Exercise 1 : Questions de Cours (14 points)

1. Quelle technologie a permis l’émergence du Cloud Computing ?

2. Comment une organisation peut utiliser un modèle hybride combinant les 3 modèles
de
déploiement (public, privé, communautaire) ?
3. Comment les lois de pays différents peuvent-elles affecter le Cloud public ?
4. Pourquoi le respect des SLAs est-il important pour les fournisseurs de services ?
5. Comment mesure-t-on le SLA ? Qui effectue cette mesure ?
6. Citez un cas d’usage ou la virtualisation est plus recommandée que la
conteneurisation.
7. Pourquoi les composants sont également authentifiés dans Openstack ?
8. Pour se protéger contre le vol de données dans les services de Cloud publics, on
utilise le chiffrement de données.
— Qui doit posséder la clé de chiffrement/déchiffrement ?
— Citez les avantages et les inconvénients du chiffrement dans le Cloud.
9. Pourquoi doit-on analyser le trafic réseau à l’intérieur du Cloud pour assurer la
sécurité

Answer of exercise 1
1. La technologie qui a permis l’émergence du Cloud est la virtualisation
2. Un cas d’usage peut être un hôpital qui utilise un Cloud privé pour ses données
internes, un Cloud communautaire avec d’autres hôpitaux pour s’échanger des
informations sur leurs patients respectifs, et un Cloud public dans le cas où les
ressources du Cloud privé et communautaire sont épuisées et que les informations à
stocker ne sont pas confidentielles.
3. Ceci peut générer des problèmes si le client et le fournisseur sont dans des pays
différents. Des opérations peuvent être tolérées dans un pays et interdites dans un
autre. Ou la loi d’un pays peut empêcher une entreprise de stocker ses données dans
un pays étranger.
4. Le respect du SLA est important pour le fournisseur de service puisque son non-
respect engendre des pénalités au fournisseur. De plus, ceci peut également ternir
l’image du fournisseur.
5. On mesure le SLA en utilisant des métriques (disponibilité, élasticité, bande passante,
temps de réponse). C’est au fournisseur et à l’utilisateur d’effectuer cette mesure.
6. La virtualisation est plus recommandée lorsqu’on veut déployer des applications qui
tournent dans des noyaux différents (Windows, Linux) puisque cela n’est pas possible
avec la conteneurisation. Cette dernière ne peut faire fonctionner que des systèmes
d’exploitation qui ont un même noyau.
7. Ils doivent s’authentifier parce qu’ils peuvent s’exécuter depuis des machines
distinctes. Ainsi, s’ils ne s’authentifient pas des programmes malveillants peuvent se
faire passer pour ses services et lancer des attaques sur le Cloud
8. Chiffrement dans le Cloud :
— Les deux peuvent faire le chiffrement et posséder la clé, mais chacun a ses
avantages et ses inconvénients.
— L’avantage majeur du chiffrement par l’utilisateur est que les données sont protégées
contre le fournisseur. L’inconvénient majeur du chiffrement par l’utilisateur est que les
données peuvent être perdues si ce dernier perd sa clé de chiffrement.
L’avantage majeur du chiffrement par le fournisseur est que les données ne sont pas
perdues si l’utilisateur perd la clé. De plus le fournisseur a beaucoup moins de chances
de perdre la clé de chiffrement. Par contre, l’inconvénient majeur du chiffrement par le
fournisseur est que ce dernier peut lire les données de l’utilisateur.
9. Parce qu’une attaque peut être générée de l’intérieur du Cloud

Exercise 2 : Modèles de service (8 points)

Un fournisseur de Cloud possédant un Datacenter souhaite calculer le prix de revient de
son offre IaaS pour mieux adapter le prix de vente. Les caractéristiques des machines
virtuelles, des serveurs et du Datacenter sont données dans les tableaux ci-dessous. Le
fournisseur suppose que les machines virtuelles utilisent les ressources demandées à
100%. Ainsi, le fournisseur ne peut pas faire de surallocation de ressources.
1. Quel est le nombre maximal de machines virtuelles VM1qui peuvent s’exécuter
simultanément dans le Datacenter. Donnez la formule qui permet de faire ce calcul
sachant qu’un processeur physique peut être divisé en kprocesseurs logiques.
2. Donnez la formule du prix de revient maximal et minimal d’une offre de type IaaS (à
l’heure) pour la machine virtuelle VM1. Sachant que :
— Une VM est fournie au client sans OS.
— Un serveur est allumé seulement s’il exécute des machines virtuelles.
— Les techniciens sont payés e1à l’heure.
— Tous les coûts donnés sont à la seconde.
— Le coût de la climatisation d’un Datacenter est fixe, quel que soit le nombre de
serveurs allumés.
3. Le fournisseur souhaiterait proposer une solution PaaS à base de conteneurs. Quel
est le nombre maximal de conteneurs que peut exécuter ce Datacenter ?
4. Le fournisseur voudrait ajouter un nouveau Datacenter de même taille que le premier.
Quel est l’impact sur le prix de revient ?

