Sécurité et Services Réseaux Partie: Sécurité Pr. Ghizlane ORHANOU Master spéci

Sécurité et Services Réseaux Partie: Sécurité Pr. Ghizlane ORHANOU Master spécialisé : Informatique Appliquée Offshoring Année Universitaire 2018-2019 Chapitre 4: Sécurité des systèmes d’exploitation et des applications G. Orhanou Master IAO Plan Introduction à la sécurité des systèmes d’exploitation Sécurité des plateformes Windows Sécurité des plateformes Linux Introduction à la sécurité des applications G. Orhanou Master IAO Introduction G. Orhanou Master IAO Les systèmes informatiques modernes, en particulier les ordinateurs, sont équipés d’une couche logicielle appelée système d’exploitation (SE) (en anglais Operating System (OS)). Définition d’un Système d’exploitation Place du système d’exploitation au sein d’un ordinateur(*) Interface Programme Utilisateur Système d’exploitation Navigateur Web Courrier électronique Lecteur audio Mode utilisateur Mode noyau Matériel Logiciel (*) Figure prise du Livre Systèmes d’exploitation” d’Andrew Tanenbaum. G. Orhanou Master IAO Définition d’un Système d’exploitation Le système d’exploitation est le composant logiciel fondamental d’un ordinateur. Au dessus du matériel, on trouve le logiciel ou software. La plupart des ordinateurs ont deux modes d’opération: le mode noyau, ou kernel : accès complet et total à toutes les ressources matérielles le mode utilisateur : où fonctionnent les applications utilisateur. G. Orhanou Master IAO Rôle du système d’exploitation Le système d’exploitation est un intermédiaire entre les logiciels d’application et le matériel. Un système d’exploitation remplit deux tâches a priori sans relations: 1.il fournit aux programmes utilisateur une interface simplifiée avec le matériel, à base de fichiers à lire et/ou à écrire. 2.il gère les ressources matérielles de l’ordinateur (processeur, mémoire, disque dur, etc). G. Orhanou Master IAO Fonctions de base d’un SE Les Fonctions généralement remplies par un SE Gestion du matériel : se fait par l’intermédiaire des pilotes qui sont des petits logiciels légers dédiés à un matériel donné qui permettent de faire communiquer ce matériel. Ordonnancement des tâches Gestion de mémoire G. Orhanou Master IAO Quelques familles des systèmes d’exploitation Les SE des mainframes grandes capacités d’E/S: gérer un millier de disques pour plusieurs téraoctets de mémoire au total. Les SE des serveurs (web par exemple) Ils servent en parallèle de nombreux utilisateurs à travers le réseau, leur permettant de partager des ressources matérielles et logicielles. G. Orhanou Master IAO Les SE des PC Leur rôle est de fournir à l’utilisateur une interface conviviale pour exécuter ses applications. Les SE des équipements mobiles (tablettes, smartphone, etc) Ces SE ressemblent aux SE des PC. La majeur différence se situe au niveau de la gestion des capacités restreintes de mémoire centrale et de disque dur. Ex.: Android, iOS G. Orhanou Quelques familles des systèmes d’exploitation Master IAO Les SE des objets communicants (ex. capteurs d’incendie) disposent d’un petit SE temps réel permettant de répondre et agir face à des événements extérieurs qu’ils peuvent détecter ou mesurer. Ex.: TinyOS Les SE pour les cartes à puces (smart cards) Sont les plus petits SE. G. Orhanou Quelques familles des systèmes d’exploitation Master IAO Exemples de systèmes d’exploitation Les systèmes d’exploitation les plus courants sur les PC sont : Les différentes versions de Windows développés par Microsoft (Windows 7, Windows 10, Windows server 2012, etc). Unix : l’ancêtre d’un ensemble de systèmes d’exploitation actuels. Linux : est une version "open source" plus légère de Unix. Ce système d’exploitation est assez souvent utilisé au niveau des serveurs (Ubuntu, Fedora, Debian, etc) Mac OS : une autre variante de Unix est un système d’exploitation réservé aux ordinateurs de la firme Apple. Android, iOS, etc : SE pour les smartphones et tablettes G. Orhanou Master IAO Mesures générales de sécurité d’un OS G. Orhanou Master IAO Choix des mots de passe Le mot de passe doit être : à caractère arbitraire (éviter l’utilisation des informations personnelles : noms, prénoms, dates de naissance,…, et des mots de dictionnaire) ; composé au minimum de 8 caractères (plus sera mieux) avec des chiffres, des lettres majuscules et minuscules, et pourquoi pas des symboles aussi (comme @, !, %, ;,…); différent pour chaque application, fichier ou système que vous utilisez ; changé régulièrement (selon l’utilité, immédiatement à chaque doute et, au minimum tous les six mois). Astuce de création d’un mot de passe robuste: Pour se rappeler du mot de passe, utiliser des acronymes à partir d’une phrase « magique » que vous apprenez par cœur. G. Orhanou Master IAO Sécurité d’un SE Les mises à jours Les mises à jour de sécurité du système d’exploitation et de ses différents composants. Les mises à jour des applications Stratégie de Planification des mises à jours Les contrôles administratifs et contrôles d’accès Vérification des accès au système Les comptes