Deesirs - Juin 2018 - Corrigé

FEDERATION EUROPEENNE DES ECOLES
FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe
INGO enjoying participatory status with the Council of Europe
UE D - TECHNIQUES PROFESSIONNELLES
Bachelor européen en informatique, réseaux et sécurité
UC D31
Corrigé
Type d’épreuve : Rédaction (Etude de cas)
Durée : 6 heures
Session : Juin 2018
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2018
UC D31 Etude de cas informatique, réseaux et sécurité - Corrigé
 Dossier 1 - Généralités
Question 1
Qu’est-ce que le Big Data ?
2,5 points
Littéralement, ce terme signifie méga données, ou encore données massives. Il désigne un ensemble très
volumineux de données qu’aucun outil classique de gestion de base de données ou de gestion de
l’information ne peut vraiment travailler.
Inventé par les géants du web, le Big Data se présente comme une solution dessinée pour permettre à tout
le monde d’accéder en temps réel à des bases de données géantes. Il vise à proposer un choix aux solutions
classiques de bases de données et d’analyse (plate-forme de Business Intelligence en serveur SQL…).
Selon le Gartner, ce concept regroupe une famille d’outils qui répondent à une triple problématique dite
règle des 3V. Il s’agit notamment d’un volume de données considérable à traiter, d’une grande variété
d’informations (venant de diverses sources, non-structurées, organisées, Open…), et d’un certain niveau de
vélocité à atteindre, autrement dit de fréquence de création, collecte et partage de ces données.
Question 2
Expliquez ce qu’est une base de données relationnelle.
2,5 points
Une base de données relationnelle est une base de données où l'information est organisée dans des
tableaux à deux dimensions appelées des relations ou tables, selon le modèle introduit par Edgar F. Codd en
1970. Selon ce modèle relationnel, une base de données consiste en une ou plusieurs relations. Les lignes de
ces relations sont appelées des nuplets ou enregistrements. Les colonnes sont appelées des attributs.
Les logiciels qui permettent de créer, utiliser et maintenir des bases de données relationnelles sont des
systèmes de gestion de base de données relationnels.
Pratiquement tous les systèmes relationnels utilisent le langage SQL pour interroger les bases de données.
Ce langage permet de demander des opérations d'algèbre relationnelle telles que l'intersection, la sélection
et la jointure.
Question 3
Quel type d’architecture est représenté par le schéma suivant ? Expliquez l’intérêt d’une telle
architecture et dans quel domaine elle pourrait être utilisée.
2,5 points
Dans l'architecture à N niveaux (appelée architecture N-tiers), il existe un niveau intermédiaire entre le client
et le serveur, c'est-à-dire que l'on a une architecture partagée entre :
• le client : le demandeur de ressources,
• les serveurs d'application ou middleware : le serveur chargé de fournir un service au client, mais
faisant appel à un autre serveur…,
• les serveurs secondaires : (généralement un serveur de base de données), fournissant un service au
premier serveur qui devient en fait son client…
Ici, il y a du « load balancing » sur les serveurs d’applications ce qui permet de mieux répondre à une forte
demande... le double SGBD peut être vu soit comme du « mirroring » soit du « scaling ».
Cette architecture pourrait être utilisée dans le monde web java jee ou PHP.
(Navigateur – serveur Web – SGBD)
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2018 2/19
Question 4
Expliquez ce qu’est une topologie de réseau maillé (aidez-vous d’un schéma).
2,5 points
Une topologie maillée correspond à plusieurs liaisons point à point.

