Académique Documents
Professionnel Documents
Culture Documents
Pour tester votre antivirus en toute sécurité, vous pouvez utiliser le fichier de test Eicar. Ce
fichier est détecté comme un virus par les antivirus mais cela n'en est pas un, il ne contient
aucun code viral. Si le faux virus est détecté, c'est que votre antivirus est actif et vous protège.
1. Pour créer ce faux virus, vous avez simplement besoin du bloc-note de Windows. Cliquez
sur le bouton Démarrer, sur Programmes, Accessoires puis sur Bloc-notes.
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-
FILE!$H+H*
3. Enregistrez alors le fichier en cliquant sur le menu Fichier puis sur Enregistrer sous.
6. Si votre antivirus est correctement activé, il doit alors instantanément vous alerter de la
présence du virus Eicar.
1
7. Demandez alors à votre antivirus de supprimer le fichier.
Si votre antivirus ne voit rien, c'est qu'il y a un problème. Ou bien vous l'avez mal installé, ou
bien la protection permanente est mal configurée. Consultez donc la documentation de votre
logiciel pour corriger ce problème.
Si le faux virus n'est toujours pas détecté, vous devez alors songer sérieusement à changer de
logiciel antivirus.
Des outils comme ceux listés sur ce lien, existent pour décrypter les mots de passe faibles:
http://www.presse-citron.net/10-outils-utilises-par-les-hackers-pour-cracker-les-mot-de-passe-
ou-comment-mieux-securiser-les-votres/
Pour ce TP,
I- créer 5 nouveaux comptes utilisateurs pour la circonstance avec mot de passe
faible ou sans mot de passe.
John The Ripper est un perceur (cracker) de mot de passe en local. Il est disponible sur plusieurs
distributions.
2
Sa particularité réside principalement dans sa rapidité à casser les différents chiffrements (DES,
BSDI, MD5, SHA-256, SHA-512, bcrypt, LM Windows...) en consommant très peu de
ressources, ce qui le classe parmi les meilleurs outils. Il tentera dans un premier temps de
détecter les mots de passe faibles (Attaque par dictionnaire), puis ensuite agir de façon
ingénieuse (Attaque hybride).
- Mode single (1): John teste des combinaisons de mots de passe basées sur les logins
utilisateurs. Par exemple: alicelinux, ALICELINUX, alicelinux1, linuxalice…
- Mode wordlist (2): John testera tous les mots de passe présents dans sa wordlist fournie
par défaut (plus de 3000 mots de passe populaires) ou une autre prédéfinie dans le fichier
john.conf
- Mode incrémental (3): John va ensuite tester toutes les combinaisons possibles selon
des règles prédéfinies. Ce mode est extrêmement long et ne se termine généralement
jamais.
Exercice 3:
Mettre en place le réseau suivant après avoir installé les machines virtuelles Ubuntu.
10.2.0.1 10.1.0.1
eth0 10.2.0.2 eth1 10.1.0.2
3
Exercice 4 : Outils de diagnostic réseau
Scanner de réseau
Il est parfois utile de scanner les ports ouverts sur un réseau ou une machine, lorsque par
exemple une application ne fonctionne pas comme cela se doit. Même lorsque tout semble
fonctionner, il est utile de lancer des diagnostics sur le réseau, pour vérifier qu'il n'y a rien d'anormal.
Un scan de port a pour objectif d'indiquer quels sont les ports ouverts sur une machine.
I- Utilisation de nmap
a- Installation de Nmap
Pour installer Nmap sur une distribution à base de Debian, ouvrez un terminal et lancez la
commande suivante :
nmap est en quelque sorte l'équivalent de netstat, mais s'utilise à distance. Il permet en effet de
balayer un ensemble de ports classiques d'un ou plusieurs serveurs distants et de lister parmi
ces ports ceux sur lesquels une application répond aux connexions entrantes. nmap est en outre
capable d'identifier certaines applications, parfois avec la version correspondante.
Exemple
#nmap 10.2.0.1
# nmap -A localhost
Voir tous les ports UDP ouverts sur une machine : #nmap -sU 127.0.0.1
Scanner une plage de ports. Ici on scanne du port 0 au 80 : #nmap -p 0-80 127.0.0.1
II- Wireshark
4
Lancer l’utilitaire et scanner le réseau.
Pour filtrer les paquets, taper par exemple :
- icmp permet de ne voir que les paquets ICMP
- dns or icmp permet de ne voir que les paquets ICMP ou dns
- ip.addr==10.2.0.1 and dns permet de ne voir que les paquets dns contenant l’adresse
10.2.0.1
- frame.numbre>10 and frame.number<50 permet de ne voir que les paquets dont les
numéros sont compris entre 10 et 50