Académique Documents
Professionnel Documents
Culture Documents
UE D – EXPERTISE PROFESSIONNELLE
Corrigé
Durée : 6 heures
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020
UC D31 - Informatique, réseaux et sécurité - Corrigé
Dossier 1 - Administration réseau
Question 1
Proposez un plan d’adressage IP privés de classe C pour les matériels du réseau local et celui de
la DMZ.
Question 2
Proposez un type de serveur web pour la DMZ.
1 point
Par exemple : Apache serveurs http open source pour linux ou Windows, nginx, …
Question 3
Proposez un routeur de votre connaissance.
1 point
N’importe quel routeur Cisco, Netgear, linksys Ou en encore un serveur sur OS linux avec netfilter (IPtables
ou IProute) … ou encore un BSD Router Project (BSDRP). Néanmoins, il serait bien qu’il y ait du wifi pour les
portables.
Question 4
Proposez un switch de votre connaissance.
Question 5
Les serveurs HTTP et de bases de données sont dans une DMZ, expliquez en l’objectif en vous
aidant d’un schéma.
2 points
En informatique, une zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui-ci et
d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-réseau contient les machines étant susceptibles
d'être accédées depuis Internet comme les serveurs web.
Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services susceptibles
d'être accédés depuis Internet seront situés en DMZ.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 2/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ
et non au réseau local.
Schéma :
Question 6
Quelle solution software auriez-vous pu proposer pour installer cette DMZ ?
- Amon : distribution GNU/Linux se basant sur Ubuntu et proposant des outils d'administration.
- SmoothWall : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer
un PC en pare-feu dédié et complet.
- IPCop : distribution linux packageant Netfilter et d'autres outils de sécurité pour transformer un PC
en pare-feu dédié et complet.
- Ipfire : Dérivé de IPCop, mais avec des idées très nouvelles et de design.
- Endian Firewall, distribution linux packageant Netfilter et d'autres outils de sécurité pour
transformer un PC en pare-feu dédié et complet.
- Pfsense, distribution firewall open source très avancée basée sur FreeBSD et dérivée de m0n0wall
qui utilise entre autres OpenBSD packet Filter.
Question 7
Quelle solution hardware auriez-vous pu proposer pour installer cette DMZ ?
- Cisco Systems : Cisco PIX, Cisco ASA et Cisco FWSM, boîtier pare-feu.
- Nortel : Famille Nortel VPN Router, Famille Nortel Switched Firewall.
- SonicWALL : SonicWALL, pare-feu professionnel UTM (Filtrage Applicatif, Passerelle Antivirus, IPS,
Filtrage de Contenu, Antispams) avec Tunnel VPN IPSEC.
- WatchGuard : Firebox® X, gamme d'appliances de gestion unifiée des menaces (UTM ou Unified
Threat Management).
- ZyXEL : ZyWALL, pare-feu professionnel UTM (Antivirus, filtrage applicatif, IDP, filtrage de contenu,
antispam) avec Tunnel VPN IPSEC et SSL.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 3/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 8
Les serveurs Web utiliseront HTTPS, expliquez en détail ce protocole.
2 points
Pour éviter que quelqu’un puisse sniffer le réseau pour récupérer des données, on utilise des protocoles
« TLS » ou « SSL » pour le serveur web afin de crypter les trames…
Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de
sécurisation des échanges sur Internet. Le protocole SSL a été développé à l'origine par Netscape.
➔ On parle parfois de SSL/TLS pour désigner indifféremment SSL ou TLS.
TLS (ou SSL) fonctionne suivant un mode client-serveur. Il permet de satisfaire aux objectifs de sécurité
suivants :
• L'authentification du serveur.
• La confidentialité des données échangées (ou session chiffrée).
• L'intégrité des données échangées.
• De manière optionnelle, l'authentification du client (mais dans la réalité celle-ci est souvent assurée
par le serveur).
Question 9
Expliquez ce qu’est une architecture C/S N-tiers.
2 points
Dans l'architecture à 3 niveaux (appelée architecture 3-tier), il existe un niveau intermédiaire entre le client
et le serveur, c'est-à-dire que l'on a une architecture partagée entre :
- Le client : le demandeur de ressources.
