Mémoire taguigue PDF

Preview

Summary

République Algérienne Démocratique et Populaire Ministère de la Formation et l’Enseignement Professionnels INSFP LAMRI-BOUDJEMAA SKIKDA Mémoire de fin d'étude pour l’obtention du diplôme TS en spécialité Administration et Sécurité des Réseaux Informatiques Thème : Evaluation de la sécurité d’un rése...

Description

République Algérienne Démocratique et Populaire Ministère de la Formation et l’Enseignement Professionnels INSFP LAMRI-BOUDJEMAA SKIKDA

Mémoire de fin d'étude pour l’obtention du diplôme TS en spécialité Administration et Sécurité des Réseaux Informatiques

Thème :

Evaluation de la sécurité d’un réseau par des tests d’intrusions Cas d’étude : EPS Skikda

Organisme d’accueil : Entreprise Portuaire de Skikda

Elaboré par les stagiaires : ● BOUDIBA Djabeur ● TAGUIGUE Seif-Eddine ● KISMOUNE Mohamed Ramzi ● BRIOUA Reddouane

Encadré par : REBOUCHE Amel

Promo 2015-2018

Remerciement Tout d’abord, nous remercions le Dieu, notre créateur de nos avoir donné les forces, la volonté et le courage afin d’accomplir ce travail modeste. Ce mémoire n’aurait pas été possible sans l’intervention, consciente, d’un grand nombre de personnes. Nous souhaitons ici les en remercier. Nous tenons d’abord à remercier très chaleureusement Rebouche Amel qui nous a permis de bénéficier de son encadrement. Les conseils qu’il nous a prodigué, la patience, la confiance qu’il nous a témoignés ont été déterminants dans la réalisation de notre travail de recherche. Nous tenons tout d’abord à remercier Mr. Ganouch Lyes pour son accueil, son aide, son attention et sa gentillesse tout au long du stage. Nos vifs remerciements vont également aux membres du Jury pour l’intérêt qu’ils ont porté à notre recherche en acceptant d’examiner notre travail et de l’enrichir par leurs propositions. Nos remerciements à nos enseignants qui ont contribué à notre formation. Nos remerciements à tous ceux qui nous ont aidé de près ou de loin à réaliser ce mémoire.

Table des matières Introduction générale.................................................................................................................. 1 Problématique : .......................................................................................................................... 1 Annonce de plan : ....................................................................................................................... 1 Chapitre I : Présentation du cadre de travail ..................................................................................... 2 Introduction : ............................................................................................................................. 3 I-1. Historique : .......................................................................................................................... 3 I-2. Présentation De L’entreprise Portuaire De Skikda : ............................................................... 4 I-2.1. Compétences Territoriales : ............................................................................................ 5 I-2.2. Filiales Et Participations : ............................................................................................... 6 I-2.3. Activité Et Missions : ...................................................................................................... 6 I-3. Organisation de l'Entreprise Portuaire de Skikda : ................................................................ 6 I-4. Organisation du service d’accueil : ........................................................................................ 7 I-4.1. Le Département Informatique : ...................................................................................... 8 I-4.1.1. Service Etudes Et Développement : ........................................................................... 8 I-4.1.2. Service Maintenance :............................................................................................... 9 Conclusion :................................................................................................................................ 9 Chapitre II : Généralité sur la sécurité du réseaux informatiques........................................................10 Introduction : ............................................................................................................................11 II-1. La sécurité : .......................................................................................................................11 II-1.1. Les objectifs de la sécurité : ..........................................................................................11 II-1.2. Processus de sécurisation :............................................................................................11 II-2. Terminologie de la sécurité informatique : ..........................................................................12 II-2.1. Les menaces informatiques : .........................................................................................12 II-2.1.1. Origine opérationnelle :..........................................................................................12 II-2.1.2. Origine physique :..................................................................................................13 II-2.1.3. Origine humaine : ..................................................................................................13 II-2.2. Vulnérabilité : ..............................................................................................................13 II-2.2.1. Les différents types de vulnérabilité :......................................................................13 II-2.3. Les contremesures :......................................................................................................13 II-2.4. Les attaques : ...............................................................................................................13 II-2.4.1. Types d’attaque : ...................................................................................................14

