1. Certificates des sécurités.

Quelle sont les entités qui donne le certificat ?

Les certificats de sécurités établissent l’identité, authenticité et la fiabilité d’un site web. Les
certificats contient la clé publique du site web, par quoi on peut vérifier l’identité du site ou
application. D’habitude, les certificats sont valables un an, après ça on doit obtenir un nouvel
certificat. Si le certificat est expiré, les utilisateurs seront prévenus (dans la partie haute-gauche
du browser un signe d’exclamation jaune ou rouge puis un avertissement avant de continuer de
parcourir le site apparaîtra). Il existe des autorités spécialisées qui peuvent offrir des certificats
de sécurités. Ces autorités sont connues et officiellement enregistré.
Certificats de sécurité: TLS, SSL. L'autorité de certification (CA en angl. Certification
Authority) est une entité qui délivre des certificats numériques. SSL, TLS. Les compagnies
approuvé par l'Autorité de Certification offrent les certificats de securite. Pour voire le certificat
d'une site web: cliquez sur le symbole du cadenas fermé à gauche de l'url → voir le certificat.
Les certificats délivrés gratuitement sont valables 90 jours.
2. Pouvons-nous génères seul un certificat de sécurité ou un a besoin d’avoir un certificat
génère par un institut autorise ?
On peut générer nous mêmes des certificats, mais elles ne seront pas être reconnus par les ISP,
firewalls et browsers, donc un signe d’avertissement apparaîtra dans le browser en accédant au
sites web comme celles si. Néanmoins les certificats généré par nous mêmes sont utilisés dans
les cas des applications desktop, mobile ou pour la communication entre les services internes
d’un système. Comme la plupart des certificats émis par les autorités sont exige des frais, c’est
plus convenable de générer nous mêmes des certificats quand l’utilisateur ne peut pas apercevoir
les messages du browser.
3. HTTP vs HTTPS. Pourquoi utilise HTTPS ? Quelle est la liaison entre le certificat de
sécurité et HTTPS ?
HTTPS c’est une version sécurisé du HTTP. Donc, le trafic est encrypté quand on utilise
HTTPS. Les certificats de sécurités nous offre la possibilité de migrer de HTTP à HTTPS, en
faisant l’encryption des données possible. Les certificats contient la clé publique du site web, par
quoi on peut vérifier l’identité du site ou application. La clé publique est utilisé pour ouvrer une
connexion sécurisé et encrypté avec une application. Cela protège les utilisateur des attaques
comme spoofing.
4. Comment fonctionne RSA ? Pourquoi on a besoin de 2 clé ? RSA est un algorithme
symétrique ou asymétrique ? Quelle est la différence entre algorithme symétrique et
asymétrique ?
RSA est un algorithme de cryptage asymétrique. Premièrement on doit générer 2 nombres
premiers, p et q. Puis on calcule un nombre n = p*q et fi(n) = (p-1)(q-1). Puis on sélectionne un
nombre e, 1 < e < fi(n), e doit être copremier avec n, p, q et fi(n). Puis on calcule les nombres d
et k de l’expression suivante d*e = 1 mod fi(n). La clé publique et la combinaison entre e et n.
La clé privée et la combinaison d et n. Pour encrypter un message on utilise l’expression C = me
mod n. Pour décrypter c’est m = Cd mod n.
L’algorithme symétrique offres une seule clé qui est utilisé pour encrypter et décrypter un
message, ce qui n’est pas très sécurisé. Les algorithmes symétriques offres 2 clés, une privée et
un autre public. La clé publique peut être offerte a beaucoup des personnes, quand la clé privé
est tenu a chacun. On peut encrypter en utilisant la clé publique, mais décrypter seulement avec
la clé privé bonne. Cela offre beaucoup plus de sécurité parce si la clé public et connue, la clé
privé est difficile a obtenir.
5. A quoi sert /etc/hosts ou c:\Windows\System32\Drivers\etc\hosts fichier ? Comment on
peut créer un virus en utilisant le contenu du ce fichier-là ?
6.

Phishing : usurpation/vol d'identité. Comment on peut faire cela ?

Phishing peut être fait par un virus qui édite le fichier hosts et remplace le mappage domaine -
adresse ip par un ip d’une application fausse (créé par le hacker) et nous rédirectioner vers une
application similaire a celle qu’on attends afin d’obtenir des données personnels (mots de passe,
numéros des carte de crédit), etc. Aussi, on peut envoyer des emails pour tromper l’utilisateur de
clicker sur des sites d’ou on va soustraitre l’information personnel nécessaire.
7. DNS. Comment fonctionne le DNS ? Comment on peut l’utilise a création de Virus ?

DNS Domain Name System) est un système qui assure le fonctionnement des noms de domaine des
sites auxquels nous sommes habitués.

Le système de noms de domaine comprend les éléments suivants :

Structure hiérarchique des noms de domaine :

Zones de domaine de premier niveau (premier niveau) - par exemple : "ru", "com" ou "org". Ils incluent
tous les noms de domaine inclus dans cette zone. Toute zone de domaine peut inclure un nombre illimité
de domaines.

Noms de domaine (zones de domaine de deuxième niveau) - par exemple : "google.com" ou "yandex.ru".
Parce que Le système des noms de domaine étant hié-rarchique, "yandex.ru" peut également être
appelé sous-domaine de la zone supérieure "ru". Par conséquent, il est plus correct de spécifier le niveau
de domaine. Cependant, en pratique, une zone de domaine de n'importe quel niveau est simplement
appelée un "domaine".

Sous-domaines (zones de domaine de troisième niveau) - par exemple : "api.google.com" ou

"mail.yandex.ru". Il peut y avoir des zones de domaine de 4, 5 niveaux, etc.