- Le serveur middleware chargé de fournir un service au client mais faisant appel à un autre serveur…
- Le serveur secondaire : (généralement un serveur de base de données), fournissant un service au
premier serveur qui devient en fait son client…
Dans l'architecture N-tiers, il existe plusieurs niveaux intermédiaires. Un serveur peut utiliser les services
d'un ou plusieurs autres serveurs afin de fournir son propre service.
Dans notre architecture « haute disponibilité » on aura 2 serveurs web (certainement en load balancing et
2 serveurs de base de données qui seront certainement en cluster… afin de résister à une montée en
charge.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 4/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 10
Définissez ce qu’est la haute disponibilité (ici : web + base de données). Aidez-vous d’un schéma.
3 points
La haute disponibilité (HA) anticipe les difficultés que pourrait rencontrer un internaute. Cela permettra de
mettre en place des actions et des paramètres techniques, pour qu’une infrastructure informatique soit
toujours en mesure de répondre à la requête d’un utilisateur. Cela est possible en appliquant certaines
règles, comme la sauvegarde, la répartition de la charge, la réplication des données, la redondance, etc.,
pour restreindre l’indisponibilité d’un système d’information.
Ici, il y a du « load balancing » (ou répartition de charge) permet de partager les flux entrants sur les
serveurs d’applications ce qui permet de mieux répondre à une forte demande... il faudrait un double SGBd
peut être vu soit comme du « mirroring » soit du « scaling ».
Le FailOver (ou tolérance aux pannes) consiste, quant à lui, à rediriger un internaute vers un serveur de
secours lorsque le serveur principal ne fonctionne pas.
Question 11
Que faudrait-il rajouter dans notre réseau pour être plus en adéquation avec de la haute
disponibilité sécurisée, proposez une architecture.
Ici, il faudrait rajouter 2 ou 3 serveurs (hardwares) de base de données Oracle en Cluster et un serveur front
pour la distribution des trames… en round robin par exemple.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 5/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Dossier 2 - Filtrage et haute-disponibilité
Question 1
Donnez les 3 différents types de filtrages existants, leurs principes et leurs limites.
3 points
Les limites
Le premier problème vient du fait que l’administrateur réseau est rapidement contraint à autoriser un trop
grand nombre d’accès, pour que le Firewall offre une réelle protection. Par exemple, pour autoriser les
connexions à Internet à partir du réseau privé, l’administrateur devra accepter toutes les
connexions Tcp provenant de l’Internet avec un port supérieur à 1024. Ce qui laisse beaucoup de choix à un
éventuel pirate.
Il est à noter que de définir des ACL sur des routeurs haut de gamme – c’est à dire, supportant un débit
important – n’est pas sans répercussion sur le débit lui-même.
Enfin, ce type de filtrage ne résiste pas à certaines attaques de type IP Spoofing / IP Flooding, la mutilation
de paquet, ou encore certaines attaques de type DoS.
Ceci est vrai sauf dans le cadre des routeurs fonctionnant en mode distribué. Ceci permettant de gérer les
Acl directement sur les interfaces sans remonter à la carte de traitement central. Les performances
impactées par les Acl sont alors quasi nulles.
Les limites
Mais ce type de firewall ne protège pas contre l'exploitation des failles applicatives, qui représentent la part
la plus importante des risques en termes de sécurité.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 6/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Le filtrage applicatif (ou pare-feu de type proxy ou proxying applicatif)
Le principe
Le filtrage applicatif est, comme son nom l’indique, réalisé au niveau de la couche Application. Pour cela, il
faut bien sûr pouvoir extraire les données du protocole de niveau 7 pour les étudier. Les requêtes sont
traitées par des processus dédiés, par exemple une requête de type Http sera filtrée par un processus proxy
Http. Le pare-feu rejettera toutes les requêtes qui ne sont pas conformes aux spécifications du protocole.
Cela implique que le pare-feu proxy connaisse toutes les règles protocolaires des protocoles qu’il doit
filtrer.
Les limites
Le premier problème qui se pose est la finesse du filtrage réalisé par le proxy. Il est extrêmement difficile de
pouvoir réaliser un filtrage qui ne laisse rien passer, vu le nombre de protocoles de niveau 7. En outre le fait
de devoir connaître les règles protocolaires de chaque protocole filtré pose des problèmes d’adaptabilité à
de nouveaux protocoles ou des protocoles maisons.
