INF4420

INF4420 Scurit informatique

Examen final - SOLUTIONS
10 dcembre 2005
Professeur : Jos M. Fernandez
Directives :

1.

- La dure de lexamen est de deux heures et demi

- *Aucune* documentation permise (quantit raisonnable)
- Calculatrice non programmable permise (mais ne sert rien)
- 6 questions (23 sous-questions) rpondre pour un total possible de 40 points
(les points sont entre crochets)

Questions de rchauffement [5 sous questions ; 5 points]

Rpondez de faon succincte (1 ou 2 phrases devraient suffire).

a) [1 point] Donnez deux types d'attaque qui peuvent tre faites contre la scurit des couches 1, 2 et 3 du modle
OSI.
coute sur les rseaux sans fils ( war driving ), interception par falsification dadresse MAC sur rseau
filaire ( MAC spoofing ), ou falsification dadresse IP sur rseau filaire ARP cache poisoning .
b) [1 point] Pourquoi est-il dsirable que le(s) responsable(s) de la scurit informatique et le(s) responsable(s) de
systmes d'information ne soit pas la mme personne ?
Pour viter le conflit d'intrt, car une des tches du responsable de la scurit informatique et de s'assurer que
la configuration des systmes est le plus scuritaire possible.
c) [1 point] Que fait un red team ?
Dcouvrir des vulnrabilits dans les systmes en ralisant des tests de pntration clandestins , en
connivence avec les responsables de la scurit informatique mais sans que les responsables des systmes le
sachent ou collaborent avec eux.
d) [1 point] Que fait un blue team ? Quelle est la diffrence avec un red team ?
Dcouvrir des vulnrabilits dans les systmes en ralisant des tests de pntration annoncs , en
connaissance des responsables des systmes informatiques, qui peuvent collaborer de faon plus ou moins
active dans ces tests.
e) [1 point] Qu'est-ce qu'un HIPS ? (et non, ce n'est pas ce qui arrive quand on a trop bu...)
Host-based Intrusion Prevention System. C'est un mcanisme de protection install sur une machine, qui
cherche de possibles intrusions en analysant le trafic rseau sur cette machine et prend des actions pour les
prvenir, tel que filtrer des paquets, bloquer des ports, maintenir une liste noire d'adresse IP de sources, etc.

2.

Analyse de risque [3 sous questions ; 5 points]

f) [1 point] Quels sont les trois facteurs qui influencent le calcul de la probabilit d'une occurrence de menace
dlibre.
Capacit, motivation et opportunit.
g) [2 point] La Caisse Populaire Desmarais offre des services bancaires par Internet ses clients. Auparavant, ce
service permettait seulement de consulter les transactions du compte et de payer des factures de services publics.
la demande de ses clients, la Caisse a ajout la possibilit deffectuer des transferts interbancaires sur des
comptes de particulier via leur interface Internet. Si on considre la menace que des malfaiteurs puissent frauder
la Caisse en se servant du service Internet, quel facteur de l'analyse de risque est modifi par ce changement de
situation? Justifier votre rponse.
SOLUTIONS EXAMEN FINAL INF4420 AUTOMNE 2005

1 de 4

Lopportunit, car avant il ntait tout simplement pas possible de frauder la banque avec le service Internet
(tout au plus les malfaiteurs aurait pu payer des factures pour les clients). Le nouveau service donne accs,
donc lopportunit, aux malfaiteurs dessayer de faire des transferts vers leurs comptes.
h) [2 point] La Caisse Populaire Desmarais dcide plus tard d'augmenter le montant de transfert permis entre ses
les abonns de 1000 10 000$. Quel facteur de l'analyse de risque est modifi par ce changement de situation ?
Justifier votre rponse.
Deux rponses sont possibles :
La motivation, car maintenant les malfaiteurs peuvent tirer plus de profit de lexcution avec succs de cette
menace.
Limpact, car la banque aura a dbourse une somme plus lev pour compenser les sommes perdues par ses
clients.
Ceci constitue un exemple o un changement de la situation a un impact double sur le risque, car la motivation
et limpact sont souvent relis.

