Section : A.U.

: 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant

Salle n° :…………………. Place n° :…………………..

- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - -
Note Documents non autorisés Appréciations du correcteur

Problème de sécurité informatique

La société XYZ est une société exportatrice de matériel informatique installée en Tunisie
dont le siège central est situé dans un bâtiment de 4 étages: le 1 er étage est consacré au
service commercial, le 2ème étage aux ingénieurs et aux techniciens informatiques, le 3ème
abrite les services financier et juridique et enfin le 4 ème étage est réservé à l’administration et
à la direction générale. Le rez-de-chaussée contient le dépôt du matériel informatique.

La société XYZ comprend au total 100 employés de diverses disciplines. Chaque jour, les
employés doivent s’authentifier par empreint digitale en accédant à l’entrée du bâtiment et
dès lors, ils sont autorisés à accéder à tous les étages. La société offre à ses employés et à
ses visiteurs une connexion Wifi à laquelle on peut se connecter à l’aide d’un mot de passe
(commun à tous les utilisateurs). Le site Web de la société est géré par un administrateur qui
est le même pour le réseau et pour le système ; son bureau se trouve au 2ème étage là où
résident les serveurs de base de données. Dans le but de simplifier la tâche de
l’administrateur, les login des employés sont formés à partir de la concaténation de leurs
noms et de leurs dates de naissances alors que les mots de passe représentent leurs
prénoms associés à leurs dates de recrutements. Ces logins et mots de passes sont utilisés
par les employés pour accéder à leurs PCs qui sont connectés au réseau Ethernet de la
société. Tout document créé par un employé est par défaut accessible par tous les
utilisateurs saufs si le propriétaire ou l’administrateur en change les droits.

Partie 1 : Protection générale de base :

1) Le contrôle d’accès à l’information est-il du type MAC, DAC ou RBAC ? Expliquer pourquoi
ce n’est pas une bonne technique dans le cas de cette société. Proposer une meilleure
solution qui prend en compte la diversité des profils des employés (secrétaires,
ingénieurs, financiers, …) et la dynamique de l’entreprise (promotions, départs, …) et
justifier votre choix.
…DAC………………………………....…...…..………………………………………………………………….......
………....…...…..…………………………………………………………………....…………………………………….
Existance de différents services donc RBAC est meilleur car les droits d’accès sont reliés aux
/1.5 rôles, pas aux personnes…………....…...…..…………………………………………………………………....
………………….……….……………………………………………………………………………………………………
…….…………………………....…...…..…………………………………………………………………....................
…….…………………………....…...…..…………………………………………………………………....................
…….…………………………....…...…..…………………………………………………………………....................
2) Récapituler les mesures mises en œuvre pour la protection du bâtiment, celles destinées
à protéger le système informatique et celles qui protègent le réseau ?
Mesures Bâtiment : empreinte digitale ……………………………………………....………………………
………....…...…..…………………………………………………………………....………………………….
Mesures Système :login (noms+datesNaissances) + mots de passes (prenoms+dateRecrutement)

/1.5 …………………………………....…...…..………………………………………………………………….....
……….………………………………………………………………………………………………………….
Mesures Réseau :WiFi avec mot de passe commun ….………………………………………………….....
Ethernet avec la même protection que le système (login+mots de passes, si on utilise les PCs des
employés) ………………………………………………………………….………………………………

Page 1 / 5
 Section : A.U. : 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant

Salle n° :…………………. Place n° :…………………..

- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - -
3) Déterminer les inconvénients majeurs de ces mesures de protection (au moins deux
inconvénients dans chaque cas).
Bâtiment :l’empreinte donne accès à tous les services sans exception
………....…...…..…………………………………………………………………....………………………….
Système :logins et mots de passes faibles et facilement devinables
…………………………………....…...…..………………………………………………………………….....
/1.5 Réseau :Mot de passe commun pour le WiFi (sécurité très faible si le mot de passe n’est pas changé
fréquemment, embétant pour les utilisateurs s’il est changé trop souvent) ………………….………