Une unité réseau peut avoir (1,N) connexions point à point vers plusieurs autres unités. Chaque terminal est
relié à tous les autres. L'inconvénient est le nombre de liaisons nécessaires qui devient très élevé lorsque le
nombre de terminaux l'est : s'il y a N terminaux, le nombre de liaisons nécessaires est de \frac{N\cdot(N-
1)}{2}, fonction qui croît comme N^2.
Cette topologie se rencontre dans les grands réseaux de distribution comme INTERNET.
L'information peut parcourir le réseau suivant des itinéraires divers, sous le contrôle de puissants
superviseurs de réseau, ou grâce à des méthodes de routage réparties.
 Dossier 2 - Sécurité des SI
Question 1
Les systèmes de sécurité doivent assurer :
• la confidentialité,
• l’authenticité,
• l’intégrité,
• la non-répudiation,
• la disponibilité.
Expliquez chaque terme.
2,5 points
• La confidentialité : les données (l'objet et les acteurs) de la communication ne peuvent pas être
connues d’un tiers non-autorisé.
• L’authenticité : l’identité des acteurs de la communication est vérifiée.
• L’intégrité : les données de la communication n’ont pas été altérées.
• La non-répudiation : les acteurs impliqués dans la communication ne peuvent nier y avoir participé.
• La disponibilité : les acteurs de la communication doivent toujours avoir accès aux données (en un
temps raisonnable).
Question 2
La norme ISO 7498-2 définit 4 termes pour la sécurité informatique : vulnérabilités, attaques,
contre-mesures et menaces, expliquez-les.
2 points
• Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans
sa globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
• Les attaques (exploits) : elles représentent les moyens d'exploiter une vulnérabilité. Il peut y avoir
plusieurs attaques pour une même vulnérabilité, mais toutes les vulnérabilités ne sont pas
exploitables.
• Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité
ou de contrer une attaque spécifique (auquel cas il peut exister d'autres attaques sur la même
vulnérabilité).
• Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une
vulnérabilité.
Question 3
Expliquez ce qu’est le social engineering.
2,5 points
Le social engineering, ou en français la manipulation sociale, consiste à pousser une personne à faire
certaines choses ou à révéler des informations sans les lui demander directement, d’où le terme de
manipulation...
L’être humain est la pièce fragile : il existe des tas de raisons pour divulguer des secrets, de la simple
inattention à l’obligation, il existe de nombreux moyens de "persuader" une personne de vous donner une
information, en insufflant la peur, la confiance, la sympathie, l’argent... Il est possible de rebrancher un
ordinateur, de transmettre une fausse information, de vous indiquer un mot de passe.
Les médias utilisés : la grande majorité des tentatives se fait par téléphone : la simplicité et le quasi-
anonymat que confère le téléphone sont des atouts non négligeables pour l’attaquant.…
Question 4
Quelles sont les 2 utilisations possibles d’une attaque par « IP Spoofing » ?
3 points
L'attaquant usurpe n’importe quelle source IP et ainsi espère ne pas être retracé.
Cette attaque peut être utilisée de deux manières différentes : la première utilité de l'IP Spoofing va être de
falsifier la source d'une attaque. Par exemple, lors d'une attaque de type déni de service, l'adresse IP source
des paquets envoyés sera falsifiée pour éviter de localiser la provenance de l'attaque. L'autre utilisation de
l'IP Spoofing va permettre de profiter d'une relation de confiance entre deux machines pour prendre la main
sur l'une des deux.
 Dossier 3 - Sécurité web
Question 1
Donnez la définition de chacune de ces attaques : le Cross site scripting et le SQL Injection.
4 points
• La faille SQLi, abréviation de "SQL Injection" est une méthode d'exploitation de faille de sécurité d'une
application interagissant avec une base de données. Elle permet d'injecter dans la requête SQL en
cours un morceau de requête non prévu par le système et pouvant en compromettre la sécurité.
• Le Cross-site scripting (abrégé XSS) est un type de faille de sécurité des sites web permettant d'injecter
du contenu dans une page, provoquant ainsi des actions sur les navigateurs web visitant la page. Les
possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge
par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes
notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de
rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les
cookies.
Question 2
Représentez le formulaire d’appel et comment pourrait-on faire une première injection SQL et
quel résultat serait attendu.
3 points (toute solution valide sera acceptée)
On pourrait commencer par renseigner dans le champ id : '' OR 1=1 -- '
Le résultat sera le premier enregistrement (login, password) de la table « Users ».
Question 3
Comment se protéger de manière générale des injections SQL ?
3 points
Dans le cas général, il est possible d’utiliser mysqli_real_escape_string qui protège une commande SQL de la
présence de caractères spéciaux.
Il est aussi possible d’utiliser des requêtes préparées...
Question 4
Quels avantages/inconvénients apporte l’utilisation d’un proxy HTTP transparent dans une
architecture web ?
3 points
Avec un proxy transparent, on s’affranchira de la configuration manuelle sur les machines en interceptant
toutes les trames avec un port 80,8080.
Les avantages de l’utilisation de proxy :

• Optimisation de la bande passante car le proxy peut mémoriser les pages les plus demandées.
• Le proxy peut masquer les informations concernant votre ordinateur : en effet, quand vous surfez,
tous les sites web peuvent savoir de quel site vous venez, quel navigateur vous utilisez, quel est
votre système d'exploitation, votre adresse IP... Certains proxys masquent ces informations. Ces
proxys sont dits proxys anonymes.
Inconvénients de l’utilisation de proxy :

