EXPOSE DE SECURITE DES

SYSTEMES D’EXPLOITATION

THEME : GESTION DES VULNERABILITES ET

SECURISATION DES SYSTEMES
D’EXPLOITATION
 SOMMAIRE
INTRODUCTION
I. GENERALITES AUX SYSTEMES D’EXPLOITATION
II. PRINCIPES DE BASE DE LA SECURITE DES SYSTEMES D’EXPLOITATION
III. SECURITE DANS LES ENVIRONNEMENTS LINUX
IV. GESTION D’ACCES DANS LES OS
V. GESTIONS UTILISATEURS ET GROUPES SOUS LINUX
VI. MECANISMES DE SECURITE AVANCES DANS LES OS
VII.GESTION DES CORRECTIFS ET MISES A JOUR
CONCLUSION
INTRODUCTION
GENERALITES SUR LES SYSTEMES
D’EXPLOITATION (OS)
 1. Definition

 Un système exploitation (Operating System en anglais ou

OS) est un ensemble de programmes qui permettent le
fonctionnement et l’utilisation des principales ressources
de l’ordinateur (mémoire, disque dur, processeur).
 3. ROLE
 Une gestion efficace, fiable et économique des ressources physiques de l’ordinateur (notamment
les ressources critiques telles que processeur, mémoire…) : il ordonne et Contrôle l'allocation des
processeurs, des mémoires, des icônes et fenêtres, des périphériques, des réseaux entre les
programmes qui les utilisent

 Gérer le processeur : c'est-à-dire gérer l'allocation du processeur entre les différentes applications
grâce à un algorithme d'ordonnancement.

 Gérer la mémoire : c'est-à-dire gérer l'espace mémoire alloué à chaque application et, le cas
échéant, à chaque usager

 Gérer les entrées/sorties : c'est-à-dire gérer l'accès des programmes aux ressources matérielles par
l'intermédiaire des pilotes.

 Gérer l'exécution des applications : c'est-à-dire s'assurer de la bonne exécution des applications en
leur affectant les ressources nécessaires à leur bon fonctionnement, mais aussi permettre de tuer
une application ne répondant plus correctement, par exemple.

 Gérer les fichiers : c'est-à-dire gérer la lecture et l'écriture dans le système de fichiers et les droits
d'accès aux fichiers par les utilisateurs et les applications.
3. CLASSE DES OS

 Mono- tâche (DOS) : A tout instant, un seul programme est exécuté ; un autre Programme ne
démarrera, sauf conditions exceptionnelles, que lorsque le premier sera terminé.

 Multi- tâches (Windows, Unix, Linux, VMS) : plusieurs processus (i. e. Un « programme» en

cours d’exécution) peuvent s’exécuter simultanément (systèmes multi-Processeurs) ou en quasi-

parallélisme (systèmes à temps partagé)

 Mono- session (Windows 98,2000) : au plus un utilisateur à la fois sur une machine. Les systèmes

réseaux permettent de différencier plusieurs utilisateurs, mais chacun d’eux utilise de manière

exclusive la machine (multi- utilisateurs, mono- session)

 multi- sessions (Windows XP, Unix, Linux, VMS) : Plusieurs utilisateurs peuvent travailler

simultanément sur la même machine

 4. IMPORTANCE DE LA SECURITE DES OS

 Une protection des données personnels (vol de données, perte de données ou altération de donnes

 Bon fonctionnement des processus (traitement des données, lecture et écriture de fichiers etc…)

 Une sécurité réseau et un système robuste,

 Protection contre les menaces (virus, ransomwares, cheval de Troie etc…)

 Perte de données

 Assurer une pérennité du système le long de son utilisation

 Une gestion efficace, fiable et économique des ressources physiques de l’ordinateur (notamment les ressources
critiques telles que processeur, mémoire etc…
 II . PRINCIPES DE BASE DE LA
SECURITE DES OS
1. Vulnerabilites courantes 1. Mecanismes de prevention et de protection
 Failles de sécurité dans le logiciel
 Installation régulière de mises à jour de sécurité
 Erreurs de configuration systeme