Les caractéristiques sont :

Caractéristiques de VM1
Capacité de la RAM nécessaire -----------v1
Nombres de processeurs nécessaires ---v2
Bande passante nécessaire -----------------v3
Taille de la VM sur disque --------------------v4
Coût licence OS ---------------------------------v5
Nombre de conteneurs par VM --------------v6

Caractéristiques d’un serveur

Capacité de la RAM ----------------s1
Nombres de processeurs ----------s2
Bande passante ----------------------s3
Espace disque utilisable ------------s4
Nombre d’écrans ----------------------s5
Datacenter
Coût d’entretien des locaux ----------------d1
Coût de la climatisation ----------------------d2
Nombre de techniciens nécessaires ------d3
Superficie (surface) ----------------------------d4
Nombre de serveurs ---------------------------d5
Coût de management du Cloud -------------d6

Answer of exercise 2
1. Le nombre maximal de machines virtuelles par serveur est égal à :
NVMparServeur =min(int(s1v1), int(s2∗kv2), int(s3v3), int(s4v4))
Le nombre maximal de machines virtuelles sur le datacenter est égal à :
NVMsurDatacenter =NVMparServeur ∗d5
2. Le coût de revient est minimal lorsque toutes les machines virtuelles du Datacenter
sont en cours d’exécution. Ceci est égal à :
Coutminimal =[d1+d2+d6+d5∗(s6+s7)]∗3600+d3∗e1 NVMsurDatacenter
Le coût de revient est maximal lorsque le datacenter n’est en marche que pour une
seule machine virtuelle :
Coutmaximal = [d1+d2+d6+s6+s7]∗3600 + d3∗e1
3. Le nombre maximal de conteneurs que peut executer le datacenter est égal à :
NCtnSurDatacenter =NVMsurDatacenter ∗v6
4. Le coût de revient baisse puisque le coût de management du Cloud est divisé entre
les 2 datacenters.

Answer of exercise 2
1. Le nombre maximal de machines virtuelles par serveur est égal à :
NVMparServeur =min(int(s1 v1), int(s2∗kv2), int(s3v3), int(s4v4))
Le nombre maximal de machines virtuelles sur le datacenter est égal à :
NVMsurDatacenter =NVMparServeur ∗d5
2. Le coût de revient est minimal lorsque toutes les machines virtuelles du Datacenter
sont en
cours d’exécution. Ceci est égal à :
Coutminimal =[d1+d2+d6+d5∗(s6+s7)]∗3600+d3∗e1
NVMsurDatacenter
Le coût de revient est maximal lorsque le datacenter n’est en marche que pour une
seule
machine virtuelle :
Coutmaximal = [d1+d2+d6+s6+s7]∗3600 + d3∗e1
3. Le nombre maximal de conteneurs que peut executer le datacenter est égal à :
NCtnSurDatacenter =NVMsurDatacenter ∗v6
4. Le coût de revient baisse puisque le coût de management du Cloud est divisé entre
les 2 datacenters
TRAVAUX DIRIGÉS : SÉCURITÉ DES CLOUD
EXERCICE I : Les critères de sécurité dans le cloud
1. Sur quels principes est fonde le cloud ?
2. Quels sont le caractérises du cloud ?
3. Le cloud est-il sécurisé ?
4. Comment le cloud est-il sécurisé ?
5. Quels sont les méthodes d’intrusions dans le cloud ?
EXERCICE II :
1- Qu’est-ce que la cyber-criminalité ? qui vise-t-elle en premier ?
2- Quelles sont les solutions les plus utilisées dans les entreprises pour contrer la
cybercriminalité ?
3- Donnez un moyen permettant de réaliser : l’authentification, la confidentialité, la
non-répudiation et la fraicheur de donnée?
4- Qu’est-ce que la cyber-criminalité ? qui vise-t-elle en premier ?
5- Quelles sont les solutions les plus utilisées dans les entreprises pour contrer la
cybercriminalité ?

