You are on page 1of 2

M2 RS – Sécurité Réseau

EVALUATION

Les documents sont autorisés (notamment cours, TD, TP). Les réponses « copier/coller » ne
seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions
près). De préférence, répondre aux questions dans l'ordre.
NB : Il est recommandé aux étudiants de bien lire les consignes de l'évaluation.

Q1) Analyse de scénarios : [4 pts]
Un RSSI émet l'avis suivant : sachant que tous les serveurs web publics, DNS (NS), MTA, VPN,
sont très sécurisés (il n'y a pas d'autre service ouvert sur Internet), je ne vois pas comment on
pourrait m'attaquer.
Déroulez une analyse de risques, après avoir identifié des méthodes d'attaque (qui pourraient être
confirmées via un audit de sécurité), qui seraient fortement susceptibles de fonctionner, malgré le
niveau de sécurité évoqué.
Il est recommandé de vous appuyer sur des statistiques récentes, des cas concrets, et de faire le lien
avec une démarche cohérente d'attaquant. Enfin, il vous faudra mettre en parallèle les différents
types de menaces, les risques associés, et les solutions (au moins sommairement).

Q2) Priorité sécurité [2pts]
Soit une entreprise de 1000 personnes, qui n'a eu aucune équipe de sécurité depuis sa création. Le
parc est en « configuration par défaut », notamment pour les postes Windows et l'Active Directory
(nécessaire pour l'accès aux partages de fichiers, et pour les imprimantes). L'antivirus installé est
une version grand public, mais la licence a été achetée « pour être dans les règles ». Le DSI vous
demande conseil : pour sécuriser ce SI , par quoi commenceriez-vous et pourquoi ? (2 grandes
actions)

Q3) Analyse et certitudes [1pt]
Pour vérifier qu'une machine Windows n'est pas infectée par un Botnet, dont le C&C est connu, un
de vos collègues utilise l'utilitaire netstat, en expliquant qu'il est "plus fiable car en ligne de
commande". Il ne trouve rien. Cela veut-il dire à coup sûr que la machine n'est pas compromise ?
Justifiez avec une explication générique (focalisez-vous sur la visibilité de l'activité réseau).

Q4) Dangereux ? [2pts]
Une machine de VIP dans votre entreprise remonte un comportement suspect avec notamment du
trafic réseau sortant assez important (pas de détection AV pour le moment). Vous savez que le VIP
voyage de temps en temps pour participer à des séminaires. Interrogé sur l'utilisation qu'il a de sa
machine, il répond : "Je suis franchement prudent, et je n'installe que les updates qui passent, pour
sécuriser la machine, et j'ai toujours l'antivirus à jour".
Proposez un scénario pour expliquer une infection, en vous inspirant d'un cas réel.

Q7) Gestion de parc [1,5pts]
Vous apprenez qu'il existe une faille de sécurité sur la couche COM de Windows (Vista/7). Un
correctif de sécurité est publié (il change fortement certains réglages par défaut de COM, niveau
sécurité), il vous faut le déployer sur le parc de votre entreprise. Vous savez qu'en production, il y a
2 applications critiques. Il est dit aussi qu'elles ont été développées "en utilisant les fonctions
standard de Windows", avec Visual Studio. Les administrateurs vous disent que le correctif devrait
être sans impact. Quel doit être alors votre réflexe (votre réponse), et quel est votre plan d'action ?
EFREI M2 RS 2014 - PV

page 1 /2

DE Sécurité

M2 RS – Sécurité Réseau

EVALUATION

Q7) Implémentation sécurité [1pt]
Des attaques en cours utilisant un 0Day Java sont annoncées par les services de veille sécurité. La
faille concerne Java 5, 6 et 7. Sur votre parc Windows, Java 6 et 7 sont utilisés. Proposez une
solution permettant de réduire les risques d'une exploitation réussie de la faille de sécurité sur Java,
mais avec une démarche adéquate par rapport à la production.

Q8) Méthode [1,5pt]
Donnez une méthode d'analyse de machine potentiellement compromise, qui ne demande pas d'outil
payant, et dont la partie collecte de données peut être faite en une demi-journée maximum. Quelles
sont les limites de cette méthode (succinctement) ?

Q9) [1pt]
Un administrateur vous dit : « nous avons un domaine Active Directory mono-forêt, avec un
domaine différent en DMZ, que celui sur le LAN ». Est-ce bien niveau sécurité, pourquoi ?

Q10) Architecture [1,5pt]
Donner 2 cas d'architectures réseau, reposant sur un Botnet, pouvant générer des profits à des
individus malveillants. Faites le lien avec la machine "de Monsieur et Madame Toulemonde", dans
ce contexte.

Q11) Fonctionnement opérationnel du système [1,5pt]
Le fait de ne pas voir ni de processus ni de thread suspect (sur une machine probablement
compromise), en utilisant le gestionnaire des tâches, garantit-il que la machine n'est pas infectée ?
Expliquez brièvement pourquoi avec un cas d'exemple générique.

Q12) Culture générale, mais nécessaire en sécurité : [3pts]
Citez un service réseau critique pour le fonctionnement de l'infrastructure Active Directory.
Si le ping ne marche pas, la machine distante est-elle forcément injoignable en TCP ? Pourquoi ?
Pourquoi un système d'exploitation accepterait-il toujours un certificat, alors que ce dernier a été
révoqué par son émetteur ?
Citez un utilitaire sous Windows (fourni par Microsoft) permettant d'observer l'activité disque,
processus par processus, en temps réel.
Quelle est la commande Linux permettant d'afficher la liste des processus, triée par leur
consommation de CPU, mémoire virtuelle, etc ?
Comment appelle-t-on un environnement disposant de divers codes d'exploitation, servant à infecter
un navigateur lorsqu'il passe sur un site web légitime compromis ?

Bonne chance à tous !
Et souvenez-vous : le retour d'investissement sécurité est très difficilement calculable. Pourtant,
sans budget sécurité, le prochain gros incident de sécurité se transforme souvent en catastrophe...

EFREI M2 RS 2014 - PV

page 2 /2

DE Sécurité