Mémoire de Fin de Formation (AVALLA Tychique Et OBALE Joyau) - Copie

REPUBLIQUE DU BENIN
******
MINITERE DE L’ENSEIGNEMENT SUPERIEURE ET DE LA

RECHERCHE SCIENTIFIQUE
******
HAUTE ECOLE DE COMMERCE ET DE MANAGEMENT

******
MEMOIRE DE FIN DE FORMATION POUR L’OBTENTION

DU DIPLOME DE LICENCE PROFESSIONNELLE
******
FILIERE : RESEAU INFORMATIQUE ET TELECOMMUNICATION
THEME :
ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION

D’INTRUSION DANS UN RESEAU CAS DE L’IDS SNORT DANS LE
RESEAU INFORMATIQUE DE CITECH
Réalisé par :
AVALLA Tychique & OBALE Joyau
Sous la direction de :
Maître de stage : Directeur de mémoire :

M. Modeste SOSSOU M. Cyriaque NASCIMENTO
Directeur Générale de Ingénieur Télécoms et
CITECH Réseaux
Année Académique : 2018-2019

ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION D’INTRUSION DANS UN
RESEAU CAS DE L’IDS SNORT DANS LE RESEAU INFORMATIQUE DE CITECH
SOMMAIRE
SOMMAIRE..........................................................................................................................................II
DEDICACES........................................................................................................................................III
REMERCIEMENTS............................................................................................................................IV
LISTE DES FIGURES..........................................................................................................................V
LISTE DES TABLEAUX...................................................................................................................VII
LISTE DES SIGLES ET ABBREVIATIONS..................................................................................VIII
RESUME..............................................................................................................................................IX
ABSTRACT...........................................................................................................................................X
INTRODUCTION................................................................................................................................1
PREMIERE PARTIE: PRESENTATION DU CADRE D’ETUDE......................................................3
DEUXIEME PARTIE: ETUDE THEORIQUE ET CONCEPTUELLE DU THEME........................14
TROISIEME PARTIE : IMPLEMENTATION DE L’IDS SNORT...................................................46
CONCLUSION...................................................................................................................................67
Documents utilisés................................................................................................................................70
Webographie.........................................................................................................................................70
AVALLA Tychique et OBALE Joyau II

DEDICACES
DEDICACE : 1
Je dédie ce travail à mon père Mr Paul AVALLA et mère Mme HOUETON Françoise.
Vous m’avez toujours soutenu dans mes études et toujours apporté l’aide nécessaire.
Tychique AVALLA
DEDICACE : 2
Je dédie ce mémoire à Mon père Mr OBALE Pierre et ma mère Mme IDOHOU Esther.
Pour votre sens de responsabilité, votre présence morale et financière.
Joyau OBALE
AVALLA Tychique et OBALE Joyau III

REMERCIEMENTS
Pour l’accomplissement de ce rapport nous tenons à remercier avant tout l’éternel DIEU tout
puissant qui nous a soutenu et gardé en toute circonstance et en tout lieu.
Ainsi que :
Nos très chers parents pour leurs soutiens et leurs conseils ;
Notre Directeur de mémoire Mr NASCIMENTO Cyriaque pour ses directives, ses explications
claires et précises et surtout pour sa disponibilité, malgré son calendrier très chargé qui ont contribué
à parfaire le présent travail. Nous tenons à lui exprimer notre gratitude ;
Notre Maître de stage Mr SOSSOU Modeste pour tous ses soutiens, sa patience, son amour pour la
transmission de son savoir dans une ambiance fraternelle ;
A nos camarades de salle et de stage pour ces bons moments que nous avions passé ensemble ;
Toute personne qui de près ou de loin a contribué à la réalisation de ce travail et tous les membres du
jury qui apprécieront ce travail
AVALLA Tychique et OBALE Joyau IV

LISTE DES FIGURES
Figure I-1 : Situation géographique.......................................................................................................5
Figure I-2 : Organigramme de CITECH................................................................................................6
Figure I-3 : Image de Panneaux solaires monocristallin et polycristallin.............................................8
Figure I- 4 : image de régulation de charge...........................................................................................9
Figure I-5 : image de Batterie solaire....................................................................................................9
Figure I-6 : image de convertisseur.....................................................................................................10
Figure I-7 : image de câble solaire......................................................................................................10
Figure I-8 : Schéma d’une installation photovoltaïque autonome.......................................................10
Figure I-9 : Image d’un câble coaxial..................................................................................................12
Figure II- 1: Exemple de réseau LAN.................................................................................................16
Figure II- 2: Exemple de réseau MAN................................................................................................16
Figure II- 3 : Exemple de réseau WAN...............................................................................................17
Figure II- 4 : Topologie en bus............................................................................................................18
Figure II- 5 : Topologie en anneau......................................................................................................18
Figure II- 6 : Modèle OSI....................................................................................................................20
Figure II- 7 : Le modèle OSI et le modèle TCP/IP..............................................................................21
Figure II- 8 : Emplacement d’un firewall dans un réseau...................................................................28
Figure II- 9 : Emplacement d’un proxy dans un réseau......................................................................28
Figure II- 10 : DMZ entre LAN et WAN............................................................................................29
Figure II- 11 : Architecture fonctionnelle des IDS..............................................................................31
Figure II- 12 : Exemple de réseau NIDS.............................................................................................33
Figure II- 13 : Systèmes de détections d’intrusion de type hôte.........................................................33
Figure II- 14 : Systèmes de détection d’intrusion Hybride.................................................................34
Figure II- 15 : Architecture fonctionnelle des IPS..............................................................................35
Figure II- 16 : Architecture de snort....................................................................................................43
Figure II- 17: Positionnement de snort dans le réseau........................................................................44
Figure II- 18 : Les règles Snort............................................................................................................45
Figure III- 1 : Installation des paquets nécessaire...............................................................................49
Figure III- 2: Téléchargement de la bibliothèque d'acquisition DAQ................................................49
Figure III- 3: Téléchargement de Snort...............................................................................................49
Figure III- 4: Décompression du paquet Snort....................................................................................50
Figure III- 5 : Compilation du paquet Snort........................................................................................51
Figure III- 6 : Installation de snort......................................................................................................51
AVALLA Tychique et OBALE Joyau

Figure III- 7 : Création de la base de données Snort...........................................................................52
Figure III- 8: Configuration de snort pour SQL..................................................................................53
Figure III- 9: Installation de l'interface graphique ACID...................................................................55
Figure III- 10: Configuration de l'interface graphique ACID5...........................................................56
Figure III- 11: Code de mise à jour Snort...........................................................................................57
Figure III- 12: Insertion du code dans le fichier snort.conf................................................................58
Figure III- 13: Téléchargement des règles Snort................................................................................59
Figure III- 14: Téléchargement des règles snort.................................................................................60
Figure III- 15 : Programmation de la mise à jour des règles...............................................................61
Figure III- 16: Démarrage de l’IDS Snort...........................................................................................62
Figure III- 17: Interface Nmap............................................................................................................63
Figure III- 18: Démarrage de l'IDS Snort pour le test.........................................................................64
Figure III-19: Démarrage du scan de port avec Nmap........................................................................64
Figure III-20: Démarrage du scan de port avec Nmap........................................................................65
Figure III- 21 : Détection du Scan par l'IDS Snort..............................................................................65
Figure III- 22: Détection du Scan par l'IDS Snort...............................................................................66
Figure III-23: Détection du Scan par l'IDS Snort................................................................................66

LISTE DES TABLEAUX
Tableau II- 1 : Comparaison entre NIDS, HIDS et Systèmes hybrides..............................................34
Tableau II-2 : Comparaison entre les IDS et les IPS..........................................................................37
LISTE DES SIGLES ET ABBREVIATIONS

ATM Asynchronous Transfert Mode
BNC Bayonet Neill-Concelman Connector
CPU Central Processing Unit
CSMA/CD Carrier Sense Multiple Access/Collision Detection
DHCP Dynamic Host Configuration Protocol
DMZ Demilitarized Zone
DNS Domain Name Server
DOD Department Of Defense
DVR Digital Video Recorder
FDDI Fiber Distributed Data Interface
FTP File Transfert Protocol
HIDS Host based Intrusion Detectin System
http Hyper Text Transfert Protocol
IBM International Business Machines
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IP Internet Protocol
IPS Intrusion Prevention System
IR Infra-Rouge
KIPS Kernel Intrusion Prevention System
LAN Local Area Network
MAN Metropolitan Area Network
MAU Multi station Access Unit
MySQL My Structured Query Language
NIDS Network Intrusion Detection System
NIPS Network Intrusion Prevention System
OSI Open System Interconnection
PAN Personnal Area Network
PFSense Packet Filter Sense
PTZ Pan Tilt Zoom
RAM Random Access Memory
RCCM Registre de Commerce et de Crédit Mobilier
SMB Server Message Block
SQL Structured Query Language
TCP Transmission Control Protocol
TCP/IP Transmission Control Protocol/Internet Protocol
UDP User Datagram Protocol
WAN Wide Area Network

RESUME
Les règlements universitaires ont institué depuis plusieurs années l'exigence pour tout finaliste d'un cycle
universitaire de rédiger un travail scientifique. C'est dans ce cadre que nous réalisons le présent travail
basé sur l’étude et la mise en place d’un système de détection d’intrusion réseau : cas du système de
détection d’intrusion Snort dans le réseau de l’entreprise CITECH.
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme destiné
à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il capture
le trafic du réseau, l’analyse puis alerte l’utilisateur lorsqu’il y a une intrusion ou une attaque. C’est
un peu le rôle que snort va jouer dans le réseau de l’entreprise CITECH.
Pour la mise en place du système, nous avons eu à installer et configurer l’IDS Snort sur le serveur
de l’entreprise. Puis nous avons faire quelques tests pour évaluer les performances du système de
détection d’intrusion Snort.

ABSTRACT
For several years, university regulations have imposed the requirement for any finalist of a
university cycle to write scientific work. It is in this context that we realize the present work based
on the study and the installation of a system of network intrusion detection: case of the system of
intrusion detection Snort in the network of the firm CITECH.
An Intrusion Detection System (IDS) is a mechanism for detecting abnormal or suspicious activity
on the target being scanned (a network or a host). It captures the traffic of the network; the analysis
then alerts the user when there is an intrusion or an attack. This is a bit of the role snort will play in
CITECH network.
For the implementation of the system, we had to install and configure the IDS Snort on the cabinet
server. Then we did some tests to evaluate the performance of the Snort intrusion detection system.

INTRODUCTION
Les réseaux informatiques sont devenus des ressources vitales et déterministes pour le bon
fonctionnement des entreprises. De plus, ces réseaux sont ouverts du fait qu’ils sont pour la plupart
raccordés à l’Internet.
Cette ouverture qui permet de faciliter la communication, engendre malheureusement des risques
importants dans le domaine de la sécurité informatique. En matière de sécurité informatique, si la
mise en place d’un pare-feu est une chose indispensable pour prévenir les risques d’attaque du
serveur, il est également essentiel d’être en mesure d’identifier la menace pour pouvoir le cas échéant
mettre en place des contre-mesures nécessaire à la suppression d’une faille du système
d’information. C’est le rôle d’un IDS (Intrusion Detection System)
Le système de détection d’intrusion (IDS), est une technique permettant de détecter les intrusions de
les prévenir, ce système nous aide à prévoir, surveiller ou à identifier toute activité non autorisée
dans un réseau. Les IDS constituent une bonne alternative pour mieux protéger le réseau
informatique.
Notre objectif est de sécuriser le réseau et le système informatique d’une entreprise par la mise en
place de Snort qui est un système de détection d’intrusion réseau (NIDS).
Le travail réalisé a été divisé en trois parties. Dans la première partie, il sera question de présenter
l'entreprise hôte, ensuite dans la seconde partie nous ferons l’étude théorique de notre projet. Enfin,
la troisième partie sera consacrée à la réalisation ou l’implémentation de notre projet.
Problématique :
Les vulnérabilités et les failles des systèmes informatiques sont continuellement découvertes, et les
risques d’attaques à distance ne font également qu’augmenter à cause du fait que les réseaux sont
connectés en permanence à Internet. Actuellement, les pare-feu permettent de réduire partiellement
ces risques. Cependant un réseau protégé par un pare-feu demeure tout de même pénétrable vue
qu’une menace peut accéder au réseau à travers ce dernier, ce qui est un problème important à gérer.
- Comment sécuriser le réseau et le système informatique d’une entreprise ?
- Quelle solution de sécurité efficace pouvons-nous mettre en place pour protéger le réseau de
l’entreprise ?
Durant notre stage au sein de CITECH, nous avons constaté des anomalies relatives à la sécurité de
leur réseau, à savoir le manque d’un mécanisme de détection et de prévention d’intrusion
Hypothèse :
L'hypothèse est définie comme une proposition à partir de laquelle on raisonne pour résoudre un
problème, pour démontrer un théorème. En d’autres termes, une proposition résultante d'une
observation et que l'on soumet aux contrôle de l'expérience ou l'on vérifie par déduction. Elle tend à
formuler une relation entre les faits significatifs. Elle détermine le thème et le champ d'analyse. Ainsi
: « La mise en place d’un système de détection d’intrusion pourrait être la solution adéquate pour
sécuriser le réseau et les systèmes informatiques d’une entreprise des attaques informatiques. »
AVALLA Tychique et OBALE Joyau 1

