La méthode QQOQCP

Introduction:

     Toute entreprise est confrontée à des problèmes aussi variés, Certains ont des solutions évidentes. D’autres sont plus complexes, et nécessitent une grande compréhension de la situation.
La méthode QQOQCP permet d'avoir sur toutes les dimensions du problème, des informations élémentaires suffisantes pour identifier ses aspects essentiels.
Elle adopte une démarche d'analyse critique constructive basée sur le questionnement systématique.

Synonymes :

QQOQCP : Quoi? Qui? Où? Quand? Comment? Pourquoi?

Principe :

Il s’agit de poser les questions de façon systématique afin de n’oublier aucune information connue :

Quoi? 

 Description de l’activité ou de la tâche ou du problème:

Questions :

De Quoi s'agit-il ?

Quel est l'état de la situation?

Quelles sont les caractéristiques?

Quelles sont les conséquences?

Quel est le risque ?

Cibles :

Actions, procédés, Objet, méthode, opération...

Qui? 

 description des exécutants, acteurs ou personnes concernées

Questions :

Qui est concerné ?

Qui a le problème?

Qui est intéressé par le résultat?

Qui est concerné par la mise en œuvre??

Cibles :

Responsable, victime, acteur......

Unités de production, services, clients, opérateurs, fournisseurs,

compétence, qualification …

Où? 

description des lieux

Questions :

Où cela se produit-il et s'applique-t-il ?

Où le problème apparaît-il?

Dans quel lieu?

Sur quelle machine?

Cibles :

Lieux, local, distance, service, atelier, poste, machine…

Quand?

  description des temps

Questions :

Depuis quand vous avez ce problème?
Quand cela apparaît-il ?
Quand le problème a-t-il découvert?
Quelle est sa fréquence? ?
Quand se produit le risque ?

Cibles :

Mois, jour, heure,
Moments, périodicité, fréquence, prévisibilité
Durée, planning... délais, ...

Comment? 

 description de la manière ou de la méthode

Questions :

Comment se produit le problème?
De quelle manière?
Dans quelles conditions ou circonstances?
Comment procède-t-on ?
Avec quelles méthodes, quels moyens, ... ?
Comment mettre en œuvre les moyennes nécessaires?
Avec quelles procédures?

Cibles :

méthode, modes opératoires, Organisation du travail,
procédures, règlements, consignes,
équipements, matière première

Pourquoi? 

Cette question peut se poser à la suite des autres questions mais il convient aussi de la poser pour toutes les questions Quoi ? Qui ? Ou ? Quand ? Comment ?
Pour mener une analyse critique, à chaque question se demander Pourquoi ? 

La Politique de sécurité

     I.        Introduction:

Un système informatique  désigne tout système dont le fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à élaborer, traiter, stocker, acheminer ou présenter de l'information.

De tels systèmes se prêtent à des menaces de types diverses, susceptibles de modifier ou de détruire l'information (on parle d’intégrité de l'information ), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »).

   II.        Politique de sécurité :

1.     Définition :

La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en œuvre pour les assurer.

2.     Mise en place d'une politique de sécurité :

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle.

 la mise en œuvre se fait selon les quatre étapes suivantes :

Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences ;

Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés ;

Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés ;

Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;

 III.        Gestion de risques :

La gestion des risques permet de répondre

 à 3 questions essentielles à la mise en place

D’une Politique de sécurité :

Comment résoudre les problèmes de sécurité

A quel endroit les résoudre

Quels types et niveaux de contrôles de sécurité appliquer

3.     Comparaison des approches de la gestion des risques:

a. Approche réactive:

Lorsqu'un problème de sécurité survient, la plupart des professionnels de l'informatique ne trouvent que le temps de contenir le problème, analyser l'événement et intervenir le plus rapidement possible sur les systèmes affectés.

b. Approche proactive:

Plutôt que d'attendre que les problèmes se présentent avant d'y répondre, le principe de cette approche est de minimiser la possibilité qu'ils se produisent dès le départ

4.     Approches du classement des risques:

a. Évaluation quantitative des risques:

L'objectif de cette approche est de calculer des valeurs numériques objectives pour tous les composants collectés lors de l'évaluation des risques et de l'analyse coût/bénéfices.

b. Valorisation des ressources:

Les directeurs d'entreprise se basent souvent sur la valeur d'une ressource pour déterminer le temps et l'argent qu'ils peuvent consacrer à sa protection.