8. Comment est établisse la connexion TCP ?

La connexion TCP est établi en 3 étapes, aussi nommé 3 way handshake.
1) Le client envoie un message SYN vers le serveur, Le client initiateur demande une session de
communication client-serveur avec le serveur. Le client envoie aussi le port source du processus.
2) Le serveur envoie un message SYN + ACK. Le serveur accuse réception de la session de
communication client-serveur et demande la session de communication serveur-client.
3) Le client réponds par un ACK pour confirmer la connexion. Le client initiateur reconnaît la
session de communication serveur-client. En commencent avec ce moment les machines peuvent
communiquer.
9. DOS(denial of service) attaque. Quel principe est la base de cette attaque ?
DOS attaque exploits le 3 way handshake du protocole TCP. On envoie beaucoup des messages
SYN dans un moment du temps depuis une machine afin que le serveur ouvre des connexions
pour tous le ports disponibles. Cela rends le serveur indisponible pour les utilisateurs légitimes.
10. DDOS – quelle est la différence avec DOS ? Pourquoi utilisé DDOS est ‘ce que on a
DOS ?
DOS est exécuté depuis une seule machine en tant que DDOS est exécuté depuis plusieurs
machines. C’est plus difficile de se protéger contre DDOS. Dans le cas de DOS on peut suivre le
numéro des SYN envoyés par un seule adresse ip. Si une certaine limite est franchie, on va
bloquer les requêtes depuis cette adresse. Par contre, en DDOS c’est difficile de distinguer une
machine malveillante d’un utilisateur légitime. Néanmoins, il existe des techniques de protéction
de DDOS comme de limiter le trafic pour les port qui ne sont pas destinés a certaines requêtes et
d’implémenter de load balancer qui peuvent manipuler beaucoup du trafic.
11. IP Publique – a quoi sert ? On peut utiliser l’IP Privé pour attaquer un
ordinateur/ressourcé quelqu’un? (On peut attaquer l’IP prive de l’extérieur (par
exemple d’un IP Public) ?)
IP Publique c’est l’adresse du réseau. A l’aide d’IP Publique on a accès au réseau externe.
Quand un paquet internet atteint le routeur, il execute ce qu’on appelle NAT (Network Address
Translation). Donc le routeur contient un mappage de l’adresse IP privée et port avec l’adresse
IP Publique et port. Dans ce cas, l’adresse privée est caché et protégé du réseau externe.
Pour accéder à une adresse IP privée on doit passer par NAT. Du moment quand un IP privé est
traduit en une adresse publique, on peut sortit dans le réseau et de attaquer des autres machines.
Pour attaquer un IP privée on doit savoir le chemin au machine. Cela peut etre acompli par l’aide
de social engineering, phishing, etc. pour tromper l’utilisateur de clicker sur des links
spécialement crées pour soustraire de l’information comme le chemin vers l’IP privée.
12. Combien de ports à un ordinateur et comment ils sont groupés ? Pourquoi on a besoin
de ces ports-là ?
Il y a 65535 ports. De 0 à 1023 il y a les ports connues (well known ports) déstinés pour les
connexion TCP et UDP avec des protocoles comme HTTP - 80, SMTP - 25, FTP - 21, etc. De
1024 à 49151 on a les ports enregistrées sont utilisées par des organisations pour leurs propres
application. De 49152 à 65535 on a les ports dynamiques ou privées qui sont attribuées au
différents processus pour chaque machine qui utilise quelques services. Ces ports sont distribués
au hasard par le système d’exploitation.
Les port identifient les services sur une machine.
13. Quesque signifie un socket ? A quoi il sert ? Peut le socket être considère comme une
ressource ? Si oui, donnez quelques exemples comment on peut utiliser ce type de
ressource.
Un socket est la combinaison entre l’IP et le port. C’est un moyen ou ressource de
communication entre les processus.
14. Virus FBI. Comment il fonctionne ? Quelle est la destination de lui est comment le
problème peut être solutionner ?
Le virus FBI c’est un type de Ransomware, mais en comparaison avec Ransomware on
n’encrypte pas les données, on bloque seulement l’écran et affiche un message qui apparaît
comme d’être depuis une organisation officielle comme FBI qui requête de payer une amende.
15. Virus Ransomware. Comment il fonctionne ? Est’ ce qu’existe la possibilité de récupère
l’information ‘perdu’ ?
Le virus Ransomware fonctionne de manière suivante: d’après avoir accéder a une application
malveillante, toute information contenu dans l’ordinateur est cryptée et l’utilisateur voit un
message qui requête de payer une somme d’argents pour récupérer l’information. La
récupération dépends du cas si le hacker connais la clé pour décrypter l’information, autrement
l’information sera perdu pour toujours.
16. Comment le lien dur peut être utilisé ? Quelle est la différence entre lien dur et le lien
faible ? Donne un exemple de création pour le fichier /etc/hosts. Comment on peut
effacer par une seule commande définitivement le fichier du système ? Est-ce qu’il a
plusieurs des options – donnes et des autres exemples d’effacée.
Le lien dur c’est comme une copie plus optimisé séparé d’un fichier. Quand on crée un lien dur,
le fichier résultat pointera vers l’adresse mémoire ou est stocké le fichier. Aussi on incrementera
le numéro de liens dur qui est affiché quand on exécute la commande ls -l. Par contre, le liens
faible c’est plus comme un shortcut vers le fichier original. Le fichier résultat pointera vers le
nom de fichier original. Donc, si on efface le fichier original, on ne pourra pas accéder vers le
lien faible, néanmoins on pourra le faire pour le lien dur. Aussi le lien faible est délimiter comme
l quand on exécute la commande ls -l, dans la première lettre qui indique le type du fichier.
Pour créer un lien dur: ln /etc/hosts lien-dur-hosts
Pour créer un lien faible: ln -s /etc/hosts lien-faible-hosts
On peut effacer par une seule commande définitivement le fichier du système par quelques
façons:
1) find / -samefile nom-fichier | xargs rm (on cherche depuis le nom - on doit être attentive parce
qu’on peut effacer des fichiers avec des noms similaires)
2) find / -inum inode-num | xargs rm (avan de cela on doit executer ls -li pour voir l’inode)
3) ls -li | grep nom-fichier | awk ‘{print $1}’ | xargs find / -inum | xargs rm (dans ce cas aussi il
existe le risque d’effacer un fichier avec le même nom) - premièrement on cherche dans le
directoire courant l’inode d’un fichier avec le nom indiqué dans la commande grep, puis on
choisi la première colonne (puisque la commande ls affiche beaucoup des colonne dont on n’a
pas besoin au moment). Puis, on passe cette information vers la commande find qui cherche dans
le système entier les fichiers avec le même inode. Au final, avec la commande rm on efface tous
les liens durs. La commande xargs passe les comme paramètres les résultats de la commande
précédente.
17. A qui sert les paramètres de la commande find : « mtime, ctime, atime « ? Comment on
peut utiliser ce type de paramètre pour le fichier /etc/passwd ?
atime - indique le temps quand le fichier a été consulté la dernière fois
mtime - indique le temps quand le fichier a été modifié la dernière fois
ctime - indique le temps quand les métadonnées ont été modifier pour un fichier le dernièr fois.
Si dans le cas de mtime on le change seulement en éditant le fichier, le ctime peut être modifié
comme dans le temps d’édition aussi que quand on appelle touch pour le fichier.
Dans le cas du fichier /etc/passwd on peut vérifier quand il été modifié la dernière fois pour
débogage. Aussi on peut influencer le résultat du paramètre ctime en appelant touch.
18. Comment on peut effacer tous les fichiers qui sont été modifié dans le dernière 24
heures de directoire /tmp?
On peut faire cela à l’aide de commande: find /tmp -mtime -1 | xargs rm -f
19. Comment on peut visualiser le numéro des lignes du fichier /etc/passwd ? Donne
plusieurs commandes si vous le connaisse.
On peut faire cela de quelques façons:
nl /etc/passwd | awk ‘END {print $1}’
cat -n /etc/passwd | awk ‘END {print $1}’
wc -l /etc/passwd
sed -n ‘$=’ /etc/passwd
awk ‘END {print NR}’ /etc/passwd
20. Les opérateurs >, >>, <, <<. A quoi sert ? Données deux exemples à partir de chaque
opérateur.
L’opérateur > introduit les données dans un fichier, en effaçant tous le contenu précédent.
L’opérateur >> aussi introduit les données, mais cela ajoute à la fin du fichier, sans effacer le
contenu précédent. L’opérateur < redirige l’entre vers une commande tout de suite. L’opérateur
<< redirige l’entre vers une commande jusqu’au moment quand le caractère EOF choisi par
l’utilisateur est rencontré.
wc -l > test.txt (puis si on éxecute cat test.txt on verra 5 par example)
wc -l >> test.txt (si on exécute cat test.txt on verra 5 et 5 dans la ligne suivante)
cat < ‘hello’ (affichera hello)
cat << EOF (cela ouvrera un ligne de commande spéciale pour introduire les caractères voulus)
>abcd
>efgh
>EOF
Cela affichera:
abcd
efgh
21. L’opérateur tube/pipe (|). A quoi sert ? Données deux exemples comment on peut
l’utilise.
L’opérateur pipe |, passe la sortie d’une commande comme entré pour une autre. Par example
dans la commande cat -n /etc/passwd | awk ‘END {print $1}’, cat -n affiche le contenu du fichier
/etc/passwd avec les lignes numérotées. Après, avec awk ‘END {print $1}’ on selecte la dernière
ligne, la première colonne. En résultat on recevra le numéro des lignes dans le fichier
/etc/passwd.
La commande find / -samefile nom-fichier | xargs rm. La première partie cherche dans le
système le fichier avec le nom nom-fichier. Le résultat doit etre la liste des chemins vers les
fichiers avec ce nom. La seconde partie, xargs introduit comme paramètres les valeurs reçus du
première partie pour la commande rm, qui efface tous ces fichiers.
22. Dans lequel fichier on a les donnes stocker à côté de l’IP adresse d’ordinateur, Mask,
etc. ? Comment on peut changer ces données de la ligne de commande ?
Pour linux cet information est stocké dans le fichier qui contient cette information en format
hexadecimale little-endian: /proc/net/tcp. Aussi il y a /proc/net/fib_trie. Pour le nouvelles
