Nom :…………………………..

Prénom :…………………………………
M2-SSI 2018/2019
EMD Audit Informatique avec corrigé
Observations
 Toute documentation est strictement interdite ;
 L’usage des ordinateurs, téléphones mobiles ou autre équipement électronique est
strictement interdit ;
 Les téléphones doivent être éteints. Un téléphone allumé est un motif d’exclusion de
l’examen ;
 Le sujet est abordable mais long alors concentrez-vous sur votre copie et ne vous
préoccupez pas de vos voisins, amis, collègues ou autres ;

Vous êtes contactés par un client qui a besoin d’un pentest. Il est concerné par des
menaces externes et il a investi dans des ressources considérables pour se protéger
d’internet. Cependant sa préoccupation principale est qu’un employé puisse élever ses
privilèges pour avoir accès à des informations qui se trouvent en dehors de son
département. Quel type de pentest recommanderiez-vous à votre client ? (0,5pt)
 Test à boite noire ;
 Test à black hat ;
 Test à boite grise;
 Test à grey hat ;
 Test à boite blanche ;
 Test à white hat.

Preuves dans un audit

Déterminez de quelle façon vérifier la mesure de contrôle ci-après dans le cadre d’un
audit relatif au déploiement de la norme ISO27001. Vous devez fournir des exemples
de preuves que vous souhaitez rechercher pour avoir une garantie raisonnable que la
mesure de contrôle a été mise en œuvre de manière efficace. Veuillez indiquer aux
moins deux éléments de preuves
 Les politiques de la sécurité de l’information (A.5.1.1.) (1pt)
P1)……Revue documentaire de la politique de sécurité pour valider son contenu
P2) entretien avec la personne chargée de la sécurité pour valider le processus
d’approbation et de distribution de la politique
P3) vérification des moyens de distribution et de diffusion de la politique
….. plusieurs réponses sont possibles

Qu'est-ce qui rend les vulnérabilités des applications Web si aggravantes ? (Choisissez
deux) (0,5pt)
 Elle peut être lancée à travers un port autorisé;
 Le firewall ne la bloquera pas;
 Elle existe exclusivement sur les plateformes Linux ;
 Elle est indétectable par toutes les plateformes de sécurité.
Vous êtes l’administrateur de sécurité de la société Xtander. Vous rédigez la politique
de sécurité et vous conduisez les évaluations pour la protection de la sécurité du réseau.
Durant l’une des inspections visant à contrôler la bonne application de la politique de
sécurité, vous constatez qu’un employé à connecter son téléphone 3G à sa station de
travail bypassant ainsi le parfeu de l’entreprise. Ce comportement causant une brèche
de sécurité, vous interpelez l’employé qui justifie son acte par le besoin de télécharger
rapidement une nouvelle application pour les besoins des projets du département.
Quelles seraient la mesure la plus pertinente que vous devez prendre : (0,5pt)
 Reconfigurer le parfeu ;
 Installer un IDS basé réseau ;
 Conduire une analyse des besoins ;
 Autre : (dans ce cas expliquer quelle serait la mesure appropriée ?)
Informer et sensibiliser l’utilisateur. De plus lors de la phase de sensibilisation il
y a lieu de l’informer des risques encourus (sanctions administratives)
Laquelle des opérations suivantes doit être effectuée en premier dans un test d’intrusion
(0,5pt)
 L’identification du système ;
 Le test du système de détection d’intrusion ;
 La récolte passive d’information;
 Le test du firewall.
Evaluation des actions correctives
Vous avez reçu un plan d’actions correctives. Evaluez l’adéquation des actions
correctives proposées. Si vous êtes d’accord avec les actions correctives, expliquez
pourquoi. Si vous n’êtes pas d’accord, expliquez pourquoi et proposez quelles seraient
les actions correctives adéquates. (0,75pt)
 Une non-conformité a été observée car l’équipe des ressources humaines n’était pas
au courant de la procédure qui leur demande de valider les références des futurs
employés avant de les embaucher.
 L’action corrective : informer (délai d’exécution : immédiat) et former (délai
d’exécution : dans les 6 mois) l’équipe des ressources humaines concernant cette
procédure et demander que chaque membre de l’équipe suive la formation.
Réponse
Je suis d’accord. Ceci résout le problème qui était l’ignorance de la procédure. En
tant qu’auditeur, un echanillonage sera réalisé pendant l’audit de surveillance
pour vérifier si la procédure est suivie.
Parmi ces catégories quel type de hacker représente le plus grand risque pour votre
entreprise ?(0,5pt)
 Black hat ;
 Grey hat ;
 L’employé mécontent;
 Script kiddies.
Classification des mesures
Selon vous, la mesure suivante est utilisée comme une mesure préventive, corrective,
et/ou de détection ; et indiquez si la mesure est une mesure administrative, technique,
managériale ou légale. Expliquez votre réponse. (1pt)
 Le cryptage des communications électroniques
Réponse :
 Mesure préventive : vise à prévenir et à empêcher des personnes non autorisées de
lire le contenu des échanges.
Mesure technique et légale : le cryptage est une solution technique permettant
d’assurer la confidentialité de l’information. C’est aussi une mesure légale car elle
est strictement encadrée par la loi et son usage implique des actions légales et
réglementaire

