès performent), les traces audits du système
d’exploitation (précis et détaillés ils fournissent de meilleur information). Voici quelques HIDS connu :
Tripwire, WACTH, Dragon Squire, Tiger, Security Manager.
 Détection d’intrusion basée sur application
Les IDS basés sur les applications sont un sous-groupe des IDS hôtes. Ils contrôlent l’interaction entre
l’utilisateur et un programme en aoutant les fichiers de log afin de fournir de plus ample information sur
les activités d’une application particulière. Puisque vous opérez entre un utilisateur et un programme, il
est facile filmer tout comportement notable. Par contre du fait que cet IDS n’agit pas au niveau du
noyau, la sécurité assurée est plus faible, notamment en ce qui concerne les attaques de types « cheval
de Troie ».

Noté bien : il existe deux modes de détection, la détection d’anomalies et la reconnaissance de signatures.
Deux types de réponses existent, la réponse passive et la réponse active. Cependant ce n’est pas le cas pour
l’ensemble des IDS.
b. Les IPS
De l’avis des analystes, le concept d’IPS (systèmes de prévention des intrusions) vise à anticiper les attaques
de pirates informatiques des lors que leur empreinte est connue. Il ne s’agit plus seulement se réagir à une
attaque en cours mais d’empêcher que celle-ci puisse seulement débuter. Un système IPS est placé en ligne et
examine en théorie tous les paquets entrants et sortant ; si le paquet est offensif, il doit pouvoir activer un
mécanisme de réponse adéquat en un temps record.
Comme exemple IPS le moteur AQ de Netasq est l’une de meilleurs car il détecte et élimine tout
comportement malicieux en temps réel.
Nous avons entre autres le SNORT (utilises dans le domaine du réseau et de l’hôte) qui est une solution
super puissante par rapport à plusieurs solutions propriétaires, il analyse le trafic en temps réel et journalise
les paquets déplus, il est très compatible avec les distributions linux pour l’analyse des systèmes.

2.Définition du périmètre de vulnérabilités
Quel que soit votre besoin, il est crucial de définir précisément le périmètre souhaité afin d’analyser un ou
plusieurs éléments souhaités. Sans impacter d’éléments tiers. L’objectif de cette phase consiste en la récolte
d’informations sur le périmètre à analyser et son exposition externe grâce à la validation de l’accessibilité des
composants inscrits au périmètre et l’identification d’outils qui seront utilisés durant l’audit de vulnérabilités.
Par exemples, un audit d’infrastructure, un audit applicatif ou un audit de serveur web auront des approches
différentes, définies par nos consultants afin d’appréhender au mieux chaque scénario et chaque
environnement donné.
3. Définition découverte de la vulnérabilité
Cette partie consiste faire toute formes de stimulations afin de connaitre qu’elles sont les véritables failles de
système s’il y’a une intrusion par là pour cela il est donc nécessaire de procédé au étapes suivant
 La veille : elle consiste à s’informer sur la technologie d’utiliser par une structure leur fonctionnement
leurs politiques leurs accès et les autorisations, en utilisant un panel d’outil spécifique tel que les panels
d’outils de vulnérabilité de système, applicative, web

 De connaitre les paramètres les audits automatiser : c’est-à-dire périmètre qui donne des accès automatiques
4. analyses des vulnérabilities circumstances
la gestion des vulnérabilités se fait en plusieurs étapes. Celles-ci peuvent être regroupées en deux temps clés : la
détection puis l’analyse. Après un premier épisode sur les différentes manières d’identifier les vulnérabilités,
attardons-nous sur leur analyse.
Etape 1 : analyser les données
Une fois que la phase de collecte a identifié une ou plusieurs vulnérabilités, il faut traiter cette
information :
 En vérifiant qu’il ne s’agisse pas d’un faux positif (fausse alerte),
 En évaluant l’impact et la vraisemblance de l’exploitation de la vulnérabilité sur le composant,
 En évaluant les risques liés à cette vulnérabilité sur l’ensemble du SI (système d’information).
Pour attester que la vulnérabilité détectée est bien réelle, il faut collecter des informations sur ses caractéristiques
et les comparer avec la configuration du composant que l’on pense vulnérable. Tous les composants ne sont en
effet pas sensibles aux mêmes vulnérabilités : si pour certains, elles peuvent être critiques, pour d’autres, elles
n’auront aucun impact.

Par exemple, un patch (mise à jour) pourrait déjà avoir été installé, ou une configuration particulière du
composant pourrait faire que celui-ci n’est pas vulnérable.
Le travail d’analyse peut également être plus long si :
 La vulnérabilité est récente et peu maîtrisée,
 Elle concerne un large périmètre du SI,
 Les éditeurs n’ont pas de solutions clés en main pour résoudre de façon fiable le problème comme
nous avons pu le voir dernièrement avec les vulnérabilités Meltdown et Spectre.
Dans l’analyse des vulnérabilités, il faut aussi déterminer les conséquences d’un correctif sur les autres
briques du SI. Sur un périmètre donné, notamment quand l’exploitation de la vulnérabilité reste faible, il
est parfois plus risqué de corriger. Une analyse en profondeur permet alors de prendre les bonnes
décisions.