Exemple:

Calculez par exemple l'impact d'une perturbation temporaire de l'activité d'un site Web de commerce électronique accessible 7 jours sur 7 et 24 heures sur 24, dont les commandes client génèrent des revenus moyens de 2 000 euros par heure. Si ce même site Web est inaccessible pendant 6 heures. la société estime devoir dépenser 10 000 euros à l'occasion d'une campagne de marketing visant à revaloriser une image de marque ternie par l’indisponibilité du site. Par ailleurs, elle s'attend également à une perte de 0,01 (1 %) des ventes annuelles, soit 17 520 euros

•  Valeur globale de la ressource pour l'entreprise =2000*24*365=17 520 000 euros
•   Impact financier immédiat de la perte de la ressource: pertes directement imputables à l'indisponibilité du site =6*2000=12000 euros
• Impact commercial indirect lié à la perte de la ressource: la perte indirecte totale=17 520 +10000=27520 euros
•  Détermination du PEU (Perte estimée unique)
•  Calcul de la PEA (Perte estimée annuelle).

Il s'agit du montant total de recettes perdues à la suite d'une occurrence unique du risque. Si une batterie de serveurs Web a une valeur de 150 000 euros et qu'un incendie provoque des dommages estimés à 25 % de sa valeur.

PEU= 150 000*0,25=37 500 euros

Détermination du TAO (Taux annuel d'occurrences)

 Ce taux correspond au nombre de fois qu'un risque peut raisonnablement se réaliser au cours d'une année.

Calcul de la PEA (Perte estimée annuelle).

Il s'agit de la somme totale que l'entreprise perdra en un an si rien n'est fait pour atténuer le risque.

PEA=TAO*PEU

La probabilité (ou taux annuel d'occurrence) d'un incendie est de 0,1 % (une fois en 10 ans):

PEA=37 500 euros × 0,1 = 3 750 euros

IV.        Évaluation des risques:

Un simple système d'évaluation avec les mentions élevé, Moyen ou faible peut représenter un point de départ pour évaluer les risques. Les données peuvent appartenir à diverses catégories:

•   Données administratives. La correspondance ou autres informations relatives aux biens de l'entreprise ainsi que les renseignements de personnel qui sont généralement consultables.
•  Données financières. Les informations sur les budgets et les dépenses relatives aux opérations de l'entreprise.
•   Données de clientèle. Les informations de nature personnelle relatives aux clients ou des renseignements issus de tests.
•  Données propriétaires/recherches...

Les informations qui ne peuvent pas être divulguées au public sans la permission du propriétaire

1.     Evaluation des Menaces et vulnérabilités:

Une menace peut être une personne, un objet ou un événement pouvant potentiellement provoquer des dommages au réseau ou à ses équipements.

Une vulnérabilité est une faiblesse sur un réseau qui peut être exploitée par une menace (ex password)

Par exemple. Un accès, non autorisé (la menace) au réseau peut être commis par un attaquant qui devine un mot de passe trop évident.

La vulnérabilité exploitée ici est un choix médiocre de mot de passe de la part d'un utilisateur.

Les menaces sont généralement classées de la façon suivante:

•   écoute clandestine ou vol d'informations:
•  blocage de l'accès aux ressources du réseau
•  Accès non autorisé

2.     Les Conséquences des Menaces:

•   Compromission de la sécurité des données (Vol d’information par un accès non autorisé à un système ou par écoute passive des échanges)
•   Perte d'intégrité des données
•   Indisponibilité des ressources

WinToFlash : Installer XP, Vista ou Seven depuis une clé USB

Aujourd’hui on va parler de WinToFlash, petit utilitaire gratuit permettant d’installer XP, Vista, Seven mais aussi Windows Server 2003 et Windows Server 2008.