La cartographie des vulnérabilités s’opère après quelle phase du pentest ? (0,5pt)

 Le scan de l’hôte ;
 La récolte des informations passives ;
 L’analyse du scan de l’hôte;
 Niveau de la découverte réseau.
Une fois que l’attaquant a pu avoir accès à un système distant en utilisant un username
et password valides, il va essayer d’augmenter ses privilèges en escaladant le compte
utilisateur vers un autre ayant plus de privilèges. Quelles est la meilleure contremesure
permettant de se protéger contre l’escalade de privilèges ? (1pt)
Réponse
Appliquer le principe du moindre privilège tout en pensant à cloisonner les rôles et les
fonctionnalités.
Après avoir étudier les logs suivants, qu'est-ce que l'attaquant tente en fin de compte
d'atteindre ? (1,5pt)
Mkdir –p /etc/X11/applink/Internet/.etc
Mkdir –p /etc/X11/applink/Internet/.etcpasswd
touch –acmr /etc/passwd /etc/X11/applnk/internet/.etcpasswd
touch –acmr /etc /etc/X11/applnk/Internet/.etc
passwd nobody –d
/usr/sbin/adduser dns –d/bin –u 0 –g 0 –s/bin/bash
passwd dns –d
touch –acmr /etc/X11/applnk/Internet/.etcpasswd /etc/passwd
touch –acmr /etc/X11/applnk/Internet/ .etc /etc
 Changer le mot de passe de l’utilisateur nobody ;
 Extraire des informations à partir d’un dossier local ;
 Modifier les heures de creation, d’accés de modification des fichiers;
 Télécharger des rootkits et des mots de passe dans un nouveau dossier.
Une menace de base de données particulière utilise une technique d'injection SQL pour
pénétrer dans un système cible. Comment un attaquant pourrait-il utiliser cette
technique pour compromettre une base de données ?(0,5pt)
 Un attaquant utilise des routines de validation d'entrée mal conçues pour créer
ou modifier des commandes SQL afin d'accéder aux données non souhaitées ou
pour exécuter des commandes de base de données;
 L’attaquant soumet des entrées qui executeront des commandes OS pour
compromettre le système ciblé ;
 L’attaquant obtient le contrôle du système pour inonder le système cible avec des
requêtes pour empêcher les utilisateurs légitimes d'avoir accès ;
 L’attaquant utilise une configuration incorrecte pour avoir l’accès avec des
privilèges plus élevé que prévu de la base de données.
 Le respect des normes est-il une obligation en matière de sécurité ?(0,75pt)
Réponse :
De manière générale il ne l’est pas, cependant pour certains mettant en jeu des vies
humaines le respect des normes de sécurité devient une obligation légale. Dans
d’autres cas le respect des normes de sécurité est imposé par des accords et des
contrats signés entre les parties
Quand un hacker identifie une cible et souhaite la compromettre, Quelles seraient les
premières étapes qu'il effectuerait ? (choisir la meilleure réponse) (0,5pt)
 Couvrir ses traces en supprimant les fichiers journaux et les pistes d'audit ;
 Accéder à l'ordinateur distant afin de dissimuler le lieu des attaques ;
 Effectuer une reconnaissance de la cible distante pour identifier le même lieu
d'attaque;
 Commencez toujours par un scan afin d'identifier rapidement le lieu des attaques.