versions il y a aussi le Network Manager qui content un nombres des fichiers qui commencent
avec netplan situées dans /etc/NetworkManager/system-connections ou on peut trouver des
données comme l’adresse ip, masque, etc.
Pour changer cela on doit rédacter le fichier /etc/network/interfaces, puis relancer le Networking
Manager. Aussi on peut faire cela avec la commande ip addr add X.X.X.X/24 dev eth0 pour
attribuer l’adresse à une interface. Mais ça va réinitialiser après le redemarrage du ordinateur,
donc c’est mieux d’utiliser le fichier /etc/network/interfaces.
Pour Windows l’information est stocké dans les régistres \HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\Interfaces .
Pour changer on doit exécuter la commande netsh interface ipv4 set address name="VOTRE
NOM D'INTERFACE" statique IP_ADDRESS SUBNET_MASK GATEWAY
23. Jobs dans linux. Quelle sont les deux commandes ? Donne-ici quelques exemples
d’implémentation.
Les Jobs sont des scripts/applications qui s’exécutent a un intervalle du temps. On peut faire cela
de quelques manières:
crontab -e - ici s’ouvre le fichier /var/spool/cron/crontabs ou on peut rédiger et introduire un
cronjob dans le format suivante: ex. 00*** rm -f /tmp/corina/* pour effacer tous les fichiers
temporaires pour l’utilisateur corina chaque jour à minuit.
echo “00*** rm -f /tmp/root/*” >> /var/spool/cron/crontabs
Un autre façon de créer un Job est avec la commande at
Ex: echo "ping -c 4 sedicomm.com" | at now +1 minute
Cette commande va exécuter un ping après une minute.
La différence entre at e crontab est que at exécute la commande ou script seulement une seule
fois, quoique crontab peut le répéter après un intervale.
24. Processus en linux. Comment on peut visualiser les processus avec leur pid, comment on
peut le tue ? comment on peut mis le processus en background et vice-versa ?
Le processus c’est un programme en exécution. Avec la commande ps on peut visualiser les
processus avec leurs pid. On peut les tuer avec la commande kill pid. On peut aussi transmette
un signal SIGKILL, SIGTERM, etc. Comme kill -SIGKILL pid.
Un processus peut être mis en background en placent le symbole &, Ctrl + Z + bg après on lance
un program. Pour le remettre en foreground on avec la commande fg jobid. Le job id peut etre
appris avec la commande jobs.
25. Comment on peut mis un processus en background et foreground ?
Un processus peut être mis en background en placent le symbole &, Ctrl + Z + bg après on lance
un program. Pour le remettre en foreground on avec la commande fg jobid. Le job id peut etre
appris avec la commande jobs.
26. Qu’est-ce que signifie le sticky bit ? A quoi il sert ? Quelle est la différence entre ‘t’ et
‘T’ ?
Le sticky bit permet seulement au propriétaire de renommer et effacer les fichiers d’un certain
dossier. Il sert par exemple pour le dossier /tmp. Dans ce cas tous les autres utilisateurs peuvent
éditer les fichier du /tmp d’un autre utilisateur, mais seulement le propriétaire peut les effacer.
Cela est fait pour qu’un autre utilisateur n’efface pas accidentellement ou spécialement
l’information. T signifie que la permission pour exécuter le dossier n’est pas défini pour le
groupe autres (others), t signifie le contraire.
On peut définir le sticky bit comme ça: chmod +t nom-dossier
27. Qu’est-ce que signifie le SUID bit ? A quoi il sert ?
SUID permet d’exécuter un fichier avec les droits du propriétaire. Cette commande est utile dans
les cas quand on a besoin des droits du root pour quelques opérations. Par exemple cela est
utilisé quand on change ou défini le mot de passe dans le fichier /etc/passwd. Pour éditer le
fichier on a besoin des droits du root. Néanmoins on peut changer seulement le mot de passe
pour notre utilisateur. Cela est possible grâce a 2 notions qui coexistent: utilisateur réel et
utilisateur efficace (effective). Quand on exécute un login, tous les 2 sont définis comme
l’utilisateur qui s’était connecté. Dans le moment quand on essaie de changer le mot de passe,
l’utilisateur efficace (effective) est changé en root. Dans ce moment la, la commande vérifie si
l’utilisateur efficace est root (il est root) et lui donne la possibilité de changer le fichier. En
même temps, le script qui est à la base de la commande vérifie si l’utilisateur réel est aussi root,
ou si l’utilisateur pour qui le mot de passe est changé corresponds au nom d’utilisateur réel.
Donc si un utilisateur essaie de changer le mot de passe d’un autre, cela ne va pas marcher.
On peut définir le SUID de façon suivant: chmod u+s nom-fichier
28. Quelle sont les fichiers caches en linux ? Comment on peut les visualiser ? Deux options.
Quelle sont les différences entre les deux options de la commande ?
Les fichiers cachés en linux sont les uns pour qui le nom commence avec point (.). On peut les
visualiser avec les commandes ls -a est ls -A. Avec a on peut voir tous les fichier d’un dossier, y
compris et les dossier. (dossier actuel) et .. (dossier parent). Avec A on ignore le dossier actuel et
parent.
29. Qu’est-ce que signifie la commande alias ? A quoi sert ? A cote de sécurité comment on
peut utiliser ça ?
La commande alias nous permet de donner un autre nom pour une commande linux. Elle est
utile si on veut raccourcir le nom d’un commande très longue qui est difficile a mémoriser.
A coté de sécurité cette possibilité peut être utilisé en buts malveillants, par exemple si on
remplace la commande mkdir nom-dossier avec rm -rf * qui au lieu de créer un nouveau dossier,
va effacer tous les fichiers du système en le rendant inutilisable.
On peut utiliser cette commande de manière suivante: alias ll='ls -la'. Donc, quand c'est tapé ll, le
système exécute ls -la.
30. Tirer le schéma du travail de laboratoire numéro 4 et bloquer le ping selon un schéma
commun dessiné sur le tableau à l'aide de la commande iptables. Expliquer ce que fait
exactement chaque paramètre de cette commande. Ecrire toutes les commandes pour les
règles appliquées.
Pour bloquer un ping d’un interface à un autre on a exécuté la commande:
iptables -A INPUT-p icmp -s 10.0.2.15/24 -d 10.0.0.10/24 -j DROP
L’option -A indique qu’on veut ajouter (append) une règle. Le paramètre INPUT indique la
chaîne pour laquelle on va définir la règle. Les chaînes sont des listes des règles qui sont
respectés quand un paquet traverse un dispositif. Il y a 3 chaînes intégrés INPUT, OUTPUT et
FORWARD. INPUT s’applique quand un paquet doit saisir un appareil. OUTPUT s’applique
quand un paquet doit sortir d’un dispositif. FORWARD s’applique plus dans le cas des routeurs
pour qui la fonctionne de rédirectionnement des paquets est activé. Dans le cas dernier, le paquet
ne traverse le routeur lui même, il passe par le routeur. Puis, l’option -p va indiquer le protocole
pour qui on indique la règle, dans notre cas c’est icmp (parce qu’on veut bloquer le ping).
L’option -s indique l’adresse IP source et -d indique l’adresse destination. L’option -j indique
quelle action on veut exécuter si les adresse corresponds, dans notre cas on fait DROP, donc on
va jeter les paquets. Il y a aussi ACCEPT qui permets d’accepter les paquets.
31. SMTP/POP3/IMAP. Avantages et inconvénients. Que font ces protocoles et comment
fonctionnent-ils ?
SMTP (Simple Mail Transfer Protocol) c’est un protocole pour transmettre des emails. SMTP
utilise les ports 25, 465, 587 et 2525.
Transmission de messages électroniques via le protocole SMTP est divisé en deux étapes : envoi
du message et relais (Relais SMTP).
Envoyer fait référence à l'envoi d'un message électronique à un serveur de sortie. La
retransmission fait référence au processus de l'envoi d'un message entre serveurs de messagerie
(appelé sous le nom de MTA), sur le chemin du serveur destinataire.
Pendant la transmission d’un email, il passe par quelques agents. Les agents sont des
applications qui ont des fonctionnes particuliers, comme la transmission d’un email vers un autre
serveur ou agent.
MUA - Mail User Agent (ex. Gmail, Outlook, Yahoo, etc.)
MSA - Mail Submission Agent
MTA - Mail Transfer Agent
MDA - Mail Delivery Agent
Les commandes qui peuvent etre utilisé par un client sont:
EHLO ou HELO - l’initialisation de communication
MAIL - indique l’adresse email source
RCPT - indique l’adresse email destination
DATA - ce sont les données qui doivent être transmises. Consiste en subject et body.
QUIT - indique la terminaison d’une connexion
Quelques codes de reponses SMTP:
220 - la connexion avec le serveur a réussi
250 - la commande précédente a été exécutée avec succès
354 - le début de la transmission de la lettre
530 - accès refusé, authentification requise
500 - erreur de syntaxe, commande non reconnue
221 - le serveur met fin à la connexion
POP3 est un protocole standard utilisé par les clients de logiciels de messagerie pour télécharger
des messages électroniques à partir d'un serveur de messagerie via une connexion TCP/IP.
Port 110 – les messages sont envoyés non chiffrés
Port 995 – les messages sont envoyés cryptés.
Les avantages du POP3:
- facile à utiliser, aucune licence requise
- pris en charge par pratiquement tous les appareils, ce qui signifie que vous pouvez accéder à
votre courrier n'importe où
- simple à configurer
- les messages sont toujours disponibles sur l'appareil pour une utilisation hors ligne
- économise de l'espace de stockage sur le serveur
Les désavantages POP3:
- les fichiers JavaScript malveillants, les virus et autres logiciels malveillants ont plus de chances
d'infecter l'appareil car chaque message est stocké localement
- les dossiers ne peuvent pas être créés, il n'y a que la boîte de réception
- il n'y a pas de synchronisation. Si le courrier est accessible sur plusieurs appareils (par
exemple, ordinateur de bureau, mobile et tablette), vous pouvez voir différents e-mails en
fonction de ce qui a été téléchargé sur chaque appareil
- les messages sont téléchargés dans leur intégralité
- l'utilisateur ne peut pas parcourir le contenu des e-mails avant de le télécharger sur le système
local
Les commandes POP3:

