II.1.2. Différents types d'IDS

Il en existe trois sortes qui sont les suivants :

? IDS basé sur l'hôte

? IDS basé sur le réseau ? IDS hybrides

II.1.3. IDS basé sur l'hôte

Qu'on appelle HIDS (Host Intrusion Détection System), c'est un système qui analyse les informations qui concerne l'hôte. Ces informations sont puisées par ce dernier dans les logs et les traces d'audit du système d'exploitation, lorsqu'il y'a une activité ou information anormales, l'administrateur peut être avertit par ce HIDS.

Il est à noter que ce type d'IDS a ses avantages ainsi que ses inconvénients. Ce type d'IDS offre une surveillance précise car grâce aux informations que nous trouvons dans les logs ou les traces d'audit du système d'exploitation, nous pouvons facilement détecter une anomalie et prendre des mesures, nous pouvons également optimiser le système en fonction des observations. Un autre avantage d'un HIDS, c'est qu'il est capable de détecter une attaque qu'un NIDS ne peut pas détecter car lorsque l'attaque est cryptée c'est impossible qu'elle soit détectée par ce dernier.

Pour ce qui est des inconvénients, les HIDS ont une taille des fichiers de rapport d'alertes très consistante qui peut atteindre des mégaoctets ce qui rend l'hôte

³ N. Baudoin et M. Karel, NT Réseaux, IDS ET IPS, inédit 2003/2004, p8.

11

moins performant du fait que le CPU dévient gourmand dans le traitement des données.

Ce type d'IDS, on place sur des machines sensibles ou celles qui hébergent des informations critiques de l'entreprise.

II.1.4. IDS basé sur le réseau

Le rôle essentiel d'un IDS réseau est l'analyse et l'interprétation des paquets circulant sur ce réseau⁴. Des capteurs sont placés sur le réseau à des endroits stratégiques et génèrent les informations à la console sécurisée qui les analyse. Pour la configuration des cartes réseaux de ces capteurs, ces deux cartes réseaux, l'une est configurée en mode furtif et l'autre de façon à se connecter à la console sécurisée. Le mode furtif permet au NIDS d'être invisible aux yeux des autres machines et ça leur permet de ne pas être attaqué et de ne pas savoir qu'un IDS est placé sur le réseau.

Leur carte réseau est configurées en mode « promiscues », c'est-à-dire le mode dans lequel la carte réseau lit l'ensemble du trafic, de plus aucune adresse IP n'est configurée⁵. Ce n'est pas n'importe où, où nous devons placer les capteurs pour un NIDS, comme dit, ils doivent être placés à des endroits très stratégiques que l'on vous fera voir lorsqu'on parlera de l'emplacement d'un IDS dans la suite étant donné que notre attention première sera fixée sur le NIDS, comme nous parlerons de la sécurité du réseau.

II.1.5. Les IDS hybrides

Comme l'indique le nom, ce type d'IDS est à la fois HIDS (Host IDS) et NIDS (Network IDS) c'est-à-dire qu'il rassemble ces deux fonctionnalités, ils gèrent le trafic sur le réseau et /ou également sur l'hôte.

4 N. Baudoin et M. Karel, NT Réseaux, IDS ET IPS, inédit 2003/2004, p10. ⁵N. Baudoin et M. Karel, idem.

12

II.1.6. Comparaison entre les différents IDS6

Avantages

Inconvénients

> -moins de faux positifs.

> -meilleure corrélation (la corrélation

> Permet de générer de nouvelles alertes

> À partir de celles existantes).

> possibilité de réaction sur les analyseurs.

Tableau 1: Comparaison IDS et IPS

6 B. Keltouma et B. Ouarda, travail de fin de cycle, 2015-2016, P35.

13

II.1.7. Architecture fonctionnelle d'un IDS

Dans son fonctionnement, pour arriver à détection une intrusion, les IDS sont découpés en trois grandes parties : le capteur (la capture), l'analyseur (les signatures) et le manager (les alertes).

