1.

Un virus : b- Est un programme qui s’installe dans un autre programme et

qui se duplique grâce à celui-ci. Un virus est un type de logiciel malveillant
qui a besoin d’un programme hôte pour se propager, contrairement à un ver qui
est autonome.
2. Le spamming : b- Permet de saturer la boite à lettre d’une victime par un
nombre important de courrier électronique. Le spamming est l’envoi massif
et répété de messages indésirables, souvent publicitaires, à des destinataires qui
n’ont pas donné leur consentement. Le ping flooding et le mail-bombing sont
d’autres types d’attaques par déni de service qui visent à surcharger un serveur
ou un réseau .
3. Le déni de service est une attaque contre : c- La disponibilité. Le déni de
service est une attaque qui vise à rendre inaccessible ou inopérant un système
informatique ou un service en ligne, en le saturant de requêtes ou en exploitant
ses vulnérabilités . La confidentialité et l’intégrité sont d’autres propriétés de la
sécurité informatique qui concernent le respect de la vie privée et la fiabilité des
données.
4. Une fonction de hachage : a- Produit une empreinte de longueur fixe et c-
Est irréversible. Une fonction de hachage est une fonction mathématique qui
transforme une donnée de taille quelconque en une valeur de taille fixe, appelée
empreinte ou hash, qui ne peut pas être inversée facilement . Les fonctions de
hachage sont utilisées pour vérifier l’intégrité des données, créer des signatures
numériques ou générer des mots de passe .
5. Le chiffrement asymétrique assure : c- La confidentialité, l’authentification et
l’intégrité. Le chiffrement asymétrique est une méthode de chiffrement qui
utilise deux clés différentes, une publique et une privée, pour coder et
décoder les messages . Le chiffrement asymétrique permet de garantir la
confidentialité des données en les rendant illisibles pour les tiers non autorisés,
l’authentification des émetteurs et des destinataires en vérifiant l’origine et la
destination des messages, et l’intégrité des données en empêchant leur altération
. La non-répudiation est une propriété qui empêche les parties impliquées dans
une communication de nier leur participation ou leur responsabilité. Le
chiffrement asymétrique peut assurer la non-répudiation si les clés privées sont
gardées secrètes et si les signatures numériques sont utilisées.
6. Le phishing est : c- Une technique qui tente d’entraîner un client d’une
banque vers un site web qui ressemble très fort à celui de sa banque. Le
phishing est une technique d’hameçonnage qui consiste à envoyer des courriels
frauduleux ou à créer des sites web falsifiés pour inciter les victimes à divulguer
des informations personnelles ou financières, comme leurs identifiants, leurs
mots de passe ou leurs numéros de carte bancaire. Un programme installé sur le
poste d’un utilisateur pour enregistrer à son insu ses frappes clavier est un
exemple de keylogger, un type de logiciel espion. Une technique essayant
d’extraire des informations confidentielles sur un client est une forme de social