PREMIERE PARTIE: PRESENTATION DU
CADRE D’ETUDE

I-PRESENTATION DU LIEU DE STAGE
I.1- HISTORIQUE
Créé le 13 juillet 2015, CITECH SARL (Centre des Innovations Technologiques) est une
société à responsabilité limitée. Son siège social se trouvait à VODJE Carré N° 210 dans la
maison BINAZON non loin du carrefour étoile rouge de Juillet 2015 au Septembre 2018. Le
1er Octobre 2018, le Quartier AGORI à Abomey Calavi abrita le Siège de Citech.
L’histoire remonte en vacances 2013. D’une part, après une analyse des différentes
difficultés rencontrées quotidiennement par les étudiants dans la réalisation de leurs rapports
de fin de formation pour les cycles BTS, LICENCE et d’autre part, vus les cahiers des charges
des différents projets en informatique et électronique à réaliser, une conjugaison de forces
s’impose car nul n’est puissant tout seul dit-on. Ainsi au départ, un professeur avec son ancien
étudiant malgré les maigres moyens financiers mais nantis d’idées, d’expériences et de
dévotion, décident de s’investir, pour innover dans le but de contribuer au développement du
secteur industriel au Bénin.
La première action à mener était d’introduire une étude théorique et pratique des
microcontrôleurs dans les cours de Conception de Logiciels et de Matériels pour les étudiants
des filières d’Informatique Industrielle et Maintenance(IIM) et Electronique, dans le but de
susciter en eux la passion d’être des industriels car un industriel qui a une bonne main
pratique ne doit jamais chômer. Ce qui était faite.
La deuxième action était d’acquérir des matériels et logiciels indispensables pour pouvoir
asseoir un laboratoire d’électronique programmée et d’informatique pour la réalisation des
projets innovants et d’être une solution immédiate et compète pour le monde électronique et
informatique.
Dans le souci de remplir les formalités administratives, l’entreprise s’était dotée d’une
dénomination et d’un siège car durant deux années, les études se faisaient dans les universités
et à la maison. Elle compte aujourd’hui des personnes morales qui soutiennent ses activités.
CITECH ouvre donc ses portes le 13 Juillet et intervient dans les domaines d’électronique
programmée, de maintenance et réseaux informatiques, d’électricité et électrotechnique,
d’administration réseau et de base de données, d’installation d’antenne parabolique et de
panneau solaire, de développement Web et d’applications, de la mise en œuvre des automates
programmables industriels, de l’importation et de la vente de consommables électroniques,
informatiques, des panneaux solaires et aussi de la Formation.
L’entreprise vient combler les attentes de la population à l’ère des TIC où le besoin de se
faire former dans ces domaines ci-dessus cités n’est plus à démontrer, la sécurité des biens
matériels est une question préoccupante, l’informatique et la télécommunication deviennent
une habitude des populations.
Dans le souci de disposer assez d’espace pour accueillir les apprenants et de leur donner
un cadre de vie à la hauteur de leurs attentes, Citech a entamé un projet de construction de son
local, en accord avec Monsieur SOSSOU B. Théophile qui soutien fortement les activités de
l’entreprise en acceptant que Citech construise sur le bâtiment abritant ses boutiques en rez-
de-chaussés, aux bords de la voie pavée Calavi-Tankpè entre les Complexes Scolaires Clé de

4
la Réussite et Bakhita sur le même alignement que Clé de la Réussite. Ainsi, au premier étage
du bâtiment, Citech dispose de deux salles de formation, un laboratoire, un bureau pour le
DG, un bureau pour le Directeur Technique, un Secrétariat, un Magasin et un grand hall.
I.2- SITUATION GEOGRAPHIQUE
Du Campus
Vers KPOTA vers Calavi
ville
CARREFOUR
CARREFOUR
KPOTA
Bidossèssi
Calavi
Vers Cotonou
Village Télévision
Numérique
d’Enfant Terrestre
SOS
CSP
BAKHITA
Voie Pavée
Agori - Tamkpè Vers Tamkpè
CSP
Clé de la CITECH Sarl
Réussite
Figure I-1 : Situation géographique
I.3- OBJECTIFS
Les objectifs de CITECH sont :
 Installer un laboratoire électronique et informatique moderne, bien équipé où on

pourra sortir des produits électroniques ou informatiques finis.
 C’est une confrérie de technologues pour une veille électronique, informatique et de
télécommunication permanente afin de réfléchir et de résoudre les différentes
questions relatives à ses secteurs.
 Développer un esprit de solidarité et de coopération entre les ingénieurs béninois afin
qu’ensemble, nous puissions participer au développement de notre pays.
 Former les étudiants afin de les aider à avoir une main pratique dans différents
secteurs pour se prendre en charge.
 Etre un guide pour les étudiants dans la réalisation des projets.
 Mettre à la disposition de la population des consommables électroniques,
informatiques et des énergies renouvelables.

5
I.4- ORGANIGRAMME
Direction
Générale
Direction
Générale
Adjoint
Direction
Techniqu
e
Services Service Service Service

Electronique Informatique Electricité et Comptabilité et
et Telecom Electrotechniqu Relations
e Commerciales
Figure I-2 : Organigramme de CITECH
La Direction Générale :
CITECH SARL est dirigée par un directeur général qui représente l’entreprise auprès des
pouvoirs publics et des partenaires. C’est elle qui coordonne les activités et qui prend les
décisions qui s’imposent. Chaque dossier à traiter est soumis à son autorité et doit avoir son
approbation avant de poser n’importes quelles actions. Il entretient des relations suivies avec
les partenaires intéressés ou impliqués dans la bonne marche de l’entreprise.
La Direction générale adjointe
Le directeur général est assisté par un directeur général adjoint (DGA) qui exerce presque la
même action que lui. Il assure son intérim en cas d’absence plus ou moins prolongé dans
l’exécution des affaires courantes.
La Direction technique :
Elle assure tout ce qui a rapport aux côtés techniques de l’entreprise. Elle se charge de la
gestion des matériels, étudie et propose des solutions techniques adéquates. Elle coordonne

6
les activités dans les différents services et s’assure de la bonne satisfaction des clients. Elle
s’occupe aussi de la formation des stagiaires et apprenants.
Le Service Electrotechnique et Telecom :
Sous l’autorité du directeur technique, il a pour tâches de :

o concevoir et de fabriquer des systèmes électroniques et embarqués,
o installer les antennes paraboliques et des caméras de vidéosurveillance,
o réparer ou de programmer les téléphones portables,
o installer le réseau téléphonique local.
Le Service informatique :
Sous l’autorité du directeur technique, il a pour tâches :

o d’assurer la maintenance des ordinateurs pour l’entreprise et pour les clients,
o d’installer et d’administrer les réseaux informations,
o de créer des sites web dynamiques,
o de développer des applications.
Le Service Electricité et Electrotechnique :
Sous l’autorité du Directeur technique, il a pour mission de :

o exécuter les travaux d’électricités bâtiment, d’électricité industrielle,
o installer des systèmes automatiques,
o installer des groupes électrogènes industriels,
o installer des armoires électriques,
o exécuter les marchés liés au froid et climatisation,
o étudier et d’installer les panneaux solaires et d’assurer leurs maintenances.
Le Services Comptabilité et Relations Commerciales :
Il se charge des affaires financières, comptables et des relations commerciales telles que :
o l’élaboration des projets de budget,
o l’élaboration de plan de gestion de documents comptables,
o l’élaboration d’un plan de marketing afin de gagner des marchés et de permettre
l’écoulement des produits,
o l’assurance de la disponibilité des différents matériels utilisés dans les différents
secteurs d’activité.

7
II- DEROULEMENT DU STAGE
II.1- Activités effectuées
Tout au long de notre stage qui a duré trois mois, nous avons fait usage de connaissances
nouvelles autre que celles acquises lors de notre formation pour effectuer différentes tâches à
savoir :
 Dimensionnement et Installation de panneaux solaires
 Installation d’antenne parabolique
 Maintenance Informatique
 Video de surveillance
Avant l’installation d’un système solaire photovoltaïque, il faut connaître le cahier de charge
du client, dont on se sert pour dimensionner l’installation à réaliser. Plusieurs équipements
interviennent dans cette installation.
 Equipement d’une installation photovoltaïque

Généralement, les installations photovoltaïques non raccordées au réseau comprennent les
équipements ci-après :
Panneaux solaires :
Il transforme l’énergie solaire en énergie électrique. Il joue donc le rôle de générateur dans le
système photovoltaïque. Il est un assemblage de cellules photovoltaïques, chacune d’elles
délivrant une tension. L’énergie produite par un module photovoltaïque dépend du niveau de
l’énergie solaire. Ainsi, durant la journée, l’énergie produite va varier en fonction de la
variation de l’énergie solaire. Il existe trois (03) types de panneaux:
 Amorphe
 Polycristallin
 Monocristallin
Monocristallin Polycristallin

8
Figure I-3 : Image de Panneaux solaires monocristallin et polycristallin
Régulateur de charge
Le régulateur de charge a pour fonction principale de protéger la batterie contre les charges
excessives et les décharges profondes. Il collecte les informations relatives à l’état de charge
de la batterie (tension, état de charge), compare ces informations aux seuils de régulations.
Figure I- 4 : image de régulation de charge
Batterie solaire
C’est un accumulateur de l’énergie électrique monté en série et ou en parallèle qui reçoit et
emmagasine l’énergie produite par le champ photovoltaïque afin de la restituer dans les
récepteurs.
Figure I-5 : image de Batterie solaire
Convertisseur
Il est alimenté directement par la batterie et débite sur les récepteurs en courant alternatif. Il
transforme la tension continue des batteries en tension alternative qui alimente les récepteurs
en courant alternatifs : téléviseurs, vidéos ou réfrigérateur.

9
Figure I-6 : image de convertisseur
Les câbles
Ils servent à la connexion du matériel précité, pour la transmission de l’énergie électrique. Les
câbles doivent êtres souples pour la connexion des équipements.
Figure I-7 : image de câble solaire
Schéma d’une installation photovoltaïque autonome
Figure I-8 : Schéma d’une installation photovoltaïque autonome

10
Description du schéma
Le panneau solaire qui est un composant électronique transforme l’énergie solaire reçue grâce
aux rayons solaires en énergie électrique continue. Cette énergie qui permettra de charger les
battéries, est envoyée vers le régulateur de charge qui protègera ses dernières contre les
surcharges et les décharges profondes. Quant au convertisseur, il transforme la tension
continue délivrée à son entrée par les batteries en tension alternative qui alimente le
récepteurs en courant alternatifs.
 Equipements d’une installation d’antenne parabolique
Définition et constitution
C’est un dispositif qui permet de recevoir et de transmettre les signaux électromagnétiques, il
capte les ondes électromagnétiques des satellites.
L’antenne parabolique est constituée :
- D’une parabole
- D’un port LNB
- D’un support de LNB
- D’un système d’élévation
- D’une barre de fixation
Pour l’installation d’une antenne parabolique, il faut tenir compte des conditions climatiques
et des obstacles : Ceci peut avoir une influence sur la qualité du signal
Les étapes de conversion des signaux jusqu’à l’apparition des images sur l‘écran
Le signal électromagnétique capté est ensuite converti en un signal électrique puis transmit à
un démodulateur pour une nouvelle conversion suivant les étapes :
 La parabole capte chaque fois les ondes électromagnétiques puis les envois au LNB.
 Pour une forte concentration des signaux au niveau du LNB, lui à son tour se charge
de convertir ces signaux électromagnétiques issus des satellites en signaux électriques.
 Les signaux électriques sont transmis à un démodulateur via un câble coaxial (de type
RG6 ou RG11).
 Le démodulateur ayant en son sein un décodeur intégré, permet la conversion des
signaux électriques en signaux numériques.
 Via un câble AV les signaux numériques permettent d’obtenir à l’écran des images et
des sons.
Le câble coaxial

11
Notons que le câble coaxial servant de pont pour le transfert su signal électrique est constitué
d’une partie centrale appelée âme, c’est-à-dire un fil de cuivre, enveloppé dans un isolant,
puis un blindage métallique tressé et enfin une gaine extérieure.
Figure I-9 : Image d’un câble coaxial
Paramétrage (Les Coordonnées Satellitaires)