Ethernet protégé seulement pas la protection des PC eux-mêmes : Si on branche une autre machine
directement sur la prise Ethernet, l’accès seaa effectué avec succès.
4)…………………………………………
A la suite de l’identification de certains des inconvénients de la question précédente,
……………………………………………………………………………………
l’administrateur a décidé de définir des codes d’accès à chaque étage au niveau de
l’ascenseur (les employés tapent les codes sur une console à l’intérieur de l’ascenseur). Il
a également décidé d’utiliser des cartes à puce pour permettre le monitoring des accès
aux étages, salles machines, bureaux, salles de réunions, … Quels sont, à votre avis, les
avantages et les inconvénients de ces mesures (au moins 1 avantage et 1 inconvénient
dans chaque cas) ?
Code ascenseur : + protège (relativement) contre les attaquants externes
- taper le code devant les autres usagers n’est pas très sécurisé
- tous ceux qui sont dans l’ascenseur ne sont pas obligés de taper le code…………….
/1
Cartes à puce :+ permet un contrôle d’accès plus stricte aux services, étages, bureaux et salles
+ permet de conserver les logs des déplacements des utilisateurs
– peut être contraignat pour les utilisaueurs (il faut tjs avoir la carte sur soi, il faut tjs l’utiliser
pour passer et repasser partout) ………………………………………………………………....…………….
………………….……….……………………………………………………………………………………………………

5) Pour renforcer la sécurité de la société, l’administrateur a procédé à une enquête dont le

résultat est le suivant :
a. 50% des employés ont avoué avoir été victimes du piratage de leurs comptes
Facebook (envoi par l’attaquant de messages et de publications aux amis).
b. Plus que 45% des employés ont constaté une consommation importante de la bande
passante même si eux-mêmes ne génèrent pas de trafic réseau.
c. 5% des employés ont déclaré perdre temporairement le contrôle de leurs machines.
Dans chacun des cas, identifier le type d’attaque et indiquer brièvement au moins 2 façons
pour les corriger/éviter.
a. login+mot de passe devinés par l’attaquant : + utiliser des mots de passe robustes
+ changer régulièrement de mots de passes
/3 + utiliser les options de sécurisation des comptes (emails de récupération, numéro de
téléphone pour la saisie des codes de vérification d’identité, …)
b. Expl : Botnet : + utiliser un antivirus
+prévention : ne jamais utiliser un antivirus «gratuit » ni cliquer sur les programmes exe issus
d’éditeurs inconnus
c.contrôle distant : anti-virus, par-feu, anti-espion, detection d’intrusion
………………………….……………....…...….…………………………………………………………….....

La société XYZ utilise un standard appelé SET pour sécuriser sa solution de commerce
électronique. Une version simplifiée de l'architecture de SET est donnée par la figure
suivante :

Page 2 / 5
 Section : A.U. : 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant

Salle n° :…………………. Place n° :…………………..

- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - -

6) Qu’est-ce qu’un certificat, quelles sont ses composantes principales et quel est l’objectif
de son utilisation ?
…associer identité+clé publique, signé par un tier de confiance, date, algo, signature, …
…….…………………………....…...…..…………………………………………………………………....................
/1.5

Le processus d'achat se déroule en deux échanges requêtes-réponses successifs.

Premier échange
Message1- La requête initiale Req_init de l'acheteur (A) vers le serveur du marchand (M)
indique simplement l'intention par l'acheteur de passer commande.
Message2- La réponse initiale du serveur du marchand comporte trois éléments:
▪ un identifiant de commande IDCd signé avec le protocole RSA.
▪ le certificat du serveur du marchand.
▪ le certificat de la passerelle de paiement.
7) Quelle est la clé utilisée pour signer l’identifiant IDCd. On dénote par (KA_Pub,KA_Prv) et
(KM_Pub,KM_Prv) les clés publique et privée de A et de M, respectivement.

…..……… KM_Prv …………………………………………....…………………………………………………….

/0.5 ....…………………………………………....…...…..…………………………………………………………………....
………....…...…..…………………………………………………………………....…………………………………….
8)………………….……….……………………………………………………………………………………………………
A la suite de ce premier échange, l'acheteur doit effectuer une/des vérification(s) qui vont
lui permettre de passer au second échange. Laquelle/Lesquelles ?
…….…………………………....…...…..…………………………………………………………………....................
…..………signature de IDCd avec le certificat de M ……………………………….
/0.5 ....…………………………………………....…...…..…………………………………………………………………....
………....…...…..…………………………………………………………………....…………………………………….
………………….……….……………………………………………………………………………………………………
Second échange
…….…………………………....…...…..…………………………………………………………………....................
L’acheteur doit d’abord générer la requête d'achat ou "Order Information" (OI) qui contient
des informations concernant la commande infosCd (liste des produits, quantités, prix, …)
ainsi que l'identifiant de la commande IDCd. Cette requête va plus tard être envoyée au
serveur du marchant.
L’acheteur génère ensuite la requête de paiement ou "Payment Information" (PI) qui contient
des informations concernant la carte bancaire infosCB de l'acheteur ainsi que l'identifiant de
la commande IDCd. Cette requête va plus tard être envoyée à la passerelle de paiement à
travers le serveur du marchant.
Les deux requêtes OI et PI sont liées, c’est pourquoi l'acheteur utilise l'algorithme SHA1
pour calculer par les fonctions de hachage {OI}SHA1 et {PI}SHA1. Ensuite, il calcule
{{OI}SHA1,{PI}SHA1}SHA1 et signe le tout avec sa clé privée RSA KA_Prv. Le message résultant s’appelle
Signature Duale (SD) avec {
SD= {{OI}SHA1,{PI}SHA1}SHA1 }K A_Prv

Page 3 / 5
 Section : A.U. : 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant

Salle n° :…………………. Place n° :…………………..

- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - -
L'acheteur choisit ensuite une clé aléatoire KRAND pour l’algorithme DES et l’utilise pour
chiffrer le message (PI,SD) auquel il ajoute la clé KRAND chiffrée avec la clé publique de la
passerelle de paiement KP_Pub (reçu dans le certificat de la passerelle):
{PI,SD}K , {KRAND}K RAND P_Pub

Message3- Le message envoyé par l’acheteur au serveur du marchand est le suivant:

{PI,SD}K , {PI}SHA1, {KRAND}K , OI, SD, CertA
RAND P_Pub

avec CertA le certificat de l’acheteur A.

Message4- Le serveur du marchant transmet à la passerelle de paiement les parties du

message qui concernent le paiement et qu’il (le serveur du marchant) ne peut pas
comprendre.
9) Identifier ces parties (et uniquement ces parties).
…..…………………………………………………………………....…………………………………………………….
/1 ....………………… {PI,SD} {
KRAND, KRAND KP_Pub…………………………………………….... }
………....…...…..…………………………………………………………………....…………………………………….
………………….……….……………………………………………………………………………………………………
Message5- Une fois le paiement confirmé par sa banque, le marchant génère le reçu
…….…………………………....…...…..…………………………………………………………………....................
d'achat RA, lui fait subir une fonction de hachage {RA}SHA1 ensuite signe le tout en
utilisant RSA. Le message final que le serveur du marchant envoie à l’acheteur est le
suivant :
RA, {{RA}SHA1}K M_Prv

10) Pourquoi faire subir à RA une fonction de hachage avant de signer (pourquoi ne pas
signer RA directement)? Quelle propriété de sécurité veut-on assurer dans de cas ?
…..…………………………………………………………………....…………………………………………………….
/1 ....…Alléger le process, rapidité de calcul, … ……………………………………………………………....
………....…...…..…………………………………………………………………....…………………………………….
………………….……….……………………………………………………………………………………………………
11) Sur le diagramme ci-dessous, représenter l’échange des messages du standard SET en
…….…………………………....…...…..…………………………………………………………………....................
précisant pour chaque message la/les opération(s) cryptographique(s) et la/les clé(s)
utilisée(s) ?
A M P
Req_init .
, Ce rtP .
{ID }KM_Prv , CertM
Cd

{PI,SD}K {PI}
, , {K }KP_Pub,
/1 RAND

OI, SD, Cert

SHA1 RAND

.
A
{PI,SD}K {K
Paiement
confirmé
RAND
,
RAND
}KP_Pub .
RA, {{RA} SHA1}KM_Prv
.

12) Remplir le tableau suivant en précisant, pour les messages 2, 3 et 4 les propriétés de
sécurité assurées et en inscrivant dans la case correspondante la partie précise du
message qui assure cette propriété. Le cas du message 5 est donné en exemple.
Authentification Confidentialité Intégrité Non-répudiation
Implicite à travers la
Message 2 signature
- {IDCd}KM_Prv {IDCd}KM_Prv + CertM

{PI}SHA1, , OI, SD, CertA

Message 3 {PI,SD}K {KRAND}K OI, SD, CertA OI, SD, CertA
/2 ,
RAND P_Pub

Message 4 - {PI,SD}K ,
RAND {KRAND}K P_Pub implicite -

Message 5 - - {{RA}SHA1}K {{RA}SHA1}K M_Prv +

M_Prv
CertM
Page 4 / 5
 Section : A.U. : 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant

Salle n° :…………………. Place n° :…………………..

- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - -
Exercice RSA :
On note (n, e) la clé publique d’un système RSA. On suppose que n = 35.
1. Expliquez pourquoi il n’est pas possible d’avoir un e pair ?
ᵠ(n) est pair. Si e est pair, pgcd(ᵠ(n),e)=2 >1
/0.5 ………………………………………………………....…………………………………………………….
....…………………………………………....…...…..…………………………………………………………………....
2.………....…...…..…………………………………………………………………....…………………………………….
Déterminer tous les e possibles.
………………….……….……………………………………………………………………………………………………
….5, 7, 11, 13, 17, 19, 23……………………………………....…………………………………………………….
…….…………………………....…...…..…………………………………………………………………....................
/0.5 ....…………………………………………....…...…..…………………………………………………………………....
………....…...…..…………………………………………………………………....…………………………………….
3.………………….……….……………………………………………………………………………………………………
Si on choisit e=ᵠ(n)-1 ? Calculer d. Expliquez pourquoi ce choix n’est pas
…….…………………………....…...…..…………………………………………………………………....................
judicieux ?
…..……d=e=ᵠ(n)-1 => Les clés privée et publique sont identiques ……………………….
/1 ....…………………………………………....…...…..…………………………………………………………………....
………....…...…..…………………………………………………………………....…………………………………….
4.………………….……….……………………………………………………………………………………………………
Si la clé publique est (492153, 2237), quelle est la clé privée ? Détailler les
calculs.
…….…………………………....…...…..…………………………………………………………………....................

n=164051*3 =>ᵠ(n)=164050*2=328100 ; e=2237

ᵠ(n)=146*e+1498 => 1498=ᵠ(n)-146*e
e=1498+739 => 739= - ᵠ(n)+147*e
1498=2*739+20 => 20=3*ᵠ(n)-440*e
/2 739=36*20+19 => 19= - 109*ᵠ(n)+15987*e
20=19+1 => 1= 112*ᵠ(n) – 16427*e

=> 1=112*ᵠ(n) +311673*e

Questions indépendantes :
1. Expliquer pourquoi il est déconseillé du point de vue sécurité d'utiliser la même
clé secrète trop souvent. Que doit-on faire à la place?
………………………………………………………………....…………………………………....…...…..…
/1 ………………………………………………………………....………………………………………...……
………………………………………………....…………………………………....…...…..…………………
2.………………………………………………....………………………………………...……………………...
Illustrer le principe de l’injection SQL à l’aide d’un exemple simple.
…
………………………………………………………………....…………………………………....…...…..…
………………………………………………………………....………………………………………...……
/1 ………………………………………………....…………………………………....…...…..…………………
………………………………………………....………………………………………...……………………...
…
3. Expliquer brièvement le principe du « Packet Sniffing ».
………………………………………………………………....…………………………………....…...…..…
/1 ………………………………………………………………....………………………………………...……
………………………………………………....…………………………………....…...…..…………………
………………………………………………....………………………………………...……………………...
…

Page 5 / 5