IMAP est un protocole standard utilisé par un client de messagerie pour accéder aux e-mails
stockés sur un serveur de messagerie à distance.
Les clients de messagerie utilisant IMAP peuvent utiliser soit le port 143 pour établir une
connexion non sécurisée, soit le port 993 s'ils ont besoin de se connecter en toute sécurité via
IMAP sur SSL / TLS (IMAPS).
Les avantages de IMAP:
- c'est rapide, les messages ne sont que partiellement téléchargés et ce n'est que lorsqu'ils sont lus
qu'ils sont entièrement téléchargés
- la structure et le contenu des dossiers seront préservés et visibles depuis n'importe quel
ordinateur
- les messages reçus et envoyés sont enregistrés sur le serveur et peuvent être restaurés et
consultés à tout moment, depuis n'importe quel endroit
- économise de l'espace de stockage local
- les utilisateurs peuvent décider quand télécharger les pièces jointes
- la possibilité de définir le drapeau d'état pour les messages
Les desavantages IMAP:
- lorsqu'un message est supprimé d'un poste de travail, il est également automatiquement
supprimé du serveur
- accès aux e-mails un peu plus lent par rapport à POP3, car tous les dossiers sont synchronisés à
chaque envoi/réception de message
- les dossiers peuvent être dupliqués s'ils ne sont pas configurés correctement
Les commandes IMAP:

IMAP est mieux utilisé lorsque le courrier électronique est accessible à partir de plusieurs
appareils, tels qu'un ordinateur professionnel et un téléphone.
POP3 peut être utilisé si un seul appareil est utilisé et un seul courrier électronique avec un très
grand nombre de messages. Il est également préférable de l'utiliser si votre connexion Internet
est mauvaise et que vous devez accéder à vos messages hors ligne. Dans la plupart des cas,
IMAP est le plus préférable.
Si des messages commencent à disparaître de votre messagerie sans qu'ils soient explicitement
supprimés, cela signifie presque toujours que l'un des appareils est configuré pour accéder à la
messagerie à l'aide du protocole POP3.
32. IPTABLES & SSH Remote port forwarding
Iptables c’est une utilitaire Linux qui filtre les paquets, traduit les adresses et réécrit les champs
d'un paquet. Peut etre configuré en écrivant des règles.
Les règles iptables sont composées de deux sections principales :
– Modèle – quelles valeurs les champs du paquet doivent avoir pour agir
– Action – quelle opération la machine Linux effectuera sur le paquet
Les tables iptables:
- Filter - Contient des règles qui indiquent quel trafic peut passer et quel trafic doit être supprimé
- Nat - Contient des règles pour traduire les adresses dans le processus NAT
- Mangle - Contient des règles pour la modification de paquets spécialisés
Les chaînes iptables - Listes de règles appliquées par défaut à un sous-ensemble spécifique de
trafic