Pour le paramétrage, nous devons savoir que chaque chaine est caractérisée par ces
coordonnées satellitaires qui se présentent comme suit :
Nom de la chaine :
Satellite :
Position:
Degré d’inclinaison :
Fréquence :
Transpondeur :
Débit symbole :
Polarisation :
Bande passante :
Système :
Le Couplage
C’est une opération qui consiste à condenser plusieurs signaux issus de nombreuses antennes
paraboliques vers un seul démodulateur via un Diseqc.
 Maintenance informatique
Au cours de notre stage, nous nous sommes familiarisés avec le matériel informatique de
CITECH. Nous avons aussi fait des travaux de maintenance préventive et de maintenance
curative de certains ordinateurs.
Pour ce qui est de la maintenance préventive, nous avons eu à :
 démonter les unités centrales

 dépoussiérer l’intérieur des unités centrales avec le souffleur

12
 retirer et nettoyer les mémoires RAM et les replacer
 mettre de la pâte thermique sur les processeurs afin d’éviter le sur chauffage de cette
dernière
Quant à la maintenance curative, nous avons eu à diagnostiquer et à réparer les ordinateurs

qui étaient en pannes. Nous avons rencontré souvent des problèmes de mémoire RAM, de
disque dur, ou quelques fois de boîte d’alimentation défaillante. Dans ce cas, nous opérons au
changement de ces différents composants lorsqu’ils ne sont plus utilisables ou à leur
formatage (concernant les disques dur) si les données qu’ils contiennent ne sont pas
importantes.
Outre ces travaux de maintenance, nous avons eu à installer des systèmes d’exploitation, à
faire la mise à jour des pilotes et à installer les anti-virus.
 Vidéo surveillance
Dans la vidéo surveillance, nous avons eu à prendre connaissance de ce qu’est la Vidéo

surveillance et à nous familiariser avec les différents équipements utilisés dans la vidéo
surveillance. Comme équipement nous pouvons citer les
- Caméras analogiques qui sont utilisées dans la vidéo surveillance analogique et des
caméras numériques ou IP utilisées dans la vidéo surveillance numérique. Parmi ces
catégories de caméras nous avons autres types de caméras parmi lesquelles nous avons des
caméras indoor qui sont utilisées pour l’intérieure, des caméras outdoor qui sont utilisées pour
l’extérieure, des caméras IR (Infra Rouge), des caméras Dom, des caméras Axis, des caméras
Factices, des caméras PTZ et des Webcam.
- Les DVR,
- Les multiplexeurs,
- Le contrôle PTZ.
Nous avons pris connaissance des médias de transmission utilisés dans la vidéo surveillance.
Comme médias de transmission nous avons les câbles coaxiaux (câble RG58 et RG59) avec
les connecteurs BNC, les câbles Ethernet, le wifi et la fibre optique.
Après la prise de connaissance avec les équipements et les médias de transmission utilisés
dans la vidéo surveillance, nous avons eu à :
- sertir des câbles RG58 et RG59 aves les connecteurs BNC ;

- faire la maintenance des caméras, des multiplexeurs et des DVR ;
- configurer les DVR selon les différents modes de configuration (mode continu, mode
mouvement et mode planifié) ;
- fixer une caméra qu’on a reliée directement à une télévision pour la visualisation ;
- mettre en place un système de vidéo surveillance avec 4 caméras IR (2 caméras indoor et 2
caméras outdoor) :

13
Pour ce fait, nous avons fixé les quatre caméras qu’on a reliées au DVR par des câbles RG59.
Ensuite nous avons configuré le DVR. On a relié une télévision et un écran d’ordinateur au
DVR afin de visualiser les images. Puisque le DVR est un DVR hybride, nous avons relié le
DVR au switch afin que les images soient visualisées dans le réseau local de l’entreprise.
DEUXIEME PARTIE: ETUDE THEORIQUE ET

CONCEPTUELLE DU THEME

14
I- GENERALITE SUR LES RESEAUX ET LA SECURITE
INFORMATIQUE
I.1. Les réseaux informatiques
I.1.1. Qu’est-ce qu’un réseau informatique ?
Un réseau en général est le résultat de la connexion de plusieurs machines informatiques entre

elles, afin que les utilisateurs et les applications qui fonctionnent sur ces dernières puissent
échanger des informations. Le terme réseau en fonction de son contexte peut désigner
plusieurs choses. Il peut désigner l'ensemble des machines, ou l'infrastructure informatique
d'une organisation avec les protocoles qui sont utilisés, ce qui 'est le cas lorsque l'on parle de
Internet.
Le terme réseau peut également être utilisé pour décrire la façon dont les machines échangent
les données : Ethernet, Token Ring, etc... C'est le cas lorsque l'on dit que les machines d'un
site (sur un réseau local) sont sur un réseau en étoile, réseau en bus, ...
I.1.2. Types de réseau informatiques
Il existe différents types de réseaux informatiques selon l’étendue géographique :
 Personal Area Network (PAN):
Réseau personnel ou réseau domestique, le PAN permet l’échange de données des

appareils modernes comme notamment les smartphones, tablettes, ordinateurs portables ou
les ordinateurs de bureau.
 Le réseau personnel sans fil (WPAN pour Wireless Personal Area Network) repose sur
des technologies comme le Bluetooth, USB sans fil, INSTEON, IrDA, ZigBee ou Z-Wave.
Un réseau personnel sans fil qui peut être réalisé par l’intermédiaire du Bluetooth est appelé «
Piconet ». Les WPAN et les PAN ne couvrent généralement que quelques mètres et ne sont
pas adaptés pour connecter des appareils se trouvant dans des pièces ou bâtiments différents.
 Local Area Network (LAN):

15
Un LAN est un réseau situé généralement dans la même entité géographique (entreprise,
campus...). Des LAN peuvent être interconnectés pour former des réseaux plus grands (WAN,
MAN...) : On dit alors que le LAN est un sous-réseau du réseau auquel il est connecté.
Figure II- 1: Exemple de réseau LAN
 Metropolitan Area Network (MAN):
Ce type de réseaux garde les avantages des LAN sur de plus longues distances de l'ordre de la
ville. Le réseau MAN interconnecte plusieurs LAN géographiquement proches (au maximum
quelques dizaines de kilomètres). Le réseau MAN aussi appelé réseau intermédiaire.

16
Figure II- 2: Exemple de réseau MAN
 Wide Area Network (WAN):
Un WAN est un réseau qui se mesure sur une grande échelle géographique. Il connecte des
équipements informatiques à de grandes distances, les uns à la suite des autres. Plusieurs
équipements informatiques connectés à partir de plusieurs points du globe peuvent former un
réseau étendu. Certaines sociétés, généralement internationales (IBM, UNISYS, AT&T, AIR
France, ...) disposent souvent de tels réseaux à l'échelle planétaire. Comme WAN au Bénin on
peut citer : MTN, MOOV, SBEE, les impôts, la douane etc… Le réseau internet (international
network) est le réseau étendu le plus connu.
Figure II- 3 : Exemple de réseau WAN
I.1.3. Les topologies réseaux
Etudier la topologie d’un réseau informatique, c’est étudier la manière dont les ordinateurs
sont câblés (Topologie physique) et/ ou la manière dont les données transitent sur les supports
de communication (Topologie logique).
I.1.3.1. Les topologies physiques
 Topologie en bus
Dans une topologie en bus, tous les ordinateurs sont connectés à un seul câble continu ou
segment.
 Les avantages de ce réseau : coût faible, faciliter de mise en place, distance maximale de
500m pour les câbles 10 base 5 (câbles coaxial épais) et 200m pour les câbles 10 base 2
(câbles coaxial fin). La panne d’une machine ne cause pas une panne du réseau.

17
 Les inconvénients : s’il y a une rupture d’un bus sur le réseau, la totalité du réseau tombe en
panne. Le signal n’est jamais régénéré, ce qui limite la longueur des câbles, il fautmettre un
répéteur au-delà de 185 m pour la technologie 10 base 2 et au-delà de 500m pour la technologie
10 base 5.
Figure II- 4 : Topologie en bus
 Topologie en étoile
La topologie en étoile est la plus utilisée. Dans la topologie en étoile, tous les ordinateurs
sont reliés à un seul équipement central : le concentrateur réseau. Ici le concentrateur réseau
peut être un concentrateur, un commutateur, un routeur…
- Les avantages de ce réseau : la panne d’une station ne cause pas la panne du réseau et on
peut retirer ou ajouter facilement une station sans perturber le réseau. Il est aussi très facile à
mettre en place.
- Les inconvénients : le coût est un peu élevé, la panne du concentrateur centrale
entraine le disfonctionnement du réseau.
La technologie utilisée est Ethernet 10 base T, 100 bases T, 1000 base T, 10000 base T.
 Topologie en anneau
Dans un réseau possédant une topologie en anneau, les stations sont reliées en boucle et
communiquent entre elles avec la méthode « chacun à son tour de communiquer ». Elle est
utilisée pour le réseau token ring ou FDDI.

18
Figure II- 5 : Topologie en anneau
I.1.3.2. Les topologies logiques
 Topologie Ethernet
Ethernet est aujourd’hui l’un des réseaux les plus utilisés en local. Il repose sur une topologie
physique de type bus linéaire, c'est-à-dire tous les ordinateurs sont reliés à un seul support de
transmission. Dans un réseau Ethernet, la communication se fait à l’aide d'un protocole appelé
CSMA/CD (Carrier Sense Multiple Access with Collision Detect), ce qui fait qu’il aura une
très grande surveillance des données à transmettre pour éviter toute sorte de collision. Par un
conséquent un poste qui veut émettre doit vérifier si le canal est libre avant d’y émettre.
 Le Token Ring
Token Ring repose sur une topologie en anneau (ring). Il utilise la méthode d’accès par jeton
(token). Dans cette technologie, seul le poste ayant le jeton a le droit de transmettre. Si un
poste veut émettre, il doit attendre jusqu’à ce qu’il ait le jeton. Dans un réseau Token ring,
chaque nœud du réseau comprend un MAU (Multi station Access Unit) qui peut recevoir les
connexions des postes.
Le signal qui circule est régénéré par chaque MAU. Mettre en place un réseau token ring coûte
chers, malgré que la panne d’une station MAU provoque le disfonctionnement du réseau.
 Le FDDI
La technologie LAN FDDI (Fiber Distributed Data Interface) est une technologie d'accès réseau
utilisant des câbles fibres optiques. Le FDDI est constitué de deux anneaux : un anneau primaire
et anneau secondaire. L’anneau secondaire sert à rattraper les erreurs de l’anneau primaire. Le
FDDI utilise un anneau à jeton qui sert à détecter et à corriger les erreurs. Ce qui fait que si
une station MAU tombe en panne, le réseau continuera de fonctionner.
 L’ATM
L’ATM (Asynchronous Transfer Mode, c'est-à-dire mode de transfert asynchrone) est une
technologie très récente qu’Ethernet, Token Ring et FDDI. Il s’agit d’un protocole de niveau 2,
qui a pour objectif de segmenter les données en cellules de taille unique. L’en-tête de chaque
cellule comprend des informations qui permettent à la cellule d’emprunter son chemin. Les
cellules ATM sont envoyées de manière asynchrone, en fonction des données à transmettre,
mais sont insérées dans le flux de donnée synchrone d'un protocole de niveau inférieur pour
leur transport.

19
Avec le réseau ATM, deux technologies existent pour le moment :
 La commutation des paquets

 La commutation des circuits
I.1.4. Les Normes
I.1.4.1. La Norme OSI
Définition :
L’Open System Interconnection est une norme établie par Internationnal Standard
Organisation, afin de permettre aux systèmes ouverts (ordinateur, terminal, réseau, …)
d’échanger des informations avec d’autres équipements hétérogènes. Cette norme est
constituée de 7 couches, dont 4 premières sont dites basses et les 3 supérieures dites hautes.
Le principe est simple, la couche la plus basse (directement au-dessus du support physique)
ne peut communiquer directement avec une couche n+1 : chacune des couches est composée
d’éléments matériels et/ou logiciels chargés de « transporter » le message à la couche
supérieure.
Figure II- 6 : Modèle OSI
Les différentes couches du modèle OSI :
 La couche physique s’occupe de la connexion physique sur le réseau. Elle se charge

de la transmission de bits à l’état brut sur un canal de transmission.

20
 La couche Liaison a pour but de transmettre les données sans erreur. Elle décompose
les données de l’émetteur en trames de données puis les envoie de façon séquentielle.
Différentes méthodes permettant de protéger les données contre les erreurs sont utilisées,
comme le codage de détection et de correction d’erreur.
 La couche Réseau assure la commutation et le routage des paquets entre les nœuds
du réseau. Pour le modèle OSI, il existe deux méthodes principales d’acheminement : la
commutation de circuits et la commutation de paquets. C’est cette couche qui gère les
congestions sur les nœuds du réseau.
 La couche Transport permet l’établissement, le maintien et la rupture des connexions.

L’une des tâches principales de cette couche est d’accepter des données de la couche supérieure
et de les diviser en unités plus petites : il s’agit de l’opération de fragmentation. Elle offre un
service réel de bout en bout de la source à la destination, indépendant du chemin effectif
utilisé entre les machines.
 La couche Session permet d’établir une connexion logique entre deux applications.
Elle assure l’organisation et la synchronisation du dialogue.
 La couche Présentation s’occupe de la syntaxe des données. Cette couche permet à

deux machines de communiquer même lorsqu’elles utilisent des représentations de données
différentes. Elle gère des structures de données haut niveau pour accomplir cette tâche.
 La couche Application fournit les services et interfaces de communication aux

utilisateurs.
I.1.4.2. Le TCP/IP
Définition :
Dans les années 1970, le département de la Défense américain, ou DOD (Department Of
Defense), décide, devant le foisonnement de machines utilisant des protocoles de communication
différents et incompatibles, de définir sa propre architecture. Cette architecture, dite TCP/IP, est à
la source du réseau Internet. Elle est aussi adoptée par de nombreux réseaux privés, appelés
intranet.
Les deux principaux protocoles définis dans cette architecture sont les suivants :
 IP (Internet Protocol), de niveau réseau, qui assure un service sans connexion.