Quel intérêt ? Nos petits netbooks n’ayant pas de lecteur CD ça peut donc être bien utile ! Dans un souci de sérieux avant de vous présenter le soft (mouai) j’ai tenté d’installer XP sur mon petit Netbook Samsung. J’ai du faire sauter une installe d’Ubuntu toute fraîche pour ça alors un peu de reconnaissance !

Pourquoi XP ? Parce que par le passé j’ai eu pas mal de soucis avec différents logiciels du genre pour l’installer, contrairement à Windows 7 pour lequel c’est d’une facilité déconcertante (pas besoin de logiciel, un petit bidouillage en ligne de commande suffit).

Bref avec ce soft on met pas les mains dans le cambouis, on réfléchit pas, on fait ce qu’il nous demande et tout roule.

Derrière il vous restera juste à configurer votre bios pour booter sur le port USB en first boot device.

Le logiciel est disponible ici.

CRYPTOLOGIE ET SÉCURITÉ INFORMATIQUE

Dans cet exposé, on évoquera brièvement les étapes de l'histoire de la cryptologie. On expliquera notamment comment une spécialité, jadis confinée aux univers de la défense et de la diplomatie, est devenue une science servie par une communauté de recherche active. On s'attachera ensuite à expliquer son rôle actuel dans la sécurisation de l'Internet et le développement du commerce électronique. Elle n'est plus seulement la science du secret mais la science de la confiance.

Par

STERN Jacques

Statut

- Professeur a l'École normale supérieure
- Directeur du département d'Informatique de l'Ecole normale supérieure.

Diplômes

- Ancien élève de l'Ecole normale,
- Docteur es sciences.

Parcours

Professeur à l'Université de Caen puis a l'Université de Paris 7.

Prix

Chevalier de la Légion d'honneur

Spécialités

Spécialiste de cryptologie. Il est titulaire d'une dizaine de brevets d'invention. Il est régulièrement consulté par diverses entreprises et organisations.

Associations

- Membre d'un grand nombre de comités scientifiques et président de celui du congrès Eurocrypt 99.

Comment installer un .deb avec les dépendances

Salut a tous......

Vous souhaitez installer le programme avec l'extension de .DEB, mais vous ne savez pas comment

 Voici une méthode simple pour installer un paquet debian non disponible dans les dépôts APT : avec la commande [ !dpkg]. Et pour les dépendances alors ? Voilà :

$ sudo dpkg -i monpaquet.deb
#on obtient un message d'erreur
#puis:
$ sudo apt-get -f install 
#cela installe les dépendances ainsi que monpaquet.deb

Magique non ? 

Merci Ubuntu ...

et vous !!!!!!

la typologie des pirates informatiques

Tout le monde connait le cliché du pirate informatique dans les films, soit un jeune génie qui infiltre avec aisance les sites des organisations gouvernementales. On le nomme souvent le hacker (bidouilleur), mais saviez-vous qu’il existe plusieurs types de pirates informatiques? Partons à l’abordage des différents groupes de pirates informatiques.

Comme dans l’histoire des pirates traditionnels, il faut opérer une distinction entre les « gentils » et les « méchants » pirates informatiques. Cette dichotomie est représentée par une intention de nuire ou non.

Les différents groupes de pirates informatiques :

- Les « White hat hackers » (bidouilleurs à chapeaux blancs) : Représentés comme les « gentils » pirates informatiques, leur but est d’améliorer les systèmes ou technologies informatiques. L’on peut citer à titre d’exemple Linus Torvalds qui a créé Linux.

- Les « Black hat hackers » (bidouilleurs à chapeaux noirs): Les « méchants » pirates informatiques, s’introduisent dans les systèmes informatiques dans un but nuisible. A titre d’exemple Kevin Poulsen qui a subtilisé une bande magnétique classée secret défense au pentagone.