EXERCICE III :
1. Qu’est-ce qu’un Déni de Service ? Donnez une attaque qui puisse le causer dans
un réseau local filaire ? une autre pour un réseau sans fil ?
2. Dans l’entête d’un paquet TCP on trouve le numéro de séquence du paquet.
Comment cette information peut-elle être exploitée pour une attaque ? de quel type sera
donc cette attaque ?
3. Tout réseau possède une adresse de diffusion. Les messages envoyés à cette
adresse de diffusion sont envoyés à tous les ordinateurs du réseau. Par exemple, si je
veux connaître les autres ordinateurs de mon réseau, je peux pinguer l’adresse de
diffusion et tous les ordinateurs connectés répondront à mon ping. Pourquoi serait-ce
une mauvaise idée que les hôtes répondent aux pings de diffusion (c’est-à-dire les echo
requests d’ICMP, envoyées à l’adresse de diffusion) ? Quel type de problème cela
pourrait-il causer ?
4. Une autre attaque classique de Déni de Service est l’attaque SYN. Dans une
attaque SYN, un attaquant envoie à une victime un flot de paquets SYN avec des
adresses sources usurpées.
La victime initialise des états de connexion et essaie de répondre aux adresses
spoofées. Si suffisamment de paquets SYN sont envoyés, la table de connexions d’un
serveur peut être remplie, et les nouvelles requêtes seront refusées. Proposez des
solutions pour résoudre ce problème ?
EXERCICE IV : L’attaque de l’Homme du milieu (MIM)
1. Expliquez ce qu'est une attaque MIM et en quoi TLS permet de s'en protéger.
2. Qu'est-ce que le fichier hosts ?
3. Où se trouve le fichier hosts ?
4. Comment fonctionne le fichier hosts ?
5. Citez les protocoles qui peuvent intervenir dans cette attaque et expliquez leurs
interventions.
6. Quels principes de sécurité du cloud sont viole par cette attaque ?
7. En pratique, nous avons parlé des types d’attaques MITM, il vous est demander
pour chaque attaque ci-dessous de la décrire en mettant en évidence les protocoles
intervenant.
 ARP poisoning
 ICMP redirect
 NDP poisoning
 Port stealing
 DHCP spoofing
8. Donnez avec description deux méthodes de protection contre les attaques MITM.

EXERCICE V : Les types d’attaques

1. Citez et expliquez les différents types d’attaques que vous connaissez
2. Faites un tableau ou vous représenter les attaques, les méthodes, les exemples
réels.
EXERCICE VI : Les attaques DDoS
1. Que signifie DDoS.
2. Expliquer de façon précise ce type d’attaque.
3. Quels sont les protocoles mis en jeux.
4. Pourquoi faire une attaque DDoS ?
5. Quel logiciel pour des attaques DDoS ?
6. Quelle est la différence entre DoS et DDoS ?
7. Enumérer quelques différences entre les attaques DoS, MITM et les attaques DDoS
8. Donner le rôle des commandes suivantes :
 hping3 -S 192.168.149.1 -p 80 -c 5
 hping3 -0 192.168.149.1
 hping3 -1 192.168.149.1
 hping3 -2 192.168.149.1
 hping3 -8 1-30 -A 192.168.149.1
 hping3 -9 192.169.149.1
 hping3 -2 192.169.149.1 -V
 hping3 -S 72.14.207.99 -p 80 --tcp-timestamp
 hping3 -9 HTTP -I eth0
 hping3 -S 192.168.1.1 -a 192.168.1.254 -p 22 --flood
 hping3 lacampora.org -q -n -d 120 -S -p 80 --flood --rand-source
 hping3 --rand-source joelyankam.com -S -q -p 80 –flood
9. Un groupe de brigands indépendant nomes « black hands » disposent des
adresses suivantes : 192.168.200.200, 192.168.200.2, 192.168.200.30. Ils décident de
réaliser attaque d’inondation sur un serveur d’une université dont ils connaissent
l’adresse.
 (a) De quel type d’attaque s’agit-il ? Pourquoi ?
 (b) Décrire de façon brève le scenario de l’attaque.
 (c) Comment sait-on qu’il s’agit d’une attaque d’inondation ?
 (d) Proposez un script shell, qui aurait pu être à l’origine de cette attaque : les «
black hands » ne préciseront l’adresse du serveur que lors de l’attaque (à l’appel
du script).
 (e) Expliquer les différentes méthodes d’attaques DoS que vous connaissez.