Figure 1:L'architecture fonctionnelle d'un IDS

a. La capture

Grâce aux capteurs, le système récolte les informations des trafics sur le réseau et le fourni à l'analyseur. Avant de le fournir à ce dernier, ces informations sont soumises à un prétraitement c'est-à-dire un filtre BPF (Berkeley Paquet Filter) leur est appliqué. Ce filtre correspond à l'affinage des informations que l'IDS cherche à récupérer.

b. Les signatures

C'est ici que l'on détermine si le NIDS est efficace ou pas. Comparativement à un bon antivirus il doit être capable de détecter les signatures d'attaques. L'analyseur permet de trouver les activités anormales dans le flux du réseau.

c. Les alertes

L'étape où l'on informe ou le système informe à l'administrateur de l'attaque que subie le réseau et ainsi il pourra prendre des mesures, soit c'est limité les effets de l'attaque, tente de l'arrêter, restauré le système ou identifier le problème.

14

II.2. Présentation d'un IPS

IPS veut dire « Intrusion prévention system » en français système de prévention d'intrusion, ça permet d'intercepter l'attaque avant qu'il n'atteigne la cible.

Comme pour les IDS, nous avons aussi trois types d'IPS :

? Les HIPS (Host IPS)

? Les NIPS (Network IPS) ? Le KIPS (Kernel IPS)

Pareillement aux HIDS, les HIPS surveillent ou interceptent les menaces dirigées vers l'hôte. En d'autres termes les HIPS préviennent les attaques dirigées vers l'hôte.

Les NIPS s'occupent de prévenir les attaques vers le réseau, ce qui permet aux NIPS de donner l'alerte, c'est les activités qu'un utilisateur effectue sur le réseau, une fois qu'il y'a une activité anormale, le système prévient l'administrateur.

Les KIPS s'exécute sur le noyau d'une machine pour bloquer toute activité suspecte empêchant toute modification du système. Mais ils sont moins utilisés pour leur ralentissement de l'exécution.

II.2.1. Limites IPS et architecture fonctionnelle

Le système de prévention d'intrusion présente en effet quelques limites. L'une d'elle est la mise en place délicate, lorsqu'il y'a une fausse alerte en cas de faux positif, un système équipé d'un IPS peut bloquer tout le réseau.

Le fonctionnement d'un IPS est similaire à celle d'un IDS, en ce sens qu'il capture aussi le trafic transitant par le réseau et l'analyse. Mais au lieu d'informer l'administrateur, il bloque les paquets malicieux. Pour que l'opérateur soit informé. L'IPS fait un journal des paquets supprimés et donne la raison de cette suppression.

15

II.2.2. Différence entre IDS et IPS

Tableau 2: Différences entre IDS et IPS

II.2.3. Méthodes de détection d'intrusion

De tous les deux systèmes IPS et IDS ça utilisent deux modes ou méthodes pour la détection d'intrusion : méthode de détection par anomalie et méthode de détection par signature.

a) Méthode de détection par anomalie

Pour parvenir à détecter l'attaque, le système se base sur le comportement normal de l'utilisateur sur l'hôte ou le réseau, une fois qu'il détecte des anomalies, il déclenche une alerte. C'est est envoyée à l'administrateur afin de bloquer l'attaque. Ces anomalies ou ces activités hors profil peuvent être une charge CPU (les processus à traiter deviennent importantes, colossaux); utilisations des applications ; les horaires de connexion, ...

b) Méthode de détection par signature

Avec cette méthode, le système se base sur les signatures d'attaques qui se trouvent déjà inscrites dans la base de données, lorsqu'une activité circulant dans le réseau est répertoriée dans cette base de données, directement l'alerte est déclenchée par le système. Mais comme la technologie évolue du jour au lendemain, les hackers non plus ne se lassent pas, ils développent eux aussi des moyens d'attaquer le système, alors il est bien plus important de mettre à jour chaque fois la

16

base de données de signatures pour permettre à ce que le système détecte les attaques.

II.2.4. Efficacité d'un système de détection d'intrusion

? Pour que nous puissions dire que le système est efficace, il doit répondre à certains critères : Exactitude : il doit être précis dans la détermination des attaques (pas de faux positif)

? Performance : une fois qu'il y'a intrusion, le système doit réagir (détection en temps réel)

? Rapidité : la rapidité doit se voir dans le délai entre la détection et l'alerte, ça doit être rapide pour permettre à l'opérateur de sécurité de réagir.

? Tolérance aux pannes : il doit être résistant aux attaques

? Complétude : le système doit être capable de détecter toutes les attaques.