On y trouve différents sous-groupes tels que :

• Les « Script kiddies » (gamins qui utilisent des scripts) : De jeunes utilisateurs utilisant des programmes informatiques trouvés sur internet pour nuire à des systèmes informatiques dans un but récréatif.
• Les « Phreakers » (pirates du téléphone) : Pirates s’intéressant à la pratique du phreaking dans un but d’utiliser frauduleusement des lignes téléphoniques, il s’agit du piratage téléphonique.
• Les « Carders » (pirates des cartes) : Pratiquent le carding qui consiste à s’attaquer aux systèmes de cartes à puces en exploitant les failles de sécurité pour les utiliser.
• Les « Crackers » (casseurs): Créent des programmes informatiques dans le but de casser les protections contre les logiciels payant en utilisant la technique du crack.

- Les « Grey hat hackers » (bidouilleurs à chapeaux gris) : Se situent entre les White hat hackers et les Black hat hackers. Ils ne cherchent pas à nuire mais pénètrent des systèmes informatiques de façon illégale pour avoir une renommée.

- Les « Hacktivistes » (bidouilleurs activistes) : Ont une motivation principalement idéologique, notamment revendiquer des idées politiques en infiltrant des systèmes informatiques. Avec à titre d’exemple les célèbres Anonymous.

Pour conclure cette typologie sur les différents groupes de pirates informatiques, il convient de garder à l’esprit que cette distinction n’est pas aussi nette dans la réalité. En effet les membres d’un groupe sont ou ont été à un moment dans un autre groupe.

la sécurité informatique

Les systèmes d’information prennent de plus en plus une place stratégique au sein des entreprises. Ainsi la notion du risque lié à ces derniers devient une source d’inquiétude et une donnée importante à prendre en compte, ceci en partant de la phase de conception d’un système d’information jusqu’à son implémentation et le suivi de son fonctionnement.

Les pratiques associées à la sécurité des systèmes d’information constituent un point à l’importance croissante dans l’écosystème informatique qui devient ouvert et accessible par utilisateurs, partenaires et fournisseurs de services de l’entreprise. Il devient essentiel pour les entreprises de connaître leurs ressources en matière de système d’information et de définir les périmètres sensibles à protéger afin de garantir une exploitation maîtrisée et raisonnée de ces ressources.

Par ailleurs, les nouvelles tendances de nomadisme et de l’informatique « in the Cloud » permettent, non seulement, aux utilisateurs d’avoir accès aux ressources mais aussi de transporter une partie du système d’information en dehors de l’infrastructure sécurisée de l’entreprise. D’où la nécessité de mettre en place des démarches et des mesures pour évaluer les risques et définir les objectifs de sécurité à atteindre.

Ainsi la sécurité informatique est un ensemble de moyens techniques, organisationnels, juridiques et humains nécessaires pour conserver, rétablir et garantir la sécurité du système d’information [cf. wikipédia].

On peut déduire de ces constats que la démarche de sécurité informatique est une activité managériale des systèmes d’information et qu’il convient aussi d’établir un tableau de bord de pilotage associé à une politique de sécurité comprenant les organes vitaux constituant une entreprise.

Les menaces informatiques

La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un système informatique. En termes de sécurité informatique les menaces peuvent être le résultat de diverses actions en provenance de plusieurs origines :

Origine opérationnel:

Ces menaces sont liées à un état du système à un moment donné. Elles peuvent être le résultat d’un bogue logiciel (Buffer Overflows, format string …etc.), d’une erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL injection), d’un dysfonctionnement de la logique de traitement ou d’une erreur de configuration

Origine physique:

Elles peuvent être d’origine accidentelle, naturelle ou criminelle. On peut citer notamment les désastres naturels, les pannes ou casses matérielles, le feu ou les coupures électriques.

Origine humaine:

Ces menaces sont associées directement aux erreurs humaines, que ce soit au niveau de la conception d’un système d’information ou au niveau de la manière dont on l’utilise. Ainsi elles peuvent être le résultat d’une erreur de conception ou de configuration comme d’un manque de sensibilisation des utilisateurs face au risque lié à l’usage d’un système informatique.

Ainsi, devant cette panoplie de menaces, la sécurité informatique vise à définir un schéma directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des systèmes d’information.

La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité en instaurant une politique de sécurité au sein des organismes et en palliant à certaines faiblesses à la fois organisationnelles et technologiques.

