Rapport de stage

Et projet
Stage effectué de 16/03/20 au 09/05/20 dans l’école
supérieure de technologie (EST)

Réalisé par : Soukaina bhiri

Cursus : 2éme années Techniques des Réseaux
Informatiques
Encadrant : Mr.Flouli Hassan

Année Universitaire : 2019/2020

 Sommaire

PARTIE 1: RAPPORT DE STAGE

Dédicace
Remerciement

Présentation de L’EST

PARTIE 2: PROJET (Sécurité informatique)

Chapitre 1 : Etat de l’art
1/La sécurité informatique.
1.1 les services de la sécurité
1.2 exemples de mécanismes de sécurité
1.3 Sécurité et attaques par les logiciels malveillants
1.4 Les logiciels malveillants
1.5 Types d’attaques
 Chapitre 2 : Conception des solutions de sécurité
1/ Présentation des solutions de sécurité
1.1. Contrôle d’accès
1.2. Audit
1.3 La sauvegarde
Chapitre 3 : Mise en place des solutions de sécurité
1/ Mise en place d’une politique contrôle d’accès
1.1. Contrôle d’accès dans AD
1.2. Contrôle d’accès avec pfSense

Conclusion générale
PARTIE 1: RAPPORT DE STAGE

Dédicace
Je dédie ce modeste travail:

 A mes chers parents, pour leur soutient et leur prières.

 A mes formateurs et tous les stagiaires.

 A tous ceux qui ont contribué de près ou de loin à la réalisation de ce modeste

travail, avec tous nos sentiments de reconnaissance et de gratitude.
 Remerciement

oJe remercie l’encadrant Mr. Flouli Hassan, qui m’a aidé moralement et
aussi par son baguage d’information durant le stage . Et merci pour tous
les formateurs qui m’ont accompagnée tout au long de cette expérience
professionnelle avec beaucoup de patience.

o Je remercie Mr. EL GHZIZAL Abdelaziz eu la gentillesse de faire de ce stage

un moment très profitable. qui m’a permis de réaliser mon stage au sein de
cette école, à ceux qui m’ont beaucoup appris au cours de ce stage.
 Présentation de L’EST

Introduction:
Ecole Supérieure de Technologie Fès : ( EST Fès), est un
établissement public d'enseignement supérieur à finalité
professionnalisant. Elle fait partie de l’université Sidi Mohamed Ben
Abdellah.
Missions:
• Elle avait pour mission d'assurer l'enseignement et la recherche
scientifique dans les domaines des sciences, des techniques, des sciences
économiques, sociales, juridiques et humaines.
•L'université Sidi Mohamed Ben Abdellah a su, dès sa création,

accompagner le développement socio-économique de la région centre

du Nord par la formation de cadres et de techniciens qualifiés et
spécialisés.
Le travail effectué en matière réseau:

A/Installation de réseau informatique:

• Routeurs.
• Switch.

• Les connecteurs RJ45 et Les prises murales.

• Câble paire torsadé.

B/Maintenance:
 Softwares:
L’installation du différent système d’exploitation:

Windows, Linux
 Recherche et l’installation des différent logiciels:
Microsoft office, Antivirus, Les navigateurs….
 Hardwares:
Mémoire ou RAM: (Random Access Memory) est avec

le processeur l’un des composants les plus importants

de l’ordinateur.

Disque Dur: est un support composé de disques

magnétiques sur lesquels on peut stocker de très
grandes quantités d’informations.

Carte Graphique: est une carte électronique qui

permet d’afficher à l’écran les images qu’elle a stockées
dans sa mémoire.
 PARTIE 2: PROJET (Sécurité informatique)
CHAPITRE 1 : Etat de l’art
1/La sécurité informatique.

Introduction
La sécurité des informations a toujours constitué un enjeu majeur dans les relations entre
les hommes. L’information est au centre de toutes les communications et par conséquent
toute entité possédant cette ressource fondamentale devrait prendre des précautions
pour s’en protéger.