II.2.5. Avantages et désavantages d'un IDS et IPS

Tableau 3: Avantages et désavantages IDS et IPS

II.2.6. Différence entre IPS et pare feu

Pour différencier un IPS d'un pare feu, nous pouvons dire qu'un IPS est un système qui intercepte une activité anormale (attaque) en se basant sur la base de données de signatures pour le bloquer afin qu'il n'atteigne pas la cible. Tandis qu'un pare feu c'est un système qui filtre le paquet qui circule sur le réseau et juge si le paquet doit passer ou pas.

⁷ KASONGO OLUWA, Mise en place d'un système de présentation d'intrusion sous Nagios, Mémoire, UACC-Likasi, 2018

⁸ Ibidem

⁹ Idem

17

Une autre différence, ce que le pare feu n'arrive à qu'à la couche 4 depuis la couche 1 du modèle OSI, ce qui ne suffit pas pour bloquer une intrusion lorsque c'est la couche applicative qui est visée. L'IPS peut donc palier parce qu'il arrive jusqu'à la couche application et donc il surveille l'intégralité des flux. 8

II.2.7. Emplacement d'un IPS/IDS

L'emplacement d'un IDS/IPS dépend des informations que nous voulons analyser ou surveiller. Il peut être placé entre un pare feu et le réseau internet comme ça c'est facile pour l'administrateur de savoir si le pare feu a été mal configuré, parce qu'étant un filtreur des paquets, il peut faire passer des attaques à cause de sa mauvaise configuration. 9

Un système de détection peut être aussi placé dans une DMZ (Zone Démilitarisée : zone isolée qui est constituée des équipements contenant des informations sensibles comme le serveur de base de données et autre), un IDS placé dans cette zone peut bloquer les attaques, les détecter et signaler l'administrateur pour qu'il prenne des mesures.

Nous pouvons aussi placer après le pare feu. Un capteur NIDS placé à cet endroit détecte les intrusions que celui-ci (pare feu) n'a pas pu bloquer (stopper).

II.3. Logiciel de détection d'intrusion

Il en existe plusieurs, mais nous en citerons que quelques-uns :

? SNORT : le plus connu qui intègre parfois les deux fonctionnalités NIDS et HIDS crée en 1998. Il fonctionne sous Linux, Solaris, MAS OS... caractérisé par sa performance, sa rapidité. Il est orienté IP (c'est-à-dire il se base sur les adresses IP)

? KALI-LINIX : Le plus connu qui fait la détection et prévention d'intrusion, il fonctionne sous Windows et linux.

? Nessus professionnel : fonctionnant sous Windows et linux, Nessus est un outil de sécurité informatique. Il signale les faiblesses potentielles a avéré sur

18

les machines testées¹⁰. Il inclut quelques signatures ou attaques comme le déni de service contre la pile TCP/IP, attaque permettant la prise de contrôle de la machine, ...

? Forefront TMG : c'est une passerelle web sécurisée dans laquelle nous pouvons configurer plusieurs services liés à la sécurité comme : un pare feu, le VPN (Virtual Privat Network), le filtrage des URL (accès ou refus à certains types de sites), ...

? Citrix netscaler : qui est un pare feu d'application web protégeant les applications et les sites web des attaques connues et inconnues y compris celles qui visent la couche applicative.

Les stratégies de groupe où nous trouvons des restrictions permettant de créer des mesures de sécurité que nous avons cité dans notre introduction.

10 www.wikipedia.org/wiki/nessus (logiciel).

19

CHAPITRE DEUXIEME

PRESENTATION DU DOMAINE D'ETUDE

I. PRÉSENTATION DU GOUVERNORAT DE LA PROVINCE DU

LUALABA

I.1. INTRODUCTION

Pour le bon fonctionnement d'un réseau informatique, la mise en place d'un système de détection et prévention d'intrusion en effet ; il permet de surveiller le réseau, de détecter les éventuelles intrusions, et d'alerter sur le dysfonctionnement du système informatique.

Dans ce chapitre, nous présenterons, d'abord, la structure d'accueil à savoir le Gouvernorat de la province du Lualaba ainsi que ses domaines d'intervention. Ensuite, nous donnerons ensuite l'étude de l'existant concernant le parc informatique du Gouvernorat du Lualaba. Enfin, nous poserons aux critiques liées au système d'information utilisé et nous proposerons une solution de la prévention et la détection d'intrusion plus adéquate.