iptables -A INPUT-p icmp -s 10.0.2.15/24 -d 10.0.0.10/24 -j DROP

L’option -A indique qu’on veut ajouter (append) une règle. Le paramètre INPUT indique la
chaîne pour laquelle on va définir la règle. Les chaînes sont des listes des règles qui sont
respectés quand un paquet traverse un dispositif. Il y a 3 chaînes intégrés INPUT, OUTPUT et
FORWARD. INPUT s’applique quand un paquet doit saisir un appareil. OUTPUT s’applique
quand un paquet doit sortir d’un dispositif. FORWARD s’applique plus dans le cas des routeurs
pour qui la fonctionne de rédirectionnement des paquets est activé. Dans le cas dernier, le paquet
ne traverse le routeur lui même, il passe par le routeur. Puis, l’option -p va indiquer le protocole
pour qui on indique la règle, dans notre cas c’est icmp (parce qu’on veut bloquer le ping).
L’option -s indique l’adresse IP source et -d indique l’adresse destination. L’option -j indique
quelle action on veut exécuter si les adresse corresponds, dans notre cas on fait DROP, donc on
va jeter les paquets. Il y a aussi ACCEPT qui permets d’accepter les paquets.
Iptables fonctionne de manière suivante: Lorsqu'un paquet est rencontré, il est évalué
séquentiellement par rapport à chaque règle d'une chaîne. Si une règle correspond à une cible
ACCEPT ou DROP, le traitement se termine et le paquet est accepté ou abandonné. Si aucune
correspondance n'est établie sur une règle, nous attirons l'attention sur la politique par défaut.
Les politiques par défaut sont ACCEPTER.
Le tunneling SSH ou le transfert de port SSH est une méthode de création d'une connexion SSH
cryptée entre un client et une machine serveur à travers laquelle les ports de services peuvent
être relayés.
Le transfert SSH est utile pour transporter les données réseau des services qui utilisent un
protocole non chiffré, tel que FTP , accéder au contenu géo-restreint ou contourner les pare-feu
intermédiaires. Fondamentalement, vous pouvez transférer n'importe quel port TCP et tunneliser
le trafic via une connexion SSH sécurisée.
Remote port forwarding est l'opposé du local port forwarding. Il permet de rediriger un port sur
la machine distante (serveur ssh) vers un port sur la machine locale (client ssh), qui est ensuite
redirigé vers un port sur la machine de destination. En d'autres termes, remote port forwarding
est principalement utilisée pour donner accès à un service interne à quelqu'un de l'extérieur.
Le schéma de créer une connexion de remote port forwarding en Unix:
ssh -R [REMOTE:]REMOTE_PORT:DESTINATION:DESTINATION_PORT
[USER@]SSH_SERVER
Configuration des iptables d’executer port forwarding d’une connexion ssh vers un serveur:
iptables -t nat -A PREROUTING -p tcp -i interface_source --dport 22 -j DNAT --to-destination
ip_destination:port_destination
iptables -t nat -A POSTROUTING -j MASQUERADE
33. Masquerade (inet via NAT). Comment ça fonctionne Quelle règle appliquer et où. Quel
est le but?
Masquerade est un type de traduction d'adresse réseau qui permet aux hôtes d'un réseau privé
d'utiliser l'adresse IP publique.
Par exemple dans notre laboratoire nr. 5 on a configuré l’interface qui doit fournir l’accès à
l’internet comme de type NAT. Cela veut dire qu’il existe un routeur virtuel entre la machine
virtuelle et le réseau réel. Ce routeur virtuel fournit aussi des services NAT comme le nom peut
suggérer, donc le routeur traduit l’adresse assigné à la machine (qui est d’habitude 10.0.2.15 à
l’adresse fournit par l’ISP).
Sans masquerade, quand on essaie de transmettre un paquet depuis la machine virtuelle, le
paquet aura comme source l’adresse 10.0.2.15. Quand le paquet atteindra le routeur virtuel, la
source sera changé pour l’IP fournit par l’ISP. Puis, le paquet atteindra la destination, reviendra
au routeur virtuel. Et ce routeur virtuel ne saura pas quelle machine est le destinataire.
Pour corriger cela on doit exécuter une commande:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.2.0/24 -j MASQUERADE
Maintenant, la machine envoie un paquet, le routeur change l’adresse destination avec celle
fournit par l’ISP, le paquet atteinds la destination. Et quand le paquet reviendra au routeur
virtuel, il le redirigera vers notre machine virtuelle, parce que masquerade a permit au routeur
virtuel de mémoriser l’adresse source initielle.
34. Envoi et réception d'e-mails via l'utilitaire telnet. Comment y parvenir ? Donnez 1
exemple pour chaque cas.
Premièrement pour avoir accès à cette utilitaire, on doit l’installer en Linux avec la commande:
apt-get install telnet-ssl
Envoie d’emails avec telnet:
telnet -z ssl smtp.gmail.com 465 (pour se connecter en manière plus sécurisé en utilisant,
l’option -z ssl indique qu’on doit négocier premièrement une connexion ssl, puis utiliser telnet)
HELO hello (on indique le commencement de la connexion)
AUTH LOGIN (on indique qu’on veut s’authentifier)
Puis on introduit le nom d’utilisateur codé en format base64
Et le mot de passe aussi codé en base64
MAIL FROM: <l’email du source>
RCPT TO: <l’email du destination>
DATA (on indique qu’après ça on va introduire le message de l’email)
La première partie inclus le sujet, puis on peut continuer avec le message en fait
Pour terminer le message on inclus . et nouvelle ligne
Pour terminer la connexion on introduit QUIT.
Pour recevoir les messages:
openssl s_client -connect pop.gmail.com:995
user email (email en texte brut)
pass password (mot de passe en texte brut)
Puis on peut introduire des commandes pour voir les messages, comme list pour voir tous les
messages et leurs dimensions, retr id pour visualiser un message, dele id pour effacer un
message
Pour sortir on peut introduir quit
35. VPN Single & Dual keys factor authentification. A quel niveau OSI fonctionne. Qu'en
est-il d'ipsec ? Comment fonctionne IPsec ?
L'authentification à deux facteurs (2FA) pour les VPN fonctionne généralement au niveau de la
couche application (couche 7) du modèle OSI. En effet, 2FA est un mécanisme utilisé par une
 application (dans ce cas, le client VPN) pour confirmer l'identité d'un utilisateur avant d'autoriser
l'accès au service VPN.
Le premier facteur de 2FA, généralement un nom d'utilisateur et un mot de passe, est quelque
chose que l'utilisateur connaît et est généralement vérifié par le client VPN au niveau de la
couche application. Le deuxième facteur, tel qu'un code envoyé à un téléphone ou à un e-mail,
une analyse d'empreintes digitales ou un jeton de sécurité, est quelque chose que l'utilisateur
possède et est généralement vérifié par le client VPN ou un serveur d'authentification séparé au
niveau de la couche application.
Alors que 2FA fonctionne au niveau de la couche application, il s'appuie sur d'autres couches du
modèle OSI pour fonctionner. Par exemple, la couche transport (couche 4) peut être utilisée pour
transmettre en toute sécurité les identifiants d'authentification entre le client VPN et le serveur
d'authentification, et la couche liaison de données (couche 2) peut être utilisée pour établir une
connexion sécurisée entre le client VPN et le serveur VPN.
IPsec (Internet Protocol Security) est un protocole de sécurité utilisé principalement pour
sécuriser les communications sur Internet. Il s'agit d'un ensemble de protocoles qui permettent le
cryptage et la sécurité des communications sur un réseau à l'aide d'algorithmes de cryptage et
d'authentification.
Il existe deux principaux protocoles utilisés dans IPsec : AH (Authentication Header) et ESP
(Encapsulating Security Payload). AH traite de l'authentification des données tandis que ESP