• La durée de vie du cache entraîne que les documents reçus peuvent ne plus être à jour.
• Confidentialité : étant donné que vous demandez toutes vos pages au proxy, celui-ci peut savoir tous
les sites que vous avez visités.
• Sécurité : certains sites Web nécessitent des mots de passe. Comme vous passez par le proxy, le
proxy connaîtra vos mots de passe (sauf si vous utilisez HTTPS/SSL).
• Censure : certains proxys peuvent être configurés pour censurer des sites.
Question 5
Le fichier « .htaccess » du répertoire www possède les lignes suivantes, à quoi cela sert-il ?
Order deny, allow
deny from all
allow from 192.168.1.45
2 points
Ceci afin de ne permettre l’accès aux répertoires que depuis la machine d’adresse IP 192.168.1.45 et d’éviter
ainsi les attaques par l’URL pour lister et voir les fichiers…
 Dossier 4 - Sécurité des bases de données
Question 1
On vous demande de créer un utilisateur « bertrand » avec le mot de passe « passbertrand » avec
le rôle DBA, donnez le code SQL correspondant.
3 points
CREATE USER bertrand IDENTIFIED BY passbertrand;

GRANT CONNECT TO bertrand;
GRANT DBA TO ph WITH ADMIN OPTION;
Question 2
On vous demande de créer un second utilisateur « anne » avec le mot de passe « passane » avec
des droits en lecture sur la table « Client » du schéma de Bertrand (cet utilisateur pourra
transmettre ses droits à un autre utilisateur).
3 points
CREATE USER anne

IDENTIFIED BY passane;
GRANT CONNECT TO anne;
GRANT SELECT ON bertrand."client" TO anne WITH GRANT OPTION;
Question 3
On vous demande à « anne » de réaliser un export de la base de « bertrand » en utilisant
l’utilitaire datapump (utilitaire qui permet d'effectuer des exports et des imports sous Oracle
depuis la 10g).
Donnez les étapes et la commande pour réaliser un full export par un utilisateur.
« Nom_Utilisateur / Pwd_Utilisateur » sur le répertoire « S1 » dans le fichier exportS1.dump
4 points
Il s'agit d'abord de donner les droits à « anne »

GRANT RESSOURCE TO anne; / GRANT exp_full_database to anne ;
Il faut également créer un répertoire dans lequel Oracle va stocker non seulement le fichier DMP, mais
également les différents fichiers (notamment le fichier de log).
Ce répertoire doit non seulement être créé physiquement par une commande système, mais également
logiquement sous Oracle :
$ mkdir sauv1 ou md D:\sauv1
Puis pour Oracle :
SQL> create directory Sauv1 as '/ora/admin/dba/Sauv1'

Puis donner les droits à anne afin de pouvoir lire et écrire sur le répertoire.
SQL> grant read, write on directory Sauv1 to “anne”
Enfin, lancer la commande d’export (par exemple pour un full export)

expdp anne / passanne dumpfile=exportS1.dump directory=dsauv1 logfile=export.log full=yes
 Dossier 5 - Filtrage vers Netfilter
Question 1
Expliquez la différence entre un firewall « stateful packet filtering » et un firewall « stateless
packet filtering ».
4 points
Le filtrage simple de paquets sans état (« stateless packet filtering ») est le plus simple. Le firewall autorise
ou bloque le passage de paquets en fonction des adresses IP, et des ports (source et destination) et du type
de paquet.
Ce type de filtrage oblige l’administrateur à autoriser un grand nombre d’accès, comme pour une session
TCP (avec tous les ports supérieurs à 1024) pour autoriser les connexions vers internet depuis le LAN.
Un pare-feu à états (‘’stateful firewall’’) est un pare-feu qui garde en mémoire l'état de connexions réseau
(comme les flux TCP, les communications UDP) qui le traversent. Le fait de garder en souvenir les états de
connexions précédents permet de mieux détecter et écarter les intrusions et assurer une meilleure sécurité.
Le pare-feu est programmé pour distinguer les paquets légitimes pour différents types de connexions. Seuls
les paquets qui correspondent à une connexion active connue seront autorisés par le pare-feu, d'autres
seront rejetés.
Question 2
Comment réagissent ces 2 types de « pare-feu » aux attaques DOS et DDOS, dont vous
expliquerez la différence ?
3 points
La seule différence entre ces deux attaques est le nombre d’utilisateurs qui effectue l’attaque. Car une
attaque Dos peut être effectuée par une seule personne. Alors qu’une attaque DDos est comme son nom
l’indique une attaque dite « distribuée ». C’est-à-dire qu’elle implique de nombreux « soldats », aussi
appelés « zombies » (ordinateurs infectés et paramétrés pour participer à l’attaque).
Attaque Dos
Exemple d’attaque DoS (ici un seul attaquant)

