1. A propos du cours

1. Auteur : Prof. YENDE R. G.
2. Type : Support de cours universitaire spécialisé / Document PDF technique sur les aspects offensifs de la sécurité
3. Langue : Français
4. Licence : Document déposé dans l'archive ouverte HAL (cel-01965300v1), accessible librement pour un usage académique et de recherche.

2. Prérequis

1. Bonne connaissance de l'architecture des systèmes d'exploitation (Windows, Linux).
2. Bases solides en programmation (C, C++, Python ou assembleur) et en algorithmique.
3. Compréhension des réseaux informatiques et des protocoles de communication.
4. Notions de base en cryptographie (chiffrement, hachage).

3. Publique cible

Ce cours s'adresse aux étudiants avancés en informatique (Master 2, Doctorat) se spécialisant en sécurité offensive (analyse de malwares, forensic, tests d'intrusion). Il vise également les analystes en sécurité (SOC, CERT), les experts en forensic numérique et les développeurs de solutions de sécurité qui doivent comprendre en profondeur le fonctionnement des menaces pour concevoir des défenses efficaces.

4. Outils matériels et logiciels

4.1 Outils matériels

1. Un ordinateur dédié ou un environnement virtuel isolé (sandbox) pour l'analyse de codes malveillants sans risque de contamination.
2. Matériel réseau pour l'analyse de trafic (carte réseau en mode promiscuous).

4.2 Outils logiciels

1. Outils d'analyse statique et dynamique : Désassembleurs (IDA Pro, Ghidra), débogueurs (OllyDbg, x64dbg), analyseurs de paquets (Wireshark).
2. Environnements de sandboxing (Cuckoo Sandbox, VMware Workstation avec isolation).
3. Outils de forensic (Autopsy, FTK Imager) et de récupération de données.
4. Logiciels de cryptographie pour les exercices pratiques.

5. Champs d'applications

1. Analyse de Malwares (Malware Analysis) : Reverse engineering de virus, vers, chevaux de Troie pour en comprendre le comportement et créer des signatures de détection.
2. Réponse aux Incidents de Sécurité (CSIRT) : Investigation technique avancée après une intrusion.
3. Développement d'Antivirus et d'EDR : Conception de mécanismes de détection et de prévention basés sur une connaissance approfondie des techniques d'attaque.
4. Tests d'Intrusion (Pentest) Avancés : Utilisation et compréhension de techniques de persistance et d'élévation de privilèges.
5. Recherche en Sécurité : Étude des nouvelles techniques de furtivité et d'exploitation.

6. Courte description

Ce cours technique plonge au cœur de la sécurité offensive en analysant en détail les malwares avancés (vers, rootkits), les techniques de dissimulation (nids, obfuscation) et leurs contre-mesures. Il associe des fondements cryptographiques à la compréhension des mécanismes d'infection, de propagation et de persistance, formant des experts capables d'analyser et de neutraliser des menaces complexes.

7. Longue description du cours

Ce support de cours du Prof. YENDE se positionne dans le domaine technique et opérationnel de la sécurité informatique offensive et défensive. Il adopte une approche pragmatique et détaillée pour comprendre l'"anatomie" des cyber-menaces, en partant du principe que pour se défendre efficacement, il faut comprendre comment attaquer. Le cours est structuré en modules couvrant les menaces logicielles, les techniques de furtivité et les fondements cryptographiques des attaques.

Module 1 : Taxonomie et Analyse des Logiciels Malveillants (Malwares)

Ce module constitue le socle du cours. Il propose une classification détaillée et technique des malwares :

• Virus : Fonctionnement, méthodes d'infection de fichiers (parasitique, compagnon), virus polymorphes et métamorphiques qui modifient leur code pour éviter la détection.
• Vers informatiques (Worms) : Analyse des mécanismes de propagation autonome à travers les réseaux (exploitation de vulnérabilités, emails, partages réseau). Étude de cas célèbres (Morris, Conficker).
• Chevaux de Troie (Trojans) : Dissimulation sous une apparence légitime, fonctions backdoor, vol d'informations (keyloggers, screen grabbers).
• Logiciels Espions (Spyware) et Publiciels Intrusifs (Adware).
• Ransomwares : Principes de cryptographie utilisés pour le chiffrement des fichiers, analyse des schémas de paiement (cryptomonnaies) et des mécanismes de déchiffrement.
• Botnets : Architecture client-serveur ou pair-à-pair des réseaux de machines zombies, protocoles de commande et contrôle (C&C).