_Définition de la notion de sécurité:

La sécurité d’une manière générale est un ensemble de techniques et moyens mis en
place pour empêcher à une personne non autorisée à accéder à une information qui ne
lui est pas destinée.

Elle consiste également à mettre en place des politiques de sécurité dans le but de limiter
le risque informationnel. Elle permet :
 De prévenir un système d’information des attaques multiformes (gestion des

risques).
  D’empêcher qu’une attaque prenne effet (supervision (IDS).
 De maintenir un système informatique en état de fonctionner normalement dans le

but de restreindre l’accès à certaines informations aux utilisateurs autorisés à les

consulter.
 D’éviter le pire.

1.1 les services de la sécurité

Les services de la sécurité informatique sont : préserver la confidentialité, l’intégrité et

la disponibilité des données sur le réseau.
 La confidentialité: c'est le fait de s’assurer que l'information n'est accessible
qu'à ceux dont l'accès est autorisé.
 L'intégrité: c'est garantir que les données ne sont pas modifiées.
 La disponibilité: c'est garantir l'accès aux informations. La figure 1 présente les
trois principaux services de la sécurité.
Nous notons qu’il y’a d’autres services tel que:
-La traçabilité : c’est mémoriser l’origine du message.

- L’authentification : c'est assurer que la personne qui échange le message est bien celui
qu'il prétend être.
-La non répudiation : c'est empêcher les deux personnes communicantes de nier avoir

envoyé ou reçu un message.

_1.1.1 La démarche de sécurité :
La prévention: La prévention de la sécurité passe par les étapes suivantes:
Etape1 : analyser et évaluer votre système, l’objectif c’est de dire quel risque,
quelle menace pèse sur le système, il faut donc ressortir la cartographie des
risques ;
Etape2 : recherche des parades (qu’est-ce que je sécurise, quand et comment) ;
Etape3 : définir la politique de sécurité qui se présente sous forme d’un cahier
de charge qui fixe les normes de la sécurité
Etape4 : mettre en œuvre les protections
Etape5 : faire la mise à jour
La détection :détection des attaques : on utilise ici des outils de détection
d’intrusion.
Exemple : SNORT, NAGIOS
La réaction :Il s’agit de réagir aux attaques mais le plus important est la rapidité de
la réaction afin d’éviter le pire;
1.2 exemples de mécanismes de sécurité

A cause des menaces provenant des logiciels malveillants, il faut mettre en place
des mécanismes de sécurité pour assurer les services.
1.2.1 Pare-feu (firewall) : C’est un ensemble de différents composants matériels
(physique) et logiciels (logique) qui contrôlent le trafic intérieur/extérieur selon
une politique de sécurité.
Il permet d’une part de bloquer des attaques ou connexions suspectes d’accéder
au réseau interne. D’un autre côté, un firewall sert dans de nombreux cas
également à éviter la fuite non contrôlée d’informations vers l’extérieur. Il y a
plusieurs types de firewall réseaux et applicatifs, matériels et logiciels : Sophos,
Fortigate, ces deux solutions sont payantes, cependant il y a plusieurs firewalls
gratuits comme: pfSense, Endian, IPCOP qui proposent un contrôle sur le trafic
entre machines et l’Internet avec des règles entrantes et sortantes.

1.2.2 Antivirus: L’antivirus est un logiciel conçus pour identifier, neutraliser et

éliminer des logiciels malveillants. Ceux-ci peuvent se baser sur l’exploitation de
failles de sécurité, mais il peut également s’agir de programmes modifiant ou
supprimant des fichiers, que ce soit des documents de l’utilisateur sur l’ordinateur
infecté, ou des fichiers, nécessaires au bon fonctionnement de l’ordinateur.
1.2.3. VPN (Virtual Private Network): dans les réseaux informatiques, le réseau
privé virtuel est une technique permettant aux postes distants de communiquer de
manière sûre. Un VPN repose sur un protocole, appelé protocole de tunnel, c'est-à-
dire un protocole permettant aux données passant d’une extrémité à l’autre du
VPN d’être sécurisées par des algorithmes de cryptographie.