I.2. PRESENTATION DE L'ORGANISATION

La Province de Lualaba : Le découpage ou la réorganisation administrative de la Province du Katanga selon la constitution de la 3e république.

La Province de LUALABA, Chef-lieu et la plus grande ville : Kolwezi, Superficie : 213 Km2 Constitue des communes de Dilala et Manika et des Territoires de : Lubudi, Mutshatsha, Kapanga, Dilolo, Sandoa.

Compte au total 11 sièges à la députation nationale et à la députation provinciale 24 sièges et 4 sièges au Sénat.

Composé sociologiquement de ; shokwe, Ruund, Sanga, Minungu, Dembo, Luvale, Luena, Yeke et Luba et ayant comme autorité établit par l'Etat son excellence Gouverneur Richard MUYEJ MANGEZ Mans.¹¹

¹¹ http://cccrdc.org/fr/index.php/fr/?option=com content&view=article&id=262/le24/08/2021

20

I.3. HISTORIQUE

La ville fut créée en 1937 pour abriter le siège des mines de l'ouest de la société belge Union minière du haut Katanga (UMHT). Kolwezi se développa sous forme de quartiers éparpillés, comme d'autres villes de type ségrégatif au haut-Katanga et en Afrique australe coloniale. Avec un centre décisionnel et résidentiel de cadres européens, au sud-est le centre coutumier, pour la population locale et plusieurs cités planifiées pour la population ouvrière proche des carrières et usines de UMHK. Presque quatre cinquièmes de territoire municipal se trouvaient alors au sein des concessions de la compagnie.

Après que le Katanga eut déclaré son indépendance par rapport à la république du Congo en 1960, des rebelles ont, à plusieurs reprises, tenté de s'émanciper de l'autorité de l'état central du Congo, rebaptisé à l'époque république du zaïre.

En 1978, les évènements tragiques de la ville minière de Kolwezi résultaient d'une rébellion de plus, cette fois contre le régime dictatorial du Marechal MOBUTU installé à des milliers de kilomètres du Katanga, dans le Bas-Congo, dans l'ancienne Léopoldville rebaptisée Kinshasa la source de tout ça c'est l'épuration de projets créée par KYUNGU WA KUMWAZA.

Bataille de Kolwezi modifier article détaillé : Bataille de Kolwezi. Départ des administrateurs européens (1977)

Le samedi 13 mai 1978, des rebelles katangais soutenus par le bloc de l'Est occupèrent la ville, alors principal centre minier de la province. Le zaïre demanda l'aide des Etats-Unis d'Amérique, de la France, du Maroc et de la Belgique pour restaurer l'ordre. Le 2^e régiment étranger de parachutistes de la légion étrangère française fut parachuté sur la ville, tandis qu'allaient arriver des paras belges. Cette opération, sous le commandement du colonel Erulin, sauva des certaines d'européens terrés dans leurs habitations, mais ne put empêcher de nombreuses victimes. Cinq légionnaires furent tués durant l'intervention ainsi que

21

deux paras belges. Elle eut surtout pour but et pour résultat la sauvegarde du régime.¹²

Environ 700Africains et 170 Européens trouvèrent la mort lors de cette tentative de déstabilisation. Le roman Shaba deux : les carnets de mère Marie Gertrude (1989), du romancier et philosophe congolais valentin-Yves Médimbe, a pour cadre historique Intervention présentée comme humanitaire, l'écrivain, natif de la région (il est né à Likasi), insiste sur les violences commises à cette occasion par les forces Armées Zaïroises à l'encontre des populations locales.

I.4. ORGANIGRAMME HIERARCHIQUE DE L'ORGANISATION

Dessin représentant la structure d'organisation de poste de travail au gouvernorat du Lualaba.

¹² Reportage sur la légion étrangère.

22

GOUVERNEUR

LE VICE
GOUVERNEUR

CONSEILLER

LE CABINET DU GOUVERNEUR

DIRECTEUR DE CABINET

DIRECTEUR ADJOINT

LES

COMMISSAIRES

AFFAIRES SOCIALES

PETITE ET MOYENNE

LES MINISTERE
PROVINCIAUX

PROTOCOL
D'ETAT

SERVICE
GENEREAUX

LES SECRETAIRES
EXECUTIFS

ENTREPRENARIAT
DES JEUNES

CULTURE ET ARTS

Figure 2: Organigramme hiérarchique du Gouvernorat du Lualaba

23

I.5. DESCRIPTION DES POSTES DE TRAVAIL

Dans cette partie du travail nous allons décrire la structure fonctionnelle du gouvernorat de la province du Lualaba.