II-2.4.2. Les attaques les plus connues sont les suivantes : .....................................................14 II-3. Les hackers : ......................................................................................................................18 II-3.1. Les différents types de Hackers :...................................................................................19 II-3.1.1. Le Black Hat Hacker (l’hacker au chapeau noir) :...................................................19 II-3.1.2. Le White Hat Hacker (l’hacker au chapeau blanc) : ................................................19 II-3.1.3. Le Grey Hat Hacker (l’hacker au chapeau gris) : ....................................................20 II-4. Qu'est-ce qu'un test d'intrusion (pentest) ? ..........................................................................20 II-4.1. L'audit de sécurité :......................................................................................................20 II-4.2. Évaluation des vulnérabilités : ......................................................................................21 II-4.3. Test d’intrusion :..........................................................................................................21 Conclusion: ...............................................................................................................................21 Chapitre III : Explicitation des termes et contexte de travail ..............................................................22 Introduction : ............................................................................................................................23 III-1. Définition de test d’intrusion : ...........................................................................................23 III-2. Les types de test d’intrusion : ............................................................................................23 III-2.1. Test de base (Boîte noire) : ..........................................................................................23 III-2.2. Test concentré (Boîte grise) : .......................................................................................23 III-2.3. Test complet (Boîte blanche) : .....................................................................................23 III-3. Objectifs, Avantages et Limites des test d’intrusion : ..........................................................24 III-3.1. Objectifs pouvant être satisfaits par des tests d’intrusion : ...........................................24 III-3.1.1. Mettre à l’épreuve la sécurité d’un environnement et qualifier sa résistance à un certain niveau d’attaque :....................................................................................................24 III-3.1.2. Sensibiliser les acteurs (management, informaticiens, utilisateurs) au sein de l’entreprise : .......................................................................................................................24 III-3.1.3. Tests de vulnérabilités :.........................................................................................25 III-3.2. Objectifs ne pouvant être satisfaits par des tests d’intrusion : .......................................25 III-3.2.1. Avoir l’assurance qu’un environnement informatique est sécurisé :........................25 III-3.2.2. Identifier exhaustivement les vulnérabilités de sécurité d’un environnement : .........25 III-4. Les méthodologies de test d'intrusion : ...............................................................................26 III-4.1. Les grandes phases du pentest : ...................................................................................26 III-4.1.1. Phase d'initialisation : ...........................................................................................26 III-4.1.2. Phase de test : .......................................................................................................26 III-4.1.3. Phase de restitution : ............................................................................................27

III-4.2. Les standards de test d’intrusion : ...............................................................................27 III-4.2.1. Pourquoi une méthodologie ? ................................................................................28 III-4.2.2. Les phases du PTES :............................................................................................28 III-4.2.3. L’OWASP : ..........................................................................................................31 III-5. Les S.E De Test D’intrusion :.............................................................................................34 III-5.1. Kali Linux : ................................................................................................................34 III-5.1.1. Caractéristiques de Kali Linux : ............................................................................34 III-5.2. BlackArch Linux : ......................................................................................................35 III-5.3. Parrot Security OS : ...................................................................................................35 III-5.4. BackBox : ...................................................................................................................35 III-5.5. Fedora Security Spin : ................................................................................................35 Conclusion :...............................................................................................................................36 Chapitre IV : Identification et présentation du réseau existant ...........................................................37 Introduction : ............................................................................................................................38 IV-1. Description du réseau de l’EPS : ........................................................................................38 IV-1.1. Site Principal Ancien Port (AP) : .................................................................................38 IV-1.2. Site Secondaire « Direction Générale » (DG) : ..............................................................38 IV-1.3. Site Secondaire « Centre Médico-social » (CMS) : ........................................................38 IV-1.4. Site secondaire « Nouveau Port » (NP) : .......................................................................38 IV-2. Site Principal Ancien Port (AP) : .......................................................................................39 IV-3. Analyses Et Critiques : ......................................................................................................42 IV-3.1. Analyses : ...................................................................................................................42 IV-3.2. Critiques réseau interne : ............................................................................................43 IV-3.3. Critiques site web :......................................................................................................43 Conclusion :...............................................................................................................................43 Chapitre V : Réalisation et mise en œuvre ......................................................................................44 Introduction : ............................................................................................................................45 V-1. Notre environnement de travail :.........................................................................................45 V-1.1. Les Logiciels De Simulation : ........................................................................................45 V-1.2. Systèmes D'exploitation Simulés : .................................................................................45 V-1.3. Logiciels Simulés : ........................................................................................................46 V-1.3.1. Réseau Interne : .....................................................................................................46 V-1.3.2. Applications Web : .................................................................................................46