CORRECTION :
 1.
2. Les principes du cloud :
 Libre-service à la demande. Les utilisateurs peuvent accéder aux services
informatiques via le cloud quand ils en ont besoin, sans action de la part du
fournisseur de services.
 Accès étendu via le réseau.
 Mutualisation des ressources.
 Élasticité rapide.
 Service mesuré
3. Oui, notamment si les accès physiques des datacenters sont sécurisés. Afin que
seules les personnes autorisées puissent pénétrer dans le datacenter, on
maintient un contrôle strict des accès. Il peut impliquer un large éventail de
mesures, par exemple :
 Accès par badge sans contact
 Reconnaissance biométrique à l’entrée
 Accompagnement permanent des visiteurs extérieurs
4. La sécurité du cloud inclut la sûreté physique des serveurs et la mise en place
d'un accès sécurisé à l'environnement cloud ; La sécurité des données dans
le cloud concerne, entre autres, le chiffrement et l'encryptage de ces données, la
mise en place d'une liaison réseau chiffrée
5. Il existe deux types de tests d'intrusion : interne (elle se fait depuis internet par
un agent qui n’est pas forcement de l’entreprise et sans accès physique aux
ressources) et externe (elle se fait au sein de l’entreprise par un accès physique
aux ressources de l’entreprise).
EXERCICE II :
1. La cybercriminalité représente tout acte malveillant commis sur le réseau
Internet.
Elle touche en premier lieu les entreprises et les particuliers
2. Les techniques de lutte contre la cybercriminalité sont :
a. L’utilisation de firewall (pares-feux)
b. Le cryptage des données
3. Représentation par un tableau
Service Type d’attaque visant ce service
Authentification Usurpation d’identité
Confidentialité Sniffing, Interception de message
Intégrité Modification du message ou
brouillage
Non répudiation Modification du journal
Disponibilité Dos, Bombardement et saturation du
réseau
EXERCICE III :
1. Un Dos : est une attaque ou un objectif d’attaques qui vise à mettre à plat une
partie ou tout le système informatique.
DoS réseau local filaire : ex : Sniffer, DoS réseau sans fil : Jamming
2.
- Le numéro de séquence indique le numéro du premier octet de données contenu dans
le datagramme.
- Le numéro d'acquittement fournit un d'accusé de réception, et indique le numéro du
prochain octet de données attendu par la machine.
*Si tout se passe bien (pas de perte de données, de retransmission, etc.), le numéro
d'acquittement du récepteur
Est identique au numéro de séquence du prochain datagramme envoyé par l'émetteur.
Donc, il suffit d’intercepter un ACK et l’attaquant connait le prochain SEQ (num de
séquence). Il pourra alors l’exploiter pour confectionner de faux paquets et les injecter
dans le réseau et ils seront bien acceptés par le récepteur, ça pourra être une attaque
d’injection de fausses infos, ou pourra aller jusqu’à un DoS si l’envoi est intensif.
3.
Cela pourrait facilement être exploité pour générer un trafic très intensif et donc une
attaque par inondation indirecte. Cela peut donc causer un DoS.
4.
Reprenons : Une attaque par déni de services SYN flood est une technique visant à
saturer un serveur en envoyant une multitude de paquets TCP, avec le flag SYN. Les
connexions sont alors établies vers la machine, mais restent à moitié ouvertes, car le
client malveillant (hacker) ne renvoie pas de confirmation (ACK). Le serveur attend
pendant un certain délai la réponse et la connexion semi-ouverte consomme alors un
certain nombre de ressources. En multipliant ce type de connexions, le hacker peut
arriver à créer un déni de service qui rendra la machine inopérante.
Solutions :
-Attendre pendant un certain temps, si pas d’ACK, l’entrée dans la table sera supprimée
-Limiter le nombre d’entrées initiées pour éviter que la table ne déborde
- Le Firewall doit bloquer une @IP qui envoie un nombre important de SYN.
EXERCICE IV :
1. Une attaque MIM est une attaque d’usurpation d’identité, qui permet de surveiller
mais aussi d’espionner le Traffic réseau, a des fins de sécurité ou de contrefaçon.
Avec TLS, les données qui transitent dans le réseau sont cryptes et donc non
accessible par l’espion s’il ne peut pas trouver la clé adéquate.