Enjeux de la sécurité des systèmes d’information

Le système d’information constitue un patrimoine essentiel des entreprises. Constitué d’un ensemble de ressources matérielle et logicielle, il permet de traiter, stocker et transférer les données des entreprises. Ainsi la sécurité des systèmes d’information cherche à apporter une meilleure maîtrise des risques qui pèsent réellement sur l’entreprise et répondre à certains enjeux qu’on peut résumer en 4 lettres « DICA » (disponibilité, intégrité, confidentialité et auditabilité).

• Disponibilité :  garantir l’accès aux ressources, au moment voulu, aux personnes habilitées d’accéder à ces ressources.
• Intégrité :    garantir que les données échangées sont exactes et complète.
• Confidentialité : garantir que seules les personnes autorisées peuvent avoir accès aux données et aux ressources de l’entreprise.
• Auditabilité : garantir la traçabilité des accès et des tentatives d’accès et la conservation des ces traces comme preuves exploitables

En général, la sécurité informatique consiste à assurer que les ressources matérielles ou logicielles d’une organisation sont uniquement utilisées pour les fins auxquelles elles ont été conçues au début. De plus elle vise à inscrire l’évolution des systèmes informatique dans le cadre d’un processus d’amélioration continue.

Mise en place de la PSSI

La sécurité des systèmes d’information s’appuient sur plusieurs modèles pour répondre aux enjeux liés aux systèmes informatiques des entreprises (DAC, RBAC, BIBA, Bell La Padulla, Muraille de chine …etc.). Ces modèles se cantonnent généralement à formaliser des stratégies de sécurité multi niveaux afin de garantir les droits d’accès aux données et ressources d’un système donné.

Cependant, malgré la diversité de ces modèles, la mise en place d’une politique de sécurité du système d’information passera probablement par une adaptation d’un modèle au cas réel. Celui-ci permettra d’engendrer la création d’un tableau de bord pour mener les différentes démarches de sécurisation de leurs systèmes d’informations. Enfin, le modèle permettra de mettre en place des mécanismes d’authentification et de contrôle permettant d’assurer que les utilisateurs des ressources possèdent uniquement les droits qui leurs ont été octroyés.

Autrement dit, la politique de sécurité des systèmes d’information constitue une implémentation concrète et réelle du principe du moindre privilège.

Les mécanismes de sécurité informatique peuvent être la source de quelques gênes pour les utilisateurs du système d’information. Ainsi la PSSI cherche à trouver un juste milieu pour garantir, d’une part, l’efficacité d’un système d’information et d’autre part évaluer le risque et déterminer son niveau d’acceptabilité pour assurer la satisfaction des utilisateurs.

Ainsi plusieurs méthodes permettent de formaliser la politique de sécurité informatique et définir l’ensemble des orientations suivie par une organisation en terme de sécurité, notamment les méthodes EBIOS, MEHARI et la famille des normes ISO 2700x. Il est possible de retrouver des trames communes à ces méthodes :

• Identifier le besoin en terme de sécurité informatique, étudier le contexte à sécuriser et identifier les risques informatiques liés à ce dernier.
• Élaborer les procédures et les règles à mettre en place pour couvrir les risques identifiés.
• Surveiller et détecter les éventuelles vulnérabilités du système d’information et mettre en place un système de veille en vulnérabilités ainsi qu’une politique de mises à jour des ressources logicielles et matérielles utilisées.
• Définir les actions à entreprendre et les personnes à contacter en cas de détection de menace réelle sur le système d’information.

Bien évidement, une politique de sécurité des systèmes d’information n’empêche pas d’avoir une approche globale sur la sécurité informatique. Cela signifie que la sécurité informatique doit être abordée d’une manière globale afin de prendre en compte certains aspects que la PSSI permet de traiter avec plus de finesse.