1.2.4. IDS (Intrusion Detection System): Un système de détection d’intrusion est

un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible
analysée (un réseau ou un hôte).

1.2.5. UTM (Unified Threat Management): L’UTM englobe tous les outils présentés
précédemment dans un seul boitier. C’est à dire il joue le rôle d’un firewall, IPS, IDS,
Antivirus, VPN. L’UTM est présenté dans la figure suivant.
1.3 Sécurité et attaques par les logiciels malveillants

Dans cette section, nous définissons les menaces, risques et vulnérabilités dans la sécurité
et nous passons à indiquer les logiciels malveillants de nos jours.
1.3.1 Menaces:
Nous classons les menaces en deux catégories selon qu’elles ne changent rien (menaces
passives) ou qu’elles perturbent effectivement le réseau (menaces actives).
Les menaces passives : consistent essentiellement à copier ou à écouter l’information
sur le réseau, elles nuisent à la confidentialité des données. Dans ce cas, celui qui prélève
une copie n’altère pas l’information elle-même.
Les menaces actives : sont de nature à modifier l’état du réseau.

1.3.2 Risques:
Les risques se mesurent en fonction de deux critères principaux: la vulnérabilité et la
sensibilité.
- La vulnérabilité : désigne le degré d’exposition à des dangers. Un élément de ce
réseau peut être très vulnérable tout en présentant un niveau de sensibilité très
faible.
- Sensibilité : c’est lorsque nous fournissons un accès ç une donnée confidentielle.
 1.3.3 Vulnérabilités:
La vulnérabilité se trouve sous plusieurs formes :
• Vulnérabilité humaine : l’être humain de par sa nature est vulnérable. La plupart des
vulnérabilités humaines proviennent des erreurs (négligences, manque de compétences,
surexploitation, etc.)
• Vulnérabilités technologiques : ces vulnérabilités sont aux bases dûes à une négligence
humaine lors de la conception et la réalisation.
• Vulnérabilité organisationnelles : les vulnérabilités d’ordre organisationnel sont dues à
l’absence de documents cadres et formels, des procédures (de travail, de validation)
suffisamment détaillées pour faire face aux problèmes de sécurité du système.
• Vulnérabilité au niveau mise en œuvre : les vulnérabilités peuvent être dûes au non prise
en compte de certains aspects de sécurité lors de la réalisation d’un projet.
1.4 Les logiciels malveillants

Un logiciel malveillant est un programme développé pour attaquer un système

informatique, sans le consentement de l’utilisateur infecté. Plusieurs types de logiciels
malveillants ont été proposés. Nous citons les plus répandus :
1.4.1 Virus:
Un virus est un morceau de programme informatique malicieux conçu et écrit pour qu’il se
reproduise. Sans la permission de l'utilisateur, il peut toucher l'ordinateur par sa capacité de
se multiplier.
En termes plus techniques, le virus s’attache à un programme exécutable et se copie
systématiquement.
1.4.2 Vers (ou Worm):

C’est un type de virus particulier qui s'étend par le réseau. Le ver contrairement aux
virus, une fois implanté et activé dans un ordinateur, il est capable de se propager
d’un ordinateur à un autre via le réseau, sans intervention de l’utilisateur et sans
exploiter le partage de fichiers.
1.4.3 Cheval de Troie (ou Trajan Horse):
C’est un programme qui exécute des instructions sans l’autorisation de l’utilisateur.
Généralement ces instructions nuisent à l'utilisateur.