 TCP (Transmission Control Protocol), de niveau transport, qui fournit un service
fiable avec connexion.
Découpage en couche :

21
Le protocole TCP/IP étant antérieur au modèle OSI, il ne respecte pas réellement celui-ci.
Cependant, on peut faire correspondre les différents services utilisés et proposés par TCP/IP
avec le modèle OSI, et obtenir ainsi un modèle en 4 couches.
Figure II- 7 : Le modèle OSI et le modèle TCP/IP
Les services de la couche 1 et 2 (Physique et Liaison) du modèle OSI sont intégrés dans une
seule couche (hôte-réseau) ; les couches 5 et 6 (Session et Présentation) n’existent pas dans le
modèle TCP/IP et leurs services sont réalisés par la couche Application.
 Application
Elle regroupe tous les éléments nécessaires pour accéder à un réseau physique, quel qu’il soit.
Elle contient en particulier les spécifications concernant la transmission de données sur le
réseau physique, tout comme la première couche du modèle OSI.
 La couche Internet
Elle permet aux hôtes d’envoyer des paquets élémentaires indépendants les uns des autres,
sans se préoccuper des détails concernant leur acheminement vers l’hôte destination.
 La couche Transport
Permet aux applications d’échanger des données indépendamment du réseau utilisé, grâce
aux protocoles TCP et UDP.
 La couche Application
Contient entre autres tous les protocoles de haut niveau, comme Telnet ou FTP.
I.2. La sécurité informatique
I.2.1. Qu’est-ce que la sécurité ?
La sécurité informatique est un terme large qui réunit les moyens humains, technologiques,
organisationnels qui tentent de garantir certaines propriétés d’un système d’information.
Autrement dit, c'est l'ensemble des moyens mis en œuvre pour minimiser la vulnérabilité d'un
système contre des menaces accidentelles ou intentionnelles.

22
I.2.2. Mise en place d’une politique de sécurité
La mise en place d’une politique de sécurité globale est assez difficile, essentiellement par la
diversité des aspects à considérer. Une politique de sécurité peut se définir par un certain
nombre de caractéristiques : les niveaux où elle intervient, les objectifs de cette politique et
enfin les outils utilisés pour assurer cette sécurité. Néanmoins, elle ne peut garantir une
sécurité absolue.
I.2.2.1. Etude des risques
Il est nécessaire de réaliser une analyse de risque en prenant soin d'identifier les problèmes
potentiels avec les solutions avec les coûts associés. L'ensemble des solutions retenues doit être
organisé sous forme d'une politique de sécurité cohérente, fonction du niveau de tolérance au
risque. Il faut cependant prendre conscience que les principaux risques restent : « câble
arraché », « coupure secteur », « crash disque », « mauvais profil utilisateur ».
Voici quelques éléments pouvant servir de base à une étude de risque :
- Quelle est la valeur des équipements, des logiciels et surtout des informations ?
- Quel est le coût et le délai de remplacement ?
- Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau
(programmes d'analyse des paquets, logs…).
- Quel serait l’impact sur la clientèle d'une information publique concernant des intrusions sur
les ordinateurs de la société ?
I.2.2.2. Différents aspects de la sécurité
Une politique de sécurité s’élabore à plusieurs niveaux :
- Il faut tout d’abord sécuriser l’accès aux données de façon logicielle (authentification,
contrôle d’intégrité).
- Il faut également sécuriser l’accès physique aux données : serveurs placés dans des salles
blindées (qui empêchent les ondes électromagnétiques d’être captées) avec badge d’accès…
- Un aspect très important pour assurer la sécurité des données d’une entreprise est de
sensibiliser les utilisateurs aux notions de sécurité, de façon à limiter les comportements à risque.
De même, si les utilisateurs laissent leur mot de passe écrit à côté de leur ordinateur, son
utilité est limitée…
- Enfin, il est essentiel pour un responsable de sécurité de s’informer continuellement, des

nouvelles attaques existantes, des outils disponibles… de façon à pouvoir maintenir à jour son
système de sécurité et à combler les brèches de sécurité qui pourraient exister.

23
I.2.2.3. Services de la sécurité (Objectifs)
Les systèmes d’information représentent l’ensemble des données de l’entreprise et les

infrastructures matérielles et logicielles. La sécurité informatique d’une manière générale,
consiste à assurer que les ressources d’une organisation, soient uniquement utilisées dans le
cadre prévu.
- La confidentialité : les données ne doivent être visibles que pour les personnes
autorisées.
- L’authentification : consiste à assurer l’identité d’un utilisateur, c'est-à-dire garantir à

chacun des correspondants, que son partenaire est bien celui qu’il croit être.
- L’intégrité : il faut pouvoir garantir que les données protégées n’ont pas été modifiées par
une personne non autorisée. Le but étant de ne pas altérer les informations sensibles de
l’entreprise.
- La non-répudiation : il s’agit de garantir qu’aucun des correspondants ne pourra nier la
transaction effectuée.
- La disponibilité : les données doivent restées accessibles aux utilisateurs. C’est la

capacité à délivrer un service permanent à l’entreprise.
I.2.2.4. Principaux défauts de la sécurité informatique
Les défauts de sécurité d’un système d’information les plus souvent constatés sont :
 Installation des logiciels et matériels par défaut

 Mises à jour non effectuées.
 Mots de passe inexistants ou par défaut.
 Services inutiles conservés (NetBIOS…).
 Traces inexploitées.
 Pas de séparation des flux opérationnels des flux d’administration des systèmes.
 Télémaintenance sans contrôle fort.
 Procédures de sécurité obsolètes (périmés).
 Authentification faible.
I.3 Attaques informatiques
Une attaque est le résultat de l’exploitation d’une faille d’un système informatique (système
d’exploitation, logiciel, erreur de configuration, etc.) à des fins non connues par l’exploitant
du système et il est généralement préjudiciable.

24
I.3.1. Anatomie d’une attaque
Fréquemment appelés « les 5 P » dans la littérature, ces cinq verbes anglophones constituent le
squelette de toute attaque informatique : Probe, Penetrate, Persist, Propagate, Paralyze.
 Probe (Analyser) : Dans un premier temps, une personne mal intentionnée va chercher
les failles pour pénétrer le réseau.
 Penetrate (Pénétrer) : Une fois une ou plusieurs failles identifiées, le pirate va chercher à
les exploiter afin de pénétrer au sien du SI.
 Persist (Persister) : une fois le réseau infiltré, le pirate cherchera à y revenir facilement. Pour
cela, il installera par exemple des back doors. Cependant, en général, il corrigera la faille par
laquelle il s'est introduit afin de s'assurer qu'aucun autre pirate n'exploitera sa cible.
 Propagate (Propager) : Le réseau est infiltré, l'accès est facile. Le pirate pourra alors
explorer le réseau et trouver de nouvelles cibles qui l'intéresseraient.
 Paralyze (Paralyser) : Les cibles identifiées, le pirate va agir et nuire au sein du SI.
I.3.2. Cyber-attaques
Longtemps, les organismes étatiques se sont cantonnés à un rôle de veille, d'alerte, de recueil
et de renseignements. Aujourd'hui, un rôle défensif leur est officiellement assigné. Cela
signifie qu'ils doivent coordonner l'action des services de l'État pour la mise en œuvre de leur
cyber défense. On peut cependant imaginer qu'en cas d'attaque contre des infrastructures
vitales avec des conséquences humaines, un État pourrait considérer cela comme un acte de
guerre, et agir en conséquence : c'est-à-dire riposter. Cependant aucun État n'a, pour le
moment, révélé l'existence officielle d'un programme de cyber contre-attaque.
I.3.3. Différents types d’attaques
Il existe deux types d’attaques :
I.3.3.1. Attaques réseaux
Ce type d'attaque se base principalement sur des failles liées aux protocoles ou à leur
implémentation.
 Les techniques de scan : Le but des scans est de déterminer quels sont les ports ouverts,
et donc en déduire les services qui sont exécutés sur la machine cible. Il existe
unnombre important de techniques de scan. Idéalement, la meilleure technique de scan

25
est celle qui est la plus furtive afin de ne pas alerter les soupçons de la future victime.
Voici une description des techniques de scan les plus répandues :
o Le scan simple : aussi appelé le scan connect (), il consiste à établir une
connexion TCP complète sur une suite de ports. S'il arrive à se connecter, le
port est ouvert ; sinon, il est fermé. Cette méthode de scan est très facilement
détectable.
o Le scan furtif : aussi appelé scan SYN, il s'agit d'une amélioration du scan
simple. Ce scan essaie également de se connecter sur des ports donnés, mais il
n'établit pas complètement la connexion : pas de commande ACK
(acquittement) après avoir reçu l'accord de se connecter. Grâce à ceci, la
méthode est bien plus furtive que le scan normal.
o Les scans XMAS, NULL et FIN : se basent sur des détails de la RFC du
protocole TCP pour déterminer si un port est fermé ou non en fonction de la
réaction à certaines requêtes. Ces scans sont moins fiables que le scan SYN,
mais ils sont un peu plus furtifs. La différence entre ces trois types de scan se
situe au niveau des flags TCP utilisés lors de la requête.
o Le scan à l'aveugle : s'effectue via une machine intermédiaire et avec du

spoofing. Le système attaqué pense que le scan est réalisé par la machine
intermédiaire et non par le pirate.
o Le scan passif : est la méthode la plus furtive. Elle consiste à analyser les
champs d'entête des paquets (TTL, ToS, MSS…) et à les comparer avec une
base de signatures qui pourra déterminer les applications qui ont envoyé ces
paquets.
 IP Spoofing : Le spoofing consiste à se faire passer pour un autre système en falsifiant

son adresse IP. Le pirate commence par choisir le système qu’il veut attaquer.
Aprèsavoir obtenu le maximum de détails sur ce système cible, il détermine les
systèmes ou les adresses IP autorisés à se connecter au système cible. Le pirate ensuite
attaque le serveur cible en utilisant l’adresse IP falsifié.
 ARP Spoofing : son but est de rediriger le trafic d'une machine vers une autre. Grâce à
cette redirection, une personne mal intentionnée peut se faire passer pour une autre.
Deplus, le pirate peut router les paquets qu'il reçoit vers le véritable destinataire, ainsi
l'utilisateur usurpé ne se rendra compte de rien.
 DNS Spoofing : Son but est de fournir de fausses réponses aux requêtes DNS, c'est-à-dire
indiquer une fausse adresse IP pour un nom de domaine. C’est de rediriger, à leur insu,

26
des internautes vers des sites pirates. Grâce à cette fausse redirection, l'utilisateur peut
envoyer ses identifiants en toute confiance par exemple.
 Fragments attacks : le but de cette attaque est de passer outre les protections des
équipements de filtrage IP. Un pirate peut par exemple s'infiltrer dans un réseau
poureffectuer des attaques ou récupérer des informations confidentielles.
 TCP Hijacking : le but de cette attaque est de rediriger un flux TCP afin de pouvoir
outrepasser une protection par mot de passe. Le contrôle d'authentification s'effectuant
uniquement à l'ouverture de la session, un pirate réussissant cette attaque parvient à
prendre possession de la connexion pendant toute la durée de la session.
I.3.3.2. Attaques applicatives
Les attaques applicatives se basent sur des failles dans les programmes utilisés, ou encore des
erreurs de configuration.
 Les problèmes de configuration : Une mauvaise configuration d'un serveur peut

entraîner l'accès à des fichiers importants, ou mettant en jeu l'intégrité du système
d'exploitation. C'est pourquoi il est important de bien lire les documentations fournies par
les développeurs afin de ne pas créer de failles.
.
 Les bogues : Liés à un problème dans le code source, ils peuvent amener à l'exploitation
de failles.
.
 Les buffers overflows : Les buffers overflows, ou dépassement de la pile, sont une
catégorie de bogue particulière. Issus d'une erreur de programmation, ils permettent
l'exploitation d'un shellcode à distance. Ce shellcode permettra à une personne mal
intentionnée d'exécuter des commandes sur le système distant, pouvant aller jusqu'à sa
destruction.
 Les scripts : Principalement web, ils s'exécutent sur un serveur et renvoient un résultat au
client. Cependant, lorsqu'ils sont dynamiques, des failles peuvent apparaître si les entrées ne
sont pas correctement contrôlées.
 Les injections SQL : Tout comme les attaques de scripts, les injections SQL profitent
de paramètres d'entrée non vérifiés. Comme leur nom l'indique, le but des injections SQL
est d'injecter du code SQL dans une requête de base de données. Ainsi, il est possible de
récupérer des informations se trouvant dans la base ou encore de détruire des données.

27
 Man in the middle : cette attaque permet de détourner le trafic entre deux stations.
Imaginons un client C communiquant avec un serveur S. Un pirate peut détourner le
trafic du client en faisant passer les requêtes de C vers S par sa machine P, puis
transmettre les requêtes de P vers S. Et inversement pour les réponses de S vers C.
Totalement transparente pour le client, la machine P joue le rôle de proxy. Elle accédera
ainsi à toutes les communications et pourra en obtenir les informations sans que
l'utilisateur s'en rende compte.
I.4. Démarches pour anticiper et résoudre les problèmes
La variété et la disponibilité des outils d'attaques augmentent le risque des intrusions. Par
conséquent les administrateurs s'appuient sur diverses solutions dans le but de maintenir la
protection du réseau informatique. Voici quelques solutions proposées :
I.4.1. Les firewalls
Un pare-feu (Firewall) est un système physique ou logique qui inspecte les paquets entrants et
sortants du réseau afin d'autoriser ou d'interdire leur passage en se basant sur un ensemble de
règles appelées ACL. Il enregistre également les tentatives d’intrusions dans un journal
transmis aux administrateurs du réseau et permet de contrôler l’accès aux applications et
d’empêcher le détournement d’usage.
Figure II- 8 : Emplacement d’un firewall dans un réseau
I.4.2. Un serveur proxy (serveur mandataire)
Un proxy est un ensemble de processus permettant d’éliminer la connexion directe entre les
applications des clients et les serveurs. Les organisations utilisent les proxys pour permettre à
des machines de leur réseau d’utiliser Internet sans risque et sans que les utilisateurs externes
ne soient capables d’accéder à ce réseau.