Etape 2 : prendre les bonnes décisions
La détection de vulnérabilités, suivie d’une analyse plus ou moins poussée n’aurait pas de sens sans
nommer des personnes référentes pour décider des actions à mettre en œuvre.
Les informations et rapports doivent être remontés à des comités suivant un processus d’escalade
clairement identifié et documenté. Les décisionnaires peuvent se réunir périodiquement pour traiter
régulièrement les vulnérabilités plutôt faibles ou modérées dont le risque pour le SI reste mineur. Pour
les vulnérabilités majeures, des comités exceptionnels peuvent avoir lieu. Ils sont composés d’un certain
nombre d’acteurs que l’on trouvera dans différentes instances en fonction du niveau d’escalade choisi
comme les officiers de sécurité, le RSSI opérationnel, le RSSI d‘une filiale, le RSSI groupe, le directeur
d’exploitation ou le DSI.
Ces comités sont prévus pour :
 Informer et consulter les participants,
 Analyser les risques et la faisabilité des remédiations,
 Prendre les décisions pour traiter les vulnérabilités,
 Valider un plan d’action.

Etape 3 : Plan Do Check Act
Le plan d’action est élaboré grâce au travail commun des différentes équipes en charge des composants
impactés. Ce sont elles qui sauront le mieux comment déployer le correctif (environnement de recette, pré-
production, population pilote, production…). Pour chaque action, doivent figurer au minimum :
 Le ou les composants cibles,
 Le responsable et les différents acteurs,
 L’action à mener (de manière suffisamment détaillée pour empêcher toute mauvaise interprétation).
Les organisations fonctionnent souvent avec un outil de ticketing qui permet d’attribuer à un individu, un
groupe, ou plus largement à une entité la responsabilité d’une action. Il est recommandé de suivre
l’avancement du plan d’action dans un tableau de bord de la sécurité afin notamment de pouvoir en reporter
l’état aux différents comités et responsables.
Le risque zéro n’existant pas, une attaque peut arriver alors que le plan d’action est en train d’être mis en
œuvre. Savoir quels systèmes est patchés et quels autres sont encore faillibles se révèle alors d’une grande
importance.

Le suivi doit s’accompagner d’un contrôle qui vise à vérifier que les mesures sont correctement appliquées et ne
présentent pas de régression en matière de sécurité ou d’altération de performance. Ces contrôles peuvent être
appliqués sur l’ensemble des composants vulnérables, ou sur un panel d’échantillons représentatifs selon le
contexte. Un audit (ou contre-audit s’il a déjà eu lieu), peut être un moyen adéquat pour effectuer cette vérification
et identifier les éléments qui permettront d’agir en conséquence.
Etape 4 : apprendre et devenir meilleur
Il y a souvent matière pour l’organisation à capitaliser sur des problématiques de sécurité, y compris sur les
vulnérabilités, surtout si elles ont échappé au radar.
Elles peuvent être l’occasion :
 D’élargir le périmètre de veille,
 De travailler la mise à jour des bases de connaissances technologiques plus régulièrement,
 De cibler de nouveaux périmètres d’audit,
 D’étendre les scans automatiques de sécurité,

 D’amender le processus de patch management en vigueur,
 De revoir le choix des outils de gestion et de distribution de patchs si ceux-ci n’ont pas
l’efficacité attendue.
Les vulnérabilités détectées peuvent être intégrées au programme de sensibilisation des équipes
techniques pour travailler à éviter de reproduire les mêmes erreurs à l’avenir. Elles peuvent servir aux
différentes équipes en charge de la sécurité et notamment :
 Aux auditeurs , qui pourront rejouer ces tests sur d’autres composants ou s’en inspirer pour mener
des attaques plus élaborées,
 Aux équipes CERT/CSIT, qui, dans leurs activités de threat hunting auront de nouveaux scénarios à
explorer et de nouvelles traces à analyser,
 Aux équipes SOC, qui pourront travailler sur l’intégration de nouveaux indicateurs de
compromission ou affiner ceux existants.

III . Cas pratique de logiciel scanner de vulnérabilité : NMAP
Installation

 Interface

 Scan

WEBOGRAPHIE
 Cybersécurité — Wikipédia (wikipedia.org)
 Cyberdéfense - @Sekurigi
 Gestion des vulnérabilités informatiques : la détection (orangecyberdefense.com)
 Download Nmap for Windows 7.92 - LO4D.com
 Openstack security guide continuos système Manager page 35
 Http://igm.univ-mlv.fr
 www.Sekurigi.com
 www.Akaoma.com
 www.Wikipedia.fr

INDEX
IDS : Intrusion détection system
SI : Système d'information
Meltdown : est une vulnérabilité matérielle découverte exclusivement dans les microprocesseurs
Intel x86 qui permet à un processus non autorisé l'accès privilégié à la mémoire.
RSSI : Responsable de la Sécurité des Système d’Information
NSORT : IDS d’alerte sur réseau
Ticketing : Un système de billetterie est un logiciel qui vous aide à rationaliser les tickets de support
client.