1.5 Types d’attaques

Les attaques informatiques sont nombreuses. Une attaque est n’importe quelle
action qui compromet la sécurité des informations.
Nous en donnons un bref aperçu où les attaques sont triées par cible d’attaque:
oHardware: le matériel est visible donc c'est un point d'attaque facile. La liste des

attaques humaines soient involontaires ou volontaires est sans fin.

oSoftware: le logiciel peut être détruit, modifié, effacé, déplacé… Le résultat est

identique dans chaque cas, l'accès au programme voulu est perdu. La modification
est sans doute la pire des attaques car elle peut causer de dangereux troubles
ultérieurs.
oDonnées: la confidentialité des données peut ne plus être garantie si les données sont
mises sur écoute par simple requête, en déroutant les appareils au niveau de sortie de
données… La modification des données est en général plus compliquée à effectuer
puisqu'elle nécessite une plus grande connaissance technologique surtout si nous utilisons
des signatures ou des MAC (Message Authentification Code).
oRéseau: les réseaux assurent la communication en utilisant des moyens de transports

partagés et différents. Les accès à longue distance sont deux points importantes dont il
faut tenir compte.
Conclusion:
Dans ce chapitre, nous avons défini les notions de base de la sécurité des réseaux
informatique. Dans le chapitre suivant, nous passons à étudier l'architecture réseau
existante, et nous proposerons des solutions d’audit, de contrôle d’accès et de
sauvegarde.
 Chapitre 2 : Conception des solutions de sécurité

1/ Présentation des solutions de sécurité

Dans cette section, nous présentons les solutions que nous avons besoin d’implémenter
pour sécuriser le réseau d’Intercom Technologies.
1.1 Contrôle d’accès
La sécurisation des accès des utilisateurs est nécessaire pour permettre l’accès aux
personnes autorisées et empêcher celles n’étant pas autorisés à accéder au système
d’information. Nous avons choisi de configurer l’Active Directory AD de Windows Server et
le firewall pfSense pour améliorer le contrôle d’accès:
1.1.1. AD:
Le rôle d’administrateur réseau est d’utiliser les outils de Windows Server 2012 16 pour la
mission de la sécurité. Il a une connaissance des différents systèmes d’exploitations,
logiciels et matériels. l’AD est un service d'annuaire pour les réseaux de domaine Windows.
Il authentifie et autorise tous les utilisateurs et ordinateurs d'un réseau de type domaine
Windows.
1.1.2. pfSense :
C’est un routeur / pare-feu open source. Son système d’exploitation est FreeBSD. PfSense
permet de sécuriser le réseau de l’entreprise. PfSense est une Appliance : une solution
toute package et prête à l'emploi.
Comme le montre la figure suivant, nous remarquons qu’il y a un besoin d’un firewall pour le
contrôle d’accès et plus des solutions de sécurité. La figure 7 représente la nouvelle
architecture qui se base sur le firewall pfSense que nous l’avons ajouté.

1.2. Audit
Pour l’audit technique, nous avons choisi d’utiliser la méthode MEHARI et l’approche
Ethical Hacking sous Kali 17 .
Kali est une distribution de Linux développée par Global Offensive pour les tests de
pénétration des réseaux des entreprises.
L’audit de sécurité d’un système informatique est une vue à l’instant tout ou partie
du SI, permettant de comparer l’état du SI à un référentiel. L’audit répertorie les points forts, et surtout
Nous avons organisé le schéma d’audit dans le tableau suivant qui comprend les domaines et les sous e

1.3. La sauvegarde
Elle est souvent oubliée par les directions informatiques. Il s’agit de sauvegarder les données
et le travail réalisé sur des machines. Les techniques de sauvegarde sont nombreuses
modulables et peuvent être imbriquées à souhait. Nous présentons les principales solutions,
leurs avantages et inconvénients ainsi qu’une idée sur le déploiement et de maintien.
2.3.1. Les modes de Backup

Le tableau suivant illustre les trois modes de récupération des données ou Backup
ainsi que leurs avantages et inconvénients.