28
Figure II- 9 : Emplacement d’un proxy dans un réseau
I.4.3. DMZ (Demilitarized zone)
Une DMZ (Demilitarized zone) est une zone tampon d'un réseau d'entreprise, située entre le
réseau local et Internet, derrière le pare-feu. Il s'agit d'un réseau intermédiaire regroupant des
serveurs publics (HTTP, DHCP, mails, DNS, etc.). Ces serveurs devront être accessibles depuis le
réseau interne de l’entreprise et, pour certains, depuis les réseaux externes. Le but est ainsi
d'éviter toute connexion directe au réseau interne.
Figure II- 10 : DMZ entre LAN et WAN
I.4.4. Antivirus
Les antivirus sont des programmes qui permettent de détecter la présence de virus sur un
ordinateur et de les supprimer. L'éradication d'un virus est le terme utilisé pour le nettoyage
d'un ordinateur. Il y a plusieurs méthodes d’éradications:
 Nettoyez le fichier infecté en supprimant le code malveillant.

29
 Retrait du fichier infecté entièrement.
 La mise en quarantaine le fichier infecté, qui consiste à le déplacer à un

emplacement où il ne peut être exécuté.
II- SYSTEMES DE DETECTION ET DE PREVENTION D’INTRUSIONS

II.1. Systèmes de détection d’intrusion (IDS)
II.1.1. Définition
Afin de détecter les attaques que peut subir un système, il est nécessaire d'avoir un logiciel
spécialisé dont le rôle serait de surveiller les données qui transitent sur ce système, et qui
serait capable de réagir si des données semblent suspectes. Plus communément appelés IDS
(Intrusion Detection Systems), les systèmes de détection d'intrusions conviennent
parfaitement pour réaliser cette tâche.
Un système de détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme
destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un
hôte).
Un IDS est un équipement permettant de surveiller l’activité d’un réseau ou d’un hôte donné.
Composé généralement de logiciel et éventuellement de matériel, ce système informatique a le
rôle de détecter toute tentative d’intrusion. Par définition, un IDS n’a pas de signal antiseptique
ou réactif dans la mesure où il n’empêche pas une intrusion de se produire. Il se contente juste de
faire une analyse de certaines informations en vue de détecter des activités malveillantes qui
seront notifiées aux responsables de la sécurité du système dans le plus bref délai possible. Cette
raison fait de la majorité des IDS des systèmes qui opèrent en temps réel pourtant, il y’a des IDS
qui réagissent en mettant fin à une connexion suspecte par exemple suite à la détection d’une
intrusion.
II.1.2. Principes de fonctionnement des IDS
II.1.2.1. Méthodes de détection d’intrusion
Généralement, dans les systèmes informatiques, il existe deux types d’approches pour la
détection d’intrusion : l’approche par scénario ou bien dite par signature basée sur un modèle
constitué des actions interdites contrairement à l’approche comportementale qui est basé sur
un modèle constitué des actions autorisées.
 Approche par scénario ou signature
Cette technique s’appuie sur la connaissance des techniques utilisées par les attaquants pour
déduire des scénarios typiques. Elle ne tient pas compte des actions passées de l’utilisateur et

30
utilise des signatures d’attaques existantes (ensemble de caractéristiques permettant
d’identifier une activité intrusive : une chaîne alphanumérique, une taille de paquet
inhabituelle, une trame formatée de manière suspecte, …)
Cette technique se base sur :
 La recherche de motifs (pattern matching) :
C’est la méthode la plus connue et la plus facile à comprendre. Elle se base sur la recherche
de motifs (chaînes de caractères ou suite d’octets) au sein du flux de données. L’IDS
comporte une base de signatures où chaque signature contient les protocoles et ports utilisés
par une attaque spécifique ainsi que le motif qui permettra de reconnaître les paquets
suspects.
De manière analogue, cette technique est également utilisée dans les anti-virus. En effet un
anti-virus ne peut reconnaître un virus que si ce dernier est reconnu dans sa base de signatures
virale, d'où la mise à jour régulière des anti-virus.
 Recherche de motifs dynamiques:
Le principe de cette méthode est le même que précédemment mais les signatures des attaques
Évoluent dynamiquement. L’IDS est de ce fait doté de fonctionnalités d’adaptation et
d’apprentissage.
 Analyse de protocoles
Cette méthode se base sur une vérification de la conformité des flux, ainsi que sur
l’observation des champs et paramètres suspects dans les paquets. L’analyse protocolaire est
souvent implémentée par un ensemble de préprocesseurs (programmes ou plug-in), où chaque
préprocesseur est chargé d’analyser un protocole particulier (FTP, HTTP, ICMP, ...). Du fait
de la présence de tous ces préprocesseurs, les performances dans un tel système s’en voient
fortement dégradées (occupation du processeur).
L’intérêt fort de l’analyse protocolaire est qu’elle permet de détecter des attaques inconnues,
contrairement au pattern matching qui doit connaître l’attaque pour pouvoir la détecter.
 Analyse heuristique et détection d’anomalies
Le but de cette méthode est, par une analyse intelligente, de détecter une activité suspecte ou
toute autre anomalie (une action qui viole la politique de sécurité définie dans l’IDS). Par
exemple : une analyse heuristique permet de générer une alarme quand le nombre de ping
vers un réseau ou hote est tres élevé ou incessant (Ping de la mort).
 L’approche comportementale (Anomaly Detection)

31
Cette technique consiste à détecter une intrusion en fonction du comportement passé de
l’utilisateur. Il faut préalablement dresser un profil utilisateur à partir de ses habitudes et
déclencher une alerte lorsque des événements hors profil se produisent. Cette technique peut
être appliquée non seulement à des utilisateurs mais aussi à des applications et services.
Plusieurs métriques (paramètres) sont possibles : la charge CPU, le volume de données
échangées, le temps de connexion sur des ressources, la répartition statistique des protocoles
et applications utilisés, les heures de connexion, ...
II.1.2.2. Architecture fonctionnelle des IDS
Figure II- 11 : Architecture fonctionnelle des IDS
 Capteur
Le capteur observe l’activité du système par le biais d’une source de donnée et fournit à
l’analyseur une séquence d’événements qui renseigne de l’évolution de l’état du système. Le
capteur peut se contenter de transmettre directement ces données brutes, mais en général un
prétraitement est effectué. Et pour cela on distingue trois types de capteurs en fonction des
sources de données utilisées pour observer l’activité du système : les capteurs système, les
capteurs réseau et les capteurs applicatifs.
 Analyseur
L’objectif de l’analyseur est de déterminer si le flux d’événements fourni par le capteur
contient des éléments caractéristiques d’une activité malveillante.
 Manager
Le manager collecte les alertes produites par le capteur, les met en forme et les présente à
l’opérateur1. Eventuellement, le manager est chargé de la réaction à adopter qui peut être :
 Isolement de l’attaque, qui a pour but de limiter les effets de l’attaque.

 Suppression d’attaque, qui tente d’arrêter l’attaque.
 Recouvrement, qui est l’étape de restauration du système dans un état sain.
 Diagnostic, qui est la phase d’identification du problème.

32
II.2. Différents types d’IDS
Les attaques utilisées par les pirates sont très variées, puisque certaines utilisent des failles
réseaux et d’autres des failles de programmation. C’est la raison pour laquelle la détection
d’intrusion doit se faire à plusieurs niveaux.
Donc, on distingue trois types d’IDS que nous détaillerons ci-dessous les caractéristiques
principales.
II.2.1. Systèmes de détection d’intrusion réseau (NIDS)
Les NIDS (Network IDS) sont des IDS utilisés pour protéger un réseau. Ils comportent
généralement une sonde (machine par exemple) qui écoute et surveille en temps réel tout le
trafic réseau, puis analyse et génère des alertes s’il détecte des intrusions ou des paquets
semblent dangereux
Figure II- 12 : Exemple de réseau NIDS
II.2.2. Systèmes de détection d’intrusion de type hôte (HIDS)
L’HIDS (Host Based IDS) surveille le trafic sur une seule machine. Un HIDS se base sur une
unique machine, n'analysant cette fois plus le trafic réseau, mais l'activité se passant sur cette
machine. Il analyse en temps réel les flux relatifs à une machine ainsi que les journaux. Il a
besoin d’un système sain pour vérifier l’intégrité des données. Si le système a été compromis
par un pirate, le HIDS ne sera plus efficace.

33
Figure II- 13 : Systèmes de détections d’intrusion de type hôte
II. 2.3. Systèmes de détection d’intrusion Hybrides
IDS hybrides rassemblent les caractéristiques des NIDS et HIDS. Ils permettent, de surveiller le
réseau et les terminaux. Les sondes sont placées en des points stratégiques, et agissent comme
NIDS et/ou HIDS suivant leurs emplacements. Toutes ces sondes remontent alors les alertes à
une machine qui va centraliser le tout, et lier les informations d’origines multiples. Ainsi, on
comprend que les IDS hybrides sont basés sur une architecture distribuée, ou chaque composant
unifie son format d’envoi. Cela permet de communiquer et d’extraire des alertes plus exactes.
Figure II- 14 : Systèmes de détection d’intrusion Hybride
II.2.4. Comparaison entre NIDS, HIDS et Systèmes hybrides
Avantages Inconvénients
NIDS - Les capteurs peuvent être bien - La probabilité de faux négatifs (attaques
sécurisés puisqu’ils se contentent non détectées) est élevée et il est difficile
d’observer le trafic. de contrôler le réseau entier.
- Détecter plus facilement les scans - Ils doivent principalement fonctionner de
grâce aux signatures. manière cryptée d’où une complication de

34
- Filtrage de trafic. l’analyse des paquets.
- Assurer la sécurité contre les - A l’opposé des IDS basés sur l’hôte, ils
attaques puisqu’il est invisible. ne voient pas les impacts d’une attaque.
HIDS - Découvrir plus facilement un - Ils ont moins de facilité à détecter les
Cheval de Troie puisque les scans.
informations et les possibilités sont - Ils sont plus vulnérables aux attaques de
très étendues. type DoS.
- Détecter des attaques impossibles - Ils consomment beaucoup de ressources
à détecter avec des IDS réseau CPU.
puisque le trafic est souvent crypté.
- Observer les activités sur l’hôte
avec précision.
Hybrides - moins de faux positifs. - taux élevé de faux positifs.
- meilleure corrélation (la
corrélation permet de générer de
nouvelles alertes à partir de celles
existantes).
- possibilité de réaction sur les
analyseurs.
Tableau II- 1 : Comparaison entre NIDS, HIDS et Systèmes hybrides

Source : Réalisation personnelle
II.3. Systèmes de prévention d’intrusion (IPS)
II.3.1. Définition
IPS est un autre concept qui a fait son apparition au début des années 2000 sous l’idée qu’un
système de détection d’intrusion peut certes détecter des attaques contre un réseau mais ne
peut empêcher l’intrusion. Cela a mené certaines entreprises utilisatrices à se poser la
question : pourquoi s’investir dans une solution de détection des intrusions si on ne peut
pas empêcher l’intrusion ? La réaction des fournisseurs a été rapide et c’est ainsi que le
concept IPS a vu le jour.
Un système de prévention d’intrusion est un ensemble de composants logiciels et/ou matériels

dont la fonction principale est d’empêcher toute activité suspecte détectée au sein d’un
système. En effet, l’IPS est un outil de protection et sécurité des systèmes d’information
contre les intrusions, similaire aux IDS, permettant de prendre des mesures afin de diminuer
les impacts d’une attaque. C’est un IDS actif, il empêche toute activité suspecte détectée au
sein d’un système.
II.3.2. Principe de fonctionnement d’un IPS

35
Le fonctionnement d’un IPS est similaire à celui d’un IDS. Il capture le trafic du réseau puis
l’analyse. Mais au lieu d’alerter l’utilisateur d’une intrusion ou d’une attaque, l’IPS bloque
directement les intrusions en supprimant les paquets illégitimes.
Pour informer l’utilisateur, l’IPS peut aussi remplir un fichier de journalisation qui contiendra
la liste des paquets supprimés et éventuellement un message indiquant la raison de cette
suppression.
Figure II- 15 : Architecture fonctionnelle des IPS
II.4. Différents types d’IPS
II.4.1. Systèmes de prévention d’intrusion réseau (NIPS)
Un NIPS est un logiciel ou matériel connecté directement à un segment du réseau.il a comme

rôle d'analyser tous les paquets circulant dans ce réseau. La principale différence entre un
NIDS et un NIPS tient principalement en deux caractéristiques : le positionnement en coupure
sur le réseau du NIPS et non plus seulement en écoute comme pour le NIDS et la possibilité
de bloquer immédiatement les intrusions et ce quel que soit le type de protocole de transport
utilisé et sans reconfiguration d’un équipement tierce. Ce qui induit que le NIPS est constitué
d’une technique de filtrage de paquets et de moyens de blocage.
Le NIPS combine les caractéristiques d’un IDS standard avec celles d’un firewall. On le
qualifie parfois de firewall à inspection en profondeur (deep inspection).
Comme avec un firewall, le NIPS a au minimum deux interfaces réseau, une interne et une
externe. Les paquets arrivent par une des interfaces et sont passés au moteur de détection.
L’IPS fonctionne pour le moment comme un IDS en déterminant si oui ou non le paquet est
malveillant. Cependant, en plus de déclencher une alerte dans le cas où il détecte un paquet
suspect, il rejettera le paquet et marquera cette session suspecte. Quand les paquets suivants de
cette session arriveront à l’IPS ils seront rejetés. Les NIPS sont déployés en ligne avec le segment
du réseau à protéger, du cout toutes les données qui circulent entre le segment surveillé et le reste
du réseau sont forcés de passer par le NIPS. Un NIPS déclenche des alarmes du type tel ou tel
trafic a été détecter en train d’essayer d’attaquer ce système et a été bloqué’.