Ce traitement est très gourmand en temps de calcul dès que le débit devient très important. Mais Il est
justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP afin de contourner le
filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme
FTP, en mode passif, échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP.
Ces protocoles sont dits « à contenu sale » ou « passant difficilement les pare-feu » car ils échangent au
niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de
ports). Ce qui transgresse le principe de la séparation des couches réseaux. Pour cette raison, les protocoles
« à contenu sale » passent difficilement voire pas du tout les règles de NAT ...dynamiques, à moins qu'une
inspection applicative ne soit faite sur ce protocole.
Question 2
Sur quelles couches OSI travaille le firewall « NETFILTER » ?
2 points
Netfilter est un cadriciel (framework) implémentant un pare-feu au sein du noyau Linux netfilter travaille
sur les couches 2, 3, 4 et applicatives (niveau socket).
Une des caractéristiques importantes construites sur le framework Netfilter est Connection Tracking. CT
permet au noyau de garder la trace de toutes les connexions réseau logiques ou de sessions, et, par
conséquent, porte tous les paquets qui composent cette connexion. NAT s'appuie sur cette information
pour traduire tous les paquets de la même manière, et iptables peut utiliser cette information pour agir
comme un pare-feu avec persistance.
Question 3
Pensez-vous que NETFILTER et PFSENSE puissent travailler ensemble ?
1 point
Oui. L’un est un routeur/firewall que vous pouvez voir comme un OS, et qui peux protéger votre LAN,
l’autre est un logiciel que vous pouvez configurer sur un serveur afin de le protéger.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 7/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 4
Donnez les commandes « IPtables » du firewall pour :
- Supprimer les règles déjà existantes.
1 point
iptables -F
iptables -X
1 point
- Autoriser le loop-back.
1 point
- Laisser passer 5 tentatives de Ping puis n'en laisser passer que 2 par minute.
iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
1 point
Pour lutter contre les attaques par ipflooding les attaques en Dos.
1 point
# SSH In
iptables -t filter -A INPUT –s 172.10.4.21.-p tcp --dport 22-j ACCEPT
# SSH Out
iptables -t filter -A OUTPUT -s 172.10.4.21.-p tcp --dport 22 -j ACCEPT
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 8/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 5
Expliquez les commandes suivantes d’un NETFILTER installé sur le « Front server » :
a) iptables -A PREROUTING -t nat -p tcp -d 172.10.4.25 --dport 443 -j DNAT
--to-destination 10.0.0.2:8085
1 point
La méthode DNAT modifie l'en-tête de destination des paquets IP et TCP. Les en-têtes IP et TCP doivent
être réécrits. L'IP de destination de notre paquet doit donc être réécrit en 10.0.0.2 donc renvoyé sur le
server 1 et le port de destination réécrit en 8085.
La raison est que le serveur ne sait pas comment répondre à ce client car l'IP source définie sur 172.10.4.25
n'est pas sur son réseau.
La solution consiste également à modifier l'IP source et les en-têtes de port source sur le serveur frontal.
Cela se fait à l'aide de la méthode SNAT.
Autoriser le passage des trames avec le port 8085 vers et depuis le poste 10.0.0.2.
Question 6
Quel est l’objectif des règles suivantes ? Qu’en pensez-vous ?
2 points
Pour équilibrer la charge entre plusieurs hôtes, une solution consiste à modifier la règle DNAT afin qu'elle
ne redirige pas toujours les clients vers un seul nœud mais les répartisse sur plusieurs nœuds.
Problème : le moteur iptables est déterministe et c’est la première règle de correspondance qui sera
toujours utilisée. Dans cet exemple, le serveur 1 obtiendra toutes les connexions.
Question 7
De nouvelles règles sont maintenant appliquées, quel en est l’objectif ? Quel algorithme est
utilisé ? Expliquez-le succinctement.
2 points
Une petite unité de temps, appelé time quantum ou time slice, est définie. La file d'attente est gérée
comme une file circulaire. L'ordonnanceur parcourt cette file et alloue un temps processeur à chacun des
processus pour un intervalle de temps de l'ordre d'un quantum au maximum.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 9/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Dossier 3 - Routages et VPN
Question 1
Expliquez les différences entre les routages : OSPF, RIP et BGP.