2.3.2. Les solutions de Sauvegarde

Il y a 3 types de solutions de sauvegarde.
a) Stockage directement attaché DAS (Directly Attached Storage) :

La solution technique de stockage de type DAS consiste à connecter directement un

périphérique au serveur ou à la station de travail.
Il s’agit principalement d’un lecteur de bandes magnétiques mais d’autres solutions
peuvent être envisagées comme le support optique ou les disques durs externes.
Le matériel existant à nos jours, les supports amovibles tel que le CD / DVD, disque
dur externe offrent un stockage de masse avec un temps d’accès très faible et un taux
de transfert élevé par les interfaces des flashs USB 3.0.

b) Solution réseau :
Lorsque nous parlons de stockage de réseau, c’est par opposition à l’attachement
direct où, les unités de sauvegardes sont physiquement reliées à un serveur.
Dans le cas du stockage en réseau, les unités de sauvegarde sont indépendantes
d’un quelconque serveur, elles sont accessibles par le réseau, qu’il soit Ethernet ou
Fibre Optique.
Il existe deux solutions réseaux majeurs qui sont le NAS (Network Attached Storage)
et le SAN (Storage Area Network).
Le tableau représente la différence entre les deux solutions SAN et NAS.
 Comparaison entre SAN et NAS

c) Les solutions logicielles :

La sauvegarde des données informatiques est indispensable pour la survie d’une
entreprise. La sauvegarde des données est nécessaire : base de données, des
applications critiques, fichiers bureautiques, etc.
 Il existe plusieurs logiciels de sauvegarde tel que : Veeam, Acronis et Veritas .
Plusieurs sites comparent les solutions logicielles. Selon le site connu TrustRaduis,
Veeam Backup est le meilleur de ces produits en 2018. L’avis des utilisateurs est
montré dans la figure suivant.

Conclusion
Au cours de ce chapitre, nous avons défini l’architecture réseau où nous effectuons la
mission de l’audit. Ensuite, nous avons détaillé les problèmes trouvés et nous avons
proposés les solutions nécessaires pour sécuriser le réseau. Par la suite, nous réalisons la
procédure le contrôle d’accès, l’audit et la sauvegarde.
 Chapitre 3 : Mise en place des solutions de sécurité

Introduction
Dans ce chapitre, nous présentons la mise en place des solutions de sécurité et la
démarche à suivre pour la réalisation. Ce chapitre se compose de trois parties: la
première partie est consacrée au contrôle d’accès, la deuxième partie présente l’audit
et la troisième partie montre le déploiement de la solution de sauvegarde.

1. Mise en place d’une politique contrôle d'accès

La sécurité est davantage centrée sur les utilisateurs pouvant accéder aux données
de l’entreprise qu’à la criticité de la donnée elle-même. Nous contrôlons l’accès par
l’AD et nous augmentons la sécurité par la mise en place du firewall pfSense.

1.1. Contrôle d’accès dans AD :

Avec Windows Server 2012, il est possible d’améliorer la gestion des données des
utilisateurs par l’AD. La première étape consiste à ouvrir la rubrique utilisateurs et les
ordinateurs de AD pour faire la configuration des utilisateurs. La figure1 montre
comment créer un utilisateur ou un groupe dans AD.
 Figure 1 :Création d’un utilisateur ou d’un groupe dans AD
• Nous avons créé les utilisateurs : Khalil, Amin, et Malek, et puis nous avons créé 3
groupes qui représentent 3 Départements : Télécom, Informatique et Bureau Etudes.
Seulement l’utilisateur nommé Khalil appartient aux 3 groupes et nous l’avons ajouté
dans le groupe Administrateurs.
• La figure 2 représente les utilisateurs qui appartiennent au même département que
Khalil est son administrateur. Mais ils ne doivent pas avoir les mêmes droits que lui.
 Figure 2 : Groupe Administrateurs
Ensuite, nous avons donné à Khalil un droit de contrôle total. Khalil est l’administrateur,
il doit avoir les droits de création, lecture et suppression.
L’étape de choix des permissions pour Khalil dans un groupe d’utilisateurs est
présentée dans la figure 3.
 Figure 3 : Propriétés d’un administrateur

• La figure 4 montre que les administrateurs ont le droit de faire les installations et
d’autres avantages qu’un utilisateur normal. Pour choisir les autorisations nous
sélectionnons les délégations de contrôle et les fonctionnalités avancées.
 Figure 4 : Options avancés

• Nous pouvons modifier les configurations de droits dans la partie Group Policy de
l’AD où Il y a plus de choix de permissions pour les administrateurs.
• Pour augmenter le contrôle d’accès dans AD, nous modifions les entrées de l’audit
de l’administrateur selon l’étape présentée dans la figure 5.
 Figure 5 : Entrées
d'audit

Nous pouvons aussi installer pfSense pour plus de contrôle d’accès et des solutions
de sécurité.