Attaque DDoS
Exemple d’attaque DDoS

Les attaques par déni de service non distribuées (DoS) peuvent être contrées en identifiant l’adresse IP de la
machine émettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP
provenant de la machine hostile sont dès lors rejetés sans être traités empêchant que le service du serveur
ne soit saturé et ne se retrouve donc hors-ligne.
Les attaques par déni de service distribuées sont plus difficiles à contrer. Le principe même de l’attaque par
déni de service distribuée est de diminuer les possibilités de stopper l’attaque. Celle-ci émanant de
nombreuses machines hostiles aux adresses différentes, bloquer les adresses IP limite l’attaque, mais ne
l’arrête pas.
Question 3
Expliquez ce qu’est un pare-feu applicatif.
2 points
Dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un protocole attendu. Par
exemple, ce type de pare-feu permet de vérifier que seul le protocole HTTP passe par le port TCP 80. Ce
traitement est très gourmand en temps de calcul dès que le débit devient très important. Il est justifié par le
fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP afin de contourner le filtrage par ports.
Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles comme
FTP, en mode passif, échangent entre le client et le serveur des adresses IP ou des ports TCP/UDP. Ces
protocoles sont dits « à contenu sale » ou « passant difficilement les pare-feu » car ils échangent au niveau
applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau TCP (échange de ports). Ce
qui transgresse le principe de la séparation des couches réseaux. Pour cette raison, les protocoles « à
contenu sale » passent difficilement voire pas du tout les règles de NAT... dynamiques, à moins qu'une
inspection applicative ne soit faite sur ce protocole.
Question 4
Assurez-vous que votre noyau linux autorise le routage.
1 point
/proc/sys/net/ipv4/ip_forward
Question 5
Supprimez les règles prédéfinies et celles de l’utilisateur.
1 point
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
Question 6
Définissez la « policy » suivante : « Tout le reste doit être bloqué », on autorise les datagrammes
relatifs à des connexions dont l’établissement a été autorisé.
1 point
iptables -P INPUT DROP

iptables -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Question 7
Autorisez le Loop back sur le routeur.
1 point
iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT
Question 8
Écrivez une règle qui laisse passer 10 tentatives de connexion TCP sur le routeur firewall puis qui
n'en laisse passer plus que 10 par minute.
1 point
iptables -A INPUT -p tcp --syn -m limit --limit 1/minute --limit-burst 10 -j ACCEPT
Question 9
Quel est l’objectif de cette règle ?
1 point
Pour lutter contre les attaques par force brute, les scans, les attaques en Dos.
Question 10
Écrivez une règle qui laisse passer 10 tentatives de Ping sur le routeur firewall puis qui n'en laisse
passer plus que 10 par minute.
1 point
iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 1/minute --limit-burst 10 -j ACCEPT
(Une solution équivalente sera acceptée avec hashlimit,…)
Question 11
Quel est l’objectif de cette règle ?
1 point
Pour lutter contre les attaques par ipflooding, les attaques en Dos.
Question 12
On souhaite garder une trace des paquets refusés en créant une chaîne utilisateur appelée
« blockedlist » ou tous les paquets seront enregistrés avec le message « Blocked ».
1 point
iptables -N blockedlist
iptables -t filter -A blockedlist --jump LOG --log-prefix Blocked
Il faut aussi remplacer les règles