traite du chiffrement et de l'authentification des données.
IPsec est généralement utilisé pour sécuriser les communications VPN (Virtual Private
Network). Il peut également être utilisé pour sécuriser d'autres protocoles tels que TCP
(Transmission Control Protocol) et UDP (User Datagram Protocol).
36. SNMP. V1/v2/v3
SNMP (Simple Network Management Protocol) est un protocole Internet standard pour la
gestion des périphériques sur les réseaux IP basés sur des architectures TCP/UDP qui vous
permet de surveiller les périphériques réseau gérés, y compris les routeurs, les commutateurs
réseau, les serveurs, les imprimantes et d'autres périphériques qui sont activés via IP via un
système/logiciel de contrôle unique.
L’architecture SNMP:
 Station de gestion de réseau avec gestionnaire de réseau
 Agents
 Composants gérés
Station de gestion de réseau - NMS
Network Management Station (NMS) est une console système, NMS surveille à distance les
périphériques gérés, reçoit les données collectées par les agents principaux, surveille les
performances et présente les informations reçues sous forme graphique. Le gestionnaire NMS
intégré est responsable de la communication avec les agents.
Agents
Agent principal
Il s'agit d'un programme qui relie les gestionnaires de réseau et les sous-agents. L'agent principal
analyse les demandes entrantes du gestionnaire de réseau NMS et les transmet aux sous-agents,
reçoit des informations, crée une réponse et l'envoie au gestionnaire. L'agent principal informe le
gestionnaire si la demande est incorrecte, mal formulée ou si les informations demandées ne sont
pas disponibles.
Sous-agent
Il s'agit d'un programme fourni par le fournisseur avec un périphérique réseau utilisé dans une base
d'informations de gestion (MIB) spécifique. Le sous-agent collecte des informations sur l'agent
maître, configure les paramètres de l'agent maître et répond aux demandes du gestionnaire. Chaque
composant géré a un sous-agent correspondant.
Composant géré
Un composant géré est constitué d'ordinateurs ou de logiciels en réseau avec un sous-agent intégré.
Ces appareils comprennent non seulement les routeurs, les commutateurs et les serveurs, mais
également les caméras vidéo IP, les MFP et les téléphones IP. Les logiciels avec sous-agents
comprennent également des programmes antivirus, des systèmes de sauvegarde, des logiciels pour
les systèmes UPS.
En outre, SNMB comprend une base d'informations de gestion (MIB) et un identificateur d'objet
(OID). MIB est une base de données de gestion des informations sur les périphériques qui stocke des
informations sur l'état d'un périphérique géré qui sont disponibles pour les systèmes de gestion.
Chaque type d'appareil possède sa propre table MIB, et grâce à la MIB, le gestionnaire sait quelles
informations il peut demander à l'agent de l'appareil. OID - identifiant d'objet. La MIB fournit son
propre ID unique qui vous permet d'identifier l'appareil. OID est l'équivalent numérique d'un chemin
de fichier, une partie de l'OID contient des informations sur le fabricant de l'équipement, ce qui vous
permet d'obtenir rapidement des informations sur l'appareil.
SNMP a évolué en trois versions : SNMPv1, SNMPv2c et SNMPv3. Tous les messages SNMP sont
transportés via le protocole UDP (User Datagram Protocol) et chaque version prend en charge les
opérations GET, GetNext et Set SNMP.
SNMPv1
La version originale de SNMP, appelée SNMPv1, présente des limitations critiques en matière de
sécurité et de performances.
SNMPv1 fournit une authentification basée sur un mot de passe (chaîne communautaire). La chaîne
de communauté est envoyée en texte clair entre le gestionnaire NMS et les agents. Par conséquent,
le périphérique géré est vulnérable aux utilisateurs non autorisés qui peuvent facilement reconfigurer
le périphérique, en particulier si les listes de contrôle d'accès IP (ACL) ne sont pas en place.
Les données SNMPv1 et 2c échangées entre l'administrateur NMS et les agents ne sont pas cryptées.
En ce qui concerne les performances du protocole SNMPv1, l'ensemble des transactions de
protocole est limité aux Gets, Sets et Traps d'objets individuels dans la MIB. Par conséquent, de
grands ensembles d'informations nécessitent plusieurs transactions pour récupérer une ligne
d'informations.
SNMPv2c
SNMPv2c est le successeur du SNMPv1 d'origine. L'entier MIB2 standard a une longueur de 32 bits
dans le cas de SNMPv1 ; SNMPv2 définit un nouveau type d'entier d'une longueur de 64 bits. Un
compteur 64 bits peut mieux gérer les interfaces à haut débit car les compteurs 32 bits ne fournissent
pas une capacité suffisante et doivent boucler rapidement. Cela augmente le trafic réseau et a un
impact négatif sur l'utilisation du CPU de l'agent et du gestionnaire NMS.
SNMPv2c améliore également les performances de SNMPv1 en introduisant l'opération Get Bulk
Requests. Si le gestionnaire NMS souhaite récupérer une grande quantité de données, il envoie un
message GetBulk à l'agent au lieu d'une requête Get. L'opération GetBulk fournit des valeurs pour
toutes les variables de la liste et est beaucoup plus efficace que l'envoi de commandes GetNext
répétitives.
SNMpv2c introduit un nouveau type de communication SNMP - SNMP Inform request. En règle
générale, un SNMP Inform est utilisé pour la communication de gestionnaire à gestionnaire afin de
confirmation de la réception de la notification. Le paquet de demande d'information SNMP sera
envoyé en continu jusqu'à ce que le gestionnaire SNMP expéditeur reçoive une confirmation de
réception SNMP.
Les protocoles SNMPv2c et SNMPv1 utilisent une authentification simple, qui repose sur des noms
de
communauté.
SNMPv3 est le dernier protocole SNMP qui résout les problèmes de sécurité introduits par les
anciennes versions de SNMP. SNMPv3 assure l'intégrité, l'authentification et le cryptage des
messages en implémentant la vue SNMP, le groupe SNMP et l'utilisateur SNMP.
La vue SNMP définit ce qu'un utilisateur SNMpv3 particulier peut voir. Par exemple, il est possible
de configurer qu'un utilisateur n'aura accès qu'à l'index d'interface, OID 1.3.6.1.2.1.2, et tout ce qui
se trouve en dessous.
Pour créer une vue accessible à tous, le nom iso doit être spécifié. La MIB a une structure
arborescente afin que tout ce qui se trouve en dessous de l'iso soit accessible.
Le groupe SNMP est associé à la vue SNMP et définit un type d'accès – lecture seule ou
lecture/écriture. Il définit également le type de sécurité qui est actif lors de l'interaction avec
l'appareil.
noauth – ni authentification ni cryptage
auth – authentification uniquement, pas de cryptage
priv – authentification et cryptage
L'utilisateur SNMP est ajouté au groupe avec le niveau d'authentification et de cryptage. Le modèle
de sécurité doit correspondre au groupe, par ex. priv, un type de hachage pour le mot de passe (par
exemple, SHA), le mot de passe, l'algorithme de chiffrement (par exemple, AES) et un secret
partagé pour générer des clés de chiffrement.
37. Cyber sec presentation - Cyber Vs. Info sec
Sécurité des informations
Infosec implique la protection des informations et des systèmes d'information contre toute
utilisation non autorisée. Le domaine vise à assurer la disponibilité, l'intégrité et la
confidentialité.
Une façon de comprendre l'infosec par rapport à la cybersécurité est de considérer le domaine
comme un terme générique qui inclut toutes les données, pas seulement les données stockées
