Le fait de s'introduire et de se maintenir dans un système informatique sans autorisation est un délit puni par la loi. En cas d'incident, il ne faut pas hésiter à porter plainte.
Pour éviter d'être dans cette situation, il est possible de prendre un minimum de précautions classiques.

Les attaques

Le cheval de Troie est un petit programme malveillant d’apparence anodine (jeu, petit utilitaire...) qui, une fois installé dans un ordinateur, peut causer des dégâts comme un virus classique, ou permettre de prendre le contrôle à distance de la machine.
La backdoor (porte arrière) est un point d’entrée dans un programme ou un système, plus ou moins secret. C’est généralement une sécurité pour débloquer un code d’accès perdu ou pour contrôler les données lors du debuggage.
Malheureusement, c’est aussi l’un des points d’entrée des hackers, lorsqu’ils en découvrent l’existence. Le hacker peut également créer lui-même cette porte pour l'utiliser dans un deuxième temps.
Le sniffing : c'est écouter une ligne de transmission par laquelle transitent des données pour les récupérer à la volée. Cette technique peut-être utilisée en interne pour le débuggage ou de manière abusive par un pirate cherchant, par exemple, à se procurer des mots de passe.
Le spoofing : c'est une technique d’intrusion consistant à envoyer à un serveur d’une entreprise, des messages (paquets) semblant provenir d'une adresse IP connue par le firewall (adresse interne existante autorisée). Pour que la communication ne s’établisse pas avec la machine possédant réellement cette adresse, le hacker doit dans le même temps rendre cette machine injoignable pour avoir le temps d’intercepter les codes de communication et établir la liaison pirate.
L'attaque par rebond est menée via un autre ordinateur qui se trouve involontairement complice et qui expédie les messages d'attaque à la victime, masquant ainsi l'identité du véritable agresseur.
Dans l'attaque par le milieu le hacker se place entre deux ordinateurs en communication et se fait passer pour un afin d'obtenir le mot de passe de l'autre. Dès lors, il peut se retourner vers le premier avec un mot de passe valide et l'attaquer réellement.
Le déni de service est une attaque cherchant à rendre un ordinateur hors service en le submergeant de trafic inutile. Par exemple, un serveur entièrement occupé à répondre à des fausses demandes de connexion.
Plusieurs machines peuvent être à l'origine de cette attaque (généralement à l’insu de leur propriétaire).
Dans le cas des réseaux Wi-Fi, le war-driving consiste à circuler dans la ville avec un ordinateur portable ou un PDA équipés d'une carte Wi-Fi pour repérer et pénétrer dans les réseaux locaux mal protégés.
Il existe de nombreux logiciels conçus plus à cet effet qu'à un usage normal d'analyse de son propre réseau.

Prévention des attaques

Indispensable :

• disposer d’une bonne sauvegarde de toutes ses données.
• faire un audit des portes inutilement ouvertes (modems installés à demeure, logiciels de transmissions permanents…).
• lorsqu’ils existent, vérifier que les comptes d’administration ont des mots de passe sécurisés.
• supprimer les comptes utilisateurs non utilisés (notamment à la suite de chaque départ).
• désactiver les services non utilisés sur les machines (serveur Internet par exemple).
• supprimer les partages de fichiers non nécessaires

Souhaitable

• mettre à jour systèmes et logiciels (serveurs et serveurs Web principalement) à l’aide des patchs de sécurité officiels fournis pour fermer les brèches logicielles découvertes.
• installer un FireWall (boîtier électronique ou logiciel), qui sert d’intermédiaire lors des transmissions et bloque ainsi les attaques directes.
• structurer les réseaux en zones étanches par activité et sensibilité (VLAN). Instituer un système de mots de passe. Bien isoler les serveurs Internet.
• s’abonner aux newsletters de sécurité des différents fournisseurs.

Plus sophistiqué

• créer une zone tampon (DMZ) pour isoler fortement les serveurs Internet de l’informatique interne
• faire établir un audit de sécurité (analyses des points faibles, tentatives d’intrusion volontaires…).

Firewall, proxy, DMZ

Le Firewall est un ordinateur, un boîtier ou même un logiciel qui sert à protéger et isoler les réseaux les uns des autres, notamment pour protéger des pirates pénétrant par les connexions Internet. Il assure généralement les fonctions suivantes :

• examen détaillé de chaque paquet reçu,
• filtrage de contenu d'applications,
• authentification/autorisation d'applications,
• cryptage/décryptage,
• traduction d'adresses de réseau ou NAT (Network Address Translation), qui rend les utilisateurs non visibles de l’extérieur en leur attribuant une adresse IP différente pour l'extérieur.

La DMZ (DeMilitarized Zone) désigne une zone de sécurité située entre l’accès à Internet et le réseau interne de l’entreprise et dans laquelle on peut placer les serveurs Web accessibles depuis l’extérieur. Un firewall isole cette zone du réseau interne qui bénéficie ainsi d’une sécurité supérieure aux systèmes les plus exposés.
Dans la pratique, les boîtiers firewall disposent parfois d’une sortie DMZ pour connecter les serveurs Web sans autres connexions complexes.

Le proxy est un dispositif (ordinateur, logiciel...) qui stocke les pages Internet les plus demandées pour accélérer le trafic (cache). En s’interposant entre l’utilisateur et le réseau Internet, le proxy peut aussi servir de filtre de sécurité (firewall) et interdire certains types de malveillances, comme la prise de contrôle à distance de l’ordinateur client.

Autres protections

Un IDS (Intrusion Detection System) est un dispositif de sécurité détectant les tentatives d’intrusion ou les événements suspects similaires sur un système informatique.
Ce type de produit est principalement proposé par Cisco et ISS. Il peut s’agir d’un logiciel ou d’un boîtier externe (appliance).
Un HIDS (Host based IDS) surveille les intrusions sur un serveur,
un NIDS (Network based IDS) surveille l'activité des machines sur le réseau en capturant les trames échangées.

Organismes de sécurité

Un CERT (Computer Emergency Response Team ) est une organisation d’administrateurs systèmes qui se charge de recenser les failles logicielles et de les publier.
Il existe une petite centaine de CERT au monde, dont 3 en France :

• CERTA (administrations)
• CERT-RENATER (recherche et éducation
• CERT-IST (Industrie, Services, Tertiaire)

Le FIRST (Forum for Incident Response and Security Teams) se charge de diffuser la liste des CERT.