Vous êtes en train de pentester le site web de l’entreprise « Elile TV » en utilisant la

technique des injections SQL. Vous introduisez la chaine de caractère suivante dans le
champs username ‘’anything or 1=1-‘’
Voici la réponse fournie par le serveur

Quelles serait la prochaine étape à faire ? (1pt)

 Identifier le contexte de l’utilisateur de l’application web en exécutant :
http://www.exemple.com/order/include_rsa_asp?pressReleaseID=5 AND
USER_NAME()=’dbo’;
 Identifier les nom de la BD et de la table en exécutant
http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND
ascii(lower(substring((SELECT TOP 1 name FROM sysobjects WHERE
xtype=’U’))) > 109 ;
 Formater le disque C et supprimer la base de données en exécutant :
http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND
xp_cmdshell ‘format c:/q/yes ‘; drop database myDB ;-- ;
 Redémarrer le serveur web en executant
http://www.example.com/orer/include_rsa.asp?pressReleaseID=5 AND
xp_cmdshell ‘iisreset –reboot’ ;--.
 Parmi les approches suivantes, laquelle permettra à un attaquant d’avoir, de manière
passive et efficace, le plus d’informations concernant les technologies utilisées par une
entreprise (0,5pt)
 En envoyant un bug web au personnel clé ;
 En effectuant un webcrawling sur le site de l’organisations ;
 En cherchant dans les journaux locaux et les bases de données d’embauche les
compétences et les technologies requises dans les conditions d’embauche;
 En effectuant un scan des ports de l’organisation.
Que signifie le test à boite noire ? (0,5pt)
 Vous avez toute la connaissance relative à l’environnement ;
 Vous n’avez aucune connaissance relative à l’environnement;
 Vous avez une connaissance partielle relative à l’environnement.
Aziz n’a pas eu l’occasion d’effectuer le pentest à partir du rseau de la société XYZ. Il
lance le test à partir de chez lui. Il a téléchargé plusieurs scanneurs de sécurité. Bien
qu’il connait les adresses IP de l’entreprise et la configuration réseau exacte, aziz est
incapable d’avoir des résultats utilisables. Pourquoi aziz a rencontré ce type de
problèmes ?(0,5pt)
 Le scanneur de sécurité n’est pas conçu pour effectuer des tests à travers un parfeu ;
 Le scanneur de sécurité ne peut pas coupler les vulnérabilités ;
 Le scanneur de sécurité ne peut détécter que ce qu’il a dans sa base de données. Il
ne peut découvrir les vulnérabilités non publiées ou bien qu’il ne connait pas ;
 Tout ce qui précède.
Amir peut scanner facilement des services, car il existe de nombreux outils disponibles
sur Internet. Afin de vérifier la vulnérabilité de la société Phoenix, il a passé en revue
quelques scanners actuellement disponibles. Voici la liste des scanner qu’il va utiliser :
Axent’s Net Recon (http://www.axent.com)
Sara, by Advanced Research Organization (http://www-arc.com/sara)
VLAD the scanner, by Razor (http://razor.bindview.com/tools/)
Cependant, il existe de nombreuses autres façons de s’assurer que les services analysés
seront plus précis et plus détaillés pour Amir.
Quelle sera la meilleure méthode pour identifier avec précision les services fonctionnant sur
la machine de la victime (0,5pt)
 Utiliser Cheops-ng pour identifier les équipements de phoenix ;
 Utiliser la méthode manuelle de telnet pour chaque port ouvert de l’entreprise;
 Utiliser un scanneur de vulnérabilité pour essayer de sonder chaque port afin de
vérifier quel service tourne sur ce port ;
 Utiliser les ports par défaut et l’OS pour préparer la meilleure estimation du service
qui s’exécute sur chaque port de phoenix.
Halima a été embauché pour effectuer un test de boîte noire par l'un de ses clients.
Quelles sont les informations que Halima obtiendra du client avant de commencer son
test ?(0,5pt)
 La plage d’adresse IP, l’OS, et les patchs installés ;
 Uniquement les plages d’adresses IP internes et externes ;
 Le nom de l’entreprise;
 Toutes les informations possibles.
Laquelle des définitions suivantes semble mieux décrire le terme vulnérabilité ?(0,5pt)
 Une faille ou une erreur pouvant conduire à une compromission;
 Un agent qui a le potentiel de tirer profit d'une faiblesse ;
  Une action ou un évènement pouvant porter préjudice à la sécurité ;
 La potentielle émergence d’une menace.
Quelles sont les trois phases incluses dans le test de sécurité (0,5pt)
 Reconnaissance, conduite, rapport ;
 Reconnaissance, scanning, conclusion ;
 Préparation, conduite, conclusion;
 Préparation conduite, facturation.
Vous avez lancé un scan de port actif avec nmap sur un hôte. Quel est l’OS du système
d’exploitation scanné ?(1pt)