iptables -t filter -A INPUT --jump DROP
iptables -t filter -A OUTPUT --jump DROP
par iptables -t filter -A blockedlist--jump DROP
puis
iptables -t filter -A INPUT --jump blockedlist
iptables -t filter -A OUTPUT --jump blockedlist
Question 13
On désire autoriser les connexions SSH sur le routeur firewall depuis votre poste de travail
administrateur en 222.22.59.10, vous choisirez une adresse IP pour le routeur qui vous parait
logique.
1 point
# SSH In
iptables -t filter -A INPUT –s 222.22.59.10 -p tcp --dport 22-j ACCEPT
# SSH Out
iptables -t filter -A OUTPUT s 222.22.59.10 -p tcp --dport 22 -j ACCEPT
Question 14
Qu’est-ce que SSH et pourquoi l’utiliser ?
1 point
SSH (Secure Shell) : c'est une sorte de telnet (ou rlogin) sécurisé. Cela permet de se connecter au routeur
distant de façon sûre et d'avoir une ligne de commande. SSH possède des extensions pour sécuriser d'autres
protocoles (FTP, POP3 ou même X Windows).
Il est particulièrement utilisé pour ouvrir un shell sur un ordinateur distant.
Question 15
Entrez l’adresse IP du réseau local (dont vous préciserez la classe réseau et le masque réseau
habituellement utilisé pour cette classe) et Internet.
Les postes du réseau ont la possibilité d'accéder au Net (HTTP, HTTPS). Toutes les requêtes
partent du réseau privé vers le Net. Seules les réponses à ces requêtes seront autorisées.
1 point
C’est une adresse de classe c dont le masque est / 24 ou 255.255.0.0

iptables–A FORWARD –p tcp–i eth2 –s 222.22.59.0/24 –o eth1 –m multiport --dports80,443 –m conntrack—
ctstate NEW, ESTABLISHED –j ACCEPT
iptables–A FORWARD –p tcp–o eth2 –d 222.22.59.0/24 –i eth1 –m multiport --sports 80,443 –m conntrack—
ctstate ESTABLISHED –j ACCEPT
Question 16
Chaque connexion initiée depuis le réseau interne et dirigée vers les serveurs doit être autorisée.
On utilisera le même masque de réseau pour les serveurs.
1 point
iptables -t filter -A FORWARD -s –s 222.22.59.0/24 -d 10.22.59.09/24 –I eth1 -o eth0 -m state --state NEW -
j ACCEPT
Question 17
On rajoute maintenant la règle, à quoi sert-elle ?
iptables -t filter -A FORWARD -s 10.22.59.09/24 -i eth0 -o eth1 -m state --state NEW -j ACCEPT
1 point
Chaque connexion initiée depuis les serveurs et dirigée vers Internet doit être autorisée.
Question 18
Donnez la règle qui permet de transférer toutes les connexions arrivant sur le port 80 de l’adresse
externe eth0 du routeur sur le serveur du département.
2 points
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \

--to 10.22.59.02:80
iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 10.22.59.02:80 -j ACCEPT
 Dossier 6 - Mise en place de VPN IPSEC
Question 1
Configurez la politique d’échange des clés (crypto isakmp policy) afin de définir l’authentification
entre les 2 routeurs.
1 point
crypto isakmp policy 10

encr 3des
authentication pre-share
group 2
Question 2
Paramétrez la clé d’échange qui sera partagée entre les 2 routeurs.
1 point
crypto isakmp key keycrypt address 46.19.37.101
Question 3
Paramétrez le transfor-set afin de définir comment le flux entre les 2 routeurs sera crypté et
contrôlé.
1 point
crypto ipsec transform-set TFVPN1 esp-3des esp-md5-hmac
Question 4
Définissez les ACL :
• l’ACL VPN-TRAFFIC1 permet de définir quel flux de données doit être crypté. Dans notre
cas, on cryptera les flux entre les 2 réseaux privés.
• l’ACL natlist1 permet de définir quel flux doit être « natté », elle doit impérativement
exclure les flux du VPN.
2 points
ip access-list extended VPN-TRAFFIC1

permit ip 192.133.133.0 0.0.0.255 10.10.2.0 0.0.0.255
permit icmp 192.168.0.0 0.0.0.255 10.1.2.0 0.0.0.255
ip access-list extended natlist1

deny ip 192.133.133.0 0.0.0.255 10.10.2.0 0.0.0.255
deny icmp 192.133.133.0 0.0.0.255 10.10.2.0 0.0.0.255
permit ip 192.133.133.0 0.0.0.255 any
Question 5
Définissez la map de cryptage qui permet de réunir toutes les informations sur le lien VPN.
2 points
crypto map VPN1 19 ipsec-isakmp