> LE GOUVERNEUR : Il chargé de la direction d'une subdivision administrative

de premier niveau, d'une province ou un Etat.

> LA VICE GOUVERNEUR : Elle joue le rôle d'assistanat d'un gouverneur qui

exécute les fonctions qu'ils délèguent.

> LES MINISTRES PROVINCIAUX : Un ministre est chargé du soin des affaires

publiques et dont l'ensemble constitue le gouvernement. Ils gèrent :

La sécurité intérieure de la province

- L'agriculture, pêche et élevage

- Les Finances

- Les Budget et plan

- L'environnement et tourisme

- L'éducation, santé et relations avec le parlement

- Les Transports et Energie

- L'Infrastructures

- Des Mines

> LES COMMISSAIRE GENEREAUX ils sont en charge de :

- Affaires sociales, genre et famille

- L'économie, industrie, petit et moyenne entreprise

- Affaires foncières, urbanisme et habitant

- L'entreprenariat des jeunes et Emergence de la

classe moyenne

- Sports, loisir, culture et arts.

> LES SECRETAIRES EXECUTIFS : ils en chargent de la planification et

identification des ressources, et questions interministérielles, de suivi du

respect des procédures et de l'exécution des décisions.

> LE CABINET DU GOUVERNEUR : Il joue le rôle le plus contentieux et

questions juridiques.

24

I.6. DELIMITATION DU DOMAINE DETUDE

Notre travail porte sur la période allant de Février 2020 à Aout 2020 au sein du gouvernorat de la province du Lualaba.

II. ETUDE ET ANALYSE DU SYSTEME INFORMATIQUE EXISTANT

Dans cette partie nous allons vite comprendre, et connaitre les matériels, les équipements d'interconnexion, les médias, les logiciels et leur utilitaire, la sécurité utilisée, et leur architecture logique et physique.

1.1 Matériels

Étant le coeur du Lualaba, le département informatique est équipé des matériels dont le gouvernorat du Lualaba a besoin pour maximiser les recettes. Pour garder ces équipements en état de travail l'accès à la salle en cas d'absence du chef de bureau est limité.

1.2 Les Équipements d'interconnections

Etant donné qu'un réseau informatique fonctionne toujours avec des équipements d'interconnexion c'est ainsi qu'ici, nous allons tenter d'en donner et définir certains parmi lesquels :

Un Routeur : sur quoi ils ont effectué leurs configurations pour attribuer les

ports à leurs fournisseurs d'accès internet (FAI).

Un Switch : ... Switch sur quoi on a fait le découpage en sous réseaux pour

permettre une bonne gestion d'adresse IP.

Les serveurs : Il y a 4 Serveurs qui fonctionnent dans leurs réseaux, et sur

quoi :

? Active directories (AD) est configurée et qui permet aux administrateurs

d'intégrer les machines au domaine.

? Les partages de fichier s'effectuer

? Le backup des vidéos des caméras, et des documents tout se fait

automatiquement grâce à la configuration déjà fait et.

? Les anti-virus c.à.d. c'est un serveur qui déploie des anti-virus a leurs

machines intégrer au domaine.

Les points d'accès : qui établit la connexion WIFI.

Des téléphones IP

25

Des caméras : pour la sécurité du bâtiment et la détection de température. Les pointeuses biométriques : qui permet de faire les pointages du personnel travaillant au bâtiment et enregistré dans le système.

Les Gets : pour la sécurité d'accès au bâtiment.

Les modems : qui converti le signal venant de l'antenne fourni par les FAI (Fournisseur d'Accès Internet) VODACOM, ORANGE, ET DJENY, dans le cas d'espèce. Signal analogique en signale numérique.

1.3 Les Medias d'interconnexion

La paire torsadée : dont ils utilisent les câbles UTP (unishieleded twisted pair) blindée.