engineering, une pratique qui manipule les aspects psychologiques ou
émotionnels des individus pour obtenir des renseignements ou des accès.
7. Un _________ est un programme qui prend le contrôle d’un autre ordinateur
connecté sur Internet, puis utilise cet ordinateur pour lancer des attaques. b-
 Zombie. Un zombie est un ordinateur infecté par un logiciel malveillant qui
le place sous le contrôle d’un pirate, qui peut alors l’utiliser pour mener des
actions malveillantes à distance, comme des attaques par déni de service
distribué (DDoS) . Un ver est un type de logiciel malveillant qui se propage
de manière autonome sur un réseau, sans avoir besoin d’un programme hôte .
Un virus est un type de logiciel malveillant qui s’installe dans un autre
programme et qui se duplique grâce à celui-ci . Une porte dérobée (trap
door) est un mécanisme caché qui permet d’accéder à un système
informatique ou à un service en ligne sans passer par les procédures
normales d’authentification ou de sécurité .
8. Quel est le numéro de port pour HTTPS (HTTP Secure)? b- 443. HTTPS est
un protocole de communication sécurisé qui utilise le chiffrement SSL/TLS
pour protéger les données échangées entre un client et un serveur web . Le
numéro de port est un identifiant qui permet de distinguer les différents
services ou applications qui utilisent le protocole TCP ou UDP sur un même
ordinateur ou un même réseau . Le numéro de port par défaut pour HTTPS
est 443, tandis que celui pour HTTP est 80 . Les numéros de port 43, 445 et
446 sont respectivement utilisés pour le protocole WHOIS, le partage de
fichiers SMB et le protocole DDM .
9. Les types d’attaques pour la sécurité d’un système informatique ou d’un
réseau sont _______ ? a- Interruption, b- Interception, c- Modification et
e- Fabrication. Ces quatre types d’attaques correspondent aux quatre
menaces qui pèsent sur les propriétés de la sécurité informatique : la
disponibilité, la confidentialité, l’intégrité et l’authentification . Une
interruption est une attaque qui rend un système ou un service indisponible
ou inopérant, comme un déni de service . Une interception est une attaque
qui accède aux données ou aux communications sans autorisation, comme un
écoute clandestine . Une modification est une attaque qui altère les données
ou les communications, comme une falsification . Une fabrication est une
attaque qui crée des données ou des communications fausses ou illégitimes,
comme une usurpation d’identité . La création n’est pas un type d’attaque,
mais plutôt un processus de génération de données ou de communications
originales ou authentiques .
10.Indiquer si l’expression suivant est vrai ou faux : « Un ver exécute une copie
de lui-même sur un autre système. » a- Vrai. Un ver est un type de logiciel
malveillant qui se propage de manière autonome sur un réseau, en exploitant
les vulnérabilités des systèmes ou en utilisant les protocoles de
communication . Un ver exécute une copie de lui-même sur un autre
système, sans avoir besoin de l’intervention de l’utilisateur ou d’un
programme hôte .