1.2. Contrôle d’accès avec pfSense :

Nous avons utilisé ce firewall pour mieux sécuriser le réseau, puisqu’ il permet:
 - L’authentification LDAP (via Active Directory)
- Les régles iptables pour les connexions entrant / sortant
- La gestion des certificats (pour le serveur VPN)
- La mise en place d’OpenVPN comme serveur VPN

Pour installer par défaut le firewall pfSense, nous choisissons l’option 1 présenté
dans la figure 6.

Figure 6: Installation de pfSense

Lorsque l'installation se termine, nous ouvrons l’interface Web suivant le montre la
figure 7.
 Figure 7: Login de pfSense

Après l’installation, pfSense nous montre l’adresse Web avec la quelle on peut se
connecter.
Le login et le mot de passe par défaut sont : admin et pfsense.

La figure 8 présente la première interface qui apparait avec l’adresse IP 192.168.80.213.

L’administrateur se connecte à l’interface de contrôle qui montre le système, la version
de CPU, la mémoire, le DNS, nous pouvons passer à configurer d’autres services.
Figure 8 : Interface Web de pfSense
 Dans la première étape, nous donnons les informations suivantes :
- Nom de la machine : fw1
- Domaine : fw1.local
- DNS primaire : 8.8.8.8
- DNS secondaire : 8.8.4.4
Dans la deuxième partie, nous configurons des règles iptables, ce qui s'effectue
dans l’onglet Firewall puis le sous onglet Rules, ensuite nous sélectionnons
l'interface sur laquelle nous voulons créer nos règles (la machine hôte est sous Linux)
, ainsi nous bloquons tous les flux par défaut sur l’interface en utilisant des lignes de
commandes :

Dans cette partie, nous configurons une connexion VPN, il faut renseigner le réseau
local en source de notre VPN et ajouter le réseau de destination. Nous ouvrons
l’onglet OpenVPN dans VPN puis le sous onglet Servers et nous réalisons la
configuration représentée dans la figure 9.
 Figure 9: VPN avec pfSense

• Il faut au début créer un certificat pour le client pour qu’il puisse y connecter. Pour les
algorithmes nous choisissons ESP, ce dernier permet le chiffrement et l’authentification
avec AH alors que ce dernier seul n’assure que l’authentification.
• Pour configurer les règles LAN nous ouvrons Rules dans l’onglet Firewall ensuite nous
ouvrons LAN : la règle any / any sur l’onglet IPSec de chaque côté.
• Cette règle est mise en place à des fins de test uniquement, ce test de connexion a
été réalisé avec succès et il est représenté dans la figure 10.
 Figure 10: Test des règles de VPN de pfSense

La règle any/any est la plus basique pour savoir le trafic entrant sortant mais pour
des raisons de sécurité nous utilisons d’autres règles.
Enfin, nous avons changé le mot de passe de pfSense.
 Conclusion générale

De nos jours, les entreprises modernes doivent porter une attention

particulière à la sécurité.
Les RSSIs (Responsable de Sécurité des Systèmes d’Information)doivent
implémenter des solutions de sauvegarde des données et de contrôle
d’accès. Ils peuvent réaliser des audits de sécurité pour vérifier la présence
des vulnérabilités dans leurs SI.
Enfin, nous pouvons améliorer les solutions de sécurité installés et comme
perspectives de la solution de sauvegarde nous pouvons-nous concentrer sur
une solution de haute disponibilité. Nous pouvons aussi implémenter une
solution de monitoring avec Nagios, un firewall puissant qui permet d’étudier
le log ou programmer une application de gestion delog pour des objectifs de
sécurité et de contrôle d’accès.