Module 2 : Menaces Persistantes et Furtives : Rootkits et Techniques de Dissimulation

Ce module aborde les menaces les plus sophistiquées, capables de se cacher au plus profond du système :

• Rootkits : Définition et objectif (maintenir un accès privilégié et caché). Classification par niveau :
  • Rootkits en mode utilisateur : Hook de fonctions API, injection de DLL.
  • Rootkits en mode noyau (Kernel) : Modification des tables de fonctions système (SSDT), manipulation directe d'objets noyau. Impact profond et grande difficulté de détection.
  • Rootkits hyperviseurs (Virtual Machine Based) : Installation sous le système d'exploitation, contrôle total et invisibilité parfaite pour l'OS hôte.
  • Rootkits matériels (Firmware) : Infection du BIOS/UEFI ou d'autres firmware, persistance extrême.
• Techniques des "Nids" (ou techniques de niche) : Ce cours explore probablement des méthodes spécifiques de dissimulation de code ou de données au sein du système, des processus légitimes ou du réseau, pour éviter la détection par les solutions de sécurité.
• Techniques d'Obfuscation et d'Anti-Debugging : Méthodes utilisées par les malwares pour rendre leur code illisible (chiffrement, packing) et empêcher l'analyse dynamique (détection de débogueurs, code polymorphe).

Module 3 : Cryptographie Appliquée aux Attaques et à la Défense

Ce module établit le lien crucial entre la théorie cryptographique et son utilisation pratique dans les cyber-attaques :

• Cryptographie utilisée par les attaquants : Comment les ransomwares utilisent le chiffrement asymétrique (RSA) pour verrouiller les fichiers. Comment les botnets utilisent le chiffrement pour sécuriser leurs canaux de C&C.
• Attaques sur les systèmes cryptographiques : Présentation des attaques par force brute, par dictionnaire, et des attaques plus sophistiquées sur des implémentations faibles (attaques par canaux auxiliaires).
• Fonctions de hachage et leur rôle : Création d'empreintes pour vérifier l'intégrité des fichiers, mais aussi utilisation par les malwares pour identifier des cibles ou éviter les analyses basées sur le hachage (en modifiant légèrement leur code).
• Cryptographie défensive : Comment utiliser le chiffrement pour protéger les données sensibles (disques, communications) et authentifier les logiciels (signatures numériques).

Module 4 : Méthodologies de Défense et d'Analyse

Enfin, le cours présente les outils et méthodologies pour contrer ces menaces :

• Méthodes de détection : Détection basée sur la signature (antivirus) et ses limites face aux malwares inconnus. Détection basée sur le comportement (analyse heuristique, monitoring des appels système). Détection basée sur le matériel (Technologies TPM, Secure Boot).
• Analyse de malware en pratique : Différence entre analyse statique (étude du code sans l'exécuter) et analyse dynamique (exécution en environnement contrôlé - sandbox - et observation du comportement).
• Techniques de nettoyage et d'éradication : Méthodes pour supprimer les rootkits persistants, restauration des systèmes.
• Bonnes pratiques de durcissement (Hardening) : Configuration sécurisée des systèmes pour réduire la surface d'attaque.

En synthèse, ce cours est un manuel de référence technique pour ceux qui veulent aller au-delà des concepts généraux. En démontant les mécanismes internes des malwares et des rootkits, il fournit aux étudiants et professionnels les connaissances nécessaires pour mener des analyses approfondies, développer des outils de détection de nouvelle génération et concevoir des architectures résilientes face aux menaces persistantes avancées (APT).

Voir ou télécharger le document sur le site d’origine

Ce document est hébergé par une source externe. Nous ne revendiquons aucun droit sur son contenu. Pour toute demande de retrait, veuillez contacter l’auteur ou l’hébergeur officiel.