La sécurité informatique doit répondre à plusieurs problématiques sur les méthodes raisonnées d’usage d’un système d’information. Ceci en passant de la sensibilisation des utilisateurs aux problèmes de sécurité, puisque « there is no patch for human stupidity » à la réponse aux questions purement techniques qui assurent l’efficacité des mécanismes sécuritaire à implémenter, notamment la sécurité physique et logique d’un système d’information. Dans les phrases emblématiques du milieu de la sécurité informatique, il convient également de citer Bruce Schneier « Security is a process, not a product ». L’idée de fond étant que le processus de sécurité est la pierre angulaire, pas le firewall ou l’antivirus, trop de dirigeants ont cru que s’abriter derrière un produit permettait d’éviter le pire. Une politique de sécurité prévoit aussi le pire et les moyens d’y répondre, ce que ne font pas les produits.

Processus de sécurisation

Comme nous l’avons déjà cité la sécurité informatique est un processus en perpétuelle évolution. Ce processus permet de faire évoluer le système d’information que ce soit au niveau des choix technologiques ou au niveau de l’organisation des ressources utilisées pour assurer son fonctionnement.

En général, la sécurité informatique s’appuie sur le principe de la roue de Deiming ou la méthode PDCA (Plan-Do-Check-Act) pour instaurer une méthode de management de risques informatiques au sein d’un organisme. Ce principe permet de définir la démarche suivie pour l’implémentation d’une politique de sécurité efficace et l’inscrire dans un contexte d’amélioration continue afin de garantir une évolution sereine et maîtrisée d’un système d’information donné.

• L’implémentation d’un tel processus passe tout d’abord par la définition de la politique de sécurité informatique afin d’identifier les risques et élaborer les objectifs de sécurité (Plan).
• Ensuite il faut mettre en place les mesures sécuritaires définies pour atteindre les objectifs fixés par la PSSI (Do).
• Après il faut vérifier que ces mesures couvrent l’essentiel de la chaîne sécuritaire du système d’information sachant que la sécurité de ce dernier est comparée à celle de son maillon le plus faible (Check).
• Enfin analyser les résultats, réagir selon le niveau de sécurité obtenu, identifier les ressources qui nécessitent des modifications et bien entendu suivre l’évolution des nouvelles menaces et les traduire en mesures sécuritaires dans la PSSI (Act).

De plus la majorité des méthodes d’analyse de la sécurité des systèmes d’information visent la mise en place d’un système de management de la sécurité informatique (SMSI) au sein des organismes. En effet, ces méthodes reprennent les grandes lignes du PDCA pour formaliser un SMSI pour ensuite aller plus dans le détail afin de garantir une gouvernance rationnelle de la sécurité informatique au sein des entreprises.

Conclusion

La sécurité des systèmes d’information représente aujourd’hui une tâche de fond à prendre en compte par toute entreprise qui désire disposer d’un ensemble d’outils et de méthodes qui lui permettent et assurent la gouvernance de son système d’information. Ainsi plusieurs méthodes d’analyse des systèmes informatiques proposent des démarches de certification afin de garantir une image pérenne aux entreprises intégrant les processus de sécurité dans la liste de leurs préoccupation managériale.

Bien évidement la sécurité à 100% reste un idéal à atteindre, surtout devant le large éventail des menaces qui mettent en danger l’exploitation d’un système d’information. Ainsi il est important de bien formaliser une politique de sécurité en prenant en compte les risques réelle qu’encourt un système informatique et en évaluant les coûts que peuvent engendrer les problèmes résultants de ces risques par rapport au coût nécessaire à la mise en place des solutions palliative à ces problèmes.

Par Ayoub FIGUIGUI

Dénis de Service {Les attaques par déni de service distribué}

II Le déni de service: Techniques

     D'un point de vue technique, ces attaques ne sont pas très compliquées, mais pourtant efficaces contre tout type de machine.
Globalement, on peut séparer les DoS en deux types:

• les attaques au niveau réseau
• les attaques au niveau applicatif

Au niveau réseau, le pirate peut viser la couche IP en exploitant une mauvaise gestion des anomalies protocolaires par le système ou une particularité de conception des protocoles eux-même. Une des plus anciennes attaques à utiliser les anomalies est probablement le "Ping of Death" qui utilise un problème de gestion de la défragmentation IP. Le "SYN Flood", quant à lui, se sert du protocole TCP pour épuiser les ressources du serveur visé. Ce type de DoS présente plusieurs avantages: il est généralement facile à implémenter, facile à mettre en place de façon distribué et plus générique que les attaques de type applicatif.
En effet, celles-ci sont plus ciblées. Le pirate vise le(s) service(s) fourni(s) par la machine, par exemple un serveur Web ou une base de données; ou même une architecture plus complexe, comprenant plusieurs services: une infrastructure VoIP ou autre.