utilisateurs et administrateurs existants La robustesse des mots de passe utilisés Utilisation du modèle de contrôle d’accès adéquat La sécurité du système Vérification de l’état du Firewall personnel; Vérification de l’existence et l’état d’un antivirus; Techniques d’authentification utilisées Vérification du système de fichier utilisé au niveau des différentes partitions du système. G. Orhanou Master IAO Mécanismes de protection de la mémoire Les mécanismes de protection de la mémoire permettent de protéger les données stockées temporairement en mémoire et qui sont relatives aux processus et applications en cours d'exécution. Les systèmes d'exploitation utilisent différents mécanismes de protection de la mémoire, à savoir : l Protection de l'espace exécutable l ALSR l Technique des canaris G. Orhanou Master IAO Protection de l'espace exécutable C'est une forme de protection de la mémoire avec laquelle une page peut être accessible soit en écriture, soit en exécution, mais en aucun cas ne peut être à la fois accessible en écriture et en exécution simultanément. Ceci lutte contre les attaques par débordement de tampon, dont les attaques les plus communes basées sur l'exploitation de la pile : en s'assurant que la pile n'est pas exécutable (car accessible en écriture), les codes injectés ne peuvent être exécutés. Dans le cas où le contrôle est tenté d'être passé sur la pile, le programme s'arrête. G. Orhanou Master IAO Protection de l'espace exécutable (suite) Plusieurs systèmes d'exploitation implémentent ou ont une politique de protection de l'espace exécutable : NX bit : les OS qui utilisent NX bit marquent certaines zones de la mémoire comme non-exécutables (le noyau Linux supporte le 'NX bit' sur les processeurs x86-64 et IA-32 qui le supportent). XD bit (eXecute Disable) : c'est le nom utilisé par Intel pour cette fonctionnalité. Enhanced Virus Protection : c'est le terme marketing utilisé chez Advanced Micro Devices (AMD). XN (eXecute Never) : nomination pour l'architecture ARM W^X : est apparu pour la première fois dans la version 3.3 de OpenBSD. Elle marque les pages accédées en écriture par défaut non-exécutables pour les processeurs qui supportent ceci. G. Orhanou Master IAO Protection de l'espace exécutable DEP (Data Execution Prevention) DEP gère deux zones de mémoire distinctes: une réservée aux programmes et une autre réservée aux données et autres parties non exécutables. Cette protection interdit l'utilisation de la seconde zone par les programmes exécutables: les logiciels standards mais surtout virus et logiciels utilisant des failles de sécurité. Cette protection se base sur une partie logicielle (implantée dans le système d'exploitation windows) et matérielle (implantée dans les processeurs). G. Orhanou Master IAO Address Space Layout Randomization ASLR ou Address Space Layout Randomization est une fonctionnalité permettant de rendre aléatoire l'espace d'adressage mémoire de zones comme le tas (heap) ou la pile (stack) afin de compliquer le travail d'un attaquant souhaitant compromettre une machine via une attaque de type buffer overflow par exemple. Le tas et la pile sont deux sections mémoire qui contiennent la plupart du temps les buffers d'un processus. Les allocations dynamiques (*malloc) sont placées dans le tas tandis que les statiques (char/int/... *buff[SIZE]) sont placées dans la pile. En rendant ces adresses aléatoires, l'attaquant ne peut plus utiliser les techniques classiques d'exploitation, les réussites d'exploitation sont donc bien souvent plus rares. G. Orhanou Master IAO Technique du « canari » Le principe de fonctionnement: stocker une valeur secrète, générée à l’exécution, juste avant l'adresse de retour (entre la fin de la pile et l'adresse de retour). Lorsque la fonction se termine, cette valeur est contrôlée. Si cette clé est modifiée (par un débordement ou par l'injection de code malhonnête), l’exécution est avortée. Cette méthode permet d'empêcher l'exécution de code corrompu, mais ralentit l’appel de la fonction et augmente la taille du code. G. Orhanou Master IAO OS: Statistiques générales Windows avec ses différentes versions est le système d’exploitation le plus populaire. La famille Windows compte plus de 70%: Source: http://www.w3schools.com/browsers/browsers_os.asp G. Orhanou Master IAO OS: Statistiques générales Statistiques pour les OS mobiles: Source: http://www.w3schools.com/browsers/browsers_os.asp * * iOS is the operating system for Apple mobile devices (like iPhone, iPad and iPod) G. Orhanou Master I AO Etudes de cas 1er cas: Microsoft Windows 2ème cas: Linux G. Orhanou Master IAO Sécurité de Microsoft Windows G. Orhanou Master IAO Historique: Trustworthy Computing La sécurité a longtemps été le talon d'Achille de Microsoft. Mais, en 2002, Bill Gates a exprimé la volonté de replacer la sécurité au centre du développement de Windows Solution: L’informatique de confiance: une démarche intégrant la sécurité dans la conception et le développement de ses logiciels et systèmes. uploads/Industriel/ master-iao-module-securite-chap4.pdf