36
II.4.2. Systèmes de prévention d’intrusion de type hôte (HIPS)
Les HIPS installé sur le système permettant de surveiller le poste de travail à travers
différentes techniques, ils surveillent les processus, les drivers, etc. En cas de détection de
processus suspect le HIPS peut bloquer les comportements anormaux tels que :
 Lecture / écriture des fichiers protégés.
 Comportement des certains applicatifs.
 Accès à des ports non autorisés.
 Tentative d’exploitation de débordement de pile (détection de Shellcode).
 Accès à certaines zones de la base de registre.
 Connexions suspectes.
II.4.3. Systèmes de prévention d’intrusion Kernel (KIPS)
Grâce à un KIPS, tout accès suspect peut être bloqué directement par le noyau, empêchant
ainsi toute modification dangereuse pour le système. Le KIPS peut reconnaître des motifs
caractéristiques du débordement de mémoire, et peut ainsi interdire l'exécution du code. Le
KIPS peut également interdire l'OS d'exécuter un appel système qui ouvrirait un Shell de
commandes. Puisqu’un KIPS analyse les appels systèmes, il ralentit l'exécution. C'est
pourquoi ce sont des solutions rarement utilisées sur des serveurs souvent sollicité.
II.5. Comparaison entre les IDS et les IPS

IDS IPS
HIDS HIPS
Avantages Avantages
 Alerte sur des changements au niveau  Assurer la protection contre les attaques
du système inconnues.
 Détection d’utilisation d’un système  Exige peut ou aucune mise à jour dans
violant la politique de sécurité de une période annuelle.
l’entreprise.  Empêcher les attaques de s’exécuter sur
Inconvénients détecter les résultats d’une attaque
 Un cout élevé de déploiement et de la réussi
 Une détection réussie vient d’une Inconvénients
tentative réussie d’attaques  Le temps de déploiement peut être long
afin d’équiper chaque serveur et/ou post
de travail.
 Le produit nécessite un ajustement
après l’installation initial pour être outil
de sécurité fonctionnel.
NIDS NIPS
Avantages : Avantages :
 Capable de détecter des anomalies  Peut arrêter la propagation des vers si

37
même sur les systèmes qui emploient déployé correctement sans arrêter le
le cryptage. trafic.
 L’observation du trafic avec un  Protège contre les nouvelles attaques
système basé sur des règles peut avant que le code d’exploit soit sorti.
aider à imposer une utilisation du  Réduire le cout de la réponse aux
réseau en respectant la politique de incidents.
l’entreprise. Inconvénients :
Inconvénients :  Le cout du déploiement NIPS au sein
 À moins qu’un plan de réponse ne d’un réseau peut être important.
soit conçu et mis en place, l’IDS  Un NIPS nécessite toujours des mises à
fournit peu ou aucune sécurité. jour de sécurité pour être vraiment
 Un déploiement réussi demande un efficace.
important ajustement de l’IDS pour
réduire au minimum les faux positifs.
Tableau II-2 : Comparaison entre les IDS et les IPS
II.6. Inconvénients des IDS/IPS
Les systèmes de détection et de prévention d’intrusions représentent des moyens nécessaires

de la sécurité des systèmes informatiques. Mais ils restent insuffisants tant qu’il représente
des inconvénients.
II.6.1. Besoin de connaissances en sécurité
La mise en place de sonde sécurité fait appel à de bonnes connaissances en sécurité.

L'installation en elle-même des logiciels est à la portée de n'importe quel informaticien. En
revanche l'exploitation des remontées d'alertes nécessite des connaissances plus pointues. Les
interfaces fournissent beaucoup d'informations, et permettent des tris facilitant beaucoup le
travail, mais l'intervention humaine est toujours indispensable.
 A partir des remontées d'alertes, quelle mesure prendre ?

 Est-il utile de relever des alertes dont toutes les machines sont protégées ?
 Et Comment distinguer un faux-positif d'un véritable incident de sécurité ?
Toutes ces questions et bien d’autres doivent se poser au responsable de sécurité en charge
d’un IDS/IPS. La configuration, et l'administration des IDS/IPS nécessitent beaucoup de
temps, et de connaissances. C'est un outil d'aide, qui n'est en aucun cas complètement
automatisé.

38
II.6.2. Faux positifs et faux négatifs
La détection d’anomalie est capable de détecter les attaques inconnues ; toutefois, elle n’est
pas aussi efficace que la détection d’abus pour les attaques connues. Notamment, un fort taux
de faux positifs peut être rencontré si le paramétrage de l’IDS n’a pas été réalisé avec soin.
II.6.3. Pollution / Surcharge
Les IDS peuvent être pollués ou surchargés, par exemple par la génération d’un trafic important
(le plus difficile et lourd possible à analyser). Une quantité importante d'attaques peut
également être envoyée afin de surcharger les alertes de l'IDS. Des conséquences possibles de
cette surcharge peuvent être la saturation de ressources (disque, CPU, mémoire), la perte de
paquets, le déni de service…
II.6.4. Consommation de ressources
La détection d'intrusion est excessivement gourmande en ressources. En effet un système

NIDS/NIPS doit générer des journaux de comptes rendus d’activité anormale ou douteuse sur
le réseau.
II.6.5. Perte de paquets (limitation des performances)
Les vitesses de transmission sont parfois telles qu'elles dépassent largement la vitesse
d'écriture des disques durs, ou même la vitesse de traitement des processeurs. Il n'est donc pas
rare que des paquets ne soient pas traités par l’IDS, et que certains d’entre eux soient
néanmoins reçus par la machine destinataire.
II.7. Quelques exemples de système de détection et de prévention

d’intrusion
Face aux menaces d’intrusions, il existe plusieurs solutions concernant le choix d’un IDS et
d’un IPS. Il existe des solutions commerciales aussi bien qu’Open Source. Les solutions
Open Source n’ont rien n’à envier aux solutions commerciales. Mieux les solutions
commerciales se basent même sur les Open Source pour améliorer leur produit. La différence
notoire entre ces deux solutions se trouve essentiellement sur le déploiement.
Pour les solutions commerciales nous avons entre autres :
Pour les solutions open source, il y'a une diversité fonctionnant aussi bien sous Windows que
sur Linux. Nous avons entre autres :
 Snort
Snort est un NIDS/NIPS provenant du monde Open Source. Avec plus de 2 millions de
téléchargements, il s'est imposé comme le système de détection d'intrusions le plus utilisé. Sa

39
version commerciale, plus complète en fonction de monitoring, lui a donné bonne réputation
auprès des entreprises.
Snort est capable d'effectuer une analyse du trafic réseau en temps réel et est doté de
différentes technologies de détection d'intrusions telles que l'analyse protocolaire et le pattern
matching. Snort peut détecter de nombreux types d'attaques : buffer overflows, scans de ports
furtifs, attaques CGI, sondes SMB, tentatives de fingerprinting de système d'exploitation…
Snort est doté d'un langage de règles permettant de décrire le trafic qui doit être accepté ou
collecté. De plus, son moteur de détection utilise une architecture modulaire de plugins.
Notons que Snort dispose de trois modes de fonctionnement : sniffer de paquets, logger de
paquets et système de détection/prévention d'intrusions. Nous ne nous intéresserons qu'à ce
dernier mode.
 SnortSam (NIPS)
SnortSam est un plugin Open-Source et multiplateforme pour Snort. Il permet de bloquer

automatiquement des adresses IP lorsqu'il détecte une tentative d'intrusion. Le blocage se fait
en communiquant avec un firewall matériel (ex. : Cisco Pix) ou logiciel (ex. : PacketFilter,
IPtables…).
SnortSam est construit autour d'une architecture client / serveur (Snort / SnortSam)
permettant de mettre en place le NIPS de manière distribuée. De plus, pour des raisons de
sécurité, toutes les communications réalisées entre Snort et l'agent de SnortSam sont cryptées
à l'aide de l'algorithme TwoFish.
Parmi les fonctionnalités intéressantes, on notera la présence d'une Whitelist, c'est-à-dire une liste
d'adresses IP qui ne peut pas être bloqué. Cela représente une sécurité pour éviter un blocage
d'adresses sensibles (routeur, serveur Intranet…) en cas de spoofing de la part du pirate.
Le plugin SnortSam est également doté d'un système de log et de notification par email des
événements.
La mise en place d'actions de blocage est très simple. Il suffit de modifier les règles Snort
pour signaler que la détection de certaines signatures doit provoquer un blocage. Pour cela, le
mot-clé fwsam a été rajouté. Il permet notamment de spécifier une durée de blocage. Cette
option de durée peut être intéressante lors d'un blocage après des tentatives répétées
d'authentification avec un mot de passe erroné.
 SnortInline
À l'instar de SnortSam, Snort-Inline est un NIPS basé sur Snort. Cependant, il ne s'agit pas
d'un plugin mais d'une version modifiée de Snort.

40
Son mode de capture est totalement différent de celui de Snort : les paquets ne sont plus
capturés grâce à la célèbre bibliothèque libpcap, mais via libipq, qui permet d'accepter des
paquets provenant du firewall iptables.
Contrairement à SnortSam qui communique avec les firewalls (distants ou non), Snort- Inline
est un complément au firewall : il doit être installé sur la même machine. Les paquets
acceptés seront ensuite transmis sur le réseau.
Snort-Inline est très peu utilisé, surtout depuis l'introduction des actions de blocage directement
dans Snort. Il est néanmoins très connu en raison de son importance dans le projet Honeynet.
 Suricata
Le Moteur Suricata est un moteur de détection et de prévention des intrusions Open Source de
nouvelle génération. Ce moteur n'est pas destiné à simplement remplacer ou imiter les outils
existants dans l'industrie, mais apportera de nouvelles idées et technologies sur le terrain.
 OSSEC
OSSEC est un HIDS Open Source. Développé initialement dans le but d'analyser quelques
fichiers journaux de différents serveurs, il est devenu aujourd'hui bien plus puissant qu'un
simple analyseur de logs.
Capable d'analyser différents formats de journalisation tels que ceux d'Apache, syslog, Snort,
et intégrant un analyseur d'intégrité système, il est devenu aujourd'hui un logiciel de détection
d'intrusions à part entière.
Ses fonctions lui permettent de détecter des anomalies apparues sur le système. Par exemple,
de multiples erreurs 404 dans les logs du serveur web Apache, la présence d'un rootkit caché
dans un binaire système, ou encore des essais d'envoi de mail par relay smtp.
En réalité, grâce à un système de règles entièrement paramétrable via des fichiers XML, OSSEC
est capable de détecter n'importe quelle anomalie. De plus, il est doté d'un système de « réponse
active » qui permet à une commande d’être exécutée lors de la détection d’une anomalie.
 SamHain
De la même façon qu’OSSEC, Samhain est un système de détection d'intrusions Open Source. Il
offre néanmoins des fonctions supplémentaires comme le stockage des alertes d'intrusions dans un
système de base de données, le chiffrement des communications client/serveur ainsi qu'une
console de visualisation des alertes disponible via un navigateur web.
 Bro

41
Bro est un NIDS Open Source, développé essentiellement par une équipe du Lawrence
Berkeley National Laboratory.
Bro se base sur un ensemble de règles décrivant des signatures d'attaques ou des activités
inhabituelles.
Le comportement après détection de trafic suspect peut être paramétré : simple log, alerte en
temps réel à l'administrateur ou exécuter un programme (par exemple pour reconfigurer un
routeur).
Initialement, le projet Bro a été créé dans un but de recherche pour la détection d'intrusions et
l'analyse de trafic réseau. De ce fait, ce NIDS n'est pas destiné aux personnes (physiques ou
morales) recherchant une solution prête à l'emploi, mais plutôt à des administrateurs Unix
chevronnés, désirant configurer au maximum leur système de détection.
Parmi les fonctionnalités intéressantes, on peut noter :
 Un langage de script propre à Bro permettant d'écrire les règles de détection et d'action
 L’utilisation des expressions régulières pour exprimer les motifs des signatures ;
 La possibilité d'exécuter des programmes tiers après détection d'intrusion permet de
réaliser de nombreux types d'actions
 Une compatibilité avec les règles de Snort, grâce à un convertisseur nommé snort2bro
 La possibilité d'utiliser GnuPG (Gnu Privacy Gard) pour crypter et signer les rapports
d'alertes. Cela permet d'empêcher l'espionnage ou la falsification des logs par un pirate
 L’envoi d'un rapport périodique des alertes par mail.
III- ETUDE DU SYSTEME DE DETECTION ET DE PREVENTION

D’INTRUSION SNORT
III.1. Présentation générale de Snort
En anglais, Snort signifie « renifler ». Snort est un système de détection d'intrusion libre (ou
NIDS) publié sous licence GNU GPL. À l'origine écrit par Martin Roesch, il appartient
actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de
supports sont vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est
soutenu par une importante communauté qui contribue à son succès. On l'utilise en général
pour détecter une variété d'attaques et de scans tels que des débordements de tampons, des
scans de ports furtifs, des attaques CGI, des scans SMB, des tentatives d'identification d'OS
grâce à l’analyse des signatures et des réponses caractéristiques (fingerprinting), et beaucoup
d’autres choses encore
III.2. Architecture de Snort

42
L’architecture de SNORT est modulaire, elle est composée de :
 Décodeur de paquet : en anglais (Packet Decoder) il capture les paquets de données

des interfaces réseaux, les prépare afin d’être prétraitées ou envoyées au moteur de détection.
 Pré processeur : en anglais (Pre processor) ce sont des composants utilisés avec
SNORT afin d’améliorer les possibilités d’analyse, et de recomposition du trafic capturé. Ils
reçoivent les paquets, les retraitent et les envoient au moteur de détection.
 Moteur de détection : en anglais (Detection Engine) c’est le composant le plus

important de SNORT. Son rôle consiste à détecter les éventuelles intrusions qui existent dans
un paquet. Pour se faire, le moteur de recherche se base sur les règles de SNORT. En effet, ce
moteur consulte ces règles et les compare une à une avec le paquet de données. S’il y a
conformité, le détecteur l’enregistre dans le fichier log et/ou génère une alerte. Sinon le
paquet est laissé tomber.
 Système d’alerte et d’enregistrement des logs : en anglais (Logging and Alerting

System) il permet de générer les alertes et les messages log suivant ce que le moteur de
détection a trouvé dans le paquet analysé.
 Output modules : en anglais (plugins) permet de traiter l’intrusion générée par le

système d’alertes et de notation de plusieurs manières : envoie vers un fichier log génère un
message d’alerte vers un serveur syslog, ou stocke cette intrusion dans une base de données
comme MySQL ou Oracle.

