La criminalité informatique Risques et menaces liés à internet et enquêtes en matière informatique
Plan du dossier 1)Internet : Point de vue technique A) Fonctionnement d’Internet B) Menaces liées à Internet 2) Internet : Comment se protéger A) Se protéger et identifier son pirate B) Les infractions informatiques
1) Internet : Point de vue technique A) Fonctionnement d’Internet Internet = interconnexion de réseaux à l’échelle planétaire Constitué de millions de serveurs Reliés entre eux physiquement pour constituer une toile d’araignée
Sur internet, les ordinateurs sont identifiés par une adresse composée de 4 nombres de 0 à 255. Elle est nommée « adresse IP » Ex: Elle est allouée par le Fournisseur d’Accès à Internet (FAI) à son client pour toute la durée de la connexion à Internet. Sur Internet, une adresse IP ne peut être utilisée que par un seul ordinateur à la fois. Il existe des adresses IP fixes (serveurs) et des adresses IP dynamiques qui changent à chaque connexion (internautes à domicile).
Les adresses IP sont distribuées et gérées par un organisme de coordination : l’ ICANN qui délègue ses fonctions à d’autres organismes de gestion. Les plages d’adresses sont découpées de manière géographiques. Exemple :
Le D.N.S. Pour permettre aux internautes d’accéder aux sites par leurs noms, on a inventé : Le D.N.S. : Domain Name Service Il s’agit d’un système de correspondance qui traduit un nom de machine en adresse IP : Nom de machine Adresse IP Le D.N.S. est à comparer à un annuaire téléphonique : Nom de l’abonné Numéro de téléphone Les noms de domaines.fr sont gérés par l’INRIA (Afnic)
Le D.N.S. répartit les machines au niveau géographique en fonction des pays : ______. fr France ______. de Allemagne ______. it Italie ______. TwTaiwan et en fonction de certains types particuliers : ______. com commercial ______. govUs government ______. org organisation ______. eduUs education ______. net réseau ______. milUs military ______. int international ______...
Les domaines sont ensuite subdivisés en sous-domaines afin d’augmenter les noms possibles :.fr. gouv _____. Nom _____ arc ________. Asso _____ croixrouge _____ … _____ … _____ Il faut donc interpréter un nom de domaine de la droite vers la gauche. arc.asso.fr Association pour la association France recherche contre le cancer
Architecture client – Serveur notion de ports Une fois que le serveur est contacté, il faut trouver un moyen pour s’y connecter. Pour ce faire, un serveur est équipé de ports. Les ports peuvent être assimilés aux portes d’entrée de la machine, au nombre de et numérotées. Chaque serveur admet donc simultanément un nombre élevé de clients.
Notion de ports
Les protocoles Dialogue inter-Ordinateurs La liaison établie, le client doit trouver un moyen de converser avec le serveur. Pour cela ont été inventés les protocoles. Les protocoles correspondent à des normes et permettent aux ordinateurs de se comprendre. Il existe de nombreux protocoles différents pour converser avec les différents ports d’un serveur.
Les principaux protocoles. IP : Internet protocol (données qui circulent). TCP : contrôle du transport des données ~~~~~~~~~~~~~~. HTTP : pour transmettre le contenu du Web (www). SMTP : Pour envoyer des courriers électroniques. POP : Pour récupérer ses courriers électroniques. FTP : Pour le téléchargement de fichiers. NNTP : Pour la lecture des forums (newsgroups). IRC : Pour la discussion écrite en temps réel. TELNET : Connexion à distance sur un ordinateur
Structure d’un paquet IPv4 Chaque paquet IP identifie l’IP source et l’IP de destination.
1) Internet : Point de vue technique B) Principales menaces liées à Internet Sniffing : écoute du réseau Hijacking : usurpation d’identité Flooding : saturation volontaire d’un ordinateur Craking : intrusion dans un système de traitement (hacking) automatisé de donnée (S.T.A.D.) Mail bombing / spamming : saturation volontaire de la boîte à lettre électronique d’un internaute par l’envoi en grand ombre de mails non sollicités Autres : virus, chevaux de troie, spoofing…
Sniffing : reniflage des paquets
Hijacking : usurpation d’identité
Intrusion dans un S.T.A.D. (système de traitement automatisé de données) Les pirates utilisent les failles des systèmes d’exploitation (windows, unix) pour prendre la main à distance sur le système : Exploits. Une fois qu’ils sont maîtres sur la machine, ils installent des outils (Rootkits) qui leur permettent de ne pas être démasqués. Ils ouvrent ensuite des portes dérobés dans le système attaqué afin de pouvoir revenir ultérieurement si la porte qu’ils ont forcés a été fermée : backdoors.
Spamming – Mail bombing Les pirates exploitent quelquefois un serveur d’entreprise mal configuré ou piraté pour envoyer en grand nombre des courriers électroniques : Spamming ou encore mail bombing Ces actions peuvent avoir plusieurs objectifs : - saturer la boîte à lettre d’un internaute - saturer le serveur de l’entreprise par lequel est effectué l’envoi des mails - envoyer des courriers publicitaires non sollicités par les internautes…
Chevaux de troie Les pirates « débutants » utilisent des logiciels développés par des hackers (spécialistes des systèmes d’exploitation) pour s’introduire dans les ordinateurs : les chevaux de troie (trojans)
Vers de courrier Il existe également des scripts (programmes) exploitant les failles des systèmes Windows et se propageant par le courrier électronique : les vers. Lorsqu’ils s’exécutent sur un ordinateur, ces scripts parcourent le carnet d’adresse de l’internaute et s’auto-expédient à tous les correspondants enregistrés. Ces vers sont capables de se diffuser d’eux-même très largement sur Internet en seulement quelques heures, paralysant ainsi de nombreux serveurs. Exemple : The LoveLetter
Le social engineering Le social engineering est le fait de tenter des renseignements de manière psychologique En se faisant passer pour une personnes dans laquelle l’utilisateur a confiance ou qui a autorité sur lui L’utilisateur peut-être trompé et divulguer des informations qui mettent en péril la sécurité du système.
2) Internet : Comment se protéger A) Se protéger et identifier son pirate
Netstat -an Quelques protections Cette commande permet de connaître les ports ouverts sur un ordinateur et de détecter les chevaux de troie à l’écoute.
L’utilitaire Active ports
Quelques conseils Lorsque l’on connecte son ordinateur à Internet, il est nécessaire de le doter préalablement d’un anti-virus efficace (base de signatures à jour). Il faut être prudent avec les fichiers attachés aux courriers électroniques (extensions.exe,.vbs). Ne pas exécuter ces fichiers sans raison. Pour éviter les intrusions, il est également nécessaire d’installer un firewall. ZoneAlarm est un firewall simple et gratuit pour Windows (zonelabs.com)
Les journaux de logs
Identification du FAI Une fois l’adresse IP collectée, il faut identifier l’internaute qui utilisait cette adresse IP au moment de l’infraction. La première étape est d’identifier le domaine par lequel l’internaute est passé pour commettre l’infraction.
Il est également possible de passer par un site Internet qui propose la fonction Traceroute. Exemple : Identification du FAI
Identification de l’internaute Le fournisseur d’accès de l’internaute est maintenant déterminé. Dans notre exemple, il s’agit de « FREE.FR » Il va donc être nécessaire d’identifier la personne à contacter pour obtenir les renseignements sur l’internaute ou signaler le fait relevé. Il existe pour cela une fonction nommée WHOIS qui interroge les bases de données des noms de domaines.
Tracer un
Entête d’un courrier électronique
2) Internet : Comment se protéger B) Les infractions informatiques