 Problèmes de droits d’accès inappropriés

 Utilisation de solutions antivirus performantes
 Manque de mises à jour régulières  Configuration minutieuse des droits d’accès
 Exécution de code arbitraire
 Formation continue des utilisateurs sur les
 Le déploiement de logiciels non testés : Les vulnérabilités informatiques
proviennent souvent de la négligence ou de l'inexpérience d'un programmeur.
menaces et bonnes pratiques
Si les nouveaux logiciels , ou les mises à jour sont déployés sans être testés,
cela peut entraîner des conflits de logiciels ou des vulnérabilités de sécurité à
distance

Methodes d’exploitation :Phishing et ingénierie sociale, Exploitation de failles

connues (exploits), Attaques par force brute, Utilisation de backdoors et de
 I. SECURITE DANS LES ENVIRONNEMENTS LINUX
1. Présentation
 Linux est un système d'exploitation Open source Fig : UBUNTU Linux
 Tous les systèmes d'exploitation basés sur Linux
incluent un noyau Linux, qui gère les ressources
matérielles, ainsi qu'un ensemble de paquets logiciels
qui composent le reste du système d'exploitation.
 Le système d'exploitation comprend certains
composants élémentaires, comme les outils GNU,
entre autres, Ces outils permettent notamment à
l'utilisateur de gérer les ressources fournies par le
noyau, d'installer des logiciels supplémentaires et de
configurer les paramètres de performances et de
securite
 Distribution Linux : Kali Linux, Debian, Ubuntu,
CentOS, Fedora Linux, Gentoo Linux
 2. Principes de securite dans Linux
 Chiffrez les communications de données vers et depuis votre serveur Linux : Utilisez SCP, SSH, rsync ou SFTP pour
les transferts de fichiers. Évitez d'utiliser des services tels que FTP, Telnet, etc., car ils ne sont pas sécurisés.
 Minimisez les logiciels pour réduire les vulnérabilités dans Linux et effectuez régulièrement des audits de sécurité :
n'installez pas de logiciels inutiles afin d'éviter d'introduire des vulnérabilités provenant de logiciels ou de packages
 Maintenez le noyau Linux et les logiciels à jour
 Utilisez les extensions de sécurité Linux : Linux est doté de diverses fonctions de sécurité que vous pouvez utiliser
pour vous protéger contre les programmes mal configurés ou compromis ex : SELinux
 Installez un système de détection des intrusions (IDS) : Utilisez fail2ban ou denyhost en tant qu’IDS
 Créez régulièrement des sauvegardes.
 Désactivez la connexion racine: Il est recommandé de ne pas se connecter en tant qu'utilisateur racine. Vous devez
utiliser sudo pour exécuter les commandes au niveau racine si nécessaire
 Configurez le pare-feu Lightsail et les pare-feu au niveau du système d'exploitation sur les serveurs Linux afin de
renforcer la sécurité
 3. Permission et gestion des droits d’acces
dans Linux
La possession d'un fichier se définit sur trois catégories:
 L’utilisateur propriétaire du fichier (u). Il s'agit généralement du créateur du fichier.
 Le groupe propriétaire du fichier (g) : Si un utilisateur est membre d'un certain groupe qui possède la propriété d'un fichier, l'utilisateur
aura aussi certaines permissions particulières sur ce fichier.
 Les autres, other, le reste du monde (o). :Bref, tout un chacun n'étant ni propriétaire du fichier, ni membre du groupe propriétaire du
fichier.
Les permissions désignent ce que les diverses catégories d'utilisateurs (propriétaire d'un fichier, membres du groupe propriétaire d'un fichier et
le reste du monde) ont l'autorisation d'effectuer sur un fichier donné
Les permissions se définissent sur trois niveaux :
 La lecture d'un fichier : cette permission est nécessaire pour pouvoir accéder au contenu d'un fichier (écouter une piste audio, visionner un
film, lire un texte, lister le contenu (ls) naviguer à l'intérieur d'un répertoire…). Cette permission est notée r (pour Read, lire)
 L’écriture dans un fichier : cette permission est nécessaire pour pouvoir apporter des modifications à un fichier (corriger un texte et
enregistrer les changements ; effacer les "yeux rouges" dans une photo et enregistrer la correction ; ajouter, modifier, renommer ou
supprimer un fichier dans un dossier), cette permission est notee w (pour write, ecire)
 L’exécution d'un fichier : cette permission est nécessaire particulièrement pour les logiciels, afin qu'ils puissent être exécutés. Cette
permission est notée x (pour execute, exécuter). un dossier ; etc.).
 3. Gestion des permissions ( cas d’unbuntu)
 Sous Ubuntu faites un clic droit sur un fichier ou répertoire puis choisissez propriétés, Rendez-vous dans l'onglet permissions :