43
Figure II- 16 : Architecture de snort
III.3. Fonctionnement de Snort
Snort peut être configuré pour fonctionner en trois modes :
 Le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le réseau
et les affiche d’une façon continue sur l’écran.
 Le mode « packet logger » : dans ce mode SNORT journalise le trafic réseau dans
des répertoires sur le disque.
 Le mode détecteur d’intrusions réseau (NIDS) : dans ce mode, SNORT analyse le trafic
du réseau, compare ce trafic à des règles déjà définies par l’utilisateur et établi des actions à
exécuter.
III.4. Positionnement de Snort dans le réseau
L’emplacement physique de la sonde SNORT sur le réseau a un impact considérable sur son
efficacité.
Dans le cas d’une architecture classique, composée d’un Firewall et d’une DMZ, trois
positions sont généralement envisageables :
Avant le Firewall ou le routeur filtrant : dans cette position, la sonde occupe une place de
premier choix dans la détection des attaques de sources extérieures visant l’entreprise.
SNORT pourra alors analyser le trafic qui sera éventuellement bloqué par le Firewall. Les
deux inconvénients de cette position du NIDS sont :
 Le risque engendré par un trafic très important qui pourrait entraîner une perte
de fiabilité
 Étant situé hors du domaine de protection du firewall, le NIDS est alors exposé
à d'éventuelles attaques pouvant le rendre inefficace.
Sur la DMZ : dans cette position, la sonde peut détecter tout le trafic filtré par le Firewall et
qui a atteint la zone DMZ. Cette position de la sonde permet de surveiller les attaques dirigées
vers les différents serveurs de l’entreprise accessible de l’extérieur.
Sur le réseau interne : le positionnement du NIDS à cet endroit nous permet d’observer les
tentatives d’intrusions parvenues à l’intérieur du réseau d’entreprise ainsi que les tentatives
d’attaques à partir de l'intérieur. Dans le cas d’entreprise utilisant largement l'outil
informatique pour la gestion de leur activité ou de réseaux fournissant un accès à des

44
personnes peu soucieuses de la sécurité (réseaux d’écoles et d’universités), cette position peut
revêtir un intérêt primordial.
Figure II- 17: Positionnement de snort dans le réseau
III.5. Les règles de Snort
Les règles de SNORT sont composées de deux parties distinctes : le header et les options.
Le header permet de spécifier le type d’alerte à générer (alert, log et pass) et d’indiquer les
champs de base nécessaires au filtrage : le protocole ainsi que les adresses IP et ports sources
et destination.
Les options, spécifiées entre parenthèses, permettent d’affiner l’analyse, en décomposant la

signature en différentes valeurs à observer parmi certains champs du header ou parmi les
données.
Figure II- 18 : Les règles Snort

45
TROISIEME PARTIE : IMPLEMENTATION DE L’IDS
SNORT

46
I-INSTALLATION ET CONFIGURATION DE L’IDS SNORT
Pour l’implémentation de l’IDS nous avons préféré travailler dans un environnement Linux,
plus précisément : Ubuntu Sever 16.04, car il nous fournit un espace de travail unique et nous
assure une fiabilité de résultats incompatible.
I.1. Installation de Snort
Pour initialiser SNORT sous UBUNTU on peut utiliser la commande aptget install pour
télécharger et installer les paquets nécessaires automatiquement.
L’installation des paquets nécessaires est souvent délicate. Car ces paquets dépendent souvent
aussi d’autres paquets à installer.
Raison pour laquelle avant d’installer ces paquets nous allons faire une mise à jour système
pour s’assurer qu’on a au moins des outils de base pour démarrer.
Pour cela on ouvre un terminal et on se connecte en tant que root et on exécute les
commandes suivantes :
#apt-get update
#apt-get upgrade
Installation des parquets nécessaires
- apache2 pour le serveur web
#aptget install apache2
- MySQLserver pour la base de données
#aptget install mysqlserver
- php5 pour le script orienté serveur
#aptget install php5
- php5MySQL pour la configuration du php avec mysql
#aptget install php5mysql
- php5gd pour la librairie graphique
#aptget install php5gd
- PEAR pour 'PHP Extension' et 'Application Repository'
AVALLA Tychique &OBALE Joyau 47

#aptget install phppear
- Iptables est un parefeu sous linux
#aptget install iptablesdev
- Clamav Antivirus
#aptget install clamav
L'installation automatique du snortmysql est très simple avec la commande :
#aptget install snortmysql
L’installation manuelle est comme suit :
- Outils de compilation :
#aptget install buildessential
- Libnet est une interface de programmation générique réseau qui fournit un accès à
plusieurs protocoles.
#aptget install libnet1dev
- Libpcap est une librairie pour capturer des paquets réseaux :
#aptget install libpcap0.8dev
- Pcre est une librairie de fonctions utilisant la même syntaxe et sémantique que Perl 5.
#aptget install libpcre3dev
- Librairies de développement MySQL et fichiers header :
#aptget install libmysqlclient12dev
- CHECKINSTALL pour installer ou désinstaller facilement les programmes depuis la

source :
#aptget install checkinstall

Figure III- 1 : Installation des paquets nécessaire
Après l’installation des paquets, nous allons procéder à l’installation de snort. Pour ce fait
nous allons taper les commandes suivantes :
Snort utilise la bibliothèque d'acquisition de données (DAQ) pour extraire les appels vers les
bibliothèques de capture de paquets. DAQ est téléchargé et installé sur le site Web Snort :
#cd ~/snort_src
#wget https://snort.org/downloads/snort/daq-2.0.6.tar.gz
#tar -xvzf daq-2.0.6.tar.gz
#cd daq-2.0.6
#. /configure
#make
#sudo make install
Figure III- 2: Téléchargement de la bibliothèque d'acquisition DAQ
Maintenant, nous sommes prêts à installer Snort à partir de la source.
#wget https://snort.org/downloads/snort/snort-2.9.12.tar.gz
Figure III- 3: Téléchargement de Snort
Après le téléchargement du Snort 2.9.12, on crée deux dossiers, un pour stocker les fichiers de
configuration et l'autre pour stocker les règles Snort.
#mkdir /etc/snort
#mkdir /etc/snort/rules
Ensuite on copie les fichiers de configuration de Snort dans le dossier /etc/snort/
#cp snort-2.9.12/etc/* /etc/snort/
Les deux fichiers de configuration dans notre dossier /etc/snort/rules

#cp snort-2.9.12/etc/classification.config /etc/snort/rules/
#cp snort-2.9.12/etc/reference.config /etc/snort/rules/
- classification.config: définit des URLs pour les références trouvées dans les règles.
- reference.config: inclus de l'information pour la prioritisation des règles.

On peut créer un utilisateur appelé snort pour lancer Snort :
#useradd snort -d /var/log/snort -s /bin/false -c SNORT_IDS
Un dossier de log appartenant à l'utilisateur snort :
#mkdir /var/log/snort
#chown R snort /var/log/snort
Ensuite :
#tar xzf snort-2.9.12 (décompression du paquet)
#cd snort-2.9.12
#. /configure --withmysql --enableinline --enableclamav --enable

dynamicplugins
Figure III- 4: Décompression du paquet Snort
#make : (compilation du paquet)

Figure III- 5 : Compilation du paquet Snort
#make install (exécution de l’installation)
Figure III- 6 : Installation de snort
I.2. Configuration de la base de données MYSQL
Premièrement, il faut créer la base de données MySQL et les tables pour recevoir les logs de
Snort:
#mysql -u root -p
>create database snort;
Comme il est dangereux d'accéder à la base de données avec l'utilisateur root, il est nécessaire
de créer un utilisateur avec des permissions sur la base de données snort uniquement :

#grant all on snort. * to snortuser@localhost identified by 'pwd'
Puis on recharge les privilèges MySQL :
#flush privileges
>exit ;
Maintenant, nous devons créer les tables dans la base de données snort :
Par chance, les tables sont déjà créées et nous devons juste les trouver et les installer dans la
base de données :
#mysql -u root -p
snort < schemas/create_mysql
Figure III- 7 : Création de la base de données Snort
I.3. Configuration du snort pour SQL
Nous devons dévier les logs de Snort dans la base de données :
Il est juste nécessaire de configurer le login et mot de passe pour accéder à la base de données
snort. Dans le fichier /etc/snort/snort.conf, nous devons ajouter ou modifier les lignes entre
(#DBSTART#) et (#DBEND#) :
output database: log, mysql, user=snortuser password=pwd
dbname=snort host=localhost
Toujours dans le même fichier, il faut décommenter les lignes suivantes :

ruletype redalert
type alert
output alert_syslog: LOG_AUTH LOG ALERT
output database: log, mysql, user=snortuser password=pwd

dbname=snort host=localhost
Figure III- 8: Configuration de snort pour SQL
Configuration de Snort est maintenant terminée !
Pour lancer snort :
#snort -u snort -c /etc/snort/snort.conf
Cela veut dire que snort est démarré avec l'utilisateur snort et va charger la configuration
stockée dans le fichier /etc/snort/snort.conf. Pour des raisons de sécurité, il est toujours
conseillé de démarrer des programmes sans l'utilisateur root.
I.4. Installation et configuration de l'interface graphique ACID
Après le téléchargement des paquets suivants :

- Jpraph1.26.tar.gz :
JpGraph est un Object orienté vers la création de la bibliothèque graphique pour PHP, La
bibliothèque est entièrement écrite en PHP et prête à être utilisée dans des scripts PHP.
- ABOBD5.tar.gz :
Abobd est une bibliothèque d'abstraction de base de données pour PHP et Python sur la base
du même concept que Microsoft ActiveX Data Object.
L'avantage est que la base de données peut être modifiée sans réécrit à chaque appel à
l'application.
ACID0.9.6b23.tar.gz :
ACID est un 'PHPanalyze' moteur de recherche et de processus d'une base de données des
incidents de sécurité générés par les services de sécurité liés à des logiciels tels que les NIDS
Snort.
Création du dossier snort :
#mkdir /var/www/snort
Figure III- 9: Installation de l'interface graphique ACID
Installation Jpgraph
#cp jpgraph1.26.tar.gz /var/www/snort/
#tar xzf/var/www/snort/jpgraph1.26.tar.gz
# rm rf/var/www/snort/jpgraph1.26.tar.gz
Installation ADODB5

#cp adodb5.tar.gz /var/www/snort/
#tar xzf /var/www/snort/adodb5.tar.gz
#rm rf /var/www/snort/adodb5.tar.gz
Installation d'ACID
#mkdir /var/www/snort
#cp ACID0.9.6b23.tar.gz /var/www/snort/
#tar xzf /var/www/snort/ACID0.9.6b23.tar.gz
#rm rf /var/www/snort/ACID0.9.6b23.tar.gz
Configuration d'ACID
Maintenant il faut éditer le fichier acid_conf.php sous /var/www/snort/ACID/acid_conf.php

comme suit :

Figure III- 10: Configuration de l'interface graphique ACID5
I.5. Mise à jour du SNORT
Une fois Snort installé, il est nécessaire d'installer les règles de signature Snort et de les
maintenir à jour. Il existe un script perl qui va nous donner une aide précieuse pour le
téléchargement et l'installation automatique des mises à jour : Oinkmaster.
#aptget install oinkmaster
Pour télécharger les règles Snort, nous avons besoin de créer un compte gratuit sur le site
WEB de Snort.
Les règles Snort sont produites par Sourcefire et on peut les obtenir gratuitement quelques
jours après leur sortie avec l'abonnement payant.
Une fois connecté avec notre compte Snort, on peut obtenir un code en bas de page :

Figure III- 11: Code de mise à jour Snort
Notre code de mise à jour est :

0d2ad60d59b19c8936535e5553ef25ee79cd3715
Nous avons besoin de ce code dans le fichier /etc/oinkmaster.conf comme

suit : Il faut ajouter la ligne suivante dans le fichier /etc/oinkmaster.conf :
url=http://www.snort.org/pubbin/oinkmaster.cgi/ 0d2ad60d59b19c8936535e5553ef25ee79cd
3715/snortrulessnapshot2.9.tar.gz