V-1.4. Les Utilitaires de test d’intrusion : ................................................................................46 V-1.4.1. Nmap :...................................................................................................................46 V-1.4.2. OpenVAS :.............................................................................................................46 V-1.4.3. Wpscan :................................................................................................................47 V-1.4.4. Nikto : ...................................................................................................................47 V-1.4.5. Metasploit : ............................................................................................................47 V-1.4.6. SecuriCAD :...........................................................................................................48 V-1.4.7. Bettercap : .............................................................................................................48 V-1.4.8. Mimikatz : .............................................................................................................48 V-1.4.9. Seth : .....................................................................................................................48 V-1.4.10. Aircrack-ng :........................................................................................................48 V-2. Test d’intrusion du site web : ..............................................................................................49 V-2.1. Collecte De Renseignements :........................................................................................49 V-2.2. Détermination de la menace : ........................................................................................51 V-2.2.1. Attaque de l'homme du milieu : ..............................................................................51 V-2.2.2. Attaque FTP : ........................................................................................................51 V-2.2.3. Injection SQL : ......................................................................................................52 V-2.2.4. Attaque XSS, CSRF, BYPASS : ..............................................................................53 V-2.2.5. Attaque DDOS : .....................................................................................................53 V-2.3. Analyse Des Vulnérabilités : .........................................................................................54 V-2.3.1. Résultats des scannes :............................................................................................56 V-2.4. L’exploitation et Post exploitation : ...............................................................................62 V-2.4.1. MITM Attaque : ....................................................................................................62 V-2.4.2. BYPASS attaque : ..................................................................................................64 V-2.4.3. FTP attaque : .........................................................................................................65 V-2.5. Rapport : .....................................................................................................................67 V-2.5.1. MITM Attaque : ....................................................................................................67 V-2.5.2. BYPASS Attaque : .................................................................................................68 V-2.5.3. FTP Attaque : ........................................................................................................68 V-2.5.4. SQL Server Attaque : .............................................................................................69 V-2.6. Solutions recommandées :.............................................................................................69 V-3. Test D’intrusion Du Réseau Interne : ..................................................................................70 V-3.1. Détermination De Menaces : .........................................................................................70

V-3.2. Cracker Le Mot De Passe Wifi : ....................................................................................70 V-3.3. Attaque La Vulnérabilité De Microsoft Smb Protocol : ..................................................70 V-3.4. Vulnérabilités Critiques Dans Microsoft Office 2007 Et Microsoft Outlook : ..................70 V-3.5. Attaque LDAP Protocole : ............................................................................................70 V-3.6. Vulnérabilité De L’implémentation Kerberos Dans Microsoft Windows : .......................71 V-3.7. Intrusion Au Réseau Local :..........................................................................................73 V-3.8. Analyse de vulnérabilité :..............................................................................................77 V-3.9. L’exploitation et Post exploitation : ...............................................................................82 V-3.9.1. SMB Remote Command and Code Execution:.........................................................82 V-3.9.2. MITM sur le protocole RDP : .................................................................................88 V-3.10. Rapport : ...................................................................................................................90 V-3.10.1. SMB Remote Command and Code Execution: .......................................................90 V-3.10.2. MITM sur le protocole RDP : ...............................................................................90 V-3.10.3. Kerberos Golden Ticket :......................................................................................91 V-3.10.4. Solutions recommandées :.....................................................................................91 Conclusion :..............................................................................................