5 points
Rip est un algorithme hop count (comptage de sauts) ou distance vector pour déterminer la meilleure
route, chaque routeur diffuse à espace régulier sa table de routage à ses voisins, si le réseau est grand, ça
peut finir par faire une occupation de bande passante énorme.
Ospf est un algorithme link state (état des liens) chaque routeur calcule sa table de routage dans son coin (il
lui faut de la puissance de calcul et pas mal de mémoire) mais ne diffuse que les changements d'état sur ses
liens et sa présence, donc peu de bande passante utilisée.
OSPF gère ses propres fonctions de détection et de correction d’erreur.
Alors que le protocole RIP utilisant le nombre de sauts pour calculer la métrique, OSPF utilise l’algorithme
SPF (Shortest Path First) pour sélectionner le meilleur chemin. RIP utilise beaucoup de bande passante car il
envoie des mises à jour périodiques, mais OSPF n’annonce que les modifications dans un réseau.
RIP prend 30-60 secondes pour converger, mais OSPF converge immédiatement, même dans un plus grand
réseau.
RIP peut atteindre jusqu’à 15 routeurs, mais OSPF peut atteindre un nombre illimité de sauts. Par
conséquent, RIP peut être utilisé dans des réseaux plus petits et OSPF peut être utilisé dans des réseaux
plus grands.
OSPF est un protocole de routage de passerelle intérieure dans lequel l’opération de routage est effectuée
dans un système autonome (SA). Tandis que, le protocole BGP est un protocole de routage de passerelle
extérieur qui permet d’effectuer les opérations de routage entre deux systèmes autonomes (SA).
Le protocole BGP est utilisé sur les réseaux à grande échelle, comme Internet, tandis que le protocole OSPF
est utilisé sur les réseaux sous la même administration.
BGP est plus compliqué qu’OSPF, car il utilise divers attributs pour déterminer le meilleur chemin pour un
datagramme.
Le protocole OSPF est un protocole de routage de passerelle intérieure, tandis que BGP est un protocole de
routage de passerelle extérieure. Le protocole OSPF est basé sur le routage d’état des liens où chaque
routeur envoie l’état du routeur voisin à chaque routeur présent dans la zone. D’autre part, BGP est basé
sur un routage à vecteur de chemins où un routeur dispose d’une liste de réseaux pouvant être atteints
avec le chemin d’accès à chacun d’eux.
Question 2
Expliquez ce qu’est un VPN et donnez plusieurs types de protocoles utilisés.
4 points
Un VPN (Virtual Private Network) est un réseau virtuel s’appuyant sur un autre réseau comme Internet. Il
permet de faire transiter des informations, entre les différents membres de ce VPN, le tout de manière
sécurisée.
On peut considérer qu’une connexion VPN revient à se connecter en réseau local mais en utilisant Internet.
On peut ainsi communiquer avec les machines de ce réseau en prenant comme adresse de destination,
l’adresse IP local de la machine que l’on veut atteindre.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 10/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Il existe plusieurs types de VPN fonctionnant sur différentes couches réseau, voici les VPN que nous
pouvons mettre en place sur un serveur dédié ou à la maison :
- PPTP : Facile à mettre en place, mais beaucoup d’inconvénients liés à la lourdeur du protocole de
transport GRE, le matériel réseau (routeur ADSL, wifi, doit être compatible avec le PPTP).
- Ipsec : Plus efficace que le PPTP en termes de performance, mais aussi très contraignant au niveau
de la mise en place.
- OpenVPN : La Rolls des VPN, il suffit de se prendre un peu la tête sur la mise en place, mais son
utilisation est très souple.
Question 3
Quel est l’intérêt d’un VPN « overlay » ?
2 points
Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local.
On peut ainsi avoir un accès au réseau interne (réseau d'entreprise, par exemple).
Le VPN permet également de construire des réseaux overlay, en construisant un réseau logique sur un
réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier. Donc même adresse réseau.
Question 4
Donnez les commandes Cisco pour configurer les 3 routeurs en routage RIP.