Au fil du temps, beaucoup d'attaques sont apparues et nous n'allons pas essayer d'en dresser une liste. Nous illustrerons chaque type par un ou plusieurs exemples connus et représentatifs du moyen utilisé, afin de comprendre et de mesurer les caractéristiques des DoS.

1. Le SYN Flood

     Le "SYN Flood" illustre parfaitement le cas d'attaque sur les conceptions de protocole. Le "SYN Flood" est une des premières attaques de type DoS et toujours une des plus utilisées à nos jours. Elle exploite le protocole TCP. Pour comprendre correctement son principe, il faut donc connaître le fonctionnement de TCP et la particularité de son établissement de connexion.

L'établissement de connexion selon TCP: Three-Way Handshake

Quand un client veut établir une connexion à un serveur, les deux machines échangent une séquence de message permettant d'établir ladite connexion. Cette suite de message est constituée de 3 phases, d'où son nom Three-Way Handshake.

• Phase 1: le client demande une connexion en envoyant un message SYN (pour SYNchronize) au serveur.
• Phase 2: le serveur lui répond qu'il accepte sa demande et lui envoie un message SYN-ACK (SYNchronize-ACKnowledgment).
• Phase 3: le client répond à son tour avec un message ACK (ACKnowledgment) ; la connexion est alors établie.

Comment utiliser ce mécanisme d'établissement en trois phases pour rendre un service inaccessible? Il faut savoir que le serveur s'attend à recevoir l'ACK du client en phase 3 et comme il ne peut prédire le temps d'arrivé de cette réponse, il entame automatique une période d'attente.
Laisser le plus grand nombre de connexions TCP en attente d'accusé de réception, voilà la solution. Le pirate envoie un grand nombre de demandes de connexion SYN (Phase 1), mais ne répondra jamais au serveur par l'accusé ACK tant attendu (Phase 3). Les connexions en attente sont alors semi-ouvertes et occupent des ressources mémoires, du temps CPU, etc... 

Deux conséquences sont envisageables:

• le serveur refuse les nouvelles connexions émanant de bons clients,
• voire s'effondre suite à la saturation des ressources.

Cette attaque présente de nombreux avantages! En terme de bande passante, un paquet SYN ne fait que 64 octets... et en terme de simplicité, il est vraiment très facile de mettre cette technique en place et de provoquer rapidement des dégâts: n'importe quel générateur de paquet sait créer un paquet avec le flag SYN à 1 et créer un flood en une unique ligne de commande!

De plus, en combinant cette attaque avec la technique de l'IP Spoofing (le pirate usurpe une adresse IP), les SYN-ACK du serveur cible n'encombreront pas la bande passante du pirate...

2. L'UDP Flood

     Ce déni de service exploite le protocole UDP et mise sur le fait que le flux UDP est prioritaire à celui de TCP. Sur cet exemple, il s'agit aussi d'une utilisationdétournée de la conception des protocoles UDP et TCP. L'inondation de requêtes UDP est la clef de cette attaque: afin de parasiter le trafic, créer une congestion et saturer la bande passante du serveur cible, on noye ce dernier dans un flux UDP et celui-ci ne peut plus créer de nouvelles requêtes vers son véritable trafic TCP.

L'exemple maitre de ce DoS est le Chargen Denial of Service Attack. Ancienne attaque, elle se contre très facilement mais illustre parfaitement le terme d'inondation.

Simple, elle consiste à créer un jeu de ping-pong entre deux machines et qui emploie deux services: Echo et CharGen (le service CharGen génère des caractères tandis que Echo se contente de réémettre les données qu'il reçoit). Il suffit donc de faire communiquer ces deux services! 