EXERCICE 2 /
 1. Les cinq principaux services de sécurité sont:
o La confidentialité : protège les données contre les accès non
autorisés.
o L’intégrité : garantit que les données ne sont pas modifiées ou
altérées sans autorisation.
o La disponibilité : assure que les données sont accessibles aux
utilisateurs autorisés.
o L’authentification : vérifie l’identité des utilisateurs et des systèmes.
o La non-répudiation : permet de vérifier que l’envoyeur et le
destinataire sont bien les parties qui disent avoir respectivement
envoyé ou reçu le message.
2. Voici un tableau qui résume les attaques les plus courantes pour chaque
service de sécurité:

Service de sécurité Attaque(s) correspondante(s)

Confidentialité Espionnage, interception de données

Intégrité Altération de données, injection de code

Disponibilité Attaque par déni de service (DoS), saturation de bande passante

Authentification Attaque par force brute, usurpation d’identité

Non-répudiation Répudiation, falsification de preuves

3. Voici un tableau qui résume les moyens permettant de réaliser chaque

service de sécurité:

Service de sécurité Moyen permettant de le réaliser

Confidentialité Chiffrement des données, contrôle d’accès

Intégrité Utilisation de hachage, signature numérique

Disponibilité Utilisation de redondance, de sauvegardes, de pare-feu

Service de sécurité Moyen permettant de le réaliser

Authentification Utilisation de mots de passe forts, de certificats numériques

Non-répudiation Utilisation de certificats numériques, de journaux d’audit

4. Une attaque active est une attaque qui modifie ou altère les données, tandis
qu’une attaque passive est une attaque qui intercepte ou écoute les données
sans les modifier. Un exemple d’attaque active est l’injection de code
malveillant dans un système, tandis qu’un exemple d’attaque passive est
l’interception de données lorsqu’elles sont transmises sur un réseau non
sécurisé.
5. Les trois principaux domaines où la sécurité est indispensable sont:
o La sécurité informatique
o La sécurité physique
o La sécurité financière
6. Un virus est un programme malveillant qui se propage en infectant d’autres
fichiers, un ver est un programme malveillant qui se propage en exploitant
les vulnérabilités des systèmes, et un espion est un programme malveillant
qui collecte des informations sur l’utilisateur sans son consentement.
7. Voici comment réaliser une attaque de déni de service (DoS) dans les trois
cas: a. Dans un réseau local Ethernet, une attaque DoS peut être réalisée en
envoyant un grand nombre de paquets ARP (Address Resolution Protocol) à
la cible, ce qui peut entraîner une saturation de la bande passante. b. Dans un
réseau sans fil, une attaque DoS peut être réalisée en envoyant un grand
nombre de paquets de désauthentification à la cible, ce qui peut entraîner une
interruption de la connexion. c. Dans un serveur web, une attaque DoS peut
être réalisée en envoyant un grand nombre de requêtes HTTP à la cible, ce
qui peut entraîner une saturation du serveur.
8. Les différentes attaques informatiques que je connais sont:
o Les attaques par déni de service (DoS)
o Les attaques par force brute
o Les attaques de phishing
o Les attaques de malware
o Les attaques de ransomware
9. L’attaque de web spoofing est une technique de piratage qui consiste à créer
une fausse page web pour tromper les utilisateurs et leur faire divulguer des
informations personnelles ou confidentielles.
10.L’attaque de smurf est une attaque de déni de service qui utilise des paquets
ICMP (Internet Control Message Protocol) pour inonder une cible avec des
requêtes ping.
11.Deux variantes de l’attaque de déni de service sont:
o Attaque par amplification : Cette attaque consiste à envoyer des
requêtes à des serveurs tiers qui renvoient des réponses volumineuses
à la cible, ce qui peut entraîner une saturation de la bande passante.
o Attaque par fragmentation : Cette attaque consiste à envoyer des
paquets IP fragmentés à la cible, qui doit alors reconstituer les paquets
pour les traiter. Si les paquets sont mal formés ou incomplets, cela
peut entraîner une saturation du système.
12.Une politique de sécurité est un ensemble de règles et de procédures qui
définissent les mesures de sécurité à mettre en place pour protéger les
systèmes d’information d’une organisation. Les différentes approches
permettant de réaliser une politique de sécurité sont:
o Approche basée sur les risques : Cette approche consiste à identifier
les risques potentiels pour les systèmes d’information et à mettre en
place des mesures de sécurité pour les atténuer.
o Approche basée sur les normes : Cette approche consiste à se
conformer aux normes de sécurité établies par des organismes de
normalisation tels que l’ISO (International Organization for
Standardization).
o Approche basée sur les meilleures pratiques : Cette approche
consiste à suivre les meilleures pratiques de sécurité établies par des
experts en sécurité.
13.L’objectif de la loi 09-08 est de protéger les données personnelles des
citoyens marocains en réglementant leur collecte, leur traitement et leur
stockage. Elle vise également à garantir les droits des personnes concernées
par le traitement de ces données.
14.Selon la loi 09-08, les droits de la personne concernée par le traitement des
données personnelles sont:
o Le droit d’accès aux données personnelles collectées.
o Le droit de rectification des données personnelles inexactes.
o Le droit d’opposition au traitement des données personnelles.
o Le droit à l’effacement des données personnelles.
o Le droit à la portabilité des données personnelles.
15.Les obligations du responsable de traitement dans la loi 09-08 sont:
o Informer les personnes concernées par le traitement de leurs données
personnelles.
o Obtenir le consentement des personnes concernées avant de collecter
leurs données personnelles.
o Assurer la sécurité et la confidentialité des données personnelles
collectées.
o Limiter la collecte et le traitement des données personnelles aux
finalités spécifiques pour lesquelles elles ont été collectées.
o Respecter les droits des personnes concernées par le traitement de
leurs données personnelles.