6 points
Pour R1:
Router#configure terminal
Router(config)#hostname R1
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.1.1.0
R1(config-router)#exit
Pour R2
Router#configure terminal
Router(config)#hostname R2
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 11/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 10.2.2.0
R2(config-router)#network 10.1.1.0
R2(config-router)#exit
Pour R3
Router#configure terminal
Router(config)#hostname R3
R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#no auto-summary
R3(config-router)#network 10.2.2.0
R3(config-router)#network 192.168.3.0
R3(config-router)#exit
Question 5
« group 5 » identifie de la méthode « Diffie-Hellman », à quoi correspond-elle ?
2 points
Cette méthode est utilisée dans les échanges du protocole IKE pour générer un secret partagé entre les
deux extrémités de façon sécurisée. Avec cette méthode, un « observateur » ayant capturé les échanges
IKE ne peut pas remonter au secret partagé.
L’objectif de Diffie-Hellman est de permettre l’établissement d’une clé privée entre deux parties, via
l’échange de messages sur un canal non sécurisé. Lors de l’établissement d’une clé avec Diffie-Hellman, les
messages sont en effet envoyés en clair sur le réseau, et toute personne qui intercepte les messages
transmis ne doit pas pouvoir en déduire la clé générée.
Question 6
Le protocole IKE est composé de 2 phases : expliquez-les succinctement.
3 points
Ce secret partagé est utilisé pour calculer une valeur qui sert ensuite aux calculs des clés utilisées dans les
phases 1 et 2 du protocole IKE.
La phase 1 configure une authentification mutuelle des entités homologues, négocie des paramètres
cryptographiques et crée des clés de sessions.
La phase 2 d'IKE négocie un tunnel IPSec en créant des éléments de création de clé pour le tunnel IPSec à
utiliser (soit en utilisant les clés de la phase 1 d'IKE, soit en effectuant un nouvel échange de clés).
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 12/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Dossier 4 - Sécurité des SI
Question 1
Expliquez-les termes : vulnérabilités, attaques, contre-mesures et menaces.
2 points
- Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu
dans sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
- Les attaques (exploits) : elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir
plusieurs attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas
exploitables.
- Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une
vulnérabilité ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur
la même vulnérabilité).
- Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une
vulnérabilité.
Question 2
Expliquez ce qu’est le social engineering.
1 point
Le social engineering, ou en français la manipulation sociale, consiste a pousser une personne à faire
certaines choses ou à révéler des informations sans les lui demander directement, d’où le terme de
manipulation...
L’être humain est la pièce fragile : il existe des tas de raisons pour divulguer des secrets, de la simple
inattention à l’obligation, il existe de nombreux moyens de "persuader" une personne de vous donner une
information, en insufflant la peur, la confiance, la sympathie, l’argent, il est possible de rebrancher un
ordinateur, de transmettre une fausse information, de vous indiquer un mot de passe.
Les médias utilisés : La grande majorité des tentatives se fait par téléphone : la simplicité et le quasi-
anonymat que confère le téléphone sont des atouts non négligeables pour l’attaquant.
Question 3
En quoi consiste l’« ip spoofing ».
1 point
L’IP spoofing consiste à modifier les paquets IP afin de faire croire au firewall qu’ils proviennent d’une
adresse IP considérée comme « de confiance ».
Par exemple, une IP présente dans le réseau local de l’entreprise. Cela laissera donc toute latitude au
hacker de passer outre les règles du firewall afin d’envoyer ses propres paquets dans le réseau de
l’entreprise.
Question 4
Donnez les 2 utilisations possibles d’une attaque par « IP Spoofing » ?
2 points
L'IP Spoofing : l’attaquant usurpe n’importe quelle source IP et ainsi espère ne pas être retracé.
Cette attaque peut être utilisée de deux manières différentes :
- La première utilité de l'IP Spoofing va être de falsifier la source d'une attaque. Par exemple, lors
d'une attaque de type déni de service, l'adresse IP source des paquets envoyés sera falsifiée pour
éviter de localiser la provenance de l'attaque.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 13/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
- L'autre utilisation de l'IP Spoofing va permettre de profiter d'une relation de confiance entre deux
machines pour prendre la main sur l'une des deux.
Question 5
Les VPN offrent-il une protection contre les attaques par « IP Spoofing » ?