Fig :Pour un fichier

Fig :Pour un répertoire
 Gestion des permissions sur Ubuntu

 Pour le Propriétaire et le Groupe : vous pouvez choisir dans le menu déroulant correspondant de donner les droits en
lecture et écriture ou lecture seule.
Pour les Autres, vous pouvez choisir entre lecture et écriture, lecture seule et aucun. Vous pouvez choisir le groupe
auquel appartient le fichier (par défaut, le groupe du propriétaire, sauf cas particulier).

 Lorsqu'il s'agit d'un répertoire: pour le Propriétaire et Groupe vous pouvez choisir entre Création et suppression des
fichiers, Accès aux fichiers, et
Pour les Autres, vous pouvez choisir entre Création et suppression des fichiers, Accès aux fichiers, Lister seulement
les fichiers et Aucun.

 En Ligne de commande : Les droits des fichiers d'un répertoire peuvent être affichés par la commande ls -l
 IV. GESTION D’ACCES DANS LES OS
 Définition :Le contrôle d’accès est un élément incontournable de la sécurité qui détermine qui est autorisé à accéder
à certaines données, applications et ressources, et dans quelles circonstances
 Modèles de contrôles d’accès :
o Contrôle d'accès discrétionnaire (DAC) : dans les modèles DAC, chaque objet d'un système protégé a un
propriétaire, et celui-ci accorde l'accès aux utilisateurs à sa discrétion. Le contrôle d’accès discrétionnaire permet un
contrôle au cas par cas des ressources.
o Contrôle d’accès obligatoire (MAC) : dans les modèles MAC, les utilisateurs se voient accorder un accès sous forme
d’autorisation. Une autorité centrale régule les droits d'accès et les organise en niveaux, qui s'étendent
uniformément. Ce modèle est très courant dans les contextes gouvernementaux et militaires.
o Contrôle d’accès en fonction du rôle (RBAC) : Dans les modèles RBAC, les droits d'accès sont accordés selon des
fonctions métier définies, plutôt que de l'identité ou de l'ancienneté des personnes. L'objectif consiste à fournir aux
utilisateurs les seules données dont ils ont besoin pour exercer leurs fonctions, et pas plus.
o Contrôle d’accès en fonction de l’attribut (ABAC) : Dans les modèles ABAC, l'accès est accordé de
manière flexible en fonction d'une combinaison d'attributs et de conditions environnementales, telles
que l'heure et le lieu. Le contrôle d’accès en fonction de l’attribut est le modèle de contrôle d’accès le
plus
GESTIONS UTILISATEURS ET GROUPES SR
LINUX
1. Gestion utilisateurs et groupes :
 en ligne de commande :