dans le cyberespace. Cela montre à quel point la cybersécurité est un type de sécurité de
l'information, mais les deux domaines ne sont pas identiques.
Les équipes de sécurité de l'information créent et mettent en œuvre des politiques et des
systèmes pour protéger les informations. Pour les grandes organisations, des systèmes de
sécurité stricts sont nécessaires pour protéger les clients.
La cyber-sécurité
Vivre au 21e siècle signifie qu'une grande partie des données est stockée dans des systèmes et
des réseaux informatiques. C'est le cas pour presque toutes les industries, et les informations
doivent être protégées à un degré élevé. Les professionnels de la sécurité de l'information axés
sur la cybersécurité sont responsables de la sécurisation de ces données.
La cybersécurité consiste à protéger, à prévenir les dommages et à restaurer les services et
systèmes de communications électroniques. Cela inclut les informations stockées dans ces
systèmes, que les professionnels de la cybersécurité s'efforcent de protéger.
La cybersécurité couvre tout ce qui concerne les systèmes électroniques et les communications.
Dans le domaine de la cybersécurité, il existe des sous-catégories qui nécessitent une
spécialisation supplémentaire. Ceux-ci incluent la sécurité du cloud, du réseau et des
infrastructures critiques.
Une confusion entre la sécurité de l'information et la cybersécurité peut se produire car la plupart
des informations que nous voulons stocker, protéger et transmettre existent dans le cyberespace.
Alors que la cybersécurité fait partie de la sécurité de l'information, certains aspects de la
sécurité de l'information ne sont pas inclus dans le domaine de la cybersécurité.
La sécurité de l'information est un terme général pour la création et la maintenance de systèmes
et de politiques visant à protéger toutes les informations, qu'elles soient numériques, physiques
ou intellectuelles, et pas seulement les données du cyberespace.
Un expert en sécurité de l'information peut développer les moyens d'accès aux données par des
personnes autorisées ou établir des mesures de sécurité pour assurer la sécurité des informations.
La cybersécurité, quant à elle, se concentre sur la protection des informations contre les
cyberattaques telles que les ransomwares et les logiciels espions.
38. Cyber sec presentation - Social engineering/ Passwords
Ingénierie sociale
Manipulation psychologique de personnes pour qu'elles accomplissent des actions ou divulguent
des informations confidentielles.
C’est un champ séparé de la sécurité, la plus le plus puissant et le plus efficace pour obtenir des
informations personnels.
Les personnes qui pratique ce type d’attaques, se repose sur plusieurs traits humains:
- Besoins physiques
- La crainte
- Besoin d'être utile
- La naïveté
- Culpabilité
- La compassion
Beaucoup des personnes tombent dans ce piège et ils doivent supporter les conséquences de leur
nature humaine.
39. Cyber sec presentation - OSINT(Open-source intelligence)/ What can we do?
OSINT (open source intelligence) est une discipline du renseignement et un ensemble d'activités,
d'outils et de méthodes permettant d'obtenir et d'analyser des informations à partir de sources
ouvertes. Elle s'applique à des personnes, des organisations, ainsi qu'à des événements, des
phénomènes et des objectifs spécifiques.
Avec OSINT, vous pouvez :
- recevoir les informations les plus objectives et les plus utiles pour la prise de décision ;
- obtenir des avantages concurrentiels pour votre organisation ou son produit ;
- trouver les failles et les vulnérabilités de votre propre système de sécurité, protéger les
informations confidentielles sur les clients ;
- comprendre les caractéristiques psychologiques, les besoins, les habitudes du public cible.
Dans l'industrie informatique et la sécurité de l'information, OSINT aide à :
- collecter des informations sur les concurrents et rechercher des avantages concurrentiels ;
- analyser la sécurité de l'objet, identifier les points vulnérables du système de sécurité ;
- trouver des fuites d'informations ;
- identifier les menaces possibles, leurs sources et leur direction ;
- analyser les cybercrimes (vols de données, hacks, etc.).
OSINT peut être utilisé à des fins légales et illégales. Par exemple, en utilisant l'intelligence
open source, un attaquant peut :
- voler les données personnelles des utilisateurs ou des informations confidentielles sur les
activités d'une personne / organisation ;
- obtenir des preuves compromettantes et les utiliser à des fins de chantage, d'extorsion,
d'atteinte à la réputation, etc. ;
- perturber le travail d'information, de production ou d'autres ressources de l'organisation.
L'intelligence open source consiste à obtenir des données à partir de sources du domaine public
et/ou de celles accessibles à la demande. Ceux-ci inclus:
- matériel d'information (articles, nouvelles, notes) dans les médias;
- recherche scientifique publiée dans des publications spécialisées;
- livres - encyclopédies, ouvrages de référence, mémoires, etc.;
- publications et commentaires sur les réseaux sociaux ;
- informations du recensement;
- documents provenant d'archives ouvertes d'État et non étatiques ;
- données commerciales publiques (revenus, profits, pertes, croissance, cours de l'action, etc.);
- résultats des sondages publics;
- les données des satellites de télédétection de la Terre et des avions de photographie aérienne ;
- documents de police et judiciaires et autres sources.
40. Netsh. Si nous avions Windows comme routeur, les mêmes règles que celles appliquées
pour IPTABLES dans le laboratoire 4 devraient être appliquées.
Pour bloquer ping vers une adresse IP on doit exécuter la commande suivante:
netsh advfirewall firewall add rule name=”block ping to 172.16.0.10” remoteip=172.16.0.10
protocol=icmpv4:8, any dir=in action=block
add rule - indique qu’on veut ajouter une règle avec le nom spécifié
remoteip - indique l’adresse ip pour qui on veut bloquer les pings
protocol - indique le protocole pour qui on exécute l’action, dans notre cas c’est icmp
(responsable des pings
dir - indique le type de règle qu’on veut appliquer. Il existe 2 types: Inbound et Outbound.
Inbound protège contre le trafic entrant, quand Outbound protège contre le trafic sortant
action - indique quoi faire si si une correspondance est rencontrée. Dans notre cas on va bloquer
le trafic. Aussi il existe allow pour lesser passer ce type de trafic.
 41. Comment travail Wireshark ? Donnez des exemples des quelques règles de filtrage de
contenu. (Ex : IP source : 10.1.1.10, par protocole, comment on peut combiner IP
Source et protocole dans la même règle)
Wireshark est l'analyseur de protocole réseau le plus utilisé au monde.
Dans Wireshark, il existe des filtres de capture et des filtres d'affichage. Les filtres de capture ne
conservent que des copies des paquets qui correspondent au filtre. Les filtres d'affichage sont
utilisés lorsque vous avez tout capturé, mais que vous devez éliminer le bruit pour analyser des
paquets ou des flux spécifiques.
In Wireshark on peut filtrer le paquets interceptes en imposant quelques règles, par exemple:
- pour filtrer les paquets avec l’adresse IP source 10.1.1.10: ip.src==10.1.1.10 (display filter), src
net 10.1.1.10 (capture filter)
- pour filtrer par protocole: tcp.port eq 25 (display filter), tcp port 25 (capture filter)
- combiner protocole et IP source: tcp.port eq 25 and ip.src==10.1.1.10 (display filter), tcp port
25 and src net 10.1.1.10 (capture filter)

