Matière: SEC Durée: 1130

Université Abdelhamid Mehri, Constantine 2

Faculté des Nouvelles Technologies de l'Information et de la Communication
Département d'Informatique Fondamentale et ses Applications Jannée licence en
Sciences de l'Informatique - SCI
(12h30-14h00) Liew: Amphi5.
Jeudi 24 Mai 2018.
Semestre II, Année Universitaire 2017/2018 Contrôle Semestriel: Sécurité
informatique
Compréhension:

NB: Les réponses doivent être claires, concises et précises.

1\-Quelle est la différence entre menace et vulnérabilité ? Donnez un exemple de
chacune d'eux.
2- Que doit-on faire pour minimiser les risques en se basant sur les paramètres
précédents ? Donnez un exemple concret avec les applicatifs appropriés.
3- Donnez un exemple pour: Attaque, Cyber-Attaque et APT.
4- Quelles classes d'attaques appartiennent: Mirai, Wannacry, Samsam, Memcash,
Stuxnet? Expliquez le fonctionnement de base de Memcash.
5-Quelle est la principale contrainte du Pen Test?
6- Donnez une stratégie précise pour identifier l'auteur d'une cyber-attaque
avancée ? 7- Pourquoi les solutions de sécurité actuelles ne pourront pas faire face
à des cyber-attaques
et APT? Justifiez. Que doit-on faire dans ces circonstances?
8- Pour le System Hacking, quelles sont les phases les plus difficiles? Pourquoi ?
91-Le BlockChain est une solution pour quel problème de sécurité ?
Problème:
Soit l'architecture suivante où un attaquant blackhat russe tente d'attaquer deux
infrastructures critiques en Algérie. Pour ce faire, il planific un plan d'actions et
des stratégies rusées:

Que doit-il faire en premier lieu pour identifier ses cibles?