 Afficher la liste des utilisateurs : compgen -u ou cut -d: -f1 /etc/passwd

 Ajouter un utilisateur au système : sudo useradd nom_utilisateur

 Suppression d'un utilisateur : sudo userdel nom_utilisateur

 Créer un groupe: groupadd -g group-ID group-name

 Afficher la liste des groupes : compgen -g

 Suppression d’un utilisateur : sudo userdel nom_utilisateur

 Suppression d’un groupe : sudo groupdel nom_groupe

 Ajouter un utilisateur à un groupe : sudo adduser nom_utilisateur nom_groupe

 Gestion des comptes sous Linux

 Modifier l'identifiant d'un compte d'utilisateur : Cette modification s'effectue à partir d'un autre compte
administrateur que le compte modifié. Aucune session du compte modifié ne doit être active : sudo usermod --
login identifiant_nouveau_compte_a_modifier --home /home/identifiant_nouveau_compte_a_modifier--
move-home identifiant_initial_compte_a_modifie

 Modifier l'identifiant de l'unique compte administrateur : La modification ne peut pas s'effectuer pendant que la
session est active. Il convient donc de redémarrer l'ordinateur en mode de récupération (recovery mode) puis
d'ouvrir une session en mode super-utilisateur : usermod --login nouvel_identifiant --home
/home/nouvel_identifiant --move-home ancien_identifiant exit

 Modification de l'identifiant de groupe : sudo groupmod --new-name nouveau_nom nom_actuel

 Verrouillage d'un compte : usermod --expiredate 1 nom_utilisateur

 VI. MECANISMES DE SECURITE AVANCES DANS LES
OS
 Sandboxing et isolation des processus :
o Le sandboxing fait référence à une technique utilisée pour isoler des logiciels ou des fichiers potentiellement
malveillants ou non fiables du reste d’un système informatique ou d’un réseau. Il fournit un environnement contrôlé et
sécurisé, communément appelé “sandbox”, dans lequel ces entités suspectes peuvent être exécutées ou analysées sans
présenter de risque pour le système hôte

 Sandbox au niveau du système d’exploitation : Ils sont mis en œuvre au niveau du système d’exploitation et isolent les
processus les uns des autres. Chaque processus fonctionne dans son propre environnement restreint, empêchant toute
interférence avec d’autres processus.

 Sandbox au niveau de la machine virtuelle : Ils créent de véritables machines virtuelles (VM) qui exécutent un système
d’exploitation distinct au-dessus du système d’exploitation hôte. Chaque VM est autonome et isolée, ce qui permet à
plusieurs environnements virtuels de coexister sur la même machine physique.
 1. Sandboxing
 Sandboxing et isolation des processus :
o Le sandboxing fait référence à une technique utilisée pour isoler des logiciels ou des fichiers potentiellement malveillants ou non fiables du
reste d’un système informatique ou d’un réseau. Il fournit un environnement contrôlé et sécurisé, communément appelé “sandbox”, dans lequel
ces entités suspectes peuvent être exécutées ou analysées sans présenter de risque pour le système hôte.
o Types de Sandbox :

 Sandbox au niveau du système d’exploitation : Ils sont mis en œuvre au niveau du système d’exploitation et isolent les processus les uns des
autres. Chaque processus fonctionne dans son propre environnement restreint, empêchant toute interférence avec d’autres processus.

 Sandbox au niveau de la machine virtuelle : Ils créent de véritables machines virtuelles (VM) qui exécutent un système d’exploitation distinct
au-dessus du système d’exploitation hôte. Chaque VM est autonome et isolée, ce qui permet à plusieurs environnements virtuels de coexister
sur la même machine physique.

 Sandbox d’applications : Ils isolent les applications individuelles du reste du système afin de s’assurer que leurs actions sont
contenues. Ils peuvent être utilisés pour tester des logiciels potentiellement risqués ou pour fournir une couche de sécurité
supplémentaire.