set peer 46.19.37.49
set transform-set VPN1
match address VPN-TRAFFIC1
Question 6
Activez la translation d’adresse.
1 point
ip nat inside source list natlist1 interface Dialer0 overload.
Question 7
Appliquez le VPN sur une interface Dialer0.
1 point
interface Dialer0
crypto map MVPN
Question 8
Ajoutez la route pour contacter l’autre réseau.
1 point
ip route 10.10.2.0 255.255.255.0 46.19.37.49
 Dossier 7 - Active directory
Question 1
Expliquez ce qu’est active directory, quels sont ses composants physiques et logiques ?
2 points
AD fournit un service d'annuaire aux organisations qui leur permettent d'offrir un accès sécurisé aux
ressources réseau et une administration centralisée.
AD permet l'authentification des utilisateurs, puis autorise ces derniers à accéder aux ressources réseau sur
la base de cette authentification réseau.
AD DS se compose de composants physiques et logiques :

• les composants logiques (domaines, forêts et unités d'organisation, par exemple) permettent de
regrouper des objets à des fins d'administration,
• les composants physiques (contrôleurs de domaine et sites, par exemple) sont déployés pour offrir
une expérience utilisateur cohérente au sein de l'environnement AD DS.
Question 2
Quelles sont les différences entre un domaine, une arborescence de domaine et une forêt ?
2 points
Vous pouvez avoir plusieurs domaines dans une arborescence de domaine tant que tous les domaines
partagent un espace de nom commun. Dans une forêt, vous pouvez avoir plusieurs arborescences de
domaine.
Question 3
Quelle est la relation entre un domaine et un site ?
2 points
Vous pouvez avoir une variété de configurations de site et de domaine. Un domaine unique pourrait se
trouver ainsi à plusieurs emplacements, chacun d'eux pouvant être un site distinct. Un site pourrait
également contenir des contrôleurs de domaine de plusieurs domaines d'une forêt.
Question 4
Une web-agency dispose d'un seul bureau de 15 développeurs et d'un seul responsable qui gère
toutes les tâches d'administration AD, comment configureriez-vous votre architecture AD ?
2 points
Cette architecture aurait besoin uniquement d'un seul domaine et des conteneurs par défaut contenus dans
ce domaine. Si l'organisation souhaitait déployer plusieurs stratégies pour différents utilisateurs ou
ordinateurs, elle pourrait créer plusieurs unités d'organisation pour regrouper ces développeurs ou
ordinateurs.
Question 5
Une entreprise dispose de plusieurs sites de développements dans différentes villes. Compte
tenu des exigences de confidentialité et de sécurité, les bureaux doivent être gérés uniquement
dans chaque ville, etc…, comment configureriez-vous votre architecture AD ?
2 points
Cette architecture devra implémenter plusieurs forêts. Le seul moyen de créer une limite de sécurité entre
les sites de pays est de créer des forêts distinctes. Au sein de chaque forêt, l'organisation devra peut-être
configurer des domaines et des unités d'organisation supplémentaires.
 Dossier 8 - Sécurité wifi
Question 1
Expliquez les différences entre WEP, WPA et WPA2 ?
3 points
Wired equivalent privacy (WEP) est l’algorithme le plus largement utilisé de la sécurité Wi-Fi dans le monde.
Il ne faut pas utiliser le WEP car le fait que son IV (Vecteur d’Initialisation) n’ait une taille que de 24 bits
permet à des pirates de calculer toutes les possibilités de valeurs en quelques secondes.
Le WPA est une sorte de rustine en attendant le 802.11i.
WPA a été conçu pour être utilisé en collaboration avec un serveur d'identification 802.1X chargé de
distribuer les différentes clés à chaque utilisateur. Cependant, il peut aussi être utilisé dans un mode moins
sécurisé, appelé Pre-shared key (PSK), dans lequel tous les utilisateurs partagent une même phrase secrète.
Le WPA2 est une solution de sécurisation poussée des réseaux WiFi. Il s’appuie sur l’algorithme de
chiffrement TKIP, comme le WPA, mais supporte également le chiffrement symétrique AES (Advanced
Encryption Standard), beaucoup plus robuste que TKIP.
Question 2
Expliquez ce qu’est le mode PSK, pourquoi est-il vulnérable aux attaques par force brute ?
3 points
Le mode Pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels
ou de PME qui ne peuvent se permettre le coût et la complexité d'une solution utilisant un serveur
d'identification 802.1X. Chaque utilisateur doit saisir une phrase secrète pour accéder au réseau. La phrase
secrète peut contenir de 8 à 63 caractères ASCII ou 64 symboles hexadécimaux (256 bits). Si une phrase
secrète sous forme de caractères ASCII est utilisée, elle sera au préalable convertie vers une clé de 256 bits
que l'on nomme Pairwise Master Key ou PMK en appliquant une fonction de dérivation de clé PBKDF2 qui
utilise le SSID comme sel et 4096 itérations de HMAC-SHA113.
Utiliser une suite aléatoire de caractères hexadécimaux reste plus sûr – une phrase secrète reste, toutes
proportions gardées, sujette à une attaque par dictionnaire – mais la clé est alors plus difficile à écrire et à
retenir. La plupart des systèmes d'exploitation permet à l'utilisateur de stocker la phrase secrète sur
l'ordinateur (en règle générale sous forme de PMK), afin de ne pas avoir à la saisir à nouveau. La phrase
secrète doit rester stockée dans le point d'accès WiFi.
Cependant, les phrases secrètes que les utilisateurs ont l'habitude d'utiliser rendent le système vulnérable
aux attaques par force brute sur les mots de passe.
Question 3
Mettez les technologies suivantes dans l’ordre, de sécurité, décroissant :
• WPA + AES,
• WPA2 + AES,
• WPA + TKIP,
• Réseau ouvert (aucune sécurité),
• WPA + TKIP / AES (TKIP est là comme une méthode de repli),
• WEP.
4 points
1. WPA2 + AES
2. WPA + AES
3. WPA + TKIP / AES (TKIP est là comme une méthode de repli)
4. WPA + TKIP
5. WEP
6. Réseau ouvert (aucune sécurité)
 Dossier 9 - Droit informatique
Question 1
Pensez-vous qu’il soit possible d’interdire l’usage internet au travail ?
2,5 points
Non… mais on peut le restreindre.