Documents similaires

CAFOC - GIP de l’académie de Lyon - 39, rue Pierre Baizet - CP201 - 69336 Lyon 0 0

The 2nd International Conference on Electronics and Oil: From Theory to Applica 0 0

1 Virtualisation & Cloud Computing Guide du cours Ce cours s'adresse aux étudia 0 0

Exposé : Test de sécurité avec Back | Track5 – Abdessamad BOUTGAYOUT Atelier 1 0 0

nom:BELAL Prenom:Yousra Matricule:191931063512 RAPPORT TP 03 Part 01: 1-executi 0 0

DANS CE CADRE NE RIEN ÉCRIRE Note : Académie : Session : Examen : Série : Spéci 0 0

04/05/2020 1 Management de la qualité Classe : 4 Ing. O.G.I. Enseignant : Adel 0 0

CHAPITRE 3 : ADMINISTRATION DES SYSTEMES INFORMATIQUES I. INTRODUCTION : L’admi 0 0

1 2 CAHIER DES CHARGES Intitulé Automatisation d’un système de régénération ado 0 0

Manuel d’atelier A Moteur 2(0) MD2010, MD2020, MD2030, MD2040 Plus d'informatio 0 0

• Détails
• Publié le Jui 22, 2022
• Catégorie Industry / Industr...
• Langue French
• Taille du fichier 4.4423MB