 Sandbox pour navigateurs web : Il s’agit d’un type spécifique de Sandbox d’application qui se concentre sur les navigateurs
web, isolant les pages web et les extensions de navigateur du système sous-jacent.
 Activation de windows Sandbox dans un
environnement Windows ( Windows 11)

 Vérifiez si la virtualisation est activée : si vous utilisez Windows 11,

il y a de fortes chances que la virtualisation soit déjà activée par  Accédez aux fonctionnalités facultatives : Le bac à sable n’est pas activé par défaut sur
défaut sur votre machine Windows 11 Pro. Vous devez en effet l’installer depuis le panneau des fonctionnalités
supplémentaires de Windows, Pour ce faire, ouvrez les Paramètres de Windows à l’aide du
raccourci Windows + i, sélectionnez Applications dans la colonne de gauche, puis entrez
dans le menu dédié aux Fonctionnalités facultative
  Activez le Bac à sable :la fenêtre des Fonctionnalités de Windows
 Clic sur Fonctionnalités Windows
qui s’ouvre, repérez la ligne Bac à sable Windows, cochez l’option
et cliquez sur le bouton OK pour lancer son installation dans
Windows 11.
 Cliquez ensuite sur le bouton Redémarrer maintenant pour 
Ouvrez un fichier dans le Bac à sable : ouvrez le menu Démarrer et
redémarrer votre PC afin que les modifications apportées soient cliquez sur Toutes les applications pour afficher la liste des
prises en compte. applications installées sur votre PC. Tout en bas de celle-ci, ouvrez
l’application Windows Sandbox
 Une fenêtre du Bac à sable Windows devrait alors s’ouvrir à
l’écran. Comme vous pouvez le constater, il s’agit en réalité d’une
nouvelle session de Windows 11, exécutée dans une fenêtre
indépendante du reste de votre système d’exploitation.
 2. CONTENEURISATION ET VIRTUALISATION
 La conteneurisation est un processus de déploiement logiciel qui regroupe le code d'une application avec tous les fichiers et
bibliothèques dont elle a besoin pour s'exécuter sur n'importe quelle infrastructure
 Avantages :
 Portabilité: Les développeurs de logiciels utilisent la conteneurisation pour déployer des applications dans plusieurs
environnements sans réécrire le code du programme. Ils créent une application une seule fois et la déploient sur plusieurs
systèmes d'exploitation. Par exemple, ils exécutent les mêmes conteneurs sur les systèmes d'exploitation Linux et Windows.
Les développeurs mettent également à niveau le code des applications héritées vers des versions modernes à l'aide de
conteneurs pour le déploiement.
 Capacité de mise à l’échelle :Les conteneurs sont des composants logiciels légers qui s'exécutent efficacement.
Par exemple, une machine virtuelle peut lancer une application conteneurisée plus rapidement, car elle n'a pas
besoin de démarrer un système d'exploitation. Par conséquent, les développeurs de logiciels peuvent
facilement ajouter plusieurs conteneurs pour différentes applications sur une seule machine
 Agilité : Les applications conteneurisées s'exécutent dans des environnements de calcul isolés. Les
développeurs de logiciels peuvent résoudre les problèmes et modifier le code de l'application sans interférer
avec le système d'exploitation
 CONTENEURISATION ET VIRTUAISATION
 La Virtualisation est une technologie permettant de créer et de gérer plusieurs ordinateurs virtuels en utilisant une
seule machine physique. Ces ordinateurs virtuels vous permettent d’accéder à vos ressources habituelles, qu’il
s’agisse de logiciels, d’outils, de données stockées sur votre réseau, ou encore de périphériques spécifiques, Vous
pouvez ainsi utiliser un ou plusieurs systèmes d’exploitation sur votre ordinateur, grâce à des ressources allouées par
la machine physique se trouvant en haut de la chaîne

 Avantages :

 Flexibilité :Il s’agit du principal atout de celles-ci, la création d’une machine virtuelle est nettement plus rapide et plus
facile que l’installation d’un système d’exploitation sur un serveur physique. Il est possible de cloner une machine
virtuelle avec le système d’exploitation déjà installé

 Sécurité : les machines virtuelles offrent une meilleure sécurité. En effet, c’est un fichier qui peut être utilisé pour
détecter un logiciel malveillant provenant d’un programme externe. Si elle est compromise, il suffit de la supprimer et
la recréer rapidement, ce qui accélère la récupération des fichiers infectés par des logiciels malveillants.
CONCLUSION