2 problèmes :

- Comment on peut avoir diffèrent accès à 1 seul fichier de 3 utilisateurs diffèrent ? Par
exemple le fichier est /home/test et les droits doit être :
o Read - pour le premier utilisateur
o Write – pour le deuxième
o Exécute – pour le troisième

Donnes toutes les commandes en commençant avec la création d’utilisateur et en

finnisant avec changement d’utilisateur et l’exécution de lecture/écriture/exécution de
fichier.

adduser test1

adduser test2

adduser test3

groupadd testgroup

usermod -a -G testgroup test2

chown test1:testgroup /home/test

 chmod 421 /home/test

su test1

cat /home/test => affiche le contenu du fichier

echo “test” >> /home/test => Permission denied

./home/test => Permission denied

su test2

cat /home/test => Permission denied

echo “test” => ajoute au final le mot test

./home/test => Permission denied

su test3

cat /home/test => Permission denied

echo “test” => Permission denied

./home/test => Permission denied. On a besoin du droit de lire le fichier pour l’exécuter

- Création de 3 partition sur un disque virtuel ou une clé usb. Copier à la fin un fichier
dans chaque partition. Importante note : ici est importante la commande utilise et les
étapes qui doit être suivi.
parted /dev/sdb
select /dev/sdb - choisissir l'appareil comme appareil actuel à modifier. Périphérique doit
généralement être un périphérique de disque dur Linux, mais il peut s'agir d'une partition, d'un
périphérique RAID logiciel ou d'un volume logique LVM si nécessaire. sd se référer aux
périphériques amovibles, on commence par la lettre am sda est le premier
mklabel gpt - créer une nouvelle étiquette de disque (table de partition). gpt est la table de
partition GUID qui remplace le schéma de partitionnement MBR (Master Boot Record) à
l'ancienne pour les PC.
Contrairement à MBR, GPT :
- Prend en charge les disques de plus de 2 TB,
- A un support natif pour plus de 4 partitions "primaires",
- Possède deux copies de la table de partition pour la redondance (une au début du disque, une à
la fin),
- Prend en charge de nombreuses autres étiquettes de type de système de fichiers (MBR ne peut
gérer que des nombres de 0 à 255) et peut nommer des partitions (ce que MBR ne peut pas faire)
et d'autres types de métadonnées, et
- Fait partie de la spécification EFI pour les nouveaux BIOS.
mkpart logical ext4 /dev/sdb1 - on cree une partition de type logical, en format ext4. Il existe 3
types de partitions: primary, extended, logical
Logical - La partition principale est amorçable et contient le système d'exploitation de
l'ordinateur. Nous pouvons avoir un maximum de 4 partitions primaires
Extended - Une partition étendue est une partition qui peut être divisée en unités logiques
supplémentaires. Contrairement à une partition principale, vous n'avez pas besoin de lui attribuer
une lettre de lecteur et d'installer un système de fichiers. Au lieu de cela, vous pouvez utiliser le
système d'exploitation pour créer un nombre supplémentaire de lecteurs logiques dans la
partition étendue.
quit
mkfs -t ext4 /dev/sdb1 - on exécute le formatage de la partition en format ext4. Ce format des
fichiers offres quesques fonctionnalités comme: grand système de fichiers (volumes jusqu’a 1
EiB, fichiers jusqu’a 16 TiB et 4 KiB block size), rétrocompatibilité avec ext3 et ext2, nombre
illimité de sous-répertoires, etc.
mkdir -p /data1 - on crée un directoire nomme data1, l’option -p veut dire - créer des répertoires
parents au besoin
mount -t auto /dev/sdb1 /data1 - on monte la partition crée dans le nouvel directoire data1
parted /dev/sdb
select /dev/sdb
mklabel gpt
mkpart logical ext4 /dev/sdb2
quit
mkfs -t ext4 /dev/sdb2
mkdir -p /data2
mount -t auto /dev/sdb2 /data2
parted /dev/sdb
select /dev/sdb
mklabel gpt
mkpart logical ext4 /dev/sdb3
quit
mkfs -t ext4 /dev/sdb3
mkdir -p /data3
mount -t auto /dev/sdb3 /data3
touch /home/corina/Documents/testfile
cp /home/corina/Documents/testfile /data1 - on copie la fichier /home/corina/Documents/testfile
dans le directoire data1
cp /home/corina/Documents/testfile /data2
cp /home/corina/Documents/testfile /data3
- Avec le droit de root copier le fichier sh din /bin/sh dans de directoire d’un utilisateur.
En utilisant le commande chmod set le bit suid. Avec le commande chown changer
l’utilisateur a root. On peut utiliser les suivant commande comme :
o Création d’utilisateur
o Effacer d’utilisateur
o Effacer l’utilisateur d’un group quelqu’un
o Ajouter l’utilisateur d’un group quelqu’un
o Effacer des fichier du /bin/

Comment on peut faire cela. Donne les exemples de commande pour tout l’exercice dans
l’ordre écrit ci-dessus.

sudo cp /bin/sh /home/corina/sh

sudo chmod u+s /home/corina/sh

./home/corina/sh -p (l’option -p nous permet de contourner la réinitialisation d’utilisateur

efficace (effective user), donc l’utilisateur efficace est root dans notre cas)

# (ce symbole apparaît, ce que signifie que root est l’utilisateur efficace)

# useradd -m test3 (on cree un utilisateur avec le dossier home)

# userdel -r test3 (on efface l’utilisateur)

# usermod -a -G root corina (on ajoute l’utilisateur corina au groupe root)

 # usermod -G test2 corina (pour effacer corina du la groupe root)

# rm -Rf /bin/

- En ayant numéro 1234 fait un exercice avec l’algorithme RSA.

1) Premièrement on doit générer 2 nombres premiers, p et q.
2) n = p*q et fi(n) = (p-1)(q-1).
3) On sélectionne un nombre e, 1 < e < fi(n), e doit être copremier avec n, p, q et fi(n).
4) On calcule les nombres d et k de l’expression suivante d*e = 1 mod fi(n).
5) La clé publique et la combinaison entre e et n. La clé privée et la combinaison d et n.
6) C = me mod n.
7) m = Cd mod n.
- Mail (send/receive) va être dans le billet.
Premièrement pour avoir accès à cette utilitaire, on doit l’installer en Linux avec la commande:
apt-get install telnet-ssl
Envoie d’emails avec telnet:
telnet -z ssl smtp.gmail.com 465 (pour se connecter en manière plus sécurisé en utilisant,
l’option -z ssl indique qu’on doit négocier premièrement une connexion ssl, puis utiliser telnet)
HELO hello (on indique le commencement de la connexion)
AUTH LOGIN (on indique qu’on veut s’authentifier)
Puis on introduit le nom d’utilisateur codé en format base64
Et le mot de passe aussi codé en base64
MAIL FROM: <l’email du source>
RCPT TO: <l’email du destination>
DATA (on indique qu’après ça on va introduire le message de l’email)
La première partie inclus le sujet, puis on peut continuer avec le message en fait
Pour terminer le message on inclus . et nouvelle ligne
Pour terminer la connexion on introduit QUIT.
Pour recevoir les messages:
openssl s_client -connect pop.gmail.com:995
user email (email en texte brut)
pass password (mot de passe en texte brut)
Puis on peut introduire des commandes pour voir les messages, comme list pour voir tous les
messages et leurs dimensions, retr id pour visualiser un message, dele id pour effacer un
message
Pour sortir on peut introduir quit