La CNIL admet ainsi qu'« une interdiction générale et absolue de toute utilisation d'internet à des fins autres
que professionnelles ne paraît pas réaliste dans une société de l'information et de la communication, et
semble disproportionnée au regard des textes applicables et de leur interprétation par la jurisprudence ».
Or, la nature même d'internet rend possible son utilisation à des fins personnelles et non professionnelles.
Cependant, le 9 juillet 2008, la Cour de cassation a rendu une solution selon laquelle toutes les connexions
internet effectuées par un salarié depuis son poste et durant ses horaires de travail sont présumées avoir un
caractère professionnel.
L'employeur peut fixer dans une charte les conditions et les limites d'une telle utilisation d'internet. Il peut
par exemple filtrer certains sites à condition d'avertir les employés et de consulter le comité d'entreprise. S'il
met en place un dispositif permettant de collecter des données de connexion pour chaque poste, il doit
déclarer ce traitement auprès de la CNIL, sauf si un correspondant informatique et liberté a été désigné.
Question 2
Pensez-vous qu’il soit possible d’interdire l’usage de sa messagerie privée au travail ?
2,5 points
Non… si cela reste raisonnable.

Selon la CNIL, « l'utilisation de la messagerie électronique pour envoyer ou recevoir, dans des proportions
raisonnables, un message à caractère personnel correspond à un usage généralement et socialement
admis ».
La distinction entre message privé et message professionnel est importante, car l'employeur a la possibilité
de prendre connaissance d'un message professionnel reçu par un employé, alors qu'il se rend coupable de
violation du secret des correspondances s'il prend connaissance du contenu d'un message privé.
Afin de faciliter la détection du caractère privé ou professionnel du message, on considère en général qu'il
revêt un caractère professionnel, « sauf indication manifeste dans l'objet du message ou dans le nom du
répertoire où il pourrait avoir été archivé par son destinataire. »
Question 3
Pensez-vous qu’il soit possible d’interdire l’usage des téléphones mobiles au travail ?
2,5 points
Non, sauf cas particulier des postes qui nécessitent une attention particulière.
L’article L.1121-1 du Code du travail dispose que l’employeur ne peut apporter des restrictions aux droits des
salariés et à leurs libertés individuelles qui ne seraient pas justifiées par la nature de la tâche à accomplir ni
proportionnées au but recherché.
Question 4
Qui est responsable dans le cas d’utilisation de données à caractère personnel sans sécurisation ?
2,5 points
Aussi bien le dirigeant de l’entreprise que l’informaticien, peuvent être poursuivis…