3.

Configuration scuritaire des rseaux I DMZ [5 sous questions ; 10 points]

a) [2 point] Qu'est-ce qu'une zone dmilitarise (DMZ) et quoi sert-elle ?

Zone intermdiaire du rseau, protge mais accessible de lInternet, o on trouve seulement les services qui
doivent absolument tre accessibles de lextrieur ou ceux qui doivent y avoir accs direct.
b) [4 points] Vous devez tablir l'architecture du rseau d'une petite entreprise. Le rseau sera divis en trois
parties : rseau interne, DMZ et rseau externe. Les quipements suivants doivent tre installs sur le rseau :
1. Stations de travail des employs
2. Serveur IMAP/POP3
3. Serveur passerelle SMTP (entrant et sortant)
4. Serveur de base de donnes corporative
5. Serveur Web
6. Serveur DNS
7. Passerelle VPN
8. Serveur mandataire Web ( proxy Web)
9. Console de travail de ladministrateur du serveur Web
Rseau interne : stations de travail, serveur de courriel entrant (IMAP/POP), serveur de BD, console
d'administrateur et serveur de base de donnes.
DMZ : Serveur Web, Serveur DNS, Serveur SMTP, Passerelle VPN
Rseau externe : rien
c) [1 points] Justifier votre choix pour le serveur DNS.
Les noms de machine correspondants des services externes fournis sur l'Internet doivent tre associs des
adresses IP via DNS. Les entres du domaine correspondant l'organisation (p.ex. www.xyz.com) doivent donc
tre accessibles par les autres machines sur Internet (clients ou autres serveurs DNS). Ces entres rsidant, en
gnral, sur un serveur DNS corporatif, celui-ci doit donc tre accessible de l'Internet. Il doit cependant tre
protg (pour viter le "DNS spoofing") et en consquence ne peut pas tre plac l'extrieur. Il doit donc tre
dans la DMZ.
d) [1 points] Justifier votre choix pour le serveur de bases de donnes corporative.
En gnral, il devrait tre plac sur le rseau interne de l'entreprise, surtout sil contient des informations
sensibles (no. de comptes, donnes dauthentification, etc.). Sil ne contient aucune information sensible (ce qui
est rare) et quil est utilis pour alimenter le serveur de pages Web, alors il pourrait tre plac dans la DMZ.
e) [2 points] Justifier votre choix pour les serveurs courriel (IMAP/POP3 et SMTP).

SOLUTIONS EXAMEN FINAL INF4420 AUTOMNE 2005

2 de 4

Le serveur passerelle SMTP sert recevoir et envoyer des courriels de et vers l'Internet. Il doit donc tre
accessible et avoir accs l'Internet. Pour viter qu'il soit compromis et utilis pour envoyer du SPAM (par
exemple), il n'est pas plac l'extrieur mais plutt dans la DMZ. Le serveur IMAP ou POP3 contient les boites
de courriels, auxquelles les employs accdent partir de leurs stations de travail. Il n'est pas ncessaire que
ce serveur ait accs direct l'Internet car il peut acheminer les courriels sortants et recevoir les courriels
entrant via le serveur passerelle SMTP. Il est donc dans le rseau interne.

4.

Configuration scuritaire des rseaux II Principes de base [ 4 sous questions ; 8 points]

a) [2 points] En quoi consiste le principe de segmentation dans la scurit de rseaux informatiques ?