Le pirate envoie une requête sur le port CharGen (19/UDP) d'une machine A indiquant (IP Spoofing) comme adresse source celle d'une machine B et comme port source, le port Echo (7/UDP). La machine A émet des caractères aléatoires et les envoie sur le service Echo de la machine B. Cette dernière renvoie les données sur le CharGen A, qui réémet des caractères aléatoires et les envoie à B... ainsi de suite jusqu'à la saturation de la bande passante. 

3. Attaque par fragmentation

     Voyons maintenant comment certains DoS exploitent une mauvaise gestion des anomalies protocolaires. L'attaque par fragmentation utilise une faille propre à certaines implémentations de pile IP comme celles de Windows 95 ou NT. Cette vulnérabilité concerne la gestion de la défragmentation IP (réassemblage des fragments IP).

Une attaque connue utilisant ce principe est le Teardrop. Il en existe des variantes: Bonk, Boink et Newtear par exemple, mais le fonctionnement reste le même.

Le pirate génère un Teardrop en fragmentant ses paquets IP de telle manière que lors de leur défragmentation par le serveur, ils se chevauchent (overlapping). Les paquets fragmentés contiennent en fait des informations de décalage (offset) erronées. Certaines parties des fragments sont alors écrasées; les mauvaises implémentations ne gèrent pas cette exception et provoquent un crash des systèmes visés.

Le Ping-of-Death (PoD) tire aussi parti d'une mauvaise implémentation de la défragmentation IP. 

Comme l'indique la RFC 791 sur IP, un paquet a une longueur maximale de 65535 octets. Un Ping-of-Death, c'est tout simplement un ping qui a une longueur de données supérieure à cette taille limite. Le système d'exploitation cible reçoit les fragments du PoD, les réassemble afin de reconstituer le paquet d'origine et va se figer ou planter si sa pile s'avère incapable de gérer cette opération illégale. 

4. Smurf ou l'attaque par réflexion

     Le "Smurf". Derrière ce nom, quelque peu barbare, se cache tout simplement l'exploitation du broadcast pour paralyser une cible...

Voyons-en un exemple avec le Ping Flood ("ICMP echo request/reply"). Voici le fonctionnement de cette attaque:

Le pirate récupère l'adresse IP du serveur visé. Il envoie ensuite un paquet ICMP Echo Request spoofé à une adresse de diffusion (broadcast). Ce ping est alors "démultiplié"; toutes les machines composant le réseau vont alors répondre à cette requête par un ICMP Echo Reply et la cible va recevoir tout le flux généré par ces réponses. Si le réseau compte un grand nombre de système, le trafic généré par ces réponses peut être considérablement volumineux.

L'impact de ce DoS est double; il sature la machine de l'adresse IP usurpée et il congestionne le trafic du réseau.

Bien qu'on puisse penser qu'il s'agisse d'un DDoS, ce n'est pas le cas. Il s'agit d'une attaque par rebond, qui détourne des systèmes intermédiaires participant à leur insu à ce DoS.

5. L'amplification DNS: une attaque récente

     Il y a quelques années, un nouveau type de DoS a fait son apparition: l'attaque par amplification DNS. De même que pour le "Smurf", le pirate ne cible pas directement la victime mais se sert de machines "innocentes": les serveurs DNS récursifs ouverts. Ceux-ci autorisent tout le monde à les interroger sur n'importe quel site. L'attaquant doit identifier un grand nombre de serveurs récursifs ouverts et va alors trouver une résolution DNS intéressante: c'est-à-dire ayant un enregistrement au champ TXT de taille la plus importante possible. Il ne plus qu'à effectuer ces demandes de résolution, en spoofant l'adresse IP de la victime, et les DNS répondent comme il se doit à la victime.

Ce qui est remarquable pour ce DoS, c'est l'amplification engendrée: une question est constituée de dizaines d'octets et la réponse peut représenter plusieurs milliers d'octets. Dans un cas examiné au Defcon, un paquet de 20 octets a grossi jusqu’à peser 8,5 Kilooctets. Le ratio volume-réponse/volume-requête est alors plus que considérable.