2 points
Oui, par exemple IPSec va chiffrer les entêtes des paquets, et ainsi rendre impossible leur modification par
un intrus, et surtout, l’intrus ne pourra générer de paquets comme provenant de ce réseau local, ce dernier
n’ayant pas la clé nécessaire au cryptage. Les algorithmes utilisés dans de tels protocoles sont de type RSA.
Question 6
Expliquez les attaques DOS et DDOS.
1 point
Le DOS, ou Denial Of Service attack, consiste à envoyer le plus de paquets possibles vers un serveur,
générant beaucoup de trafic inutile, et bloquant ainsi l’accès aux utilisateurs normaux. Le DDOS, pour
Distributed DOS, implique de venir de différentes machines simultanées, cette action étant le plus souvent
déclenchée par un virus : ce dernier va d’abord infecter nombre de machines, puis à une date donnée, va
envoyer depuis chaque ordinateur infecté des paquets inutiles vers une cible donnée.
On appelle aussi ce type d’attaque « flood ».
Question 7
Les firewalls offrent-il une protection contre ces attaques DOS et DDOS ?
2 points
Les firewalls n’ont que peu d’utilité. En effet, une attaque DOS ou DDOS utilise le plus souvent des adresses
sources différentes et souvent, il est impossible de distinguer ces paquets des autres… Certains firewalls
offrent une protection basique contre ce genre d’attaque, par exemple en droppant les paquets si une
source devient trop gourmande, mais généralement, ces protections sont inutiles.
Cette attaque brute reste un des gros problèmes actuels, car elle est très difficilement évitable.
Question 8
Qu’est-ce que le « drive-by download » ?
2 points
Les attaques par téléchargement furtif sont une méthode de propagation des logiciels malveillants. Le
pirate insère un virus sur une page d’un site non sécurisé et infecte les ordinateurs de ceux qui le visitent
qui ont des failles de sécurité comme par exemple, des mises à jour non installées.
Question 9
Définissez ce que sont les « ransomwares ».
1 point
C’est un type de logiciel malveillant qui crypte les données d’un ordinateur et exige de leur propriétaire
d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 14/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 10
Expliquez ce qu’est le « Smurf ».
2 points
C'est un ping flooding un peu particulier. C'est une attaque axée réseaux, faisant partie de la grande famille
des Refus De Service (DOS : Denial Of Service).
Ce procédé est décomposé en deux étapes :
• La première est de récupérer l'adresse IP de la cible par spoofing.
• La seconde est d'envoyer un flux maximal de packets ICMP ECHO (ping) aux adresses de Broadcast.
Chaque ping comportant l'adresse spoofée de l'ordinateur cible.
Si le routeur permet cela, il va transmettre le broadcast à tous les ordinateurs du réseau, qui vont répondre
à l'ordinateur cible. La cible recevra donc un maximum de réponses au ping, saturant totalement sa bande
passante.
Question 11
Parmi les algorithmes suivants, lequel est le plus sécurisé : WEP, WPA ou WPA2 ? Expliquez.
2 points
Wired Equivalent Privacy (WEP) est l’algorithme le plus largement utilisé de la sécurité Wi-Fi dans le
monde.
Il ne faut pas utiliser le WEP car le fait que son IV (Vecteur d’Initialisation) n’ait une taille que de 24 bits
permet à des pirates de calculer toutes les possibilités de valeurs en quelques secondes.
Dans la DMZ on vous demande d’installer 2 serveurs de base de données ORACLE en Cluster.
Question 1
Expliquez ce qu’est un cluster de base de données, et ses objectifs.
4 points
Un cluster est un groupe de deux ou plusieurs serveurs indépendants fonctionnant comme un système
unique.
Un cluster de serveurs de base de données peut permettre l’obtention d’une solution avec haute
disponibilité (garantissant ainsi une protection contre les pannes matérielles ou facilitant le mise en place
des arrêts planifiés de maintenance) ou encore augmenter la performance I/O de votre service de base de
données.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 15/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 2
Qu’est-ce qu’une instance Oracle ?
4 points
L'instance est indispensable au bon fonctionnement d'une base de données Oracle. Sans instance il ne vous
sera pas possible d'accéder à la base de données.
Il faut savoir qu'une instance ne pourra être assignée qu'à une seule base de données (sauf en
environnement RAC).