La liaison Wifi : elle est de type Micro-ondes c.à.d. il y a les points d'accès qui établit la connexion pour les mobiles du genre téléphones, smart et les laptops personnels. Mais ils ont déjà configuré les protocoles ARP (Protocol de résolutions d'adresse) qui leurs permet la traduction des adresses IP 32 Bits en adresse Ethernet de 48Bits.

1.4 Logiciel et utilitaires

Pour les utilisateurs nous trouvons :

+ Les Microsoft offices,

+ Adobe (ruder, et Photoshop),

+ Edge, Mozilla, et Chrome.

Pour les administrateurs nous trouvons :

+ BIOS STAR : pour le pointage.

+ MATRIX : pour les Access door, qui est installer est configurer au

server des Access door qui joue un rôle de vérifications et cela doit

nécessairement passer par l'enrôlement du personnel pour qu'ils aillent

l'accès aux portes.

+ SAUFTWARE VTG : pour les caméras.

+ SAUFTWARE MATRIX : pour les managements des caméras.

+ TOTAL NETWORK, ET SOLARWIN : pour le monitoring.

+ FULL ALARME : pour les équipements anti-incendie qui détecte

la fumée et localise l'équipement endommagé.

26

? WIN BOX : pour la configuration des équipements de marque

MICROtik.

? PUTTY : pour la configuration des équipements de marque

CISCO.

? UNIF CONTROL : pour la configuration des Access points.

NB : Tout ces logiciels son configurer sur la machine de monitoring et les mêmes logiciels sont installés sur le serveur.

1.5 La sécurité

Ils ont configuré un pare-feu qui permet de protéger leurs réseaux.

Ils utilisent la SNEL (Société Nationale de l'Electricité) pour l'énergie, mais comme elle pose beaucoup des problèmes ils ont 3 Générateurs qu'ils alimentent en cas de coupure de cette dernière.

Pour la protection de leurs matériels en général ils ont un onduleur de 348A qui prend en charge toutes les machines du gouvernorat et cela fait à ce qu'ils fonctionnent sans électricités pendant une durée de 48 heures ou 72 heures. S'ils n'ont pas les courants électrique (LUNDI, MARDI, MERCREDI, voir même le JEUDI). Elle est de 160 kVa et elle contient 44 Batteries dont chaque batterie a une capacité de 200A.

1.6 Architecture logique

27

Figure 3: l'architecture logique

Adressage : Le réseau du Gouvernorat utilise la classe C

Adresse Réseau : 192.168.3.0

Masque : 255.255.255.0

Hôtes : Tous les ordinateurs du réseau sont en DHCP sauf les serveurs et les routeurs

1.7 Architecture Physique

28

Figure 4: illustration de l'architecture existante

29

III. CRITIQUE DU RÉSEAU EXISTANT

Nous essayons de critiquer le réseau existant à l'hôtel de la ville de Kolwezi de deux manières positif et négatif.

A. Points positifs

Etant le coeur du Lualaba, le gouvernorat dispose des matériels et des équipements de pointe saufextiqué entre-autre :

? Il dispose des routeurs Cisco de première qualité, des switch Cisco Manageable, des serveurs de partage de fichier, de backup, d'anti- virus, et d'active directory ; des points d'accès ubiquiti, des téléphones IP, des pointeuses, des caméras, des Gets, des modems, des ordinateurs d'haute gamme, un bon réseau, des bons logiciels pour l'administration et l'utilisation de leurs réseaux.

B. Points négatifs

Etant un grand réseau qui regorge beaucoup des services cité ci-haut, nous avons constaté que le gouvernorat du Lualaba manque un système de détection et prévention d'intrusion.

C. Proposition des solutions

Pour satisfaire le besoin de l'entreprise d'accueil, nous avons pensé à mettre en place un Système de détection et prévention d'intrusion réseau Cette solution donnera la possibilité à l'administrateur d'intervenir plus rapidement en cas de pannes, de gérer son réseau de la manière sécurisée et d'offrir aux gens du Gouvernorat un gain financier important et d'éviter à ce dernier de faire face à des éventuelles attaques.

C'est ainsi que nous comptons :

? Déployer un système de détection d'intrusion avec le système gratuit kali-Linux.

? Configuration des mécanismes de détection et prévention d'intrusion via kali-Linux.

? Tests de la configuration du système pour en déduire la robustesse.

30