Réponse
L’OS scanné est :……Windows 2000 server
Justification :……certains ports ne peuvent être ouverts que sur des serveurs (exp :LDAP
389).

La commande nmap avec l’adresse 202.176.56-57.* permet de scanner ………….

Hôtes (spécifier le nombre d’hôtes) (0,5pt)
Réponse
254 * 2 = 508 adresses IP scannées
Votre partenaire tente de trouver des informations concernant un site web concurrent.
Le site a une extension .com.dz. afin d’identifier l’identité du propriétaire du site, votre
partenaire décide de faire une recherche sur internet. Sur quel site doit-il chercher ?
(0,5pt)
Réponse
NIC.DZ
Comment peut-on être sûre que l’auditeur ne va pas nous attaquer réellement quelles
garanties avez-vous ? (0,75pt)
A vrais dire on ne peut jamais être sûre à 100%. C’est pour cela qu’il existe des
gardes fou à savoir :
Les clauses du contrat, le NDA et la loi qui permettent au client d’attaquer l’auditer
en justice s’il commet des actions malveillantes
Est qu’il existe une différence entre une norme et une politique de sécurité si oui c'est
quoi ?(1pt)
Réponse
Oui.
Une norme est un document de référence développé par des experts et validé et adopté
par des organismes de normalisation de renom (organismes nationaux ou
internationaux).
Une politique peut être développée par les travailleurs qualifiés de l’entreprise et sa
portée se limite à l’entreprise.

Parmi les opérations suivantes, quelle est celle que l’auditeur doit effectuer lors de la
procédure d’acceptation de la mission ? (0,5pt)
 L’établissement du seuil de signification ;
 L’identification des politiques de contrôle interne et des procédures appliquées ;
 Une discussion des points importants avec le comité d’audit du client;
 L’obtention de la liste des fournisseurs pour une confirmation ;
 L’analyse du risque inhérent.
Généralement, il est dit que « l’auditeur a une obligation de moyens et non pas de
résultats » pensez-vous que ce soit vrais ou faux ? justifier votre réponse. (1,25pt)
Réponse
Effectivement, l’affirmation est vrais. L’auditeur doit mettre en œuvre tous les
moyens nécessaires à l’accomplissement de sa maission, cependant il ne peut être
garant de l’obtention de tous les résultats escomptés par le client.

Vous venez de recevoir une demande d’évaluation d’un site d’entreprise. La direction
de l'entreprise est préoccupée par les menaces externes et souhaite prendre les mesures
appropriées pour s'assurer que la sécurité est en place. Dans tous les cas, la direction
s’inquiète également de la menace potentielle émanant de l’intérieur du site, en
particulier d’employés appartenant à différents départements. quel genre d’audit allez-
vous effectuer? (0,25pt)
 Test à boite noire ;
 Test à chapeau noire ;
 Test à boite grise;
 Test à chapeau gris ;
 Test à boite blanche ;
 Test à chapeau blanc.