Question 3
On vous demande de créer un utilisateur « Icad » avec le mot de passe « passicad » en lui
octroyant le rôle DBA, donnez le code SQL correspondant.
2 points
Question 4
Le "SQL Injection" est une méthode d'exploitation de faille de sécurité sur une base de données.
Expliquez ce que c’est, et comment s’en protéger dans Oracle.
3 points
Elle permet d'injecter des requête SQL non prévu par le système via des formulaires par exemple et
pouvant compromettre la sécurité de la base de données.
La seule protection possible est dans le code.
Dans le cas général il est possible d’utiliser des fonctions comme mysqli_real_escape_string qui protège
une commande SQL de la présence de caractères spéciaux. Il est aussi possible d’utiliser des requêtes
préparées ou encore des fonctions stockées.
Question 5
Donnez 4 conseils que vous pourriez utiliser pour la sécurité des bases de données.
2 points
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 16/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
Dossier 6 - Publi key infrastructure (PKI)
Question 1
Expliquez ce qu’est une PKI et les services principaux attendus.
5 points
Une PKI (Public Key Infrastructure) ou une IGC (Infrastructure de Gestion des Clés) est un ensemble de
logiciels, machines et procédures permettant de gérer des certificats.
Techniquement une infrastructure à clé publique utilise des mécanismes de signature et certifie des clés
publiques qui permettent de chiffrer et de signer des messages ainsi que des flux de données, afin d'assurer
la confidentialité, l'authentification, l'intégrité et la non-répudiation.
Les services attendus d'une PKI sont les suivants :
• Création des certificats (enregistrement des utilisateurs ou des équipements informatiques,
vérification des données d'identification, cohérence de ces informations).
• Gestion des certificats (publication, renouvellement, révocation).
• Gestion et publication de la liste des certificats révoqués (listes de révocation).
• Identification et authentification des utilisateurs accédant à la PKI.
• Archivage, séquestre et recouvrement des certificats
Question 2
Techniquement une PKI utilise 2 types de chiffrement, lesquels ? Expliquez.
2 points
- Chiffrement à clé secrète (symétrique) : l’émetteur utilise une clé pour chiffrer le message et le
destinataire utilise la même clé (le même algorithme mais en sens inverse) pour déchiffrer le
message.
- Chiffrement à clé publique (asymétrique) : Un message chiffré avec une clé publique donnée ne
peut être déchiffré qu’avec la clé privée correspondante.
Par exemple si A souhaite envoyer un message chiffré à B, il le chiffrera en utilisant la clé publique de B (qui
peut être publié dans l'annuaire). La seule personne qui déchiffre le message est le détenteur de la clé
privée de B.
Question 3
Donnez un nom d’algorithme pour chacun des types de chiffrement.
3 points
Symétrique : DES;AES.
Asymétrique : RSA.
Question 4
Expliquez le fonctionnement d’un certificat X509.
5 points
Une autorité de certification attribue un certificat liant une clé publique à un nom distinctif (Distinguished
Name) dont le format est défini par la recommandation X.500, ou encore à un nom alternatif (Alternative
Name) tel qu'une adresse électronique ou un enregistrement DNS.
Ce certificat place la signature d'une autorité de certification dans le dernier champ. Concrètement cette
signature est réalisée par un condensat de tous les champs précédents du certificat et un chiffrement de ce
condensat par la clé privée de l'autorité de certification.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 17/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
N'importe qui possédant la clé publique de cette autorité de certification peut déchiffrer le condensat et le
comparer au calcul de son propre condensat du certificat. Si les deux condensats sont identiques cela
garantit que le certificat est intègre, il n'a pas été modifié. Le certificat de l'autorité de certification qui
contient sa clé publique peut à son tour être signé par un autre certificat de plus haut niveau, formant ainsi
une chaîne. Tout en haut de la chaîne on trouve les certificats les plus importants : les certificats racine.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 18/19
UC D31 - Informatique, réseaux et sécurité - Corrigé
GRILLE DE NOTATION
UC D31 - Epreuve écrite - Informatique, réseaux, sécurité
N° de candidat__________________
Dossier 1 - Administration
/20
Réseau
TOTAL /120
Appréciation générale :
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Signature :
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2020 19/19
UC D31 - Informatique, réseaux et sécurité - Corrigé