La loi française 78-17, article 34, fait peser sur le responsable du traitement de données à caractère
personnel, l’obligation d’assurer la sécurité et la confidentialité de ses données afin de garantir la vie privée
des personnes concernées. Des condamnations ont déjà été prononcées pour « délit de manquement à
l’obligation de préserver la sécurité des données à caractère personnel ».
Autrement dit, que ce soit pour transmettre des informations ou formulaires sur un site web (certificat
serveur), ou transmettre des documents ou pièces jointes par email (certificat email), ne pas sécuriser la
communication est une vraie prise de risque, pour l'informaticien comme pour les données.
GRILLE DE NOTATION
- Etude de cas informatique, réseaux et sécurité -
NOM ET PRENOM DU CORRECTEUR______________________________________________________
N° de candidat_____________________
Dossier Note attribuée Observations obligatoires
Dossier 1 - Généralités /10
Dossier 2 - Sécurité des SI /10
Dossier 3 - Sécurité web /15
Dossier 4 - Sécurité des bases

/10
de données
Dossier 5 - Filtrage vers

/25
Netfilter
Dossier 6 - Mise en place de

/10
VPN IPSEC
Dossier 7 - Active directory /10
Dossier 8 - Sécurité wifi /10
Dossier 9 - Droit informatique /10
Présentation et orthographe /10

TOTAL /120
Appréciation générale :
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________
Fait à _______________________________________ le ____________
Signature :

Deesirs - Juin 2018 - Corrigé

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Deesirs - Juin 2018 - Corrigé

Transféré par

Droits d'auteur :

Formats disponibles

FEDERATION EUROPEENNE DES ECOLES

FEDERATION FOR EDUCATION IN EUROPE

Bachelor européen en informatique, réseaux et sécurité

Type d’épreuve : Rédaction (Etude de cas)

Session : Juin 2018

Une topologie maillée correspond à plusieurs liaisons point à point.

 Dossier 2 - Sécurité des SI

3 points (toute solution valide sera acceptée)

On pourrait commencer par renseigner dans le champ id : '' OR 1=1 -- '

Le résultat sera le premier enregistrement (login, password) de la table « Users ».

Les avantages de l’utilisation de proxy :

Inconvénients de l’utilisation de proxy :

CREATE USER bertrand IDENTIFIED BY passbertrand;

CREATE USER anne

Il s'agit d'abord de donner les droits à « anne »

$ mkdir sauv1 ou md D:\sauv1

Puis pour Oracle :

SQL> create directory Sauv1 as '/ora/admin/dba/Sauv1'

SQL> grant read, write on directory Sauv1 to “anne”

Enfin, lancer la commande d’export (par exemple pour un full export)

Exemple d’attaque DoS (ici un seul attaquant)

Exemple d’attaque DDoS

iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp --syn -m limit --limit 1/minute --limit-burst 10 -j ACCEPT

(Une solution équivalente sera acceptée avec hashlimit,…)

iptables -t filter -A blockedlist --jump LOG --log-prefix Blocked

Il faut aussi remplacer les règles

C’est une adresse de classe c dont le masque est / 24 ou 255.255.0.0

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT \

iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 10.22.59.02:80 -j ACCEPT

crypto isakmp policy 10

crypto isakmp key keycrypt address 46.19.37.101

crypto ipsec transform-set TFVPN1 esp-3des esp-md5-hmac

ip access-list extended VPN-TRAFFIC1

ip access-list extended natlist1

crypto map VPN1 19 ipsec-isakmp

ip nat inside source list natlist1 interface Dialer0 overload.

ip route 10.10.2.0 255.255.255.0 46.19.37.49

 Dossier 7 - Active directory

AD DS se compose de composants physiques et logiques :

 Dossier 9 - Droit informatique

Non… mais on peut le restreindre.

Non… si cela reste raisonnable.

Aussi bien le dirigeant de l’entreprise que l’informaticien, peuvent être poursuivis…

NOM ET PRENOM DU CORRECTEUR______________________________________________________

Dossier Note attribuée Observations obligatoires

Dossier 1 - Généralités /10

Dossier 2 - Sécurité des SI /10

Dossier 3 - Sécurité web /15

Dossier 4 - Sécurité des bases

Dossier 5 - Filtrage vers

Dossier 6 - Mise en place de

Dossier 7 - Active directory /10

Dossier 8 - Sécurité wifi /10

Dossier 9 - Droit informatique /10

Présentation et orthographe /10

Fait à _______________________________________ le ____________

Vous aimerez peut-être aussi

Fait à ___________________________ le