2. Le fichier hosts est un fichier utilises par le système d’exploitation pour mapper
des noms d’hôtes a des adresses IP.
3. Sous Windows, il se trouve sous C:\windows\hosts
Sous linux, il se trouve sous /etc/hosts
4. Chaque fois qu’une machine communique avec une autre, il y’a échange des
données de reconnaissance (adresse IP + adresse MAC) ses données la sont
stockes dans le fichier hosts.
5. Les protocoles intervenants sont :
ICMP : car l’attaquant émet des requetés dans le réseau vers la cible pour pouvoir lui
faire croire que c’est lui son destinataire.
ARP : car l’attaque permet de modifier les données du cache ARP
6. Cette attaque viole le principe de confidentialité et l’intégrité des données.
7. Description des attaques
ARP poisoning : il s’agit d’une attaque d’usurpation d’identité par modification du cache
ARP de la machine cible.
ICMP redirect : il s’agit d’une attaque d’usurpation d’identité par détournement de
paquets dans un réseau.
NDP poisoning : il s’agit d’une attaque d’usurpation d’identité par émission de message
broadcast usurpant le NDP de la cible
Port stealing : il s’agit d’une prise d’accès sur une machine cible.
DHCP Spoofing : il s’agit ici d’usurper l’identité d’un serveur DHCP afin de pouvoir avoir
la main mise sur la distribution d’adresse dans un réseau.
8. Les deux principales méthodes de protection contre les attaques MITM sont :
Le cryptage des données avec TLS (sur le web le Traffic HTTPS est crypte
contrairement au Traffic HTPP).
L’utilisation des outils d’analyse réseau ou des scripts.
EXERCICE V :
1. Les différents types d’attaques :
Les attaques passives : elles ne modifient pas l’information et porte essentiellement sur
la
confidentialité.
Les attaques actives : elles modifient le contenu de l’information ou le comportement
des systèmes de traitement.
2. Tableaux représentatifs des attaques, méthodes, exemples :
Attaques Méthodes Exemples
Passive Consultation -L’Homme du milieu passif
d’information, analyse du -scan réseau
réseau, détection des -Flooding passif
défaillances, …
Active Interception de paquets -Botnet
dans le réseau, -DDoS actif
usurpation d’identité, -L’homme du milieu actif
forçage d’accès,
EXERCICE VI :
1. DDoS : Distributed Deny of Service
2. C’est une attaque qui a pour but de saturer un serveur afin de le rendre moins
performant pour les autres utilisateurs.
3. Selon le type de DDoS les protocoles suivants peuvent être mis en jeu : TCP,
HTTP, DNS, ARP, …
4. Du point de vue de l’attaquant, cette attaque a pour but de rendre indisponible ou
incompétent un service d’un réseau et du point de la sécurité cet attaques permet
de tester le comportement du réseau face à ce type d’attaque.
5. Il en existe plusieurs mais celui utiliser en TP est : hping3.
6. DoS est un deny de service lance depuis un seul poste attaquant, tandis que
DDoS est un deny de service lance depuis plusieurs postes attaquants.
7. Pour lancer une attaque de type MITM il faut être dans le même réseau que les
machines cible, contrairement aux attaques DoS et DDoS qui n’ont pas cette
contrainte.
Une attaque DoS est une attaque visant à rendre a indisponible ou incompétent un
service d’un réseau depuis un poste attaquant, contrairement aux attaques DDoS qui
sont des DoS depuis plusieurs postes attaquants, contrairement aux attaquants MITM
qui ne sont de l’espionnage réseau.
8.
a. Il s’agit d’une attaque DDoS, car on veut saturer de requêtes un serveur depuis
plusieurs postes attaquants.
b. Depuis chacun des postes, on envoie des hping3 de types (TCP, ICMP, ARP, …)
vers le serveur cible dont ils connaissent l’adresse IP.
c. Sur la machine cible, il faut analyser la performance réseau (Ethernet ou WIFI), si
le taux est trop élevé, cela veut dire que le serveur traite un grand nombre de
requêtes (TCP, ICMP, ARP, …) ce qui sature ce dernier.
d. Script utiliser par les black hands, dans ce script l’adresse du serveur est
supposée être toujours correcte.
# !/bin/sh
hping3 -1 --flood $1
e. Les types d’attaques DoS
Le ping flood attack, qui est une saturation d’un serveur par des requêtes ICMP.
Le TCP flood attack, qui consiste à saturer le serveur par des requêtes SYN.