Académique Documents
Professionnel Documents
Culture Documents
Crypto et Sec Rx - Examen type - Correction
Crypto et Sec Rx - Examen type - Correction
: 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant
La société XYZ comprend au total 100 employés de diverses disciplines. Chaque jour, les
employés doivent s’authentifier par empreint digitale en accédant à l’entrée du bâtiment et
dès lors, ils sont autorisés à accéder à tous les étages. La société offre à ses employés et à
ses visiteurs une connexion Wifi à laquelle on peut se connecter à l’aide d’un mot de passe
(commun à tous les utilisateurs). Le site Web de la société est géré par un administrateur qui
est le même pour le réseau et pour le système ; son bureau se trouve au 2ème étage là où
résident les serveurs de base de données. Dans le but de simplifier la tâche de
l’administrateur, les login des employés sont formés à partir de la concaténation de leurs
noms et de leurs dates de naissances alors que les mots de passe représentent leurs
prénoms associés à leurs dates de recrutements. Ces logins et mots de passes sont utilisés
par les employés pour accéder à leurs PCs qui sont connectés au réseau Ethernet de la
société. Tout document créé par un employé est par défaut accessible par tous les
utilisateurs saufs si le propriétaire ou l’administrateur en change les droits.
/1.5 …………………………………....…...…..………………………………………………………………….....
……….………………………………………………………………………………………………………….
Mesures Réseau :WiFi avec mot de passe commun ….………………………………………………….....
Ethernet avec la même protection que le système (login+mots de passes, si on utilise les PCs des
employés) ………………………………………………………………….………………………………
Page 1 / 5
Section : A.U. : 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant
Ethernet protégé seulement pas la protection des PC eux-mêmes : Si on branche une autre machine
directement sur la prise Ethernet, l’accès seaa effectué avec succès.
4)…………………………………………
A la suite de l’identification de certains des inconvénients de la question précédente,
……………………………………………………………………………………
l’administrateur a décidé de définir des codes d’accès à chaque étage au niveau de
l’ascenseur (les employés tapent les codes sur une console à l’intérieur de l’ascenseur). Il
a également décidé d’utiliser des cartes à puce pour permettre le monitoring des accès
aux étages, salles machines, bureaux, salles de réunions, … Quels sont, à votre avis, les
avantages et les inconvénients de ces mesures (au moins 1 avantage et 1 inconvénient
dans chaque cas) ?
Code ascenseur : + protège (relativement) contre les attaquants externes
- taper le code devant les autres usagers n’est pas très sécurisé
- tous ceux qui sont dans l’ascenseur ne sont pas obligés de taper le code…………….
/1
Cartes à puce :+ permet un contrôle d’accès plus stricte aux services, étages, bureaux et salles
+ permet de conserver les logs des déplacements des utilisateurs
– peut être contraignat pour les utilisaueurs (il faut tjs avoir la carte sur soi, il faut tjs l’utiliser
pour passer et repasser partout) ………………………………………………………………....…………….
………………….……….……………………………………………………………………………………………………
La société XYZ utilise un standard appelé SET pour sécuriser sa solution de commerce
électronique. Une version simplifiée de l'architecture de SET est donnée par la figure
suivante :
Page 2 / 5
Section : A.U. : 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant
6) Qu’est-ce qu’un certificat, quelles sont ses composantes principales et quel est l’objectif
de son utilisation ?
…associer identité+clé publique, signé par un tier de confiance, date, algo, signature, …
…….…………………………....…...…..…………………………………………………………………....................
/1.5
Page 3 / 5
Section : A.U. : 2020/2021
Université virtuelle de Tunis Module : Cryptographie et sécurité réseau Signatures des
Classe : RIoT-L2
Surveillants
Session : Examen type
Nom : ……………………… Prénom :……………………..
N° CIN : …………………………………………………….
Signature de
N° d’inscription : …………………………………………… l’étudiant
10) Pourquoi faire subir à RA une fonction de hachage avant de signer (pourquoi ne pas
signer RA directement)? Quelle propriété de sécurité veut-on assurer dans de cas ?
…..…………………………………………………………………....…………………………………………………….
/1 ....…Alléger le process, rapidité de calcul, … ……………………………………………………………....
………....…...…..…………………………………………………………………....…………………………………….
………………….……….……………………………………………………………………………………………………
11) Sur le diagramme ci-dessous, représenter l’échange des messages du standard SET en
…….…………………………....…...…..…………………………………………………………………....................
précisant pour chaque message la/les opération(s) cryptographique(s) et la/les clé(s)
utilisée(s) ?
A M P
Req_init .
, Ce rtP .
{ID }KM_Prv , CertM
Cd
{PI,SD}K {PI}
, , {K }KP_Pub,
/1 RAND
.
A
{PI,SD}K {K
Paiement
confirmé
RAND
,
RAND
}KP_Pub .
RA, {{RA} SHA1}KM_Prv
.
12) Remplir le tableau suivant en précisant, pour les messages 2, 3 et 4 les propriétés de
sécurité assurées et en inscrivant dans la case correspondante la partie précise du
message qui assure cette propriété. Le cas du message 5 est donné en exemple.
Authentification Confidentialité Intégrité Non-répudiation
Implicite à travers la
Message 2 signature
- {IDCd}KM_Prv {IDCd}KM_Prv + CertM
Message 4 - {PI,SD}K ,
RAND {KRAND}K P_Pub implicite -
Questions indépendantes :
1. Expliquer pourquoi il est déconseillé du point de vue sécurité d'utiliser la même
clé secrète trop souvent. Que doit-on faire à la place?
………………………………………………………………....…………………………………....…...…..…
/1 ………………………………………………………………....………………………………………...……
………………………………………………....…………………………………....…...…..…………………
2.………………………………………………....………………………………………...……………………...
Illustrer le principe de l’injection SQL à l’aide d’un exemple simple.
…
………………………………………………………………....…………………………………....…...…..…
………………………………………………………………....………………………………………...……
/1 ………………………………………………....…………………………………....…...…..…………………
………………………………………………....………………………………………...……………………...
…
3. Expliquer brièvement le principe du « Packet Sniffing ».
………………………………………………………………....…………………………………....…...…..…
/1 ………………………………………………………………....………………………………………...……
………………………………………………....…………………………………....…...…..…………………
………………………………………………....………………………………………...……………………...
…
Page 5 / 5