La sparation des ressources rseaux en diffrents sous rseaux, plus ou moins indpendants, de faon ce
l'impact d'une compromission d'un de ces sous rseaux par une attaque dlibre soit minimis.
b) [2 points] Ce principe est-il applicable dans l'application de mesures de protection de type cryptographique ?
Justifiez votre rponse.
Oui. En cryptographie, on utilisera diffrentes cls pour scuriser le trafic sur diffrents sous rseaux ou
diffrents liens. Ainsi, par exemple, les liens de tunnelage entre les diffrents sous rseau relis par un VPN
utiliseront des cls cryptographiques diffrentes pour chacun de ces liens.
c) [2 points] En quoi consiste le principe de dfense en profondeur, dans la scurit des rseaux informatiques ?
C'est un principe de design de rseaux consistant disposer les mcanismes de protection des rseaux (tel que
les coupe-feu et les IDS) diffrents endroits du rseau correspondants diffrent niveau de scurit.
d) [2 points] Donnez un exemple d'application de ce principe dans l'laboration d'un rseau informatique. Dites
pourquoi ce principe est avantageux dans ce contexte.
L'utilisation combin d'un Network-based IDS localis l'entre de la DMZ avec des Host-based IDS sur
chacune des serveurs de la DMZ ou du rseau interne. Un des avantages principaux est que la configuration
des rgles de dtection peut tre plus finement ajuster la ralit locale de chacun de ces IDS (p.ex. les
applications qui roulent vraiment et normalement sur ces machines). L'autre est qu'on gagne en scurit, car il
n'y a plus de point unique de dfaillance ("single point of failure") en termes de scurit.

5.

Questions Vrai ou Faux [ 5 sous questions; 10 points ]

Pour chaque question, indiquer vrai ou faux et justifier succinctement votre rponse.
a) [2 points] Linstallation dun VPN ncessite de linstallation dun filage ddi et indpendant entre les sous
rseaux et/ou ordinateurs quil relie.
FAUX. Lutilisation du tunnelage et de la cryptographie permet de protger la confidentialit et lintgrit des
donnes transmises de lun lautre des machines relies, mme travers un lien non scuris tel que lInternet
ou un lien sans fil.
b) [2 points] On peut saturer de requtes un serveur mme s'il est protg par un coupe-feu.
VRAI. En gnral les requtes gnres dans une attaque de dni de service ne peuvent pas tre distingus de
requtes lgitimes et donc un coupe-feu ne peut pas les arrter. Note : Certains lectros de rseaux ("network
appliances") peuvent parer certaines attaques de dni de service par saturation, mais ce ne sont pas des
fonctions de coupe-feu comme tel.
c) [2 points] LOrdre des ingnieurs du Qubec (OIQ) sassure que tous les professionnels oeuvrant dans le
domaine de la scurit informatique soient comptents dans la matire.
FAUX. LOIQ na juridiction que sur leurs membres. Quoiquil serait possible pour lOrdre de radier un
ingnieur informatique ou logiciel inscrit au tableau de lordre ayant fait preuve dincomptence crasse en
matire de scurit informatique, tant donn que lexercice de fonction dans ce domaine nest pas un acte
protg par la loi (le Code des professions) elle ne pourrait pas sanctionner ou poursuivre un professionnel
ayant fait preuve dincomptence si ce nest pas un de ses membres.

SOLUTIONS EXAMEN FINAL INF4420 AUTOMNE 2005

3 de 4

d) [2 points] Il est prfrable de ne pas modifier la configuration par dfaut dun systme dexploitation afin de ne
pas rendre par mgarde lordinateur en question plus vulnrable.
FAUX. La configuration par dfaut de la plupart des systmes dexploitation comporte trs souvent des options
inutiles (p.ex. des services rseaux) pour la plupart des utilisations et qui augmente les chances que lordinateur
soit vulnrable.
e) [2 points] Il possible d'utiliser un coupe-feu peut tre utilis pour scuriser une seule station de travail.
VRAI. Il existe des logiciels coupe-feu spcialiss qui permettent de scuriser les entres/sorties rseau de la
machine sur laquelle ils sont installs. Selon le principe de dfense en profondeur, ceci est dsirable car a
permet que le modle de scurit et les rgles de configuration du logiciel coupe-feu soit finement ajusts la
ralit concrte de la machine sur laquelle il est install.

6.

Question finale [1 question ; 2 points]

votre avis, quelle est la chose la plus importante que vous avez appris pendant ce cours ?

SOLUTIONS EXAMEN FINAL INF4420 AUTOMNE 2005

4 de 4