Ceci va télécharger le fichier snortrulessnapshot2.9.tar.gz.
Figure III- 12: Insertion du code dans le fichier snort.conf
On peut créer un dossier de sauvegarde :
#mkdir /etc/snort/backup
Nous devons être attentifs de ne pas lancer oinkmaster en tant que root particulièrement si
nous ne sommes pas dans un environnement de test.
Ajoutons donc un utilisateur appelé oinkmaster.
#useradd oinkmaster
Ensuite, on change les permissions pour permettre à l'utilisateur oinkmaster de lancer le

script perl oinkmaster:
#chown R oinkmaster /etc/snort/backup
#chown R oinkmaster /etc/snort/rules
#chown R oinkmaster /var/run/oinkmaster
AVALLA Tychique & OBALE Joyau 58

#chmod 644 /etc/snort/snort.conf
Maintenant, il est temps de tester le script perl oinkmaster avec l'utilisateur oinkmaster.
#su oinkmaster
oinkmaster#oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1
La dernière instruction ci-dessus signifie que nous lançons le script perl oinkmaster, les
règles sont placées dans le dossier /etc/snort/rules et s’il y a des changements dans les
nouvelles règles, les règles courantes vont être sauvegardées dans le dossier
/etc/snort/backup.
Figure III- 13: Téléchargement des règles Snort

Figure III- 14: Téléchargement des règles snort
On peut programmer la mise à jour pour être lancer chaque jour à 00 :30
automatiquement avec la commande :
#crontab -e -u oinkmaster
30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null

2>&1

Figure III- 15 : Programmation de la mise à jour des règles
Mode détection d’intrusion (IDS)
Apres le téléchargement des règles de snort, nous allons démarrer la détection d’intrusion
avec la commande : snort -A console -i enp0s3 -c /etc/snort/snort.conf

Figure III- 16: Démarrage de l’IDS Snort
L’option ‘-c fichier ‘ : Active Snort en mode `Détection d’intrusion` On donne en paramètre le
fichier de configuration des règles de détection. Par défaut, les alertes sont mémorisées dans le
fichier alert. Mais avec la commande précédente, les alertes vont afficher dans la console.
II- TEST DU SYSTEME DE DETECTION D’INTRUSION
Pour tester l’efficacité de notre IDS, nous allons effectuer quelques tests d’intrusions. Pour
effectuer ces tests nous allons utiliser les outils tels que Nmap et LOIC.
II.1. Présentation de l’outil d’attaque
II.1.1. Nmap
Nmap est un scanner de ports libre créé par Fyodor et distribué par Insecure.org. Il est
conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des
informations sur le système d'exploitation d'un ordinateur distant. Ce logiciel est devenu
une référence pour les

administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la
sécurité d'un réseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris.
Figure III- 17: Interface Nmap
II.2. Tests de l’IDS snort avec les outils d’attaques
Pour tester l’IDS Snort nous allons utiliser l’outil d’attaque Nmap qui va scanner les ports
du serveur. Pour ce fait, nous allons démarrer la détection d’intrusion sur le serveur avec
la commande :
snort -A console -i enp0s3 -c /etc/snort/snort.conf

Figure III- 18: Démarrage de l'IDS Snort pour le test
Après avoir démarré la détection sur le serveur, nous irons sur la machine pirate pour
démarrer le scan port avec Nmap.
Figure III-19: Démarrage du scan de port avec Nmap

Figure III-20: Démarrage du scan de port avec Nmap
Après le démarrage du scan de port, on ira sur le serveur pour voir la réaction de l’IDS
Snort.
Figure III- 21 : Détection du Scan par l'IDS Snort

65
Figure III- 22: Détection du Scan par l'IDS Snort
Figure III-23: Détection du Scan par l'IDS Snort
Nous remarquons bien que l’IDS Snort à détecter le scan de port fait avec Nmap.

66
CONCLUSION
Ce stage dans l’entreprise CITECH nous a permis de progresser au niveau professionnel et personnel.
Ce fut aussi l’occasion de mettre en pratique les connaissances que nous avons acquises au sein de la Haute
Ecole de Commerce et de Management.
En effet, la sécurité des réseaux informatiques demeure encore et toujours un sujet très sensible voire
complexe, pour les acteurs du monde informatique, car les variables qui tournent autour de ce sujet sont
souvent difficiles à maitriser. Même si l’évolution de la technologie a permis d’améliorer les mécanismes
de sécurité dans les réseaux informatiques, il est toujours difficile voire impossible de garantir une
sécurité à 100%. Ce qui fait que la sécurité dans le monde des réseaux sera toujours un bras de fer entre
les innovateurs (chercheurs, experts …) et les hackers. À toute innovation, les pirates tenteront de la
contourner.
La mise en place de ce système dans le réseau informatique de l’entreprise CITECH, a été pour nous,
une grande percée et un long apprentissage dans l’aspect sécurité réseau. Il nous a permis aussi de
nous familiariser avec l’environnement Linux et de découvrir les systèmes de détection et de
prévention d’intrusions. Nous avons étudié les fonctionnements d’IDS et d’IPS de type réseau, ainsi
nous avons pris comme exemple l’IDS Snort sous l’environnement Ubuntu qui est un très bon outil
pour la détection et la prévention d’intrusion, il effectue en temps réel des analyses du trafic et
journalise (log) les paquets IP transitant sur le réseau.
Le résultat des tests de notre système est satisfaisant, mais cela ne veut pas dire que notre système est
parfaitement efficace, car aucun système de sécurité informatique permettant de garantir une sécurité
fiable à 100%.
En perspective, nous proposons d’améliorer les performances de notre IDS à travers l’exploitation
des fichiers logs générés par SNORT en alertant l'administrateur réseau à chaque tentative d'intrusion
de haut niveau par un mail ou un SMS.
TABLE DES MATIERES

SOMMAIRE.........................................................................................................................................II
DEDICACES.......................................................................................................................................III
REMERCIEMENTS...........................................................................................................................IV
LISTE DES FIGURES.........................................................................................................................V
LISTE DES TABLEAUX..................................................................................................................VII
LISTE DES SIGLES ET ABBREVIATIONS.................................................................................VIII
RESUME.............................................................................................................................................IX
ABSTRACT.........................................................................................................................................X
INTRODUCTION.................................................................................................................................1
PREMIERE PARTIE: PRESENTATION DU CADRE D’ETUDE.....................................................3
I-PRESENTATION DU LIEU DE STAGE......................................................................................4
I.1- HISTORIQUE.........................................................................................................................4
I.2- SITUATION GEOGRAPHIQUE...............................................................................................5
I.3- OBJECTIFS................................................................................................................................5
I.4- ORGANIGRAMME...................................................................................................................6
II- DEROULEMENT DU STAGE....................................................................................................8
II.1- Activités effectuées................................................................................................................8
DEUXIEME PARTIE: ETUDE THEORIQUE ET CONCEPTUELLE DU THEME.......................14
I- GENERALITE SUR LES RESEAUX ET LA SECURITE INFORMATIQUE.........................15
I.1. Les réseaux informatiques.....................................................................................................15
I.2. La sécurité informatique........................................................................................................22
I.3 Attaques informatiques...........................................................................................................24
I.4. Démarches pour anticiper et résoudre les problèmes............................................................27
II- SYSTEMES DE DETECTION ET DE PREVENTION D’INTRUSIONS...............................29
II.1. Systèmes de détection d’intrusion (IDS)..............................................................................29
II.2. Différents types d’IDS..........................................................................................................32
II.3. Systèmes de prévention d’intrusion (IPS)............................................................................35
II.4. Différents types d’IPS..........................................................................................................35
II.5. Comparaison entre les IDS et les IPS...................................................................................37
II.6. Inconvénients des IDS/IPS...................................................................................................38
II.7. Quelques exemples de système de détection et de prévention d’intrusion..........................39
III- ETUDE DU SYSTEME DE DETECTION ET DE PREVENTION D’INTRUSION SNORT42
III.1. Présentation générale de Snort............................................................................................42
III.2. Architecture de Snort..........................................................................................................42
III.3. Fonctionnement de Snort....................................................................................................43

III.4. Positionnement de Snort dans le réseau..............................................................................43
III.5. Les règles de Snort..............................................................................................................44
TROISIEME PARTIE : IMPLEMENTATION DE L’IDS SNORT..................................................46
I-INSTALLATION ET CONFIGURATION DE L’IDS SNORT..................................................47
I.1. Installation de Snort...............................................................................................................47
I.2. Configuration de la base de données MYSQL......................................................................52
I.3. Configuration du snort pour SQL..........................................................................................53
I.4. Installation et configuration de l'interface graphique ACID..................................................54
I.5. Mise à jour du SNORT..........................................................................................................56
II- TEST DU SYSTEME DE DETECTION D’INTRUSION.....................................................62
II.1. Présentation de l’outil d’attaque...........................................................................................63
II.2. Tests de l’IDS snort avec les outils d’attaques.....................................................................63
CONCLUSION...................................................................................................................................67
Documents utilisés...............................................................................................................................70
Webographie........................................................................................................................................70
Documents utilisés

 Mémoire de Master en Informatique de Saci Souhila Batouche Sonia
 Mémoire de licence en informatique de DABOUR Imane HADJI Imène
 Installation et Configuration d’un système de Détection d’intrusion (IDS).pdf
 Mise en place d’une sonde SNORT.pdf
 Mémoire de licence en informatique de Charles Fiacre KPAMEGAN et Enagnon
Lucrèce WAMASSE
Webographie
Site de snort : www.snort.org visité le 15 septembre à 13h28
http://www.sublimerobots.com visité le 18 décembre 2018 à 18h30
Mémoire Online : www.memoireonline.com visité le 05 septembre à 11h28
http://jacquesgoueth.blogspot.com visité le 29 Octobre 2018 à 14h36
https://doc.ubuntu-fr.org visité le 14 novembre 2018 à 17h57
https://www.hackingarticles.in visité le 27 décembre 2018 à 19h05
https://www.supinfo.com/fr visité le 13 novembre 2018 à 09h05

Mémoire de Fin de Formation (AVALLA Tychique Et OBALE Joyau) - Copie

Transféré par

Droits d'auteur :

Formats disponibles

Mémoire de Fin de Formation (AVALLA Tychique Et OBALE Joyau) - Copie

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mémoire de Fin de Formation (AVALLA Tychique Et OBALE Joyau) - Copie

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE DU BENIN

MINITERE DE L’ENSEIGNEMENT SUPERIEURE ET DE LA

HAUTE ECOLE DE COMMERCE ET DE MANAGEMENT

MEMOIRE DE FIN DE FORMATION POUR L’OBTENTION

ETUDE ET MISE EN PLACE D’UN SYSTEME DE DETECTION

Sous la direction de :

Maître de stage : Directeur de mémoire :

Année Académique : 2018-2019

AVALLA Tychique et OBALE Joyau II

AVALLA Tychique et OBALE Joyau III

AVALLA Tychique et OBALE Joyau IV

AVALLA Tychique et OBALE Joyau

AVALLA Tychique et OBALE Joyau

LISTE DES SIGLES ET ABBREVIATIONS

AVALLA Tychique et OBALE Joyau

AVALLA Tychique et OBALE Joyau

AVALLA Tychique et OBALE Joyau

AVALLA Tychique et OBALE Joyau 1

AVALLA Tychique et OBALE Joyau

AVALLA Tychique & OBALE Joyau

I.2- SITUATION GEOGRAPHIQUE

Figure I-1 : Situation géographique

 Installer un laboratoire électronique et informatique moderne, bien équipé où on

AVALLA Tychique & OBALE Joyau

Services Service Service Service

Figure I-2 : Organigramme de CITECH

La Direction générale adjointe

AVALLA Tychique & OBALE Joyau

Le Service Electrotechnique et Telecom :

Sous l’autorité du directeur technique, il a pour tâches de :

Sous l’autorité du directeur technique, il a pour tâches :

Le Service Electricité et Electrotechnique :

Sous l’autorité du Directeur technique, il a pour mission de :

Le Services Comptabilité et Relations Commerciales :

AVALLA Tychique & OBALE Joyau

 Equipement d’une installation photovoltaïque

AVALLA Tychique & OBALE Joyau

Figure I- 4 : image de régulation de charge

Figure I-5 : image de Batterie solaire

AVALLA Tychique & OBALE Joyau

Figure I-7 : image de câble solaire

Schéma d’une installation photovoltaïque autonome

Figure I-8 : Schéma d’une installation photovoltaïque autonome

AVALLA Tychique & OBALE Joyau

 Equipements d’une installation d’antenne parabolique

AVALLA Tychique & OBALE Joyau

Figure I-9 : Image d’un câble coaxial

Paramétrage (Les Coordonnées Satellitaires)

 démonter les unités centrales

AVALLA Tychique & OBALE Joyau

Quant à la maintenance curative, nous avons eu à diagnostiquer et à réparer les ordinateurs

Dans la vidéo surveillance, nous avons eu à prendre connaissance de ce qu’est la Vidéo

- sertir des câbles RG58 et RG59 aves les connecteurs BNC ;

AVALLA Tychique & OBALE Joyau

DEUXIEME PARTIE: ETUDE THEORIQUE ET

AVALLA Tychique & OBALE Joyau

I.1.1. Qu’est-ce qu’un réseau informatique ?

Un réseau en général est le résultat de la connexion de plusieurs machines informatiques entre

I.1.2. Types de réseau informatiques

Il existe différents types de réseaux informatiques selon l’étendue géographique :