Que doit-il faire pour trouver l'issue et l'accès ?
Que doit-il faire pour avoir un accès à partir du contrôleur de domaine?
Quelles sont les attaques probables sur l'infra N2 ?
Quelles sont les attaques probables sur l'infra NI?
Que doit-on faire pour protéger ces infrastructures contre tout accès illégitime?
CORRYGE :
PARTIE 1 :
1. Différence entre menace et vulnérabilité :
• Menace : Un événement ou une circonstance pouvant causer un dommage ou
une perte à un système ou à une organisation. Exemple : un virus informatique,
une catastrophe naturelle.
• Vulnérabilité : Une faiblesse ou une faille dans un système qui peut être
exploitée par une menace pour causer un dommage. Exemple : une configuration
incorrecte d'un pare-feu, une version obsolète d'un logiciel.
2. Pour minimiser les risques en se basant sur les paramètres précédents, il est
recommandé de :
• Mettre à jour régulièrement les systèmes et les logiciels pour remédier aux
vulnérabilités connues.
• Utiliser des solutions de sécurité telles que des pare-feu, des antivirus et des
systèmes de détection des intrusions.
• Mettre en œuvre des politiques de sécurité solides, telles que l'authentification
forte, les sauvegardes régulières des données et la sensibilisation des utilisateurs.
Exemple concret : Utiliser un pare-feu pour filtrer le trafic entrant et sortant, un
logiciel antivirus pour détecter les menaces potentielles, et un système de
détection des intrusions pour surveiller les activités suspectes.
3. Exemples :
• Attaque : Un acte visant à compromettre la sécurité d'un système ou d'un réseau.
Exemple : une attaque par déni de service distribué (DDoS) qui vise à rendre un
site web indisponible en inondant le serveur de demandes.
• Cyber-Attaque : Une attaque réalisée via des moyens informatiques,
généralement dans le but de causer des dommages ou de voler des informations.
Exemple : une attaque de phishing où les utilisateurs sont trompés pour révéler
leurs informations d'identification.
• APT (Advanced Persistent Threat) : Une attaque sophistiquée, ciblée et à long
terme, généralement menée par des acteurs soutenus par des États ou des groupes
de cybercriminels organisés. Exemple : l'attaque APT29 (aussi connue sous le
nom de Cozy Bear), qui a ciblé des organisations gouvernementales et des
entreprises dans le cadre d'opérations de cyberespionnage.
4. Classes d'attaques :
• Mirai : Attaque par botnet visant les objets connectés pour mener des attaques
DDoS massives.
• WannaCry : Attaque ransomware utilisant une vulnérabilité dans le protocole
SMB pour se propager rapidement et chiffrer les fichiers des victimes.
• SamSam : Attaque de ransomware ciblant principalement les entreprises et les
institutions gouvernementales.
• Memcached : L'attaque Memcached amplifiée est une attaque DDoS utilisant les
serveurs Memcached pour générer un trafic massif.
• Stuxnet : Un ver informatique qui a ciblé spécifiquement les systèmes de
contrôle industriels (ICS), en particulier les centrifugeuses nucléaires iraniennes,
dans le but de les sabotages.
Le fonctionnement de base de Memcached : Memcached est un système de mise
en cache distribué utilisé pour améliorer les performances des applications.
Cependant, en raison d'une mauvaise configuration, les serveurs Memcached
peuvent être utilisés pour amplifier le trafic lors d'une attaque DDoS. Les
attaquants envoient de petites requêtes falsifiées aux serveurs Memcached, qui
renvoient de grandes réponses à la victime ciblée, amplifiant ainsi le volume du
trafic et provoquant une surcharge du réseau.
5. La principale contrainte du Pen Test : est le risque potentiel de perturber les
systèmes et les opérations en cours. Les tests de pénétration peuvent causer des
problèmes de disponibilité des services, des erreurs de configuration ou même des
dommages aux systèmes. Il est essentiel de planifier et de coordonner
soigneusement les tests pour minimiser les impacts négatifs et assurer la sécurité
des systèmes pendant le processus de test.
6. Stratégie pour identifier l'auteur d'une cyber-attaque avancée :
• Collecter des preuves : Enregistrer tous les journaux et les traces de l'attaque
pour analyser les détails et les schémas.
• Analyser les modus operandi : Examiner les techniques, les outils et les
tactiques utilisés pour identifier des similarités avec d'autres attaques connues ou
des groupes d'attaquants.
• Coopération avec les forces de l'ordre : Travailler en étroite collaboration avec
les forces de l'ordre et les équipes d'enquête pour partager les informations et
bénéficier de leur expertise dans l'identification des auteurs.
7. Les solutions de sécurité actuelles peuvent être confrontées à des cyber-
attaques pour plusieurs raisons, notamment :
• L'évolution constante des techniques d'attaque :
• Les attaques ciblées et personnalisées :
• L'absence de visibilité totale.
8. Pour le System Hacking, quelles sont les phases les plus difficiles ? Pourquoi ?
Les phases les plus difficiles du piratage de système peuvent varier en fonction de
la complexité du système ciblé et des mesures de sécurité mises en place.
Cependant, généralement, les phases les plus difficiles sont :
a) Reconnaissance :
b) Exploitation :
c) Maintien de l'accès :
Ces phases sont difficiles car elles exigent une expertise technique approfondie,
une compréhension approfondie des systèmes et des logiciels ciblés, ainsi qu'une
capacité à rester indétecté tout au long du processus.
9. Le Blockchain est une solution pour quel problème de sécurité ?. Il résout
principalement le problème de confiance dans les systèmes décentralisés en
fournissant un mécanisme de vérification et de consensus distribué.
le Blockchain est une solution pour le problème de confiance, de transparence et
de sécurité dans les systèmes décentralisés
Partie 2 :
-Pour identifier ses cibles : l'attaquant doit effectuer une reconnaissance pour
recueillir des informations sur les infrastructures critiques. Cela peut inclure
l'exploration des réseaux, la recherche d'informations publiques sur les systèmes,
les services et les utilisateurs, ainsi que l'analyse des vulnérabilités potentielles.
-Pour trouver l'issue et l'accès : l'attaquant peut utiliser des techniques
d'exploration des failles, telles que l'analyse des ports, l'identification des
vulnérabilités connues, l'utilisation d'outils d'exploitation de failles et la recherche
d'erreurs de configuration.
-Pour avoir un accès à partir du contrôleur de domaine, l'attaquant peut exploiter
des vulnérabilités connues dans le logiciel du contrôleur de domaine, utiliser des
attaques d'ingénierie sociale pour obtenir des informations d'identification ou
essayer de compromettre les comptes administratifs.
Les attaques probables sur l'infrastructure N2 peuvent inclure des attaques
d'extraction de données, des attaques de DOS, des attaques de modification ou de
falsification de données, et des attaques visant à prendre le contrôle des serveurs
Oracle ou du serveur DHCP.
Les attaques probables sur l'infrastructure N1 peuvent inclure des attaques par
injection de code, des attaques de DOS, des attaques de phishing visant les
utilisateurs du serveur SMTP ou du serveur Web, et des attaques visant à
exploiter des vulnérabilités dans les applications ou les protocoles utilisés.
Pour protéger ces infrastructures contre tout accès illégitime, il est recommandé
de mettre en œuvre les mesures de sécurité suivantes :
• Mettre à jour régulièrement les logiciels et les systèmes d'exploitation pour
corriger les vulnérabilités connues.
• Utiliser des pare-feu pour filtrer le trafic entrant et sortant.
• Mettre en place des mécanismes d'authentification forte pour les comptes
d'administration.
• Appliquer des politiques de sécurité strictes, telles que la limitation des
privilèges, la surveillance des journaux d'événements et la sensibilisation des
utilisateurs aux bonnes pratiques en matière de sécurité.
• Effectuer régulièrement des audits de sécurité et des tests de pénétration pour
